Privacy

Trattamento dei dati personali di ogni soggetto - normativa vigente

 

 

RESPONSABILE DELLA PROTEZIONE DEI DATI

L'E.O. Ospedali Galliera ha nominato, con provv. n. 226 del 7/03/2018, Responsabile della protezione dei dati personali l'Avv. Mario Mazzeo; come previsto dall'art. 38 del Regolamento UE 2016/679 in materia di protezione dei dati personali, gli interessati - cioé le persone fisiche alle quali si riferiscono i dati personali - possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal citato regolamento.

 

INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI

(art. 13-14 Regolamento UE 2016/679 in materia di protezione dei dati personali)

 

[ Torna a inizio pagina ]

 

RISERVATO AI FORNITORI

In adempimento a quanto disposto dagli articoli 33 e 34 del d.lgs. n.196 del 30/06/2003 ed in applicazione delle procedure stabilite dall'Ente nel Documento Programmatico sulla Sicurezza, redatto in ottemperanza all'art. 34 comma 1 lettera g) e al Disciplinare tecnico in materia di misure minime di sicurezza del decreto già citato, le ditte fornitrici di servizi di manutenzione delle procedure informatiche e delle basi di dati che da tali procedure vengono gestite oppure dei sistemi su cui tali basi di dati risiedono o che con tali basi di dati interagiscono:

  • sono autorizzate a svolgere interventi di manutenzione limitatamente a quanto di loro competenza in relazione agli obblighi derivanti dall'esecuzione del contratto; l'autorizzazione all'accesso è limitata ai soli dati necessari per effettuate le operazioni di manutenzione;
  • si impegnano ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell'espletamento del servizio. In particolare, le ditte si impegnano a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'esecuzione del servizio;
  • si impegnano a rispettare e far rispettare ai propri dipendenti, collaboratori e incaricati la disciplina in materia di protezione dei dati personali di cui al d.lgs. n.196 del 30/06/2003, nonché quanto disposto dall'Ente in materia di misure di sicurezza nel trattamento dei dati personali ed in particolare le modalità operative definite dall'Ente nel già citato Documento Programmatico sulla Sicurezza e richiamate qui di seguito;
  • si impegnano a comunicare per iscritto i nominativi delle persone incaricate di svolgere gli interventi di manutenzione ed a trasmettere tempestivamente eventuali variazioni alla lista di tale personale, affinché si possa provvedere alla configurazione di profili di autenticazione distinti per i diversi operatori ed a mantenere una lista aggiornata degli incaricati, come previsto dal già citato Disciplinare tecnico in materia di misure minime di sicurezza.

Gli interventi di manutenzione devono essere condotti nel rispetto delle seguenti modalità operative:

  • nel caso di interventi effettuati in loco l'accesso ai locali per la manutenzione deve essere svolto da personale qualificato, della cui identità la ditta deve dare preventiva comunicazione per iscritto; l'attività di manutenzione va compiuta preferibilmente nelle ore di apertura del servizio e comunque sempre alla presenza del personale tecnico della S.C. Informatica e Telecomunicazioni o del personale all'uopo incaricato della struttura presso cui si trova l'apparato oggetto di manutenzione. L'accesso e la permanenza di personale esterno per attività di manutenzione al di fuori dell'orario di apertura del servizio vengono registrati su apposito giornale;
  • nel caso di interventi effettuati tramite accesso remoto (da postazioni non direttamente connesse alla rete interna dell'Ente) ogni accesso deve essere preventivamente concordato con il personale della S.C. Informatica e Telecomunicazioni che provvederà a fornire informazioni per la connessione alla nostra rete; la ditta comunica per iscritto il nominativo dell'incaricato che effettuerà l'intervento di manutenzione e l'indirizzo IP della macchina che dovrà operare la connessione e si impegna ad adottare misure tali da garantire la sicurezza della trasmissione dei dati;
  • nel caso si presenti l'improrogabile necessità di asportare l'elaboratore o l'apparato oggetto di manutenzione per effettuare l'intervento presso i laboratori tecnici della ditta fornitrice del servizio, vengono concordate caso per caso le modalità di ritiro e riconsegna dell'apparecchiatura, nonché le precauzioni da adottare per garantire l'integrità e la riservatezza delle informazioni memorizzate; la ditta si impegna a fornire ai propri operatori adeguate istruzioni per la custodia dell'apparato al fine di evitare accessi non autorizzati o trattamenti non consentiti;
    la ditta si assume la responsabilità dell'integrità dei dati contenuti nei dispositivi di memoria di massa degli apparati oggetto dell'intervento di manutenzione, provvede a realizzare le copie di riserva di tali dati o fornisce al personale della S.C. Informatica e Telecomunicazioni precise istruzioni operative per ottenerle in sede; qualora provveda direttamente ad effettuare le copie di riserva fornisce ai propri operatori adeguate istruzioni per la custodia dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati o trattamenti non consentiti; i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero le informazioni precedentemente in essi contenute sono rese non intelligibili e tecnicamente in alcun modo ricostruibili.

[ Torna a inizio pagina ]

 

NORMATIVA

Dal 25/05/2018 entra definitivamente in vigore il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonchè alla libera circolazione di tali dati. Il governo italiano ha ricevuto, nel dicembre 2017, una delega dal parlamento per emanare un decreto legislativo di raccordo tra il Regolamento EU 2016/6791 e la normativa italiana. Il termine per emanare tale decreto è slittato dal 21 maggio al 22 agosto di quest’anno; in attesa di tale norma va comunque applicato il citato Regolamento europeo, che in caso di contrasto con la normativa italiana prevale comunque su quest’ultima.

Il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003 n. 196), in vigore dal 1/01/2004, compone in un testo unico tutte le disposizioni relative, anche indirettamente, alla data privacy emanate a partire dalla legge 675/1996.

Il Codice è diviso in tre parti:
· la prima è dedicata alla disposizioni generali
· la seconda riguarda i trattamenti di dati in settori specifici
· la terza affronta la materia della tutela dell'interessato, dell'organizzazione dell'ufficio del Garante per la protezione dei dati personali e delle sanzioni amministrative e penali

Per quanto riguarda i principi generali viene affermato il "diritto alla protezione dei dati personali" quale diritto fondamentale della persona e viene introdotto il "principio di necessità" in base al quale i sistemi informativi devono essere configurati in modo da assicurare che i dati personali e identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite.

Circa la notificazione al Garante viene ribaltata la precedente impostazione: mentre con la legge 675 doveva essere notificato ogni trattamento, con l'eccezione dei soggetti esplicitamente esentati, con la nuova normativa la notificazione dovrà essere effettuata solo nei particolari casi di trattamento di dati sensibili esplicitamente indicati nel decreto.

In ambito sanitario si semplifica l'informativa da rilasciare agli interessati e si consente di manifestare il necessario consenso al trattamento dei dati con un'unica dichiarazione resa al medico di famiglia o all'organismo sanitario (il consenso vale anche per la pluralità di trattamenti a fini di salute erogati da distinti reparti e unità dello stesso organismo, nonché da più strutture ospedaliere e territoriali).
Per il settore sanitario vengono inoltre codificate misure per il rispetto dei diritti del paziente: distanze di cortesia, modalità per appelli in sale di attesa, certezze e cautele nelle informazioni telefoniche e nelle informazioni sui ricoverati, estensione delle esigenze di riservatezza anche agli operatori sanitari non tenuti al segreto professionale.
Vengono introdotte (a partire dal 1 gennaio 2005) le cosiddette ricette impersonali, la possibilità cioè di non rendere sempre e in ogni caso immediatamente identificabili in farmacia gli intestatari di ricette attraverso un tagliando predisposto su carta copiativa che, oscurando il nome e l'indirizzo dell'assistito, consente comunque la visione di tali dati da parte del farmacista nei casi in cui sia necessario.
Per i dati genetici viene previsto il rilascio di un'apposita autorizzazione da parte del Garante, sentito il Ministro della salute.
Per quanto riguarda le cartelle cliniche sono previste particolari misure per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati (comprese le informazioni relative ai nascituri), ma anche specifiche cautele per il rilascio delle cartelle cliniche a persone diverse dall'interessato.

Vengono rafforzate le misure di sicurezza contro i rischi di distruzione, intrusione o uso improprio di dati personali: alle precauzioni già previste nella normativa precedente (password, codici identificativi, antivirus etc.) se ne aggiungono altre, che devono essere adottate entro il 30 giugno 2004 (es. lunghezza minima e vita operativa massima delle password, sistemi di cifratura, procedure per il ripristino dei dati).
Nel quadro dei più generali obblighi di sicurezza occorre prevedere misure volte ad assicurare un livello minimo di protezione dei dati personali; l'adozione delle misure minime di sicurezza, dettagliate in un disciplinare tecnico allegato al decreto che verrà periodicamente aggiornato, è condizione necessaria perché i trattamenti dati siano consentiti e l'omessa adozione delle misure minime è un illecito penale, ai sensi dell'art.169 del decreto, che prevede anche un inasprimento delle sanzioni.

[ Torna a inizio pagina ]

Azioni sul documento