Search
× Search

Notizie dalla Liguria

Si apre il confronto con il nuovo Governo

Il Presidente Cittadini chiede un incontro con il nuovo Ministro della Salute, Giulia Grillo

L'Aiop riunisce al suo interno imprenditori con una visione di sistema inclusiva che declina, rispetto ai mutati bisogni di salute degli italiani, un’offerta adeguata ad una domanda di salute che è profondamente mutata. Ritenendo di avere un ruolo significativo e di essere un soggetto in grado di rispondere alle aspettative dei cittadini e di contribuire, quindi, anche ad una migliore performance del Servizio sanitario nazionale, il Presidente nazionale Aiop, Barbara Cittadini, ha chiesto un incontro con il neo Ministro della Salute, Giulia Grillo, per confrontarsi in merito alla salvaguardia dell’universalismo, elemento prezioso che contribuisce a fare del nostro Ssn uno dei migliori al mondo.

In vigore il nuovo Regolamento attuativo

Nuove regole operative dal 29 maggio 2018

Con delibera del 15 maggio scorso, l'Autorità garante della concorrenza e del mercato ha varato il nuovo Regolamento attuativo in materia di rating di legalità, entrato in vigore il 29 maggio 2018, con le finalità di assicurare una maggior efficacia del controllo in sede di rilascio del rating, ma anche di semplificare, snellire e chiarificare le procedure per l'attribuzione, la modifica, il rinnovo, la revoca e l'annullamento della certificazione.


RSS
First1112131416181920Last

Notizie Aiop Nazionale

7112

Quando i dati particolari sono soggetti a controlli da parte di terzi

I casi sono molti, soprattutto nelle cliniche ospedaliere

Marco Ghizzi, Data Protection Officer Villa Gemma s.p.a. (BS)

Alla luce della recente entrata in vigore del GDPR, la gestione della protezione dei dati e le regole di accesso agli stessi pongono leciti interrogativi sul corretto inquadramento degli organismi di controllo, come l'Organismo di Vigilanza, il Collegio Sindacale o il DPO, all'interno dell'organigramma privacy aziendale. All'interno di una società, infatti, tali organismi devono trovare l'equilibrio tra la propria natura indipendente nei confronti dei vertici aziendali (su cui possono e devono esercitare il proprio potere di controllo) e la necessità di svolgere le proprie funzioni all'interno della azienda controllata. Come noto infatti, tali organismi possono entrare in contatto con i dati di cui l'azienda è Titolare (elenco dei dipendenti, le loro presenze, la partecipazione ai corsi, le non conformità) e tali dati possono anche appartenere a categorie particolari (i vecchi dati sensibili): si pensi, per esempio, a quelli correlati alle visite mediche in ambito di medicina del lavoro per i dipendenti o a quelli sanitari nel caso di poliambulatori/cliniche ospedaliere o, ancora, a quelli giudiziari per le società di professionisti legali. Ebbene, la loro indipendenza intrinseca induce molti commentatori ad identificarli come Titolari di tali trattamenti in modo da non creare vincoli di alcun genere con l'azienda controllata. 

A tal riguardo, chi volesse approfondire questo orientamento può trovare interessanti spunti al seguente link:

ORGANISMI DI VIGILANZA E CONTROLLO E RUOLI PRIVACY: VALUTAZIONI GENERALI E PRIME CONSIDERAZIONI SUI TRATTAMENTI DEL DPO - Maria Roberta Perugini

Altri commentatori, invece, preferiscono nominarli Responsabili al trattamento, in quanto, ad esempio, ritengono che non definiscano autonomamente le finalità del trattamento ma le "subiscano" in ragione dell'incarico stesso assegnato loro dall'azienda Titolare (cfr. il link sottostante).

La Privacy e la vigilanza sul modello 231 . Quale ruolo per l’Organismo di Vigilanza? - Paola Perinu

Sulla scorta dei suddetti orientamenti, si tratterebbe quindi di chiarire se, concentrandoci ad esempio sulla figura del DPO, quest'ultimo sia da nominare Responsabile o addirittura Titolare del trattamento dati, dal momento che anch'esso entra in contatto con i dati aziendali nell'espletamento dei suoi compiti di controllo e, per sua natura, gode di totale autonomia nei confronti del Titolare medesimo.
Senonché, in caso affermativo, si innescherebbe un evidente circolo vizioso poiché esso stesso sarebbe chiamato a nominare, in ultima analisi, un DPO indipendente!
Diversamente, secondo chi scrive, una visione alternativa potrebbe essere quella di porre l'accento sull'analisi delle sue effettive attività all'interno della azienda, ovvero valutazione e controllo dei processi, dell'organizzazione e della sicurezza aziendale, nonché loro aderenza - o meno - alle norme privacy.
Così facendo emergerebbe che l'accesso ai dati, seppur implicito nelle funzioni del DPO, è da considerarsi meramente accidentale e il DPO non ha potere decisionale sui trattamenti degli stessi.
Pertanto, la sua Responsabilità al Trattamento è nulla in quanto non ne decide alcun aspetto.
A fronte di quanto sopra, si può analogamente concludere che tutti organismi di controllo, pur entrando in contatto con i dati trattati dal Titolare, non sono Responsabili della loro organizzazione, della loro sicurezza e della riduzione dei rischi.
Sarà sempre onere del Titolare definire le norme che questi organismi dovranno "operativamente" seguire durante l'uso di tali dati.
Si pensi, ad esempio, alla gestione dei dati proveniente dai rapporti con i whistleblowers: il Titolare avrà l'onere di informare i dipendenti della azienda delle modalità con cui interagire con l'Organismo di Vigilanza e come quest'ultimo tutelerà ogni informazione relativa alla persona.
Eventuali eccezioni emergono nel caso si affidi all'organismo di controllo anche l'organizzazione di determinati trattamenti, come ad esempio la conservazione dei dati in luogo separato (nel proprio studio) o la loro comunicazione ad enti terzi: in tali casi l'organismo dovrà essere eletto Responsabile del Trattamento dati per quanto di sua competenza.
Chi scrive ritiene tuttavia che tali casistiche dovrebbero essere estremamente circoscritte perché portatrici di potenziali conflitti di interesse all'interno dell'organismo di controllo stesso.

Conclusione
Gli organismi di controllo per loro natura non sono Titolari dei trattamenti in quanto ogni attività sui dati discende ed è limitata dal ruolo di mero controllo che l'azienda ha riservato loro.
Non possono nemmeno essere considerati Responsabili in quanto l'attività di controllo per sua natura non può avere responsabilità diretta su alcun aspetto organizzativo dell'azienda da controllare.
I componenti di tali organismi di controllo devono comunque essere istruiti sulla corretta gestione dei dati - in genere - e sulle specifiche norme che l'azienda si è data per la loro sicurezza, in quanto il loro compito potrebbe metterli in contatto con i dati. Sarà onere del Titolare garantire e poter dimostrare che tali soggetti siano stati debitamente istruiti in tal senso.
Da parte loro, i suddetti componenti saranno chiamati ad aderire a queste istruzioni aziendali nell'ambito privacy, analogamente a come lo sono per quel che riguarda le più generali norme di sicurezza da rispettarsi operando all'interno di una azienda.

Previous Article Big data in sanità
Next Article Le novità sul lavoro della settimana
Please login or register to post comments.

Rassegna Stampa Regionale

Articoli delle principali testate giornalistiche nazionali e della stampa locale relativi a sanità, ricerca scientifica e medicina, con una maggior attenzione alla realtà ligure. Il servizio integrale è riservato agli associati Aiop Liguria.

 

Rassegna Stampa Nazionale

RassAiop3HP

La rassegna stampa 
della sanità privata

Servizio riservato agli associati Aiop

Link Istituzionali

Copyright 2024 by Aconet srl
Back To Top