Privacy

Trattamento dei dati personali di ogni soggetto - normativa vigente

 

 

RESPONSABILE DELLA PROTEZIONE DEI DATI

L'E.O. Ospedali Galliera ha nominato, con provv. n. 226 del 7/03/2018, Responsabile della protezione dei dati personali l'Avv. Mario Mazzeo; come previsto dall'art. 38 del Regolamento UE 2016/679 in materia di protezione dei dati personali, gli interessati - cioé le persone fisiche alle quali si riferiscono i dati personali - possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal citato regolamento.

 

INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI

(art. 13-14 Regolamento UE 2016/679 in materia di protezione dei dati personali)

 

[ Torna a inizio pagina ]

 

RISERVATO AI FORNITORI

In adempimento a quanto disposto dall’art. 32 del Regolamento 2016/679/UE (GDPR) ed in applicazione delle procedure stabilite dall'Ente, le ditte fornitrici di servizi di manutenzione delle procedure informatiche e delle basi di dati che da tali procedure vengono gestite oppure dei sistemi su cui tali basi di dati risiedono o che con tali basi di dati interagiscono:

  • sono autorizzate a svolgere interventi di manutenzione limitatamente a quanto di loro competenza in relazione agli obblighi derivanti dall'esecuzione del contratto; l'autorizzazione all'accesso è limitata ai soli dati necessari per effettuate le operazioni di manutenzione;
  • si impegnano ad osservare e fare osservare ai propri dipendenti, collaboratori ed eventuali subfornitori autorizzati, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell'espletamento del servizio. In particolare, le ditte si impegnano a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'esecuzione del servizio;
  • si impegnano a rispettare e far rispettare ai propri dipendenti, collaboratori ed eventuali subfornitori autorizzati, la disciplina in materia di protezione dei dati personali di cui al Regolamento 2016/679/UE e al D.Lgs. n.196 del 30/06/2003 come da ultimo modificato dal D.Lgs. 101/2018, nonché quanto disposto dall'Ente in materia di misure di sicurezza nel trattamento dei dati personali;
  • si impegnano a comunicare per iscritto i nominativi delle persone autorizzate a svolgere gli interventi di manutenzione ed a trasmettere tempestivamente eventuali variazioni alla lista di tale personale, affinché si possa provvedere alla configurazione di profili di autenticazione distinti per i diversi operatori ed a mantenere una lista aggiornata degli autorizzati a disposizione delle Autorità laddove la richiedessero.

Gli interventi di manutenzione devono essere condotti nel rispetto delle seguenti modalità operative:

  • nel caso di interventi effettuati in loco l'accesso ai locali per la manutenzione deve essere svolto da personale qualificato, della cui identità la ditta deve dare preventiva comunicazione per iscritto; l'attività di manutenzione va compiuta preferibilmente nelle ore di apertura del servizio e comunque sempre alla presenza del personale tecnico della S.C. Informatica e Telecomunicazioni o del personale all'uopo incaricato della struttura presso cui si trova l'apparato oggetto di manutenzione. L'accesso e la permanenza di personale esterno per attività di manutenzione al di fuori dell'orario di apertura del servizio vengono registrati su apposito giornale;
  • nel caso di interventi effettuati tramite accesso remoto (da postazioni non direttamente connesse alla rete interna dell'Ente) ogni accesso deve essere preventivamente concordato con il personale della S.C. Informatica e Telecomunicazioni che provvederà a fornire informazioni per la connessione alla nostra rete; la ditta comunica per iscritto il nominativo dell'incaricato che effettuerà l'intervento di manutenzione e l'indirizzo IP della macchina che dovrà operare la connessione e si impegna ad adottare misure tali da garantire la sicurezza della trasmissione dei dati;
  • nel caso si presenti l'improrogabile necessità di asportare l'elaboratore o l'apparato oggetto di manutenzione per effettuare l'intervento presso i laboratori tecnici della ditta fornitrice del servizio, vengono concordate caso per caso le modalità di ritiro e riconsegna dell'apparecchiatura, nonché le precauzioni da adottare per garantire l'integrità e la riservatezza delle informazioni memorizzate; la ditta si impegna a fornire ai propri operatori adeguate istruzioni per la custodia dell'apparato al fine di evitare accessi non autorizzati o trattamenti non consentiti;
    la ditta si assume la responsabilità dell'integrità dei dati contenuti nei dispositivi di memoria di massa degli apparati oggetto dell'intervento di manutenzione, provvede a realizzare le copie di riserva di tali dati o fornisce al personale della S.C. Informatica e Telecomunicazioni precise istruzioni operative per ottenerle in sede; qualora provveda direttamente ad effettuare le copie di riserva fornisce ai propri operatori adeguate istruzioni per la custodia dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati o trattamenti non consentiti; i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero le informazioni precedentemente in essi contenute sono rese non intelligibili e tecnicamente in alcun modo ricostruibili.

[ Torna a inizio pagina ]

 

NORMATIVA

Dal 25/05/2018 entra definitivamente in vigore il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati. Dal canto suo, il Governo italiano con il D.Lgs. 101 del 10/08/2018 ha provveduto a modificare il D.Lgs. 196/2003 (c.d. Codice privacy) raccordandolo al Regolamento EU 2016/679 che, comunque, in caso di contrasto con la normativa italiana, prevale su quest’ultima.

Il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003 n. 196), in vigore dal 1/01/2004, componeva in un testo unico tutte le disposizioni relative, anche indirettamente, alla tutela della riservatezza e dei dati personali emanate a partire dalla prima legge in materia, la 675/1996.

Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti dal Codice privacy (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58). All’interessato sono riconosciuti numerosi diritti. Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Le misure di sicurezza messe in atto dal Titolare e/o dal Responsabile devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento (si veda art. 39), essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35. Particolare attenzione viene posta al trasferimento dei dati al di fuori dell’Unione Europea.

[ Torna a inizio pagina ]

Azioni sul documento