Categoria: Consulenza

GDPR e sanità, le regole del Garante per studi medici, farmacie ed aziende sanitarie

L’Autorità di Controllo italiana (Garante Privacy), in apposito provvedimento, ha specificato le regole da adottare da parte di medici, farmacie ed ASL.

Come sapevamo, il medico non deve più chiedere il consenso per tutti i trattamenti che riguardano finalità di cura.

Si presti però estrema attenzione al fatto che trattamenti diversi da questa specifica finalità necessitano di altra base giuridica (o del relativo consenso).

Da evidenziare la precisazione della Autority che in ambito sanitario è sussistente, in linea generale, l’obbligo di tenuta del registro dei trattamenti; pertanto sia singoli professionisti, pediatri, studi medici associati, ospedali privati, case di cura, RSA, aziende sanitarie, farmacie debbono avere il registro dei trattamenti.

Per quanto riguarda il DPO, il singolo medico, le farmacie, parafarmacie ed ortopediche non sono tenute alla nomina; essa è invece richiesta a studi medici associati, case di cura, ospedali privati, centri diagnostici, RSA, centri chirurgici e tutti coloro che effettuano trattamenti sanitari in larga scala.

Per approfondimenti segnalo i miei post precedenti: studi medici e DPOsoggetti privati obbligati alla nomina del DPO.

Contattateci per avere supporto alla compilazione del registro dei trattamenti o per il approfondimenti in merito al ruolo di DPO in ambiti sanitari

GDPR art. 42 Certificazione

Da alcune settimane, UNI (Ente Italiano di Normazione) ha pubblicato una nuova Prassi di Riferimento UNI/PdR 43:2018, frutto di un lavoro congiunto di UNI ed AIP, coordinato da UNINFO.

La Prassi di Riferimento si compone di due sezioni:
UNI/PdR 43.1 “Gestione e monitoraggio dei dati personali in ambito ICT”;
UNI/PdR 43.2 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT”.

Essa si candida a divenire un “meccanismo di certificazione”, come previsto all’art. 42 del Regolamento Europeo 679/2016.

Quindi, già adesso, i Titolari del Trattamento possono certificare la propria “infrastruttura di trattamento” dei dati personali.

Sono a disposizione per affiancare le organizzazioni nelle attività di adeguamento e certificazione alle PdR 43:2018.

Svizzera e GDPR

Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.

Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.

Caro amico, ma ne sei sicuro?

GDPR Art.3
 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
 a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
 b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce e di coloro che offrono servizi I.T.

Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.

E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?

Poi ci sono i giornali on-line; ambito estremamente vario e complesso.

Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).

Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve (2019) è attesa la relativa attuazione.

Preso atto di questo, consiglio alle aziende svizzere di iniziare il processo di compliance; avranno più tempo per adeguarsi al loro regolamento LDP, che sarà molto simile al GDPR.

Aggiornamento: ho ricevuto molte richieste di chiarimento, relative all’articolo.

Riassumendo, i casi nei quali si applica il GDPR ad un “Titolare del Trattamento” svizzero:

  • quando offre beni o servizi a persone stabilite nei Paesi comunitari, come per esempio quando ha un sito di e-commerce che vende in UE;
  • quando effettua attività di profilazione di soggetti stabiliti in Paesi comunitari, al fine di presentar loro dei prodotti e servizi personalizzati, anche qualora non siano a titolo oneroso;
  • qualora svolga attività di responsabile esterno del trattamento per titolari del trattamento appartenenti alla UE.

Aggiornamento2: da poco abbiamo un punto di presenza anche in Svizzera, presso Maroggia; ulteriori dettagli alla pagina dove siamo e contatti.

Studi Commerciali e GDPR

Quale Titolare del Trattamento ha un impatto GDPR superiore di uno studio commerciale?

Lo studio commerciale ha nel proprio core-business il trattamento dei dati forniti da terzi; chi meglio di esso quindi interpreta il ruolo di responsabile del trattamento (esterno) indicato nel nuovo regolamento generale per la protezione dei dati personali?

Allo studio commerciale vengono comunicati dati personali che quasi sempre sono “particolari” (precedentemente si definivano sensibili); che si tratti dei dati di collaboratori o dipendenti, delle spese mediche, degli scontrini di prodotti farmaceutici, della destinazione del 5 per mille o degli infortuni.
Per non parlare degli incarichi del tribunale al commercialista, oppure dei procedimenti fiscali, amministrativi o giudiziari dei clienti, e delle eventuali condanne.
Inoltre, il commercialista spesso è un revisore contabile di una grande società, oppure è nominato nel collegio sindacale di una organizzazione, privata o pubblica.

In ogni caso, il commercialista è tenuto al segreto professionale; conseguentemente, tutti i dati da esso trattati dovranno avere tutele adeguate a tale obbligo; alcuni addirittura ritengono che esso debba usare le migliori misure di sicurezza disponibili allo stato attuale della tecnologia informatica (ad esempio, cifrando tutto, ma non solo).

Spesso lo studio commerciale non ha risorse interne da dedicare a supportare i propri clienti nel processo di adeguamento al GDPR; in tal caso, un consulente esterno specializzato in protezione dei dati personali rende lo studio in grado di fornire un servizio completo alla clientela; oltre che ad essere una risorsa preziosa, per lo studio stesso, per raggiungere la compliance al nuovo regolamento.

Contattatemi per un primo incontro; ho già collaborato (e collaboro tuttora) con importanti studi commerciali, in tutta la Toscana.

Consulenza Privacy GDPR

Il regolamento Europeo 2016/679 concernente la tutela delle persone fisiche, con particolare riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 e diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.

Il regolamento porta significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti; imprese ed enti avranno più responsabilità, ma potranno anche beneficiare di diverse semplificazioni; in caso di inosservanza delle regole sono previste sanzioni, anche elevate.

Cosa posso fare per adeguare la mia azienda?
Coloro che, a suo tempo, si sono conformati al D.Lgs. 196/03, ancora in vigore sino al 24 maggio, hanno già implementato parte delle regole richieste dal nuovo regolamento; è quindi necessario un adeguamento alle nuove norme.

Possiamo fare da soli oppure abbiamo bisogno di un consulente?
Occorre valutare la struttura della organizzazione, principalmente in riferimento alla quantità e tipologia di dati trattati e alla complessità dei sistemi I.T.C. ; grandi quantità di dati, oppure alcune tipologie di dati (es. quelli sensibili o sanitari) hanno un rischio maggiore di causare effetti lesivi della dignità delle persone.
Complessi sistemi di trattamento, magari diffusi in varie sedi, sottostanno ad un elevato rischio di data-breach; il nuovo regolamento affida al Titolare del trattamento la responsabilità di definire policy, strumenti e misure atte a minimizzare il rischio di security incident.
Le grandi aziende che dispongono di una apposita “unità organizzativa privacy”, hanno le risorse per definire i percorsi per raggiungere la compliance; ritengo comunque che alcuni processi (e penso, come esempio, alle attività di valutazione Risk Management – ISO31000, alla implementazione del sistema di gestione della sicurezza delle informazioni – ISO27001 oppure alla creazione del sistema di Incident Response) dovranno essere coadiuvati da supporto specialistico. Tutte le altre aziende dovranno avvalersi di consulenti specializzati, specialmente nelle più importanti fasi di analisi, valutazione, implementazione e controllo.

Uffa, un’altra legge; ma noi dobbiamo lavorare!
Spesso è quello che mi sento dire durante il primo incontro nelle aziende; vediamo di capire bene la situazione attuale, che molti non hanno ben presente.
Dal 1 gennaio 2004, in Italia, è in vigore il D.Lgs. 196/03 , tuttora in vigore; nel febbraio 2012, all’interno di uno sciagurato Decreto Semplifica Italia, si sono introdotte modifiche alla applicazione del D.Lgs. 196/03, una delle quali eliminava l’obbligo della tenuta del D.P.S. per le aziende che trattano dati sensibili limitatamente ai propri dipendenti; molti hanno evinto che il codice sulla protezione dei dati non avesse più effetto. Non è così, il codice ha tuttora effetto e soprattutto debbono sempre essere applicate le misure di sicurezza dell’allegato B del codice. Purtroppo abbiamo visto i risultati di tutto ciò negli anni passati.

Cogliamo l’occasione per rafforzare le aziende italiane.
Il 2017 è stato il peggior anno per la sicurezza informatica delle nostre aziende; l’Italia si trova nella TOP TEN dei paesi più colpiti al mondo; nel giugno 2017, diverse importanti aziende italiane sono state coinvolte in un massiccio attacco da malware NotPetya, e alcune hanno dovuto chiudere per diversi giorni e mandare a casa i dipendenti. Era possibile evitarlo? Certamente, in questo caso occorreva aggiornare il S.O. degli elaboratori, come è reso obbligatorio dalle misure di sicurezza del codice sulla protezione dei dati personali, allegato B.

Chi è un consulente specializzato GDPR?
Non sono sufficienti perfetta conoscenza delle norme e bollini; il consulente alla protezione dei dati personali è un professionista che ha competenze, esperienza, formazione specifiche e multidisciplinari, e che da anni svolge attività di consulenza e formazione relative alla protezione dei dati personali e degli strumenti di trattamento. Rivolgetevi ad un consulente che, tra i pochi in Italia, ha svolto un seminario di formazione presso la sede del Garante per la Protezione dei Dati Personali, in piazza di Monte Citorio.

Riservatezza e consulenza globale.
In molte organizzazioni, la riservatezza è un requisito fondamentale del rapporto con un consulente; motivo per il quale mi occupo personalmente di tutti gli aspetti, dal primo incontro alla valutazione finale. Qualora divenga necessario un supporto legale, abbiamo rapporti di collaborazione i migliori studi legali che si occupano di diritto informatico, anche internazionale.
Richiedete un primo incontro, informale e non vincolante, per valutare la vostra situazione attuale e definire un eventuale percorso di adeguamento.

Consulente privacy GDPR bibbiena poppi sansepolcro san giustino torrita di siena città di castello monte san savino rapolano terme sinalunga foiano cortona camucia montevarchi levane bucine figline incisa valdarno radda greve panzano in chianti

Consulente Privacy

Il regolamento Europeo 2016/679 concernente la tutela delle persone fisiche, con particolare riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 ed è diventanto direttamente applicabile, in tutti gli Stati membri, a partire dallo scorso 25 maggio 2018.

Il nuovo codice Europeo porta importanti innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti; imprese ed enti avranno più responsabilità, ma potranno anche beneficiare di diverse semplificazioni; in caso di inosservanza delle regole sono previste sanzioni, anche elevate.

Cosa posso fare per adeguare la mia azienda?
Coloro che, a suo tempo, si sono conformati al D.Lgs. 196/03, tuttora in vigore sino a che il Governo ne deciderà in merito, hanno già realizzato parte delle regole richieste dal nuovo regolamento; è quindi necessario un adeguamento alle nuove norme.

Possiamo fare da soli oppure abbiamo bisogno di un consulente?
Le nuove norme prevedono che tutte le organizzazioni pubbliche e quelle private che eseguono particolari trattamenti dovranno nominare una figura di tutela, definita responsabile della protezione dei dati personali.
Per le rimanenti organizzazioni, occorrerà valutare la struttura, principalmente in riferimento alla quantità e tipologia di dati trattati e alla complessità dei sistemi I.T.C. ; grandi quantità di dati, oppure alcune tipologie di dati (es. quelli sensibili o sanitari) hanno un rischio maggiore di causare effetti lesivi della dignità delle persone.
Complessi sistemi di trattamento, magari diffusi in varie sedi, sottostanno ad un elevato rischio di data-breach; il nuovo regolamento affida al Titolare del trattamento la responsabilità di definire policy, strumenti e misure atte a minimizzare il rischio security incident.
Le grandi aziende che dispongono di una apposita “unità organizzativa privacy”, hanno le risorse per definire i percorsi per raggiungere la compliance; ritengo comunque che alcuni processi (e penso, come esempio, alle attività di valutazione Risk Management – ISO31000, alla implementazione del sistema di gestione della sicurezza delle informazioni – ISO27001 oppure alla creazione del sistema di Incident Response) dovranno essere coadiuvati da supporto specialistico. Tutte le altre aziende dovranno avvalersi di consulenti specializzati, specialmente nelle più importanti fasi di analisi, valutazione, implementazione e controllo.

Uffa, un’altra legge; ma noi dobbiamo lavorare!
Spesso è quello che mi sento dire durante il primo incontro nelle aziende; vediamo di capire bene la situazione attuale, che molti non hanno ben presente.
Dal 1 gennaio 2004, in Italia, è in vigore il D.Lgs. 196/03 , tuttora in vigore; nel maggio 2011, all’interno di uno sciagurato D.L. 13 maggio 2011, n. 70, si sono introdotte modifiche alla applicazione del D.Lgs. 196/03, una delle quali eliminava l’obbligo della tenuta del D.P.S. per le aziende che trattano dati sensibili limitatamente ai propri dipendenti; molti hanno evinto che il codice sulla protezione dei dati non avesse più effetto. Non è così, il codice ha tuttora effetto e soprattutto debbono sempre essere applicate le misure di sicurezza dell’allegato B del codice. Purtroppo abbiamo visto i risultati di tutto ciò negli anni passati.

Cogliamo l’occasione per rafforzare la sicurezza delle aziende italiane.
Il 2017 è stato il peggior anno per la sicurezza informatica delle nostre aziende; l’Italia si trova nella TOP TEN dei paesi più colpiti al mondo; nel giugno 2017, diverse importanti aziende italiane sono state coinvolte in un massiccio attacco da malware NotPetya, e alcune hanno dovuto chiudere per diversi giorni e mandare a casa i dipendenti. Era possibile evitarlo? Certamente, in questo caso occorreva aggiornare il S.O. degli elaboratori, come è reso obbligatorio dalle misure di sicurezza del codice sulla protezione dei dati personali, allegato B.

Chi è un consulente specializzato nella Privacy?
Non sono sufficienti perfetta conoscenza delle norme e bollini; il consulente alla protezione dei dati personali è un professionista che ha competenze, esperienza, formazione specifiche e multidisciplinari, e che da anni svolge attività di consulenza e formazione relative alla protezione dei dati personali e degli strumenti di trattamento. Rivolgetevi ad un consulente che, tra i pochi in Italia, ha svolto un seminario di formazione presso la sede del Garante per la Protezione dei Dati Personali, in piazza di Monte Citorio.

Riservatezza e consulenza globale.
In molte organizzazioni, la riservatezza è un requisito fondamentale del rapporto con un consulente; motivo per il quale mi occupo personalmente di tutti gli aspetti, dal primo incontro alla valutazione finale. Qualora divenga necessario un supporto legale, ho contatti con i migliori avvocati che si occupano di diritto informatico, anche internazionale.
Richiedete un primo incontro, informale e non vincolante, per valutare la vostra situazione attuale e definire un eventuale percorso di adeguamento.

Svolgo consulenza, formazione privacy, sicurezza informatica G.D.P.R. in tutte le provincie della Toscana (Arezzo, Siena, Grosseto, Livorno, Lucca, Massa e Carrara, Pisa, Pistoia, Prato) e nelle regioni limitrofe (Lazio, Umbria, Emilia Romagna, Marche).