Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra L’Azienda è il titolare dei trattamenti di dati personali degli utenti dei servizi sanitari erogati dalle strutture aziendali, nonché dei dati relativi al personale (medici, infermieri, dipendenti, collaboratori), ai fornitori e alle altre persone che entrano in contatto con l’Azienda. Centro di imputazione degli obblighi e delle responsabilità previste dalla normativa privacy Necessità per l’Azienda Ospedaliera, quale Titolare del trattamento, di delineare al proprio interno una chiara ed efficace organizzazione dei compiti e responsabilità in materia di privacy e un idoneo sistema di vigilanza sulle operazioni di trattamento effettuate dalle proprie strutture e personale Sulla base delle regole generali per l’assegnazione dei livelli di governo dell’Azienda ed in considerazione dei requisiti di capacità ed esperienza posseduti nelle persone che pro tempore ricoprono tali funzioni: • Il direttore del Polo Ospedaliero • I direttori per il Governo Clinico • I direttori Aree Governo Economico e Gestionale • I responsabili degli Organismi Strumentali per trattamenti di dati personali di specifica competenza delle proprie strutture, nei limiti dei poteri loro conferiti, anche di spesa, dall’Atto Aziendale e dei relativi provvedimenti istitutivi e nel rispetto delle direttive ed istruzioni impartite dal titolare per il tramite del DG Ciascun Responsabile può individuare, nell’ambito della struttura di rispettiva competenza, uno o più Referenti privacy soggetti cui vengono delegati, in base ai criteri indicati nel presente atto, compiti di esecuzione e verifica degli adempimenti privacy di competenza della relativa struttura od unità, nonché di interfaccia operativo nei confronti delle altre strutture aziendali operante secondo le direttive e sotto la vigilanza del medesimo Responsabile. Particolari e specifici compiti di coordinamento e supporto sono affidate alle funzioni aziendali di seguito indicate, in considerazione delle rispettive specifiche competenze: • L’Information Communication Technology (ICT) per gli aspetti tecnologici connessi all’attuazione delle disposizioni in materia di privacy, con particolare riferimento l’adozione delle misure di sicurezza dei dati personali da parte di tutte le strutture aziendali • Il Comitato Guida Protezione Dati Personali (Comitato Privacy) per gli aspetti giuridici legati all’attuazione ed interpretazione delle disposizioni normative aziendali in materia di privacy • L’Area Processi Gestionali (APG) per gli aspetti di organizzazione e formazione delle risorse umane, nonché per la verifica dell’attuazione dei compiti attribuiti con il presente atto • L’Ufficio Relazioni con il Pubblico (URP) per gli aspetti legati al riscontro alle richieste degli utenti interessati di esercizio dei diritti previsti dal Codice Privacy (artt. 7 e ss. d.lgs. n. 196/2003) 1. Individuare uno o più Referenti privacy 2. Tenere ed aggiornare un elenco dei trattamenti e delle banche di dati (da segnalare per notificazione al Garante) 3. Definire tipologie di dati da trattare, operazioni eseguibili, attività e modalità da privilegiare nell’utilizzo dei dati (gestione documentazione, archivi e sistemi informativi, rapporti con utenti, informazioni da raccogliere ed utilizzare, comunicazioni con gli utenti ed i terzi, ecc.) 4. Individuare gli Incaricati del trattamento, sovrintendere e vigilare sul loro operato 5. Verificare la corretta applicazione delle istruzioni impartite, l’effettiva attuazione degli adempimenti, anche nei confronti degli interessati (informativa e consenso: v. modulistica in uso) 6. Pianificare programmi di formazione e sensibilizzazione del personale incaricato rispetto alle problematiche privacy 7. Gestire le richieste degli interessati per l’esercizio dei diritti di accesso ai dati in collaborazione con l’URP 8. Sovrintendere e collaborare alla corretta gestione della sicurezza dei dati personali con ICT 9. Gestire i rapporti con i soggetti terzi che svolgono operazioni di trattamento di dati personali per conto dell’Azienda 10. Riferire periodicamente sullo stato di attuazione degli adempimenti ed attività privacy nell’ambito della struttura di propria competenza (attraverso check-list) 9. Osservare e far osservare, impartendo specifiche istruzioni agli Incaricati, le specifiche disposizioni in materia di trattamento di dati personali e sensibili in ambito sanitario e le ulteriori prescrizioni impartite dal Garante nei propri provvedimenti ed autorizzazioni generali 10. Adottare, ove necessario, le particolari misure richieste per la tutela e il rispetto dei diritti degli utenti dei servizi sanitari dell’Azienda, con riferimento anche alle cautele per garantire la dignità degli interessati, il segreto medico, la riservatezza dei dati, delle comunicazioni e delle documentazioni sanitarie e cliniche Censimento e monitoraggio dei trattamenti di dati, gli archivi e le banche di dati gestite dalla struttura di pertinenza e relativo aggiornamento periodico Assistenza al Responsabile privacy nelle attività di esecuzione dei compiti allo stesso spettanti e di verifica di tutti gli adempimenti privacy nell’ambito della propria Struttura, con aggiornamento e diffusione della modulistica e documentazione di interesse Raccordo a livello operativo con le altre Strutture e gestire relative comunicazioni Compiti consultivi e di supporto ai Responsabili e Referenti privacy curare la diffusione di normative e precedenti in materia di protezione dei dati personali, con la predisposizione di linee guida e di risposte a quesiti attinenti alla stessa materia predisporre atti, documenti e moduli relativi all’adempimento degli obblighi previsti dal Codice Privacy fornire pareri e supporto ai Responsabili privacy nella gestione di eventuali richieste di informazioni o documenti e nella predisposizione di atti, comunicazioni o istanze censire ed aggiornare i sistemi informativi e gli strumenti elettronici impiegati per i trattamenti dei dati personali elaborare e diffondere linee guida, procedure ed istruzioni per l’adozione e gestione delle misure di sicurezza definire i piani formativi in materia di sicurezza informatica Adottare e verificare le misure, anche minime, di sicurezza per i trattamenti di dati personali effettuati con l’ausilio di strumenti elettronici curare l’aggiornamento del DPS in collaborazione con le strutture definire con i fornitori esterni di servizi informatici e telematici i criteri e le garanzie per l’adozione ed il rispetto delle misure di sicurezza Individuazione degli incaricati del trattamento e conservazione della relativa documentazione, aggiornamento periodico Programmazione attività di sensibilizzazione e formazione degli Incaricati e Referenti privacy Controllo dell’attuazione, da parte delle Strutture e dei Responsabili, dei compiti attribuiti L’URP si occupa, in collaborazione con i Responsabili e i Referenti privacy, di fornire riscontro alle richieste degli utenti interessati relative all’esercizio dei diritti d’accesso, rettifica o cancellazione dei dati di cui agli artt. 7 e ss. del Codice Privacy e di definire, con le altre Strutture di supporto, procedure e modulistiche dirette ad assicurare modalità semplici ed agevoli per il relativo esercizio, nonché comunicazioni informative e di servizio all’utenza in materia di privacy Grazie! Domande?