Le principali novità introdotte dal GDPR
Pubblicato il
26/06/2019
Dal 25 maggio 2016 è in vigore il Regolamento (UE) 2016/679 sul trattamento dei dati personali (GDPR) che sostituisce la Direttiva sulla Protezione dei Dati Personali 95/46/CE.
L'area Policy privacy, già presente nel sito internet aziendale, è stata completamente riprogettata nel giugno del 2019 e costantemente ampliata ed aggiornata a cura della UO Anticorruzione e Trasparenza (fino ad agosto 2021 UO Anticorruzione, Trasparenza e Privacy), con l'obiettivo di integrare i temi trattati con l'operatività quotidiana dei professionisti, attraverso l'esaustività e completezza dei contenuti proposti. Quanto è stato realizzato è frutto della multiprofessionalità che ha sempre caratterizzato l'attività della UO Anticorruzione e Trasparenza.
Il passaggio della responsabilità alla UO Affari Generali e Legali è avvenuto nel settembre dell'anno in corso.
Il contesto di riferimento
Il Regolamento UE detta regole comuni per tutti i Paesi della Comunità Europea con lo scopo di eliminare disparità di trattamento nei confronti dei soggetti interessati al trattamento e assicurare una maggiore e specifica tutela dei cittadini europei e dei loro dati personali.
L’entrata in vigore del nuovo Regolamento, introducendo rilevanti modifiche in materia di protezione dei dati personali, impone alle aziende e agli enti pubblici l’obbligo di rivedere le proprie policy interne riguardanti il trattamento dei dati sia in riferimento ai dipendenti sia ai singoli utenti/interessati. I Titolari di trattamento sono tenuti ad adottare misure di protezione e sicurezza adeguate a realizzare gli adempimenti previsti dalla normativa nazionale ed europea.
Titolare del trattamento dei dati
Il Titolare del trattamento dei dati è l'Azienda USL di Bologna, con sede legale in Via Castiglione n. 29, 40124 - Bologna.
Responsabile della protezione dei dati – Data Protection Officer interaziendale (DPO)
L’Azienda USL ha designato il Responsabile della protezione dei dati – Data Protection Officer interaziendale, soggetto che agisce in posizione di indipendenza ed autonomia e riferisce direttamente al Titolare del trattamento dei dati. Il DPO interaziendale deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati personali al fine di assicurare il corretto adeguamento alla normativa e funge da raccordo tra l'Autorità Garante e i privati, con compiti di consulenza e garanzia.
Nuova disciplina per il trattamento dei dati relativi alla salute in ambito sanitario
Diversamente dal passato, i trattamenti necessari per l'erogazione di una prestazione sanitaria richiesta dall'interessato (per finalità di cura) effettuati da un professionista sanitario soggetto al segreto professionale o da altra persona soggetta all'obbligo di segretezza, non richiedono più il consenso del paziente.
Resta l'obbligo di raccogliere il consenso per quei trattamenti che, pur essendo attinenti alla cura, non sono strettamente necessari, anche se son effettuati da professionisti sanitari.
Gli eventuali trattamenti attinenti alla cura ma non strettamente necessari, pur se effettuati da operatori sanitari, richiedono una distinta base giuridica che può essere individuata o nel consenso dell'interessato oppure in un altro presupposoto di liceità.
Per i trattamenti in ambito sanitario non strettamente necessari alla cura rimane la necessità di raccoglier il consenso dell'interessato, per esempio:
- Fascicolo Sanitario Elettronico (FSE)
I trattamenti effettuati attraverso l'FSE, coerentemente a quanto sopra esplicitato, richiedono l'acquisizione del consenso quale condizione di liceità del trattamento (art. 75 del Codice Privacy).
- Dossier Sanitario
I trattamenti effettuati attraverso il Dossier Sanitario, richiedono l'acquisizone del consenso da parte dell'interessato quale condizione di liceità del trattamento (Linee guida in materia di Dossier Sanitario del 4 giugno 2015).
- Referti on line
I trattamenti effettuati attraverso la refertazione on line, richiedono l'acquisizione del consenso in base a specifiche disposizioni di settore e in relazione alle modaità di consegna del referto.
Informazioni sul trattamento dei dati
Coerentemente con la normativa europea e nazionale, le informazioni fornite agli interessati sono state aggiornate dal Titolare di trattamento, utilizzando un linguaggio chiaro e semplice e con la comunicazione agli interessati dei dati del Titolare e del Responsabile della Protezione dei Dati (DPO).
Le informazioni aggiornate contengono la comunicazione delle motivazioni e le tempistiche del trattamento.
I principi di riferimento
L'Azienda USL, in quanto Titolare di trattamento, attua le proprie policy per la protezione dei dati personali, coerentemente alle nuove disposizioni europee e nazionali sui principi di seguito riportati;
- Principio dell’Accountability - Responsabilità verificabile
Tutti i soggetti che effettuano trattamenti dei dati devono conservare la documentazione di tutti i trattamenti effettuati. Tale obbligo è sanzionato a prescindere dall’utilizzo che si fa dei dati, in quanto per l’applicazione della sanzione è sufficiente non documentare i trattamenti.
- Principio del by design
La protezione dei dati personali è parte integrante della progettazione dei processi aziendali e dei supporti informatici utilizzati.
- Principio privacy by default
Il trattamento dei dati personali avviene unicamente nella misura necessaria per realizzare le finalità del trattamento e per il periodo strettamente necessario a tale finalità.
Valutazione di impatto
Il trattamento che presenta un rischio elevato per i diritti e le libertà delle persone richiede una valutazione preventiva dell'impatto sulla protezione dei dati personali connessi.
Responsabili di trattamento
Il Titolare del trattamento ha adottato il nuovo schema dell’atto di designazione a Responsabile (esterno) di trattamento, rivisto alla luce della normativa europea (Reg. UE 2016/679).
Il nuovo schema di designazione va utilizzato nei casi in cui soggetti pubblici o
privati (Enti/Società/Ditte….), in virtù di rapporti contrattuali o convenzionali, siano chiamati a svolgere, per conto dell’Azienda USL, attività di trattamento di dati personali.
Modalità per la designazione dei Responsabili del trattamento
Il data breach (violazione dei dati personali)
Le eventuali violazioni dei dati devono essere tempestivamente individuate e comunicate, a seconda dei casi, alla autorità di controllo e ai singoli interessati.
In conformità agli artt. 33 e 34 del Regolamento UE 2016/679, l'Azienda USL ha adottato la procedura per la gestione di violazione dei dati personali.
Procedura DATA BREACH: Delibera di adozione e relativi allegati
I diritti degli interessati
In merito ai diritti degli interessati, si rimanda al sito del Garante.
Misure adottate dal Titolare
- Modalità di consegna dei referti
- Misure e accorgimenti per la consegna di presidi sanitari al domicilio
- Misure idonee a garantire il rispetto dei diritti dei cittadini utenti
La nuova organizzazione aziendale
L’Azienda Usl di Bologna, in continuità con le precedenti scelte organizzative, ha identificato nuovi ruoli e nuove responsabilità e ha introdotto nuove istruzioni per il corretto trattamento dei dati personali.
Il Titolare del trattamento, al fine di definire ulteriormente ruoli e responsabilità ha ritenuto di regolamentare i rapporti tra il DPO e l'organizzazione dell'Azienda USL.
Linee Guida per l’applicazione del Regolamento (UE) 2016/679 (GDPR)
Videosorveglianza
Linee guida in materia di videosorveglianza nell’Azienda USL di Bologna
Sistemi di videosorveglianza e di videocontrollo - informazioni sul trattamento dei dati personali
Linee Guida sull’utilizzo della posta elettronica e di internet nell’Azienda USL di Bologna
Deliberazione n. 220 del 25.06.2021