Il trattamento e la protezione dei dati personali

  •    sommario   

Il CRO e la protezione dei dati personali come obiettivo strategico

Il CRO di Aviano è un istituto di ricovero e cura a carattere scientifico che offre ai suoi pazienti un percorso di eccellenza nella prevenzione, diagnosi, cura e riabilitazione delle malattie oncologiche a cui si aggiungono numerose attività di ricerca clinica, preclinica, traslazionale e attività di formazione specialistica di alto livello.  

Per svolgere tutte queste attività e, in particolare, quelle legate alla cura e alla ricerca, il Centro ha necessità di trattare, in conformità alle indicazioni delle norme vigenti, i dati personali dei suoi pazienti.

Le norme che regolano, a partire dal 19 settembre 2018,  il trattamento dei dati personali sono il Regolamento Europeo 2016/679 (di seguito  G.D.P.R.), e il Decreto Legislativo 196 del 2003, più conosciuto come “Codice Privacy”.

L’entrata in vigore delle nuove norme è stata considerata dal CRO un’occasione e un’opportunità per operare una profonda riforma del sistema interno di protezione dei dati personali  e implementare, previa analisi dei rischi presentati dalle operazioni di trattamento seguendo l’approccio risk – based delineato dal GDPR , le misure di sicurezza tecniche e organizzative  e le policy di protezione dei dati personali.

Il CRO , da sempre attento ad assicurare la protezione dei dati personali dei pazienti, anche in ragione della loro delicatezza e importanza, sta quindi procedendo ad adeguare il proprio sistema di protezione dei dati personali  seguendo i criteri della privacy by design e della privacy by default, adottando, fin dalla fase di progettazione di un nuovo servizio, misure organizzative e tecniche adeguate a garantire la sicurezza del trattamento dei dati per prevenire possibili violazioni o incidenti di sicurezza.

Il Centro ha inserito nei suoi obiettivi quello di potenziare la sicurezza dei sistemi informatici sempre più utilizzati nelle operazioni di trattamento dei dati personali senza però tralasciare la creazione di un’organizzazione interna capace di assicurare la tutela dei diritti, della libertà e della dignità degli Interessati.

Al riguardo il Centro non si sta limitando ad adottare un nuovo sistema di protezione dei dati personali che implementi le misure di sicurezza, ma, in pieno accordo con il principio di responsabilizzazione (accountability) e in un’ottica di piena trasparenza, si sta dotando di strumenti idonei a dimostrare agli Interessati e all’Autorità Garante, le azioni di miglioramento e modifica poste in essere al proprio “sistema privacy” sono di natura sostanziale e non meramente formale.

Le attività necessarie a perseguire tali obiettivi sono ancora in corso e al loro raggiungimento e mantenimento nel tempo collaborano in particolare i componenti di un apposito gruppo di lavoro di natura multidisciplinare, fra cui il  Data Protection Officer, uno specialista in materia di protezione dei dati personali dotato di pluriennale e specifica esperienza nel settore sanitario. 

Il Data Protection Officer  è il punto di contatto fra il Centro e l’Interessato ed è  per questo motivo che è stato creato un canale diretto di comunicazione - privacy@cro.it - utilizzabile per richiedere chiarimenti  relativi al sistema di protezione dei dati personali, presentare reclami qualora si ritenga che i propri dati vengano trattati in modo illecito, ed esercitare i diritti garantiti dalla normativa.

Per evitare qualsiasi conflitto di interesse l’incarico di DPO è stato affidato ad un consulente esterno non subordinato alle indicazioni della Dirigenza del Centro così da assicurarne la completa indipendenza.  

Riteniamo che l’impegno e la professionalità del personale e dei consulenti  porterà come risultato la creazione di un modello di protezione dei dati personali all’avanguardia in un settore sempre più importante come quello della protezione dei dati personali. 

 

Autorità Garante per la protezione dei dati personali: www.garanteprivacy.it

European Data Protection Board:  edpb.europa.eu

Regolamento (UE) 679/2018:  www.garanteprivacy.it/il-testo-del-regolamento,

Codice privacy (D.lgs. 196/2003), decreto di adeguamento (D.lgs. 101/2018): www.garanteprivacy.it/codice

torna su

L’autorità garante per la protezione dei dati personali

Meglio conosciuta come Garante privacy, è un’autorità amministrativa indipendente istituita dalla legge n. 675 del 31 dicembre 1996, il cui compito è quello di assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

Il G.D.P.R. dedica specifiche regole alle Autorità di controllo rafforzando i requisiti di indipendenza e conferendogli poteri più incisivi rispetto alle precedenti legislazioni nazionali per assicurare una migliore tutela dell’Interessato.

L’Autorità è dotata di poteri ispettivi che può utilizzare per ottenere informazioni sull’organizzazione interna dei Titolari e dei Responsabili del trattamento in modo da verificare che questi aspetti siano progettati e gestiti secondo le norme di legge.

A questi poteri si affiancano quelli correttivi, con i quali l’Autorità può invitare il Titolare a eliminare le irregolarità presenti nelle misure tecniche e organizzative o, nei casi più gravi, comminare sanzioni amministrative.  

L’Autorità svolge inoltre una funzione di tutela diretta del cittadino, infatti, se l’interessato ritiene che il Titolare o il Responsabile del trattamento abbiano violato il suo diritto alla protezione dei dati personali, può presentare ricorso così da ottenere l’eliminazione della violazione.

Il sito web dell’Autorità per la protezione dei dati personali è consultabile a questo link: www.garanteprivacy.it .  

Modello di reclamo : www.garanteprivacy.it/home/modulistica-e-servizi-online/reclamo

torna su

Il Data Protection Officer

Il G.D.P.R. ha previsto che gli enti pubblici debbano individuare e designare un loro Data Protection Officer (D.P.O.), ossia uno specialista in materia di protezione dei dati personali, che ha il compito di supportare e supervisionare le operazioni di trattamento dei dati personali, implementare le policy interne di protezione del dato personale e implementare le misure tecniche e organizzative adottate dal Titolare.

Il Titolare dovrà coinvolgere il D.P.O. in ogni questione relativa alla protezione dei dati personali e dovrà mettergli a disposizione le risorse necessarie per svolgere le sue funzioni di:

- promozione e sorveglianza della corretta applicazione del G.D.P.R.  e della normativa in materia di protezione dei dati personali;

- punto di contatto fra Titolare e l’Autorità Garante per la protezione dei dati personali;

- interlocutore dell’Interessato per le problematiche relative alla protezione dei suoi dati personali;

- sensibilizzare il personale del Titolare sul rispetto degli obblighi previsti dalla normativa in materia di protezione dei dati personali.

Dato che il Data Protection Officer non svolge solamente una funzione di consulente ma anche di controllo e vigilanza sulle operazioni di trattamento non dovrà essere sottoposto al Titolare ma ricoprire una posizione  indipendente.

Per questo motivo è preferibile che il D.P.O. sia un soggetto esterno all’ organizzazione del  Titolare  invece che un suo dipendente o collaboratore sottoposto a poteri direttivi e di coordinamento derivanti dal rapporto di lavoro.   

torna su

I principi del trattamento dei dati personali

Quando il Titolare tratta i dati personali degli Interessati deve seguire dei principi guida dettati dal Regolamento Europeo 2016/679 (GDPR) per garantire la tutela dei loro diritti, delle loro libertà e della loro dignità.

Liceità del trattamento

I dati personali sono trattati dal Titolare quando sussiste una base giuridica che ne legittimi il trattamento.

Ci sono diversi tipi di basi giuridiche come ad esempio la necessità di stipulare un contratto, un obbligo di legge o il consenso dell’Interessato stesso.

Quando il consenso è previsto dalla normativa vigente come condizione di legittimità del trattamento deve essere esplicito, preventivo e inequivocabile anche nel caso in cui sia espresso attraverso mezzi elettronici ad esempio, selezionando un’apposita casella in un sito web.

L’Interessato potrà esprimere liberamente il proprio consenso solo nel momento in cui viene informato sul perché e sul come il Titolare tratta i dati personali.

Il Titolare  dovrà quindi predisporre specifiche modalità organizzative per informare l’Interessato sulle caratteristiche del trattamento e in particolare su quale sia la sua finalità, con quali modalità verranno trattati i dati, per quanto tempo verranno conservati e a chi verranno comunicati o diffusi. 

Il consenso dovrà essere esplicito ed è esclusa ogni forma di consenso tacito; pertanto il silenzio non equivale al consenso e non è legittima l’acquisizione che prescinda da una libera scelta del soggetto, come nel caso si dia per acquisito il consenso con la sottoscrizione di moduli con opzioni precompilate.

In situazioni di urgenza o di impossibilità nelle quali siano a rischio gli interessi vitali dell’Interessato o quelli di un’altra persona, è frequente che non possa essere espresso un valido consenso; data l’importanza dei diritti e degli interessi in gioco i dati necessari alla gestione della situazione critica saranno trattati anche in assenza del consenso.   

Il consenso è una base giuridica “temporanea” nel senso che potrà, in qualsiasi momento, essere revocato senza comunque rendere illecito il trattamento dei dati svolto dal Titolare fino al momento della revoca.

Se il consenso è l’unica base giuridica legittimante i trattamenti posti in essere dopo la revoca saranno illeciti. 

Minimizzazione dei dati trattati

Il principio di minimizzazione comporta che il Titolare debba perseguire la propria finalità  trattando il minor numero di dati possibile.

Il Titolare tratta i dati personali degli Interessati per realizzare una specifica finalità.
Secondo il principio della limitazione del trattamento possono  essere trattati solo i dati che siano  adeguati e pertinenti alla realizzazione della finalità perseguita dal Titolare. 

L’applicazione del principio di minimizzazione ha come ulteriore conseguenza quella della limitazione della conservazione. 

Una volta che il Titolare ha raggiunto la finalità perseguita, i dati  dell’Interessato non gli saranno più necessari e quindi la loro conservazione sarebbe illegittima.

Vi possono comunque essere esigenze contingenti o addirittura obblighi di legge che impongano la conservazione, nel qual caso il raggiungimento della finalità non fa venir meno la possibilità di conservare i dati personali.  

torna su

I diritti dell’interessato

Un importante diritto dell’Interessato è quello di essere informato dal Titolare con apposite informative chiare, comprensibili e facilmente accessibili.

La corretta e completa informazione è infatti condizione necessaria affinché l’Interessato possa esprimere un valido consenso, controllare che i dati siano utilizzati per la finalità dichiarata dal Titolare nel rispetto del principio di minimizzazione ed essere messo a conoscenza delle modalità di esercizio dei propri diritti.   

Il GDPR prevede inoltre una serie di diritti di cui gode l’interessato che possono essere esercitati, qualora consentito dalla normativa vigente,  attraverso i canali dedicati appositamente predisposti da ogni Titolare:

- Diritto di accesso: è il diritto di sapere se un certo Titolare sta trattando i suoi dati, ottenere l’accesso ricevere una copia degli stessi;

-Diritto alla rettifica: permettere di comunicare al Titolare che i dati personali trattati sono inesatti e quindi ottenerne la correzione;

- Diritto alla cancellazione: è possibile chiedere al Titolare di cancellare i dati oggetto di trattamento  che riguardano il richiedente. La cancellazione deve essere eseguita tempestivamente. In alcuni casi cancellazione è invece esclusa;

-Diritto alla limitazione: è il diritto di impedire al Titolare di effettuare una o più operazioni di trattamento con i dati personali del richiedente può essere esercitato solo a certe condizioni; 

-Diritto alla portabilità: è il diritto di ricevere in formato digitale facilmente leggibile i dati personali forniti ad un Titolare per ottenere un certo servizio in modo da poterli trasferire ad un altro Titolare; questo diritto è esercitabile se il trattamento si basa sul consenso oppure sull’esecuzione di un contratto ma non se, ad esempio, il Titolare è obbligato dalla legge a trattare i dati personali;

-Diritto di opposizione: è il diritto di opporsi ad un trattamento svolto dal Titolare. Questo diritto può essere esercitato qualora il trattamento venga eseguito per perseguire un legittimo interesse del Titolare o un compito di interesse pubblico. Nel momento in cui il diritto viene esercitato il Titolare deve interrompere il trattamento dei dati salvo non sussista un legittimo e motivato interesse o il trattamento sia necessario all’esercizio dei propri diritti di difesa in giudizio.

Ulteriori informazioni sulle modalità di esercizio e eventuali loro limitazioni,  sono disponibili sul sito web dell’Autorità Garante per la protezione dei dati personali.

torna su
ultima modifica: 19 aprile 2019 Commenti / Suggerimenti