2.
Le
sfide
dei
sistemi
di
assistenza
sanitaria
in
Europa
1/2
Ø La
spesa
pubblica
in
ambito
sanitario
nei
27
Sta?
membri
dell’UE
è
passata
da
una
media
del
5,9%
del
PIL
nel
1990
al
7,2%
del
PIL
nel
2010
e
secondo
le
proiezioni
il
dato
potrebbe
crescere
ulteriormente
fino
all’8,5%
del
PIL
nel
2060;
Ø Le
a#uali
s?me
prevedono
che
la
quota
della
popolazione
aPva
subirà
una
forte
contrazione,
passando
dal
61%
al
51%
della
popolazione
complessiva,
mentre
la
percentuale
della
popolazione
anziana
(over
65)
e
molto
anziana
(over
80)
nell’UE
dovrebbe
crescere
rispePvamente
dal
17,4%
del
2010
al
30,0%
nel
2060
e
dal
4,7%
del
2010
al
12,1%
nel
2060.
3.
Le
sfide
dei
sistemi
di
assistenza
sanitaria
in
Europa
2/2
Lo
scenario
epidemiologico,
socioeconomico
e
culturale,
in
cui
oggi
operano
i
sistemi
sanitari,
è
cara#erizzato:
Ø da
un
progressivo
invecchiamento
della
popolazione
e
dalla
conseguente
diffusione
di
patologie
cronico-‐degenera?ve
che
si
cara#erizzano
per
l’elevata
onerosità
di
ges?one,
sia
in
fase
di
ricovero
che
di
assistenza
territoriale;
Ø dall’assunzione
da
parte
dei
ci#adini/uten?
di
un
ruolo
sempre
più
proaPvo
con
conseguen?
richieste
di
maggiore
trasparenza
e
partecipazione
al
percorso
diagnos?co,
terapeu?co
e
riabilita?vo
che
li
riguarda,
al
fine
di
migliorare
il
proprio
benessere
(pa?ent
empowerment).
4.
Agenda
Digitale
Europea:
pillar
n.
7
Prevede
le
seguen?
4
azioni
rivolte
alla
sanità,
rispePvamente
indirizzate
a:
Ø accesso
on-‐line
sicuro
ai
propri
da?
sanitari
e
diffusione
della
telemedicina;
Ø definizione
di
un
Minimum
Data
Set
per
i
da?
del
paziente
(Pa?ent
Summary);
Ø interoperabilità
dei
sistemi
di
eHealth;
Ø supporto
all’Ambient
Assisted
Living
(la
domo?ca
a
supporto
della
disabilità
e
della
fragilità);
5. Commissione
Europea:
Piano
d’Azione
“Sanità
Ele#ronica”
2012-‐2020
Le
opportunità
della
sanità
ele#ronica
in
Europa
L’u?lizzo
di
soluzioni
e
strumen?
di
sanità
ele#ronica,
comprese
le
applicazioni
per
disposi?vi
mobili
(Mobile
Health),
accompagnato
da
adegua?
cambiamen?
di
ordine
organizza?vo
nei
sistemi
sanitari,
può
comportare:
Ø un
miglioramento
della
salute
e
della
qualità
della
vita
dei
ci#adini/uten?,
dovuta
alla
maggiore
efficacia
dei
processi
di
cura
e
di
riabilitazione;
Ø una
maggiore
efficienza
e
produPvità
dei
sistemi
sanitari
e,
conseguentemente,
la
possibilità
di
preservarne
la
sostenibilità
economica;
Ø un’opportunità
di
crescita
del
mercato
delle
tecnologie
informa?che
e
telema?che
dedicate
alla
sanità.
6. Commissione
Europea:
Piano
d’Azione
“Sanità
Ele#ronica”
2012-‐2020
Gli
ostacoli
allo
sviluppo
della
sanità
ele#ronica
in
Europa
Nonostante
queste
opportunità
e
vantaggi,
la
diffusione
su
vasta
scala
dell’eHealth
e,
in
par?colare
dell’mHealth,
è
intralciata
dai
seguen?
ostacoli:
Ø sensibilizzazione
carente
e
scarsa
fiducia
nelle
soluzioni
di
sanità
ele#ronica
da
parte
di
ci#adini/pazien?
e
operatori
sanitari;
Ø mancanza
di
interoperabilità
tra
le
diverse
soluzioni
di
sanità
ele#ronica;
Ø assenza
di
chiarezza
giuridica
sulle
applicazioni
mobili
nel
se#ore
sanitario
e
del
benessere
e
mancanza
di
trasparenza
sull’uso
dei
da?
rileva?
con
tali
applicazioni;
7. Il “Privacy sweet 2014”
Ø Indagine
realizzata
nella
sePmana
tra
il
12
e
il
18
maggio
2014,
promossa
dal
Global
Privacy
Enforcement
Network
(GPEN),
la
rete
internazionale
nata
per
rafforzare
la
cooperazione
tra
28
Autorità
della
privacy
di
diversi
Paesi.
Ø Considerata
la
par?colare
natura
sensibile
dei
da?
personali
u?lizza?,
nonché
il
sempre
crescente
sviluppo
del
se#ore
della
mHealth,
l’Autorità
Garante
del
nostro
paese
ha
scelto
di
effe#uare
l’indagine
nell’ambito
delle
applicazioni
mediche,
accertando
che
circa
il
50%
di
queste
app,
non
fornisce
agli
uten?
un’adeguata
informa?va
prima
del
loro
download
o
raccoglie
da?
personali
ecceden?
e
non
per?nen?
rispe#o
alle
funzionalità
offerte.
8. Sanità
digitale
Ø ePrescrip?on
-‐
rice#a
medica
ele#ronica;
Ø Dematerializzazione
dei
refer?
medici
e
delle
cartelle
cliniche;
Ø Refer?
online;
Ø Fascicolo
sanitario
ele#ronico.
Strategia
per
la
crescita
digitale
2014
-‐
2020
(PCM
3.3.2015)
10. ePrescription - ricetta medica elettronica
Ø DM
2
novembre
2011:
modalità
tecniche
per
la
dematerializzazione
della
rice#a
medica
cartacea
per
le
prescrizioni
a
carico
del
SSN
e
dei
SASN;
Ø Legge
17
dicembre
2012,
n.
221
-‐
art.
13,
comma
1:
ha
stabilito
che
le
Regioni
e
le
Province
Autonome
devono
provvedere
alla
graduale
sos?tuzione
delle
prescrizioni
in
formato
cartaceo
con
equivalen?
in
formato
ele#ronico,
in
percentuali
che
non
dovranno
risultare
inferiori
al
60%
nel
2013,
all'80%
nel
2014
e
al
90%
nel
2015.
11. ePrescription - ricetta medica elettronica
La
sos?tuzione
delle
prescrizioni
mediche
di
farmaceu?ca
e
specialis?ca
in
formato
cartaceo
con
quelle
in
formato
ele#ronico,
è
un
passaggio
obbligato
nell'automazione
dei
processi
di
comunicazione
sia
all'interno
delle
stru#ure
di
ricovero
e
cura,
sia
tra
i
MMG/PLS,
in
quanto
rende
possibile:
Ø il
controllo
dell'appropriatezza
prescriPva
e
della
sicurezza
in
funzione
delle
allergie
del
paziente
e
delle
terapie
in
corso,
con
conseguente
miglioramento
della
qualità
delle
cure
e
della
riduzione
dei
rischi
per
il
paziente
(alimentazione
del
FSE);
Ø un
migliore
monitoraggio
e
controllo
della
spesa
sanitaria;
dal
1°
gennaio
2014,
le
prescrizioni
farmaceu?che
generate
in
formato
ele#ronico
sono
valide
su
tu#o
il
territorio
nazionale
12. Dematerializzazione dei referti medici
Linee
guida
per
la
dematerializzazione
della
documentazione
clinica
in
diagnos?ca
per
immagini
-‐
norma?va
e
prassi:
• parere
favorevole
del
Garante
per
la
protezione
dei
da?
personali
del
26
novembre
2009;
• approvate
in
conferenza
Stato
Regioni
il
4
aprile
2012;
• recepimento
a
cura
delle
singole
Regioni
e
Province
autonome.
13.
Linee
guida
per
la
dematerializzazione
della
documentazione
clinica
in
diagnos?ca
per
immagini
- normativa e prassi:
• con?ene
una
de#agliata
analisi
dei
presuppos?
giuridici
e
norma?vi
a
supporto
del
processo
di
dematerializzazione
della
documentazione
clinica
in
diagnos?ca
per
immagini,
in
termini
di
valenza
giuridico-‐
probatoria
e
medico-‐legale;
• specifica
i
tempi
di
conservazione;
• fornisce
direPve
pra?che
e
di
faPbilità
per
ges?re
i
refer?
(compresi
quelli
stru#ura?)
e
le
immagini
di
diagnos?ca
in
formato
digitale
in
ognuna
delle
seguen?
fasi:
-‐
creazione
del
referto
-‐
so#oscrizione
con
firma
digitale
-‐
consolidamento
(marcatura
temporale)
-‐
conservazione
digitale
a
norma
Dematerializzazione
dei
refer?
medici
14. Dematerializzazione delle cartelle cliniche
Ø Legge 4 aprile 2012, n. 35 - art. 47- bis. (Semplificazione in materia di
sanita' digitale): 1. Nei limiti delle risorse umane, strumentali e
finanziarie disponibili a legislazione vigente, nei piani di sanita' nazionali
e regionali si privilegia la gestione elettronica delle pratiche cliniche,
attraverso l'utilizzo della cartella clinica elettronica, cosi' come i sistemi
di prenotazione elettronica per l'accesso alle strutture da parte dei
cittadini con la finalita' di ottenere vantaggi in termini di accessibilita' e
contenimento dei costi, senza nuovi o maggiori oneri per la finanza
pubblica.
Ø Legge 17 dicembre 2012, n. 35 - art. 13, comma 5: all’art. 47-bis della
legge 35/2012 sono aggiunti i seguenti due commi:
Ø 1-bis. A decorrere dal 1° gennaio 2013, la conservazione delle cartelle
cliniche può essere effettuata, senza nuovi o maggiori oneri a carico
della finanza pubblica, anche solo in forma digitale, nel rispetto di
quanto previsto dal decreto legislativo 7 marzo 2005, n. 82, e dal
decreto legislativo 30 giugno 2003, n. 196..
Ø 1-ter. Le disposizioni si applicano sia alle strutture sanitarie pubbliche,
sia alle strutture sanitarie private accreditate.
15. Ø Provvedimento del Garante privacy del
19.11.2009 “Linee guida in tema di referti on line”;
Ø DPCM 8.8.2013 “Modalità
di
consegna,
da
parte
delle
Aziende
sanitarie,
dei
refer?
medici
tramite
web,
posta
ele#ronica
cer?ficata
e
altre
modalità
digitali,
nonché
di
effe#uazione
del
pagamento
online
delle
prestazioni
erogate;
Referti on line
16. DPCM 8.8.2013
art. 3 - Consegna del referto in modalità digitale
L’azienda sanitaria rende disponibile all’interessato il referto digitale o
copia informatica dello stesso - nonchè, ove possibile, anche il
reperto digitale - mediante una delle seguenti modalità di consegna
digitale:
Ø tramite il Fascicolo Sanitario Elettronico (FSE);
Ø tramite web;
Ø tramite posta elettronica;
Ø tramite posta elettronica certificata anche presso il domicilio
digitale del cittadino;
Ø tramite supporto elettronico.
17. DPCM 8.8.2013
art. 5 - Consenso dell’interessato
L’azienda sanitaria , in qualità di titolare del trattamento dei dati
personali, dopo aver fornito all’interessato un’idonea informativa
contenente anche le caratteristiche delle modalità digitali di
consegna disponibili, deve:
Ø acquisire un autonomo e specifico consenso dell’interessato
a trattare i suoi dati personali;
Ø consentire la revoca in qualunque momento del consenso;
Ø consentire all’interessato, all’atto di richiesta del consenso o
in ogni altro momento di indicare una farmacia presso cui
ritirare il referto ai sensi del decreto del Ministro della salute
8.7.2011;
18. DPCM 8.8.2013
art. 6 - Requisiti di sicurezza per le aziende sanitarie
Per il trattamento dei dati personali nell’ambito delle modalità digitali
di consegna dei referti, l’azienda sanitaria , in qualità di titolare del
trattamento dei dati personali, deve:
Ø adempiere agli obblighi di sicurezza dei dati e dei sistemi previsti
negli artt. 31, 33, e 34 del D. Lgs. 196/03;
Ø garantire il rispetto delle misure di sicurezza previste nel
provvedimento del Garante per la protezione dei dati personali del
19.11.2009 “Linee guida in tema di referti on line”;
Ø ottemperare ai requisiti di sicurezza previsti nel punto 4.
dell’allegato A al DPCM;
19. Ø Deliberazione
del
Garante
per
la
protezione
dei
da?
personali
del
16
luglio
2009
“Linee
guida
in
tema
di
Fascicolo
sanitario
ele#ronico
e
di
dossier
sanitario”;
Ø Documento
del
Ministero
della
Salute
dell’11
novembre
2010
“
Il
Fascicolo
Sanitario
Ele#ronico:
linee
guida
nazionali”
(approvato
in
Conferenza
Stato
–
Regioni
il
10.02.2011);
Ø Legge
17
dicembre
2012,
n.
221
-‐
art.
12
“Fascicolo
sanitario
ele#ronico
e
sistemi
di
sorveglianza
nel
se#ore
sanitario”;
Ø Legge
9
agosto
2013,
n.
98
-‐
art.
17
“Misure
per
favorire
la
realizzazione
del
Fascicolo
sanitario
ele#ronico”;
Ø Schema
DPCM
in
materia
di
FSE;
Fascicolo
Sanitario
Ele#ronico
(FSE)
20. Art.
12
della
legge
221/2012,
come
modificato
dall’art.
17
della
legge
98/2013
Ø comma
1
-‐
Il
fascicolo
sanitario
ele#ronico
(FSE)
è
l’insieme
dei
da?
e
documen?
digitali
di
?po
sanitario
e
socio-‐sanitario
genera?
da
even?
clinici
presen?
e
trascorsi,
riguardan?
l’assis?to;
Ø comma
2
–
Il
FSE
è
is?tuito
dalle
regioni
e
province
autonome,
conformemente
a
quanto
disposto
dai
decre?
di
cui
al
comma
7,
entro
il
30
giugno
2015,
nel
rispe#o
della
norma?va
vigente
in
materia
di
protezione
dei
da?
personali,
a
fini
di:
a)
prevenzione,
diagnosi,
cura
e
riabilitazione;
b) studio
e
ricerca
scien?fica
in
campo
medico,
biomedico
ed
epidemiologico;
c) programmazione
sanitaria,
verifica
delle
qualità
delle
cure
e
valutazione
dell’assistenza
sanitaria.
Il
FSE
deve
consen?re
anche
l’accesso
da
parte
del
ci#adino
ai
servizi
sanitari
on
line
secondo
modalità
determinate
nel
decreto
di
cui
al
comma
7.
21. Art.
12
della
legge
221/2012,
come
modificato
dall’art.
17
della
legge
98/2013
Ø comma 2-bis – Per favorire la qualità, il monitoraggio, l’appropriatezza
nella dispensazione dei medicinali e l’aderenza alla terapia ai fini della
sicurezza del paziente, è istituito il dossier farmaceutico quale parte
specifica del FSE, aggiornato a cura della farmacia che effettua la
dispensazione.
Ø comma 3 – Il FSE è alimentato in maniera continuativa, senza ulteriori
oneri per la finanza pubblica, dai soggetti che prendono in cura
l’assistito nell’ambito del SSN e dei servizi socio-sanitari regionali,
nonché, su richiesta del cittadino, con i dati medici in possesso dello
stesso.
Ø comma 3-bis – Il FSE può essere alimentato esclusivamente sulla base
del consenso libero e informato da parte dell’assistito, il quale può
decidere se e quali dati relativi alla propria salute non devono essere
inseriti nel fascicolo medesimo;
22. Art.
12
della
legge
221/2012,
come
modificato
dall’art.
17
della
legge
98/2013
Ø comma 7 – con uno o più decreti dei Ministri della salute e
dell’innovazione tecnologica verranno stabiliti:
§ i contenuti del FSE e del dossier farmaceutico nonché i limiti di
responsabilità e i compiti dei soggetti che concorrono alla sua
implementazione;
§ i sistemi di codifica dei dati;
§ le garanzie e le misure di sicurezza da adottare nel trattamento
dei dati personali nel rispetto dei diritti dell’assistito;
§ le modalità e i livelli diversificati di accesso al FSE da parte dei
soggetti di cui ai commi 4,5 e 6;
§ la definizione e le relative modalità di attribuzione di un codice
identificativo univoco dell’assistito che non consenta l’identificazione
diretta dell’assistito;
§ i criteri per l’interoperabilità del FSE a livello regionale, nazionale ed
europeo;
24. Provvedimenti prescrittivi dal Garante in materia di dossier sanitario
Ø Dossier
sanitario
e
tra#amento
dei
da?
personali
dei
pazien?
-‐
10
gennaio
2013
(Azienda
Ospedaliero
Universitaria
Ospedali
riuni?
di
Trieste)
Ø Tra#amento
di
da?
tramite
il
dossier
sanitario
aziendale
-‐
3
luglio
2014
(Azienda
Sanitaria
dell’Alto
Adige)
Ø Dossier
sanitario
ele#ronico
e
privacy
dei
pazien?-‐
23
o#obre
2014
(Azienda
Ospedaliero
Universitaria
S.
Orsola
Malpighi
di
Bologna)
Ø Illeicità
nel
tra#amento
di
da?
personali
e
sensibili
presso
una
stru#ura
ospedaliera
-‐
18
dicembre
2014
(Azienda
Policlinico
Umberto
I
di
Roma)
25. Rilievi e relative prescrizioni del Garante
Ø cos?tuire
il
dossier
sanitario
del
paziente
solamente
dopo
aver
acquisito
un
suo
consenso
specifico
e
informato,
dis?nto
da
quello
prestato
per
finalità
di
cura;
Ø consen?re
l’accesso
al
dossier
sanitario
tramite
un
adeguato
sistema
di
autorizzazione;
Ø consen?re
l’accesso
al
dossier
sanitario
al
solo
personale
sanitario
coinvolto
nel
processo
di
cura
del
paziente
e
per
il
tempo
stre#amente
necessario;
Ø consen?re
l’accesso
al
dossier
sanitario
solo
a#raverso
il
nome
e
cognome
del
paziente
e
non
anche
a#raverso
richieste
effe#uate
con
porzioni
di
nome
e
cognome,
date
di
nascita,
o
cap
di
residenza;
Ø garan?re
al
paziente
la
possibilità
di
"oscurare"
nel
proprio
dossier
sanitario
la
visibilità
di
alcuni
even?
clinici
(
es.HIV
–
droga
-‐
alcool
ecc.
);
Ø prevedere
un
sistema
di
log
che
perme#a
un
aPvità
di
controllo
degli
accessi
e
delle
operazioni
effe#uate
(
es.
le#ura
-‐
modifica
ecc.
).
26. Schema
di
DPCM
in
materia
di
FSE
Ø Approvato
in
conferenza
Stato-‐
Regioni
il
13
marzo
2014;
Ø Parere
favorevole
del
Garante
per
la
protezione
dei
da?
personali
del
22
maggio
2014;
È
formato
da
30
ar?coli
e
da
un
disciplinare
tecnico
allegato
27. Schema
di
DPCM
in
materia
di
FSE:
contenu?
(ar#.
3,
4
e
5)
Ø I
contenu?
del
FSE
sono
rappresenta?
da
un
nucleo
minimo
di
da?
e
documen?,
uguale
per
tu#e
le
Regioni,
nonché
da
ulteriori
da?
e
documen?
integra?vi
la
cui
alimentazione
è
funzione
del
rispePvo
livello
di
maturazione
del
processo
di
digitalizzazione
di
ogni
Regione;
Ø Il
nucleo
minimo
è
cos?tuito
dai
seguen?
da?
e
documen?:
Ø
Da?
iden?fica?vi
e
amministra?vi
dell’assis?to;
Ø
Refer?;
Ø
Verbali
pronto
soccorso;
Ø
Le#ere
di
dimissione;
Ø
Profilo
sanitario
sinte?co
reda#o
e
aggiornato
dal
MMG/PLS;
Ø
Dossier
farmaceu?co;
Ø
Consenso
o
diniego
alla
donazione
degli
organi
e
tessu?.
28. Schema
di
DPCM
in
materia
di
FSE
Ø ar?colo
7:
contenu?
obbligatori
dell’informa?va;
Ø ar?colo
8:
consenso
dell’assis?to;
Ø ar?colo
9:
diriP
dell’assis?to
(oscuramento);
Ø ar?colo
10:
accesso
al
FSE
da
parte
dell’assis?to;
Ø ar?coli
da
11
a
21:
Per
ognuna
delle
tre
diverse
finalità
perseguite
–
cura,
ricerca
e
governo
–
vengono
individua?
la
?tolarità
dei
tra#amen?
dei
da?
personali
degli
assis??,
i
da?
ogge#o
del
tra#amento,
la
responsabilità
e
i
compi?
dei
soggeP
che
concorrono
all’alimentazione
del
FSE
(solo
per
finalità
di
cura)
e
i
soggeP
autorizza?
ad
accedere
alle
informazioni
del
FSE;
Ø ar?coli
da
22
a
26:
regole
tecniche,
misure
di
sicurezza
e
sistema
di
conservazione;
29. Proposta di Regolamento Europeo sulla privacy
Ø considerando 5 - la rapidità dell’evoluzione tecnologica e la globalizzazione
comportano anche nuove sfide per la protezione dei dati personali;
Ø considerando 6 - data l’importanza di creare un clima di fiducia che consentirà lo
sviluppo dell’economia digitale, tale evoluzione richiede un quadro giuridico più solido
e coerente in materia di protezione dei dati personali, affiancato da efficaci misure di
attuazione;
Ø considerando 7 - Il divario creatosi nei livelli di protezione dei dati personali previsti nei
singoli Stati dell’Unione, dovuto alla diversa attuazione della Direttiva 95/46/CE,
costituiscono un freno all’esercizio delle attività economiche e possono falsare la
concorrenza;
Ø considerando 11 - è necessario un regolamento che garantisca certezza del diritto e
trasparenza agli operatori economici, offra alle persone in tutti gli Stati membri il
medesimo livello di diritti giuridicamente tutelati, definisca obblighi e responsabilità e
assicuri sanzioni equivalenti in tutti gli Stati membri.
30. Alcune novità contenute nella proposta di Regolamento Europeo sulla privacy
Ø Accountability (art. 22)
Ø Privacy by Design & by Default (art. 23)
Ø Data Breach Notification (artt. 31 e 32)
Ø Privacy Impact Analisys (art. 33)
Ø Data Protection Officer (artt. 35, 36 e 37)
31. Accountability (art. 22)
Ø Il responsabile del trattamento adotta politiche e attua misure adeguate per
garantire ed essere in grado di dimostrare che il trattamento dei dati personali
effettuato è conforme al presente regolamento. Tali misure comprendono, in
particolare:
ü la conservazione della documentazione, prevista dall’art. 28, relativa a tutti i
trattamenti effettuati;
ü l’adozione delle misure di sicurezza previste dall’art. 30
ü l’esecuzione della valutazione d’impatto sulla protezione dei dati, prevista
dall’art. 33;
ü la designazione del responsabile della protezione dei dati (DPO) prevista
dall’art. 35;
Ø Il responsabile del trattamento mette in atto meccanismi per assicurare la
verifica dell’efficacia delle predette misure.
passaggio
da
un
approccio
“formalmente
regolare”
ad
uno
“effePvamente
conforme”
32. Privacy by Design & by Default (art. 23)
Ø Le infrastrutture IT, i processi aziendali e gli applicativi di supporto,
dovranno essere progettati, tenuto conto dell’evoluzione tecnica e dei
costi di attuazione, in modo tale che il trattamento avvenga in conformità
al regolamento e sia garantita la tutela dei diritti dell’interessato.
Ø Si dovrà, inoltre, mettere in atto meccanismi per garantire che siano
trattati, di default, solo i dati personali necessari per ciascuna finalità
specifica del trattamento e che, in particolare, la quantità dei dati raccolti
e la durata della loro conservazione non vadano oltre il minimo
necessario per le finalità perseguite. In particolare detti meccanismi
garantiscono che, di default, non siano resi accessibili dati personali a
un numero indefinito di persone.
33. Data Breach Notification (art. 31)
In caso di violazione dei dati personali, il responsabile del trattamento deve
inviare - ove possibile entro 24 ore - una notifica all’autorità di controllo,
contenente almeno:
ü le categorie e il numero sia degli interessati coinvolti che dei dati
oggetto della violazione;
ü l’identità e le coordinate di contatto del DPO o di altro soggetto da cui
ottenere ulteriori informazioni;
ü le misure raccomandate per attenuare i possibili effetti
pregiudizievoli;
ü la descrizione delle conseguenze della violazione;
ü le misure adottate per porre rimedio alla violazione;
34. Data Breach Notification (art. 32)
Quando la violazione dei dati personali, può provocare un
pregiudizio alla vita privata dell’interessato, il responsabile
del trattamento deve anche comunicare allo stesso, senza
ingiustificato ritardo, quanto accaduto, precisando quali suoi
dati personali sono stati violati e le misure raccomandate per
attenuare i possibili effetti pregiudizievoli.
35. Privacy Impact Analisys (art. 33)
Ø Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità,
presenta rischi specifici per i diritti e le libertà degli interessati, il
responsabile del trattamento o l’incaricato del trattamento, effettua una
valutazione dell’impatto del trattamento previsto sulla protezione dei dati
personali.
Ø Presenta rischi specifici, tra gli altri, il trattamento di informazioni
concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica,
oppure destinate alla prestazione di servizi sanitari o a ricerche
epidemiologiche;
Ø La valutazione d’impatto deve contenere almeno:
ü una descrizione sistematica del trattamento previsto;
ü una valutazione dei rischi per i diritti e le libertà degli interessati;
ü le misure previste per affrontare i rischi, le garanzie, le misure di
sicurezza e i meccanismi per garantire la protezione dei dati e
dimostrare la conformità al presente regolamento;
36. Designazione del Data Protection Officer (art. 35)
Il responsabile del trattamento e l’incaricato del trattamento
designano sistematicamente un responsabile della
protezione dei dati quando:
a) il trattamento è effettuato da un’autorità pubblica o da un
organismo pubblico, oppure
b) il trattamento è effettuato da una persona giuridica e
riguarda più di 5000 interessati per un periodo di 12 mesi
consecutivi, oppure
c) le attività principali del responsabile del trattamento o
dell’incaricato del trattamento consistono in trattamenti
che, per la loro natura, il loro oggetto o le loro finalità,
richiedono il controllo regolare e sistematico degli
interessati.
37. Posizione del Data Protection Officer (art. 36)
Il Responsabile del trattamento deve:
Ø garantire il coinvolgimento del DPO in tutte le questioni
riguardanti la protezione dei dati personali;
Ø assicurare l’indipendenza del DPO nell’esercizio del sue
funzioni e dei suoi compiti. In tal senso il DPO dovrà
rispondere direttamente al “Management”;
Ø supportare il DPO fornendogli personale, locali,
attrezzature e ogni altra risorsa necessaria per
adempiere alle sue funzioni e compiti;
38. Compiti del Data Protection Officer (art. 37)
Oltre che informare e consigliare il responsabile o l’incaricato del
trattamento in merito agli obblighi derivanti dal regolamento, nonché
conservare la documentazione relativa a tale attività e alle risposte
ricevute, al DPO devono essere conferiti almeno i seguenti compiti:
Ø sorvegliare sull’attuazione delle policy aziendali in materia di
protezione dei dati personali, con particolare riferimento
all’attribuzione di responsabilità, alla formazione del personale che
partecipa ai trattamenti ed allo svolgimento dei processi di audit;
Ø sorvegliare sull’attuazione degli obblighi stabiliti dal regolamento, con
particolare riferimento alla privacy by design & by default, alla
sicurezza dei dati, all’informazione degli interessati e alle richieste di
esercizio dei loro diritti;
39. Compiti del Data Protection Officer (art. 37)
Ø garantire la conservazione della documentazione relativa ai
trattamenti effettuati;
Ø controllare che le violazioni dei dati personali vengano correttamente
documentate, notificate all’Autorità di controllo e comunicate agli
interessati;
Ø controllare che venga effettuata, nei casi previsti dal regolamento, la
valutazione d’impatto sulla protezione dei dati e svolta la
consultazione preventiva nei casi;
Ø controllare che venga fornito riscontro alle richieste avanzate
dall’Autorità di controllo, fungendo anche da punto di contatto con
quest’ultima per ogni questione inerente al trattamento dei dati;
Ø informare i rappresentanti del personale (es. rappresentanti
sindacali) sui trattamenti che riguardano i dipendenti.