Privacy

Documento Programmatico Sicurezza dei dati - DPS -

Per garantire il pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali, ivi compreso il profilo relativo alla sicurezza.

Responsabile Protezione Dati
Dott. Giuseppe Cozza D' Onofrio nominato con delibera n° 649 del 14 giugno 2019
dpo@asp.cz.it
giuseppecozza64@gmail.com
 

Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali Testo consolidato vigente
Privacy: le domande più frequenti

sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del GDPR (UE 2016/679) e dell’art. 13 del D. Lgs. 196/03
Il GDPR (Regolamento generale per la protezione dei dati) ed il D. Lgs. 196/03 (Codice inmateria di protezione dei dati personali) prevede che le persone fisiche siano tutelatedurante il trattamento dei propri dati personali. Tale trattamento, pertanto, sarà improntato ai principi di correttezza e di liceità, nonché alla tutela della riservatezza dei dati trattati.
Il Titolare del Trattamento dei Dati dell’Asp di Catanzaro è il Direttore Generale protempore.
Responsabile per la Protezione dei Dati è il DPO Aziendale – Via Vinicio Cortese, 25 – 88100 Catanzaro.
I dati oggetto del trattamento sono i “dati identificativi” (nome, cognome, indirizzo, telefono, e-mail, ecc.) ed i dati particolari di cui all’’art. 9 del GDPR (quali per esempio la salute, etnia, religione, ecc.) dell’utente che usufruirà dei servizi forniti dall’ASP. Saranno trattati per le finalità istituzionali volte alla prevenzione, diagnosi, cura, riabilitazione ed integrazione scolastica e sociale anche in collaborazione in rete con tutti gli operatori che hanno in carico l’interessato, nonché quelle tecniche ed amministrative ad esse connesse.
Il trattamento dei dati sarà effettuato con strumenti elettronici e cartacei ed il tempo di conservazione, inclusi in cartelle e/o fascicoli sanitari, è illimitato.
In ottemperanza all’art. 7 del D. Lgs. 196/03 e per effetto degli del degli artt. 16, 17, 18 e 21 del GDPR (UE 2016/679), l’interessato in ogni momento può esercitare i seguenti diritti:
1) ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano;
2) ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità di trattamento;
c) degli estremi identificativi del Titolare e dei responsabili;
d) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza.
3) ottenere l’aggiornamento, la rettifica, l’integrazione, la cancellazione;
4) opporsi al trattamento, in tutto o in parte, per legittimi motivi.
L’interessato può esercitare i propri diritti inviando una Racc. A/R all’indirizzo del Responsabile della Protezione dei Dati Aziendali, sopra indicato.

Memorandium protezione dati personali - Mansionario Comportamentale- Privacy

Principali adempimenti per il trattamento di dati personali con strumenti diversi da quelli elettronici o comunque automatizzati.

Individuazione delle persone autorizzate al trattamento dei dati personali e che afferiscono a vario titolo alla U.O., predisponendone un elenco.
Definizione, per singolo operatore, degli ambiti del trattamento consentito.
Provvedere con cadenza almeno annuale o quando occorra all'aggiornamento della lista e delle conseguenti autorizzazioni.
Assicurarsi che gli atti e i documenti contenenti dati personali indicati all’art. 9 del Regolamento della Privacy - (GDPR UE 2016/679) (intesi come sensibili o giudiziari), da custodirsi secondo le norme vigenti, siano controllati e gestiti solo dalle persone autorizzate al trattamento curando che non vi abbiano accesso persone prive di autorizzazione.
Controllo delle modalità di accesso agli archivi contenenti dati di cui all’art. 9 del Regolamento della Privacy: gli operatori autorizzati al trattamento di dati personali che dovessero accedere agli archivi per ragioni di servizio dovranno detenere la documentazione comprovante l'autorizzazione all'accesso e al trattamento. E' obbligatoria la registrazione di coloro accedono agli archivi dopo l'orario di chiusura. Qualora gli archivi non fossero dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, gli incaricati dovranno richiedere preventivamente l'autorizzazione all'accesso.

Principali adempimenti per il trattamento di dati personali effettuato con strumenti elettronici

Individuazione delle persone autorizzate al trattamento dei dati personali e che afferiscono a vario titolo alla U.O., predisponendone un elenco.
Definizione, per singolo operatore, degli ambiti del trattamento consentito;
Provvedere con cadenza almeno annuale o quando occorra all'aggiornamento della lista e delle conseguenti.autorizzazioni, richiesta, da inoltrarsi al competente ufficio di assegnazione ad ogni operatore autorizzato di credenziali di autenticazione ai sistemi informatici in uso che consentano la tracciabilità dei trattamenti.
Per le credenziali occorrerà osservare quanto disposto dal
Codice della Privacy - D. Lgs. 30.6.2003 n. 196 e s.m.i., dal Regolamento della Privacy - GDPR (UE 2016/679) e dal D. Lgs. 101/18.
Dovranno essere impartite, alle persone autorizzate, istruzioni per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed in uso.
Comunicare gli account non utilizzati da almeno sei mesi.
Comunicare gli account che dovranno essere disattivati in caso di perdita della qualità
di persona autorizzata
Impartire istruzioni alle persone autorizzate al trattamento al fine di non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
Copie delle credenziali, garantendone la relativa segretezza, dovranno essere custodite dal Direttore/responsabile dell'U.O. o da persona da questi individuata.
Richiedere la protezione dei dati personali contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale mediante l'attivazione di idonei strumenti elettronici da aggiornare periodicamente.

Dovranno essere implementate procedure organizzative e tecniche per il salvataggio dei dati, con ragionevole frequenza, soprattutto sui singoli PC che non siano collegati ad un Server, o che, comunque, lavorino in modalità stand alone..
Inoltre va assicurata l'integrità dei dati osservando le Policy di Disaster Recovery (possibilità di recupero dei dati) e della Business Continuity (continuità dell'attività senza interruzioni) da regolamentare con l’Amministratore di Sistema e di concerto col DPO in attesa di ulteriore innalzamento dei livelli di sicurezza con Policy da configurare su ambiente Cloud (accesso via internet su di uno spazio dedicato su di un server virtuale che consente il salvataggio dei dati).
Il responsabile del Trattamento dei dati dovrà curare la tenuta di un Registro dei Trattamenti con l'ausilio della struttura del DPO, per prevenire eventuale Data Breach (violazione dei dati).
Il calcolo dei Rischi, effettuato dal DPO, sarà attuato in collaborazione con tutti i Responsabili del Trattamento (art. 32 del regolamento europeo).
Periodicamente il DPO verificherà, con audit interni, l’andamento delle Policy e delle direttive impartite per l’attuazione del GDPR. Di quanto precede sarà redatto processo verbale.
Quando valutato necessario e comunque non meno di tre volte all'anno, il DPO convocherà tutti i Responsabili del Trattamento al fine di rendere più performante le attività di trattamento. Ogni Incident di sicurezza dovrà essere reso noto all’intera struttura, per il tramite del DPO, attraverso comunicazioni ufficiali mirate alla minimizzazione del rischio.

Responsabilità del Trattamento dei dati

Il Responsabile del trattamento ai sensi dell’art. 28 del Regolamento della Privacy - GDPR UE 2016/679, dovrà, inoltre, garantire le misure di sicurezza tecniche ed organizzative adeguate non inferiori a quelle richieste dall’art.32 del medesimo Regolamento e sotto riportate:
1) La pseudonimizzazione dei dati personali
2) La capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3) La capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
4) Una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
5) Una procedura di valutazione dell'adeguato livello di sicurezza, che tenga conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

6) Una procedura che definisca che chiunque operi sotto la sua autorità abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
7) L'adesione a un codice di condotta o a un meccanismo di certificazione approvati ai sensi della normativa pro tempore applicabile.
N.B. Per gli adempimenti sopra rappresentati il responsabile del trattamento dei dati può richiedere l’ausilio dell’Ufficio del DPO.


Lettera di nomina Codice della Privacy (D.Lgs. 196/03 e s.m.i.) Delle Persone che, ai sensi dell’art. 2- quaterdecies, sono autorizzate al trattamento dei dati dal Responsabile del trattamento dell’U.O. di afferenza.


ELENCO ALLEGATI E VADEMECUM D'UTILIZZO


ALLEGATO 1 – INFORMATIVA 
Con la presente informativa si vuole mettere a conoscenza gli interessati e, in ogni caso, chiunque entri all'interno della struttura, circa le modalità attraverso le quali i propri dati vengono trattati e la relativa normativa di riferimento (codice privacy 196/2003). La suddetta informativa , stampata in formato 40-60 o 50-70, dovrà essere affissa negli spazi condivisi della struttura per essere visibile a tutti.

ALLEGATO 2 – CONSENSO INFORMATO 
La formula di consenso serve a dare certezza ai Responsabili e agli Incaricati al trattamento, circa la libera  e consapevole volontà dell'interessato a dare inizio ad ogni forma di prestazione. La suddetta formula dovrà essere firmata dall'interessato dopo aver preso chiara visione dell'informativa privacy. Il Modello va compilato in ogni sua parte ad opera del medico che raccoglie il dato anamnestico dell'ammalato o da un esercente le attività sanitarie (capo sala, dirigente infermieristico, infermiere etc….) che potrà esperire detta attività di raccolta dati solo dietro incarico/delega del Direttore della Struttura (Primario).
Il modello di consenso, così compilato, va conservato nella cartella clinica dell'interessato e ne farà parte integrante e sostanziale.

ALLEGATO 3 – INFORMATIVA CURRICULA 
L'informativa curricula risponde ad un obbligo di legge a cui le strutture pubbliche sono tenute ad attenersi per rendere attuabili i principi di pubblicità e trasparenza cui si ispira la pubblica amministrazione. Per suddetto motivo, le aziende pubblicano sul sito istituzionale dell'ente i curricula dei dirigenti di Struttura complessa, anche per comprovare l'effettivo possesso dei titoli richiesti per gli incarichi ricoperti. Il trattamento avverrà, in ogni caso, rispettando i principi di pertinenza, non eccedenza e per l'arco temporale necessario alle finalità della raccolta dei dati. Per i soggetti interessati sono, altresì, conferiti tutti i diritti in loro possesso così come previsto dall'art.7 del D.Lgs 196/2003. Suddetta informativa va inviata ai Responsabili dell'Ufficio del Personale che provvederanno ad inoltrarla ai dirigenti di Struttura Complessa.

ALLEGATO 4 – INFORMATIVA DIPENDENTI 
Suddetta informativa esplicita i diritti che sono conferiti ai dipendenti della Struttura per la quale si presta servizio. Spetta ai Responsabili degli Uffici del Personale affiggere tale informativa e pubblicizzarla ai propri sottoposti, restando a disposizione per ogni eventuale chiarimento. Tra i diritti dei dipendenti, in quanto incaricati ed interessati, rientrano tutti quelli previsti rispettivamente dagli art. 30 e 7 del Codice Privacy.

ALLEGATO 6 – ISTANZA INTERESSATI 
Il seguente documento,  predisposto dalla Struttura Titolare del Trattamento, rappresenta uno strumento attraverso il quale l'interessato chiede, ai sensi dell'art.7 del C.P. , non solo di venire a conoscenza della presenza dei propri dati all'interno della Struttura, delle finalità, delle modalità del trattamento e del nominativo del Responsabile, ma anche di poter opporsi al trattamento qualora reputi sia effettuato in violazione di legge. Tale documento, generalmente presente agli sportelli di Front office  (centri di ascolto Urp, Ufficio Informazioni, etc…) va consegnato, ove richiesto, agli interessati.

ALLEGATO 7 – INFORMATIVA VIDEOSORVEGLIANZA 1
Con la presente informativa gli interessati al trattamento potranno venire a conoscenza delle modalità attraverso le quali i propri dati, ripresi dal sistema di Videosorveglianza,  vengono trattati all'interno della struttura e la relativa normativa di riferimento.  In particolare, si utilizzerà questo primo tipo di informativa qualora il sistema di videosorveglianza sia direttamente collegato alle Forze di Polizia. La presente informativa deve essere stampata e collocata nelle immediate vicinanze di ogni telecamera.

ALLEGATO 8 – INFORMATIVA VIDEOSORVEGLIANZA 2
Con la presente informativa gli interessati al trattamento potranno venire a conoscenza delle modalità attraverso le quali i propri dati, ripresi dal sistema di Videosorveglianza,  vengono trattati all'interno della struttura e la relativa normativa di riferimento. La presente informativa deve essere stampata e collocata nelle immediate vicinanze di ogni telecamera.

ALLEGATO 9 – NOMINA INCARICATO 
La nomina degli Incaricati del trattamento dei dati rappresenta un atto attraverso il quale i Responsabili del trattamento nominano i soggetti che materialmente si occupano del trattamento dei dati, all'interno della stessa Struttura, e in relazione a specifici compiti che gli sono propri. Essa va consegnata dai Responsabili agli Incaricati ad essi sottoposti, dopo aver impartito agli stessi le opportune istruzioni cui attenersi.

ALLEGATO 10 – ISTRUZIONI INCARICATI 
Il presente documento rappresenta non solo  un mansionario nel quale sono impartite specifiche istruzioni agli incaricati del trattamento e, per tanto, esso deve essere consegnato agli incaricati che provvederanno a prenderne visione e a seguire i compiti di seguito elencati,  ma è da ritenersi un vero e proprio momento formativo.  Generalmente, è previsto un momento dialogativo da parte dei Responsabili del Trattamento i quali espliciteranno, in tale sede, le mansioni che gli Incaricati stessi dovranno svolgere ed in particolare i diritti e i doveri loro spettanti.

ALLEGATO 11 – COMPITI RESPONSABILI
Il presente documento rappresenta un mansionario nel quale sono specificati tutti i compiti assegnati ai responsabili del trattamento e, per tanto, esso deve essere consegnato ai responsabili dal referente Privacy, ed essi provvederanno a prenderne visione e a rispettarne i compiti.

ALLEGATO 12 – NOMINA RESPONSABILE ESTERNO 
La Nomina dei Responsabili esterni del trattamento dei dati rappresenta un atto  attraverso il quale la struttura titolare del trattamento  nomina soggetti "terzi" che,  effettuano attività di trattamento in relazione a compiti specifici che gli sono propri,  offrendo una qualsivoglia prestazione (convenzionale o contrattuale).
L'ultimo capoverso dell'atto di nomina impone agli stessi di certificare entro un termine prescritto il proprio percorso adeguamento privacy. In carenza di tale certificazione si consiglia di revocare il contratto di consulenza perché detti soggetti potrebbero diventare fonte di rischio per il trattamento dei dati personali.
Tale documento viene consegnato dal Titolare al Responsabile esterno (e da esso siglato, per accettazione), al momento della sottoscrizione del contratto.

ALLEGATO 13 – NOMINA ADS 
Il presente documento rappresenta   un contratto che la struttura Titolare del Trattamento stipula con un soggetto interno o esterno (nominato Amministratore di Sistema) per attività connesse all'assistenza informatica. L'Amministratore di Sistema riceverà dal Titolare del Trattamento l'atto di nomina e si conformerà alle funzioni specificate nella stessa.

ALLEGATO 14 – ISTANZA INTERESSATI – VIDEOSORVEGLIANZA
Il seguente documento,  predisposto dalla Struttura Titolare del Trattamento, rappresenta uno strumento attraverso il quale l'interessato chiede, ai sensi dell'art.7 del C.P. , non solo di venire a conoscenza della presenza dei propri dati all'interno della Struttura trattati con sistemi di Videosorveglianza, delle finalità, delle modalità del trattamento e del nominativo del Responsabile, ma anche di poter opporsi al trattamento qualora reputi sia effettuato in violazione di legge. Tale documento, generalmente presente agli sportelli di Front office  va consegnato, ove richiesto, agli interessati.

ALLEGATO 15 – NOMINA RESPONSABILI 
La nomina dei Responsabili rappresenta un atto attraverso il quale la struttura Titolare del trattamento nomina i soggetti che, all'interno della stessa, effettuano attività di trattamento in relazione a specifici compiti che gli sono propri. Il Titolare del Trattamento individuerà formalmente i Direttori di Struttura Complessa quali Responsabili del Trattamento; ad essi verranno consegnati la nomina (che verrà opportunamente firmata) e i relativi compiti cui attenersi.


Pagina curata dal rag. Luciano Santillo, ultimo aggiornamento, modifica effettuata in data 18 luglio 2019.