Compiti dei responsabili e referenti privacy

Azienda Ospedaliera San Giovanni Addolorata:
Compiti dei responsabili e referenti privacy
Avv. Giovanni Guerra
L’Azienda è il titolare dei trattamenti di dati personali
degli utenti dei servizi sanitari erogati dalle strutture
aziendali, nonché dei dati relativi al personale (medici,
infermieri, dipendenti, collaboratori), ai fornitori e alle
altre persone che entrano in contatto con l’Azienda.
Centro di imputazione degli obblighi e delle
responsabilità previste dalla normativa privacy
Necessità per l’Azienda Ospedaliera, quale
Titolare del trattamento, di delineare al proprio
interno una chiara ed efficace organizzazione dei
compiti e responsabilità in materia di privacy e
un idoneo sistema di vigilanza sulle operazioni di
trattamento effettuate dalle proprie strutture e
personale
Sulla base delle regole generali per l’assegnazione dei livelli di
governo dell’Azienda ed in considerazione dei requisiti di capacità
ed esperienza posseduti nelle persone che pro tempore ricoprono
tali funzioni:
• Il direttore del Polo Ospedaliero
• I direttori per il Governo Clinico
• I direttori Aree Governo Economico e Gestionale
• I responsabili degli Organismi Strumentali
per trattamenti di dati personali di specifica competenza delle
proprie strutture, nei limiti dei poteri loro conferiti, anche di spesa,
dall’Atto Aziendale e dei relativi provvedimenti istitutivi e nel rispetto
delle direttive ed istruzioni impartite dal titolare per il tramite del DG
Ciascun Responsabile può individuare, nell’ambito della
struttura di rispettiva competenza, uno o più Referenti
privacy
soggetti cui vengono delegati, in base ai criteri indicati
nel presente atto, compiti di esecuzione e verifica degli
adempimenti privacy di competenza della relativa
struttura od unità, nonché di interfaccia operativo nei
confronti delle altre strutture aziendali operante
secondo le direttive e sotto la vigilanza del medesimo
Responsabile.
Particolari e specifici compiti di coordinamento e supporto sono
affidate alle funzioni aziendali di seguito indicate, in
considerazione delle rispettive specifiche competenze:
• L’Information Communication Technology (ICT) per
gli aspetti tecnologici connessi all’attuazione delle
disposizioni in materia di privacy, con particolare riferimento
l’adozione delle misure di sicurezza dei dati personali da
parte di tutte le strutture aziendali
• Il Comitato Guida Protezione Dati Personali
(Comitato Privacy) per gli aspetti giuridici legati
all’attuazione ed interpretazione delle disposizioni normative
aziendali in materia di privacy
• L’Area Processi Gestionali (APG) per gli aspetti di
organizzazione e formazione delle risorse umane, nonché
per la verifica dell’attuazione dei compiti attribuiti con il
presente atto
• L’Ufficio Relazioni con il Pubblico (URP) per gli aspetti
legati al riscontro alle richieste degli utenti interessati di
esercizio dei diritti previsti dal Codice Privacy (artt. 7 e ss.
d.lgs. n. 196/2003)
1. Individuare uno o più Referenti privacy
2. Tenere ed aggiornare un elenco dei trattamenti e
delle banche di dati (da segnalare per notificazione
al Garante)
3. Definire tipologie di dati da trattare, operazioni
eseguibili, attività e modalità da privilegiare
nell’utilizzo dei dati (gestione documentazione,
archivi e sistemi informativi, rapporti con utenti,
informazioni
da
raccogliere
ed
utilizzare,
comunicazioni con gli utenti ed i terzi, ecc.)
4.
Individuare gli Incaricati del trattamento,
sovrintendere e vigilare sul loro operato
5.
Verificare la corretta applicazione delle istruzioni
impartite,
l’effettiva
attuazione
degli
adempimenti, anche nei confronti degli
interessati
(informativa
e
consenso:
v.
modulistica in uso)
6.
Pianificare
programmi
di
formazione
e
sensibilizzazione del personale incaricato rispetto
alle problematiche privacy
7. Gestire le richieste degli interessati per l’esercizio
dei diritti di accesso ai dati in collaborazione con
l’URP
8. Sovrintendere e collaborare alla corretta gestione
della sicurezza dei dati personali con ICT
9. Gestire i rapporti con i soggetti terzi che svolgono
operazioni di trattamento di dati personali per
conto dell’Azienda
10. Riferire periodicamente sullo stato di attuazione
degli adempimenti ed attività privacy nell’ambito
della struttura di propria competenza (attraverso
check-list)
9.
Osservare e far osservare, impartendo specifiche
istruzioni agli Incaricati, le specifiche disposizioni in
materia di trattamento di dati personali e sensibili in
ambito sanitario e le ulteriori prescrizioni impartite
dal Garante nei propri provvedimenti ed
autorizzazioni generali
10.
Adottare, ove necessario, le particolari misure
richieste per la tutela e il rispetto dei diritti degli
utenti dei servizi sanitari dell’Azienda, con riferimento
anche alle cautele per garantire la dignità degli
interessati, il segreto medico, la riservatezza dei dati,
delle comunicazioni e delle documentazioni sanitarie
e cliniche



Censimento e monitoraggio dei trattamenti di dati,
gli archivi e le banche di dati gestite dalla
struttura di pertinenza e relativo aggiornamento
periodico
Assistenza al Responsabile privacy nelle attività di
esecuzione dei compiti allo stesso spettanti e di
verifica di tutti gli adempimenti privacy nell’ambito
della propria Struttura, con aggiornamento e
diffusione della modulistica e documentazione di
interesse
Raccordo a livello operativo con le altre Strutture
e gestire relative comunicazioni
Compiti consultivi e di supporto ai Responsabili e
Referenti privacy
 curare
la diffusione di normative e precedenti in
materia di protezione dei dati personali, con la
predisposizione di linee guida e di risposte a
quesiti attinenti alla stessa materia
 predisporre atti, documenti e moduli relativi
all’adempimento degli obblighi previsti dal Codice
Privacy
 fornire pareri e supporto ai Responsabili privacy
nella gestione di eventuali richieste di
informazioni o documenti e nella predisposizione
di atti, comunicazioni o istanze






censire ed aggiornare i sistemi informativi e gli strumenti
elettronici impiegati per i trattamenti dei dati personali
elaborare e diffondere linee guida, procedure ed istruzioni
per l’adozione e gestione delle misure di sicurezza
definire i piani formativi in materia di sicurezza informatica
Adottare e verificare le misure, anche minime, di sicurezza
per i trattamenti di dati personali effettuati con l’ausilio di
strumenti elettronici
curare l’aggiornamento del DPS in collaborazione con le
strutture
definire con i fornitori esterni di servizi informatici e
telematici i criteri e le garanzie per l’adozione ed il rispetto
delle misure di sicurezza

Individuazione degli incaricati del trattamento e
conservazione della relativa documentazione,
aggiornamento periodico

Programmazione attività di sensibilizzazione e
formazione degli Incaricati e Referenti privacy

Controllo dell’attuazione, da parte delle Strutture e
dei Responsabili, dei compiti attribuiti
L’URP si occupa, in collaborazione con i Responsabili e i
Referenti privacy, di fornire riscontro alle richieste degli
utenti interessati relative all’esercizio dei diritti d’accesso,
rettifica o cancellazione dei dati di cui agli artt. 7 e ss. del
Codice Privacy e di definire, con le altre Strutture di
supporto, procedure e modulistiche dirette ad assicurare
modalità semplici ed agevoli per il relativo esercizio, nonché
comunicazioni informative e di servizio all’utenza in materia
di privacy
Grazie!
Domande?