Search
× Search

Notizie dalla Liguria

Intesa Stato-Regioni. Interviene il Presidente Barbara Cittadini, che esprime soddisfazione sul risultato, ma ritiene necessario un intervento più strutturale

Dichiarazioni del 2 agosto 2018

“Esprimiamo soddisfazione per l’intesa che la Conferenza delle Regioni ha raggiunto in merito alla ripartizione del Fondo sanitario 2018. - precisa il Presidente nazionale, Barbara Cittadini - In rappresentanza delle oltre 500 strutture sanitarie e socio-sanitarie associate ad AIOP, ritengo che i 110,1 miliardi messi a disposizione dal Fondo, come quota indistinta, siano un traguardo, ma allo stesso tempo insufficienti per garantire, come ribadito più volte anche dallo stesso Ministro alla Salute, Giulia Grillo, una risposta a tutti i bisogni di salute dei cittadini italiani.

Incontro con il Presidente di Confindustria

Il 19 luglio il Presidente nazionale dell’AIOP, Barbara Cittadini, ha incontrato il Presidente di Confindustria, Vincenzo Boccia, per un confronto su temi di interesse comune e per una condivisione rispetto a percorsi associativi sinergici. All’incontro erano presenti il professor Gabriele Pelissero e il Direttore Generale di Confindustria, Marcella Panucci.
RSS
First910111214161718Last

Notizie Aiop Nazionale

6676

Quando i dati particolari sono soggetti a controlli da parte di terzi

I casi sono molti, soprattutto nelle cliniche ospedaliere

Marco Ghizzi, Data Protection Officer Villa Gemma s.p.a. (BS)

Alla luce della recente entrata in vigore del GDPR, la gestione della protezione dei dati e le regole di accesso agli stessi pongono leciti interrogativi sul corretto inquadramento degli organismi di controllo, come l'Organismo di Vigilanza, il Collegio Sindacale o il DPO, all'interno dell'organigramma privacy aziendale. All'interno di una società, infatti, tali organismi devono trovare l'equilibrio tra la propria natura indipendente nei confronti dei vertici aziendali (su cui possono e devono esercitare il proprio potere di controllo) e la necessità di svolgere le proprie funzioni all'interno della azienda controllata. Come noto infatti, tali organismi possono entrare in contatto con i dati di cui l'azienda è Titolare (elenco dei dipendenti, le loro presenze, la partecipazione ai corsi, le non conformità) e tali dati possono anche appartenere a categorie particolari (i vecchi dati sensibili): si pensi, per esempio, a quelli correlati alle visite mediche in ambito di medicina del lavoro per i dipendenti o a quelli sanitari nel caso di poliambulatori/cliniche ospedaliere o, ancora, a quelli giudiziari per le società di professionisti legali. Ebbene, la loro indipendenza intrinseca induce molti commentatori ad identificarli come Titolari di tali trattamenti in modo da non creare vincoli di alcun genere con l'azienda controllata. 

A tal riguardo, chi volesse approfondire questo orientamento può trovare interessanti spunti al seguente link:

ORGANISMI DI VIGILANZA E CONTROLLO E RUOLI PRIVACY: VALUTAZIONI GENERALI E PRIME CONSIDERAZIONI SUI TRATTAMENTI DEL DPO - Maria Roberta Perugini

Altri commentatori, invece, preferiscono nominarli Responsabili al trattamento, in quanto, ad esempio, ritengono che non definiscano autonomamente le finalità del trattamento ma le "subiscano" in ragione dell'incarico stesso assegnato loro dall'azienda Titolare (cfr. il link sottostante).

La Privacy e la vigilanza sul modello 231 . Quale ruolo per l’Organismo di Vigilanza? - Paola Perinu

Sulla scorta dei suddetti orientamenti, si tratterebbe quindi di chiarire se, concentrandoci ad esempio sulla figura del DPO, quest'ultimo sia da nominare Responsabile o addirittura Titolare del trattamento dati, dal momento che anch'esso entra in contatto con i dati aziendali nell'espletamento dei suoi compiti di controllo e, per sua natura, gode di totale autonomia nei confronti del Titolare medesimo.
Senonché, in caso affermativo, si innescherebbe un evidente circolo vizioso poiché esso stesso sarebbe chiamato a nominare, in ultima analisi, un DPO indipendente!
Diversamente, secondo chi scrive, una visione alternativa potrebbe essere quella di porre l'accento sull'analisi delle sue effettive attività all'interno della azienda, ovvero valutazione e controllo dei processi, dell'organizzazione e della sicurezza aziendale, nonché loro aderenza - o meno - alle norme privacy.
Così facendo emergerebbe che l'accesso ai dati, seppur implicito nelle funzioni del DPO, è da considerarsi meramente accidentale e il DPO non ha potere decisionale sui trattamenti degli stessi.
Pertanto, la sua Responsabilità al Trattamento è nulla in quanto non ne decide alcun aspetto.
A fronte di quanto sopra, si può analogamente concludere che tutti organismi di controllo, pur entrando in contatto con i dati trattati dal Titolare, non sono Responsabili della loro organizzazione, della loro sicurezza e della riduzione dei rischi.
Sarà sempre onere del Titolare definire le norme che questi organismi dovranno "operativamente" seguire durante l'uso di tali dati.
Si pensi, ad esempio, alla gestione dei dati proveniente dai rapporti con i whistleblowers: il Titolare avrà l'onere di informare i dipendenti della azienda delle modalità con cui interagire con l'Organismo di Vigilanza e come quest'ultimo tutelerà ogni informazione relativa alla persona.
Eventuali eccezioni emergono nel caso si affidi all'organismo di controllo anche l'organizzazione di determinati trattamenti, come ad esempio la conservazione dei dati in luogo separato (nel proprio studio) o la loro comunicazione ad enti terzi: in tali casi l'organismo dovrà essere eletto Responsabile del Trattamento dati per quanto di sua competenza.
Chi scrive ritiene tuttavia che tali casistiche dovrebbero essere estremamente circoscritte perché portatrici di potenziali conflitti di interesse all'interno dell'organismo di controllo stesso.

Conclusione
Gli organismi di controllo per loro natura non sono Titolari dei trattamenti in quanto ogni attività sui dati discende ed è limitata dal ruolo di mero controllo che l'azienda ha riservato loro.
Non possono nemmeno essere considerati Responsabili in quanto l'attività di controllo per sua natura non può avere responsabilità diretta su alcun aspetto organizzativo dell'azienda da controllare.
I componenti di tali organismi di controllo devono comunque essere istruiti sulla corretta gestione dei dati - in genere - e sulle specifiche norme che l'azienda si è data per la loro sicurezza, in quanto il loro compito potrebbe metterli in contatto con i dati. Sarà onere del Titolare garantire e poter dimostrare che tali soggetti siano stati debitamente istruiti in tal senso.
Da parte loro, i suddetti componenti saranno chiamati ad aderire a queste istruzioni aziendali nell'ambito privacy, analogamente a come lo sono per quel che riguarda le più generali norme di sicurezza da rispettarsi operando all'interno di una azienda.

Previous Article Big data in sanità
Next Article Le novità sul lavoro della settimana
Please login or register to post comments.

Rassegna Stampa Regionale

Articoli delle principali testate giornalistiche nazionali e della stampa locale relativi a sanità, ricerca scientifica e medicina, con una maggior attenzione alla realtà ligure. Il servizio integrale è riservato agli associati Aiop Liguria.

 

Rassegna Stampa Nazionale

RassAiop3HP

La rassegna stampa 
della sanità privata

Servizio riservato agli associati Aiop

Link Istituzionali

Copyright 2024 by Aconet srl
Back To Top