Responsabile della Protezione dei Dati dell'ASP di Catanzaro

In ottemperanza a quanto disposto dall'Art. 37 del Regolamento Generale UE 2016/679  sulla protezione dei dati, l'ASP di Catanzaro con atto deliberativo n. 451 del 22-05-2018  ha nominato il responsabile della Protezione di dati Personali (RDP).

  • atto conferimento incarico: delibera DG n. 451 DEL 22/05/2018
  • nomina: Responsabile della Protezione dei Dati dell'ASP di Catanzaro

Compiti del RPD

Sorvegliare l'osservanza del RGPD
L'art. 39, paragrafo 1, lettera b), affida al RPD, fra gli altri, il compito di sorvegliare l'osservanza del RGPD. Nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere "assistito [dal RPD] nel controllo del rispetto a livello interno del presente regolamento".
Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,
  • la raccolta di informazioni per individuare i trattamenti svolti;
  • l'analisi e la verifica dei trattamenti in termini di loro conformità,
  • l'attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.
Il controllo del rispetto del regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza. Il RGPD chiarisce che spetta al titolare, e non al RPD, "mette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento" (art. 24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d'impresa del titolare del trattamento, non del RPD.


Il ruolo del RPD nella valutazione di impatto sulla protezione dei dati
In base all'art. 35, paragrafo 1, spetta al titolare del trattamento, e non al RPD, condurre, ove necessario, una valutazione di impatto sulla protezione dei dati (DPIA, nell'acronimo inglese). Tuttavia, il RPD svolge un ruolo fondamentale e di grande utilità assistendo il titolare nello svolgimento di tale DPIA. In ossequio al principio di "protezione dei dati fin dalla fase di progettazione" (o data protection by design), l'art. 35, secondo paragrafo, prevede in modo specifico che il titolare "si consulta" con il RPD quando svolge una DPIA. A sua volta, l'art. 39, primo paragrafo, lettera c) affida al RPD il compito di "fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35".


Il WP29 raccomanda che il titolare si consulti con il RPD, fra l'altro, sulle seguenti tematiche:35
  • se condurre o meno una DPIA;
  • quale metodologia adottare nel condurre una DPIA;
  • se condurre la DPIA con le risorse interne ovvero esternalizzandola;
  • quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
  • se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD.
Qualora il titolare non concordi con le indicazioni fornite dal RPD, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.
Inoltre, il WP29 raccomanda che il titolare definisca con chiarezza, per esempio nel contratto stipulato con il RPD, ma anche fornendo informative ai dipendenti, agli amministratori e, ove pertinente, ad altri aventi causa, i compiti specificamente affidati al RPD e i rispettivi ambiti, con particolare riguardo alla conduzione della DPIA.


Cooperazione con l'autorità di controllo e funzione di punto di contatto
In base all'art. 39, paragrafo 1, lettere d) ed e), il RPD deve "cooperare con l'autorità di controllo" e "fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione".
Questi compiti attengono al ruolo di "facilitatore" attribuito al RPD e già menzionato nell'introduzione alle presenti Linee-guida. Il RPD funge da punto di contatto per facilitare l'accesso, da parte dell'autorità di controllo, ai documenti e alle informazioni necessarie per l'adempimento dei compiti attribuitile dall'art. 57 nonché ai fini dell'esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all'art. 58. Si è già rilevato che il RPD è tenuto al rispetto delle norme in materia di segreto o riservatezza, in conformità del diritto dell'Unione o degli Stati membri (art. 38, paragrafo 5); tuttavia, tali vincoli di segreto/riservatezza non precludono la possibilità per il RPD di contattare e chiedere lumi all'autorità di controllo. L'art. 39, paragrafo 1, prevede che il RPD possa consultare l'autorità di controllo con riguardo a qualsiasi altra questione, se del caso.


Approccio basato sul rischio
In base all'art. 39, secondo paragrafo, il RPD deve "considera[re] debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo".
Si tratta di una disposizione di portata generale e ispirata a criteri di buon senso, verosimilmente applicabile sotto molti riguardi all'attività quotidiana del RPD. In sostanza, si chiede al RPD di definire un ordine di priorità nell'attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati. Seppure ciò non significhi che il RPD debba trascurare di sorvegliare il grado di conformità di altri trattamenti associati a un livello di rischio comparativamente inferiore, di fatto la disposizione segnala l'opportunità di dedicare attenzione prioritaria agli ambiti che presentino rischi più elevati.
Attraverso questo approccio selettivo e pragmatico, il RPD dovrebbe essere più facilmente in grado di consigliare al titolare quale metodologia seguire nel condurre una DPIA, a quali settori riservare un audit interno o esterno in tema di protezione dei dati, quali attività di formazione interna prevedere per il personale o gli amministratori che trattino dati personali, e a quali trattamenti dedicare maggiori risorse e tempo.


Il ruolo del RPD nella tenuta del registro delle attività di trattamento
L'art. 30, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del trattamento, e non il RPD, a "ten[ere] un registro delle attività di trattamento svolte sotto la propria responsabilità" ovvero "un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento".
Nella realtà, sono spesso i RPD a realizzare l'inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell'Ue.
L'art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al RPD. Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.
In ogni caso, il registro la cui tenuta è obbligatoria ai sensi dell'art. 30 deve essere considerato anche uno strumento che consente al titolare e all'autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, esso costituisce un presupposto indispensabile ai fini dell'osservanza delle norme e, pertanto, un'efficace misura di responsabilizzazione.



________________________________
Contenuti forniti dal Dott. Giuseppe Giuliano Direttore Amministrativo
Pubblicato: 25/05/2018
Ultimo aggiornamento: 25/05/2018
Pubblicazione e aggiornamento eseguito dal Dott. Pasquale Maria Natrella, Direttore sito web aziendale Asp Catanzaro.






ARCHIVIO
_______________________________________________________
Organizzazione sulla privacy prima della nomina del responsabile della Protezione di dati Personali (RDP)

Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali

Privacy: le domande più frequenti



MODULISTICA AZIENDALE PRIVACY
ELENCO ALLEGATI E VADEMECUM D'UTILIZZO


ALLEGATO 1 – INFORMATIVA 
Con la presente informativa si vuole mettere a conoscenza gli interessati e, in ogni caso, chiunque entri all'interno della struttura, circa le modalità attraverso le quali i propri dati vengono trattati e la relativa normativa di riferimento (codice privacy 196/2003). La suddetta informativa , stampata in formato 40-60 o 50-70, dovrà essere affissa negli spazi condivisi della struttura per essere visibile a tutti.

ALLEGATO 2 – CONSENSO INFORMATO 
La formula di consenso serve a dare certezza ai Responsabili e agli Incaricati al trattamento, circa la libera  e consapevole volontà dell'interessato a dare inizio ad ogni forma di prestazione. La suddetta formula dovrà essere firmata dall'interessato dopo aver preso chiara visione dell'informativa privacy. Il Modello va compilato in ogni sua parte ad opera del medico che raccoglie il dato anamnestico dell'ammalato o da un esercente le attività sanitarie (capo sala, dirigente infermieristico, infermiere etc….) che potrà esperire detta attività di raccolta dati solo dietro incarico/delega del Direttore della Struttura (Primario).
Il modello di consenso, così compilato, va conservato nella cartella clinica dell'interessato e ne farà parte integrante e sostanziale.


ALLEGATO 3 – INFORMATIVA CURRICULA 
L'informativa curricula risponde ad un obbligo di legge a cui le strutture pubbliche sono tenute ad attenersi per rendere attuabili i principi di pubblicità e trasparenza cui si ispira la pubblica amministrazione. Per suddetto motivo, le aziende pubblicano sul sito istituzionale dell'ente i curricula dei dirigenti di Struttura complessa, anche per comprovare l'effettivo possesso dei titoli richiesti per gli incarichi ricoperti. Il trattamento avverrà, in ogni caso, rispettando i principi di pertinenza, non eccedenza e per l'arco temporale necessario alle finalità della raccolta dei dati. Per i soggetti interessati sono, altresì, conferiti tutti i diritti in loro possesso così come previsto dall'art.7 del D.Lgs 196/2003. Suddetta informativa va inviata ai Responsabili dell'Ufficio del Personale che provvederanno ad inoltrarla ai dirigenti di Struttura Complessa.

ALLEGATO 4 – INFORMATIVA DIPENDENTI 
Suddetta informativa esplicita i diritti che sono conferiti ai dipendenti della Struttura per la quale si presta servizio. Spetta ai Responsabili degli Uffici del Personale affiggere tale informativa e pubblicizzarla ai propri sottoposti, restando a disposizione per ogni eventuale chiarimento. Tra i diritti dei dipendenti, in quanto incaricati ed interessati, rientrano tutti quelli previsti rispettivamente dagli art. 30 e 7 del Codice Privacy.

ALLEGATO 6 – ISTANZA INTERESSATI 
Il seguente documento,  predisposto dalla Struttura Titolare del Trattamento, rappresenta uno strumento attraverso il quale l'interessato chiede, ai sensi dell'art.7 del C.P. , non solo di venire a conoscenza della presenza dei propri dati all'interno della Struttura, delle finalità, delle modalità del trattamento e del nominativo del Responsabile, ma anche di poter opporsi al trattamento qualora reputi sia effettuato in violazione di legge. Tale documento, generalmente presente agli sportelli di Front office  (centri di ascolto Urp, Ufficio Informazioni, etc…) va consegnato, ove richiesto, agli interessati.

ALLEGATO 7 – INFORMATIVA VIDEOSORVEGLIANZA 1
Con la presente informativa gli interessati al trattamento potranno venire a conoscenza delle modalità attraverso le quali i propri dati, ripresi dal sistema di Videosorveglianza,  vengono trattati all'interno della struttura e la relativa normativa di riferimento.  In particolare, si utilizzerà questo primo tipo di informativa qualora il sistema di videosorveglianza sia direttamente collegato alle Forze di Polizia. La presente informativa deve essere stampata e collocata nelle immediate vicinanze di ogni telecamera.

ALLEGATO 8 – INFORMATIVA VIDEOSORVEGLIANZA 2
Con la presente informativa gli interessati al trattamento potranno venire a conoscenza delle modalità attraverso le quali i propri dati, ripresi dal sistema di Videosorveglianza,  vengono trattati all'interno della struttura e la relativa normativa di riferimento. La presente informativa deve essere stampata e collocata nelle immediate vicinanze di ogni telecamera.

ALLEGATO 9 – NOMINA INCARICATO 
La nomina degli Incaricati del trattamento dei dati rappresenta un atto attraverso il quale i Responsabili del trattamento nominano i soggetti che materialmente si occupano del trattamento dei dati, all'interno della stessa Struttura, e in relazione a specifici compiti che gli sono propri. Essa va consegnata dai Responsabili agli Incaricati ad essi sottoposti, dopo aver impartito agli stessi le opportune istruzioni cui attenersi.

ALLEGATO 10 – ISTRUZIONI INCARICATI 
Il presente documento rappresenta non solo  un mansionario nel quale sono impartite specifiche istruzioni agli incaricati del trattamento e, per tanto, esso deve essere consegnato agli incaricati che provvederanno a prenderne visione e a seguire i compiti di seguito elencati,  ma è da ritenersi un vero e proprio momento formativo.  Generalmente, è previsto un momento dialogativo da parte dei Responsabili del Trattamento i quali espliciteranno, in tale sede, le mansioni che gli Incaricati stessi dovranno svolgere ed in particolare i diritti e i doveri loro spettanti.

ALLEGATO 11 – COMPITI RESPONSABILI
Il presente documento rappresenta un mansionario nel quale sono specificati tutti i compiti assegnati ai responsabili del trattamento e, per tanto, esso deve essere consegnato ai responsabili dal referente Privacy, ed essi provvederanno a prenderne visione e a rispettarne i compiti.

ALLEGATO 12 – NOMINA RESPONSABILE ESTERNO 
La Nomina dei Responsabili esterni del trattamento dei dati rappresenta un atto  attraverso il quale la struttura titolare del trattamento  nomina soggetti "terzi" che,  effettuano attività di trattamento in relazione a compiti specifici che gli sono propri,  offrendo una qualsivoglia prestazione (convenzionale o contrattuale).
L'ultimo capoverso dell'atto di nomina impone agli stessi di certificare entro un termine prescritto il proprio percorso adeguamento privacy. In carenza di tale certificazione si consiglia di revocare il contratto di consulenza perché detti soggetti potrebbero diventare fonte di rischio per il trattamento dei dati personali.
Tale documento viene consegnato dal Titolare al Responsabile esterno (e da esso siglato, per accettazione), al momento della sottoscrizione del contratto.

ALLEGATO 13 – NOMINA ADS 
Il presente documento rappresenta   un contratto che la struttura Titolare del Trattamento stipula con un soggetto interno o esterno (nominato Amministratore di Sistema) per attività connesse all'assistenza informatica. L'Amministratore di Sistema riceverà dal Titolare del Trattamento l'atto di nomina e si conformerà alle funzioni specificate nella stessa.

ALLEGATO 14 – ISTANZA INTERESSATI – VIDEOSORVEGLIANZA
Il seguente documento,  predisposto dalla Struttura Titolare del Trattamento, rappresenta uno strumento attraverso il quale l'interessato chiede, ai sensi dell'art.7 del C.P. , non solo di venire a conoscenza della presenza dei propri dati all'interno della Struttura trattati con sistemi di Videosorveglianza, delle finalità, delle modalità del trattamento e del nominativo del Responsabile, ma anche di poter opporsi al trattamento qualora reputi sia effettuato in violazione di legge. Tale documento, generalmente presente agli sportelli di Front office  va consegnato, ove richiesto, agli interessati.

ALLEGATO 15 – NOMINA RESPONSABILI 
La nomina dei Responsabili rappresenta un atto attraverso il quale la struttura Titolare del trattamento nomina i soggetti che, all'interno della stessa, effettuano attività di trattamento in relazione a specifici compiti che gli sono propri. Il Titolare del Trattamento individuerà formalmente i Direttori di Struttura Complessa quali Responsabili del Trattamento; ad essi verranno consegnati la nomina (che verrà opportunamente firmata) e i relativi compiti cui attenersi.

Le Direzioni

Il Territorio

Servizi

Comunicazioni

ASP Catanzaro

» FAQ
» Numeri Utili
» Link utili

 

Area Riservata

» Accedi

Note Legali

Direttore Responsabile
Sito web aziendale
Dott. Pasquale Natrella

Registrato presso il Tribunale Ordinario di Catanzaro
al Num. R.G. 529/2011 del 19/06/2011

Contatti

Via Vinicio Cortese 25 - 88100 CZ
P.IVA e Cod. Fisc.: 02865540799

Ufficio Direzione Generale:
direzionegenerale@pec.asp.cz.it


Direttore responsabile Sito Web pasquale.natrella@asp.cz.it