Le principali novità introdotte dal GDPR

Il contesto di riferimento

Il Regolamento UE detta regole comuni per tutti i Paesi della Comunità Europea con lo scopo di eliminare disparità di trattamento nei confronti dei soggetti interessati al trattamento e assicurare una maggiore e specifica tutela dei cittadini europei e dei loro dati personali.
L’entrata in vigore del nuovo Regolamento, introducendo rilevanti modifiche in materia di protezione dei dati personali, impone alle aziende e agli enti pubblici l’obbligo di rivedere le proprie policy interne riguardanti il trattamento dei dati sia in riferimento ai dipendenti sia ai singoli utenti/interessati. I Titolari di trattamento sono tenuti ad adottare misure di protezione e sicurezza adeguate a realizzare gli adempimenti previsti dalla normativa nazionale ed europea.

Titolare del trattamento dei dati

Il Titolare del trattamento dei dati è l'Azienda USL di Bologna, con sede legale in Via Castiglione n. 29, 40124 - Bologna.

Responsabile della protezione dei dati – Data Protection Officer interaziendale (DPO)

L’Azienda USL ha designato il Responsabile della protezione dei dati – Data Protection Officer interaziendale, soggetto che agisce in posizione di indipendenza ed autonomia e riferisce direttamente al Titolare del trattamento dei dati. Il DPO interaziendale deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati personali al fine di assicurare il corretto adeguamento alla normativa e funge da raccordo tra l'Autorità Garante e i privati, con compiti di consulenza e garanzia.

Nuova disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

Diversamente dal passato, i trattamenti necessari per l'erogazione di una prestazione sanitaria richiesta dall'interessato (per finalità di cura) effettuati da un professionista sanitario soggetto al segreto professionale o da altra persona soggetta all'obbligo di segretezza, non richiedono più il consenso del paziente.

Resta l'obbligo di raccogliere il consenso per quei trattamenti che, pur essendo attinenti alla cura, non sono strettamente necessari, anche se son effettuati da professionisti sanitari.

Gli eventuali trattamenti attinenti alla cura ma non strettamente necessari,  pur se effettuati da operatori sanitari, richiedono una distinta base giuridica che può essere individuata o nel consenso dell'interessato oppure in un altro presupposoto di liceità.

Per i trattamenti in ambito sanitario non strettamente necessari alla cura rimane la necessità di raccoglier il consenso dell'interessato, per esempio:

• Fascicolo Sanitario Elettronico (FSE)

I trattamenti effettuati attraverso l'FSE, coerentemente a quanto sopra esplicitato, richiedono l'acquisizione del consenso quale condizione di liceità del trattamento (art. 75 del Codice Privacy).

• Dossier Sanitario

I trattamenti effettuati attraverso il Dossier Sanitario, richiedono l'acquisizone del consenso da parte dell'interessato quale condizione di liceità del trattamento (Linee guida in materia di Dossier Sanitario del 4 giugno 2015).

• Referti on line

I trattamenti effettuati attraverso la refertazione on line, richiedono l'acquisizione del consenso in base a specifiche disposizioni di settore e in relazione alle modaità di consegna del referto.

I chiarimenti del Garante per la Protezione dei dati personali sul trattamento dei dati in ambito sanitario

Informazioni sul trattamento dei dati

Coerentemente con la normativa europea e nazionale, le informazioni fornite agli interessati sono state aggiornate dal Titolare di trattamento, utilizzando un linguaggio chiaro e semplice e con la comunicazione agli interessati dei dati del Titolare e del Responsabile della Protezione dei Dati (DPO).

Le informazioni aggiornate contengono la comunicazione delle motivazioni e le tempistiche del trattamento.

Elenco delle informative

I principi di riferimento

L'Azienda USL, in quanto Titolare di trattamento, attua le proprie policy per la protezione dei dati personali, coerentemente alle nuove disposizioni europee e nazionali sui principi di seguito riportati;

• Principio dell’Accountability - Responsabilità verificabile

Tutti i soggetti che effettuano trattamenti dei dati devono conservare la documentazione di tutti i trattamenti effettuati. Tale obbligo è sanzionato a prescindere dall’utilizzo che si fa dei dati, in quanto per l’applicazione della sanzione è sufficiente non documentare i trattamenti.

• Principio del by design

La protezione dei dati personali è parte integrante della progettazione dei processi aziendali e dei supporti informatici utilizzati.

• Principio privacy by default

Il trattamento dei dati personali avviene unicamente nella misura necessaria per realizzare le finalità del trattamento e per il periodo strettamente necessario a tale finalità.

Valutazione di impatto

Il trattamento che presenta un rischio elevato per i diritti e le libertà delle persone richiede una valutazione preventiva dell'impatto sulla protezione dei dati personali connessi.

Valutazione d'impatto sul trattamento dei dati personali ai sensi dell'art. 35 del GDPR relativa alle attività di ricerca e sperimentazione clinica

Responsabili di trattamento

Il Titolare del trattamento ha adottato il nuovo schema dell’atto di designazione a Responsabile (esterno) di trattamento, rivisto alla luce della normativa europea (Reg. UE 2016/679).

Il nuovo schema di designazione va utilizzato nei casi in cui soggetti pubblici o
privati (Enti/Società/Ditte….), in virtù di rapporti contrattuali o convenzionali, siano chiamati a svolgere, per conto dell’Azienda USL, attività di trattamento di dati personali.

Modalità per la designazione dei Responsabili del trattamento

Il data breach (violazione dei dati personali)

Le eventuali violazioni dei dati devono essere tempestivamente individuate e comunicate, a seconda dei casi, alla autorità di controllo e ai singoli interessati.

In conformità agli artt. 33 e 34 del Regolamento UE 2016/679, l'Azienda USL ha adottato la procedura per la gestione di violazione dei dati personali.

Procedura DATA BREACH: Delibera di adozione e relativi allegati

I diritti degli interessati

Regolamento UE 2016/679 in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR). Approvazione procedura per la gestione dei diritti in materia di protezione dei dati personali dell’interessato ai sensi degli artt. 12-22 del Regolamento UE 2016/679 (Deliberazione n. 7 del 11/01/2023)

In merito ai diritti degli interessati, si rimanda al sito del Garante.

Misure adottate dal Titolare

• Modalità di consegna dei referti
• Misure e accorgimenti per la consegna di presidi sanitari al domicilio
• Misure idonee a garantire il rispetto dei diritti dei cittadini utenti
• Disposizioni in merito all’utilizzo nelle strutture aziendali di smartphone e di dispositivi elettronici in grado di raccogliere, riprodurre, diffondere file audio, immagini e video.

L'organizzazione aziendale per l'ambito privacy

L’Azienda Usl di Bologna, in continuità con le precedenti scelte organizzative, ha identificato nuovi ruoli e nuove responsabilità e ha introdotto nuove istruzioni per il corretto trattamento dei dati personali.

Il Titolare del trattamento, al fine di definire ulteriormente ruoli e responsabilità ha ritenuto di regolamentare i rapporti tra il DPO e l'organizzazione dell'Azienda USL.

Linee Guida per l’applicazione del Regolamento (UE) 2016/679 (GDPR)

Approvazione delle Linee Guida per l'applicazione del Regolamento (UE) 2016/679 (GDPR) e del Codice Privacy in materia di protezione delle persona fisiche con riguardo al trattamento dei dati personali.

Videosorveglianza

Linee guida in materia di videosorveglianza nell’Azienda USL di Bologna

Sistemi di videosorveglianza e di videocontrollo - informazioni sul trattamento dei dati personali

Linee Guida sull’utilizzo della posta elettronica e di internet nell’Azienda USL di Bologna

Approvazione delle Linee Guida sull’utilizzo della posta elettronica e di internet
nell’Azienda USL di Bologna.

Deliberazione n. 220 del 25.06.2021