Archivio dell'autore: sicurezzapratica

Quando va nominato il DPO in sanità?

corsodpoagg.jpg

Il responsabile della protezione dei dati (o data protection officer ) va nominato quando vi è un trattamento “su larga scala” di dati sanitari: è il caso della clinica o di strutture che hanno come mission la cura e l’assistenza ai pazienti (case di riposo, centri per la riabilitazione, ecc.). La nomina va, invece, esclusa per i singoli professionisti e gli studi associati.

Quali sono le responsabilità penali del DPO?

Questo quesito ci viene posto spesso dagli abbonati al Clubdpo.com – Per rispondere in maniera compiuta è utile confrontare il GDPR e la figura del DPO con quelle già esistenti in altri ambiti specifici come il Responsabile del Servizio di Prevenzione e Protezione (R.S.P.P.) previsto dal D. lgs. 81/2008 e l’Organismo di Vigilanza (OdV) previsto dal D. lgs. 231/01.

Continua per gli abbonati a www.clubdpo.com

Il piano ispettivo Garante privacy primo sementre 2019

SOFTWARE ISPEZIONE GDPR – ACCEDI ALLA DEMO DEL SOFTWARE

Istituti di credito, sanità, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà, grandi banche dati pubbliche. Sono questi i settori sui quali nei prossimi mesi punterà la sua lente il Garante per la protezione dei dati personali contenuti nel piano ispettivo per il primo semestre 2019 approvato nelle scorse settimane.

L’attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, riguarderà innanzitutto i trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti; i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca;  la gestione delle carte di fidelizzazione da parte delle aziende; il rilascio dell´identità digitale ai cittadini italiani (Spid); il Sistema Integrato di Microdati (Sim) dell´Istat.

I controlli si concentreranno anche sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull´informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. L’attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi.

Intanto il bilancio 2018 dell´attività ispettiva dell´Autorità conferma l’incremento dell´attività sanzionatoria già registrato lo scorso anno.

Nel corso del 2018 sono state adottate 175 ordinanze-ingiunzione, a fronte delle 109 del 2017 ed è stato rilevato un notevole aumento delle somme riscosse pari a 8.161.806 euro, a fronte dei 3.776.694   euro registrati nel 2017 (con una variazione positiva del +116% ).

Da registrare inoltre un incremento del 20% delle violazioni amministrative contestate: 707 nel 2018 rispetto alle 589 contestazioni del 2017.

Le contestazioni hanno riguardato la violazione di disposizioni del Codice per illeciti commessi prima della data di applicazione del Regolamento (UE) 2016/679.

Sono invece diminuite le segnalazioni all´autorità giudiziaria: 27 nel 2018 rispetto alle 41 del 2017.

Gli accertamenti, svolti nel 2018 anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, da società che svolgono attività di telemarketing, da società che offrono servizi di “money transfer”. Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app.

Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata su enti pubblici, soprattutto Comuni e Regioni, che svolgono trattamenti di dati personali  mediante app per smartphone e tablet,  con  particolare attenzione all’eventuale profilazione e geolocalizzazione degli utenti; sulle grandi banche dati; sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit; sul sistema informativo dell´Istat e sullo Spid.

I medici possono trattare i dati dei pazienti per finalità di cura senza consenso

ACCEDI ALLA VIDEO DEMO DI ISPEZIONE GDPR

I medici potranno trattare i dati dei pazienti, per finalità di cura, senza dover richiedere il loro consenso, ma dovranno comunque fornire loro informazioni complete sull’uso dei dati. Il medico che opera come libero professionista non è tenuto a nominare il Responsabile della protezione dati.  Tutti gli operatori del settore dovranno tenere un registro dei trattamenti dei dati. 

Questi sono i principali chiarimenti forniti dal Garante della privacy a cittadini, medici, asl e soggetti privati, sulle novità introdotte, in ambito sanitario, dal Regolamento UE in materia di protezione dei dati (GDPR) e dalla normativa nazionale.

Il provvedimento generale, adottato dall’Autorità, intende favorire un’interpretazione uniforme della nuova disciplina, ancora in fase transitoria, e supportare gli operatori con informazioni utili alla sua corretta attuazione.

Il Garante ha chiarito, ad esempio, che il professionista sanitario (come il medico), soggetto al segreto professionale, non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria.

E’ invece richiesto il consenso, o una differente base giuridica, quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità. Ne sono un esempio i trattamenti di dati sulla salute connessi all’uso di “App” mediche (ad eccezione di quelle per la telemedicina), quelli effettuati per la fidelizzazione della clientela (come quelli praticati da alcune farmacie o parafarmacie), oppure per finalità promozionali, commerciali o elettorali.

L’Autorità ricorda che, sulla base dell’attuale normativa che regola il settore, permane la necessità di acquisire il consenso anche per il trattamento dei dati relativo al fascicolo sanitario elettronico, o per la consultazione dei referti online.

Nel documento del Garante sono forniti chiarimenti anche in merito all’informativa agli interessati, che deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro. Rispetto al modello pre-GDPR, essa deve contenere maggiori informazioni a tutela dell’interessato quali, ad esempio, quelle relative ai tempi di conservazione dei dati,  che – se non sono specificati dalla normativa di settore – dovranno comunque essere individuati dal titolare (ad esempio il medico specialista o l’ospedale).

Il Garante dedica una sezione anche al Responsabile per la protezione dei dati (RPD, DPO nell’acronimo inglese). Sono tenuti alla nomina del RPD tutti gli organismi pubblici, nonché gli operatori privati che effettuano trattamenti di dati sanitari su larga scala, quali le case di cura. Non sono invece tenuti alla sua nomina i liberi  professionisti o altri soggetti, come le farmacie, che non effettuano trattamenti su larga scala.

L’Autorità infine chiarisce che è obbligatorio per tutti gli operatori sanitari tenere un registro nel quale sono elencate le attività di trattamento effettuate sui dati dei pazienti. Tale documento rappresenta, in ogni caso, un elemento essenziale per il “governo dei trattamenti” e per l’efficace individuazione di quelli a maggior rischio, anche per dimostrare il rispetto del principio di responsabilizzazione (accountability) previsto da GDPR.

Fonte: Garante privacy

10 consigli pratici per una migliore registrazione delle violazioni dei dati

10 consigli pratici per una migliore registrazione delle violazioni dei dati
Sulla base dei risultati della ricerca, l’AP viene fornito con 10 suggerimenti pratici per una migliore registrazione delle violazioni dei dati:

Descrivere in modo chiaro e completo incidenti, conseguenze e misure correttive;
Fare una distinzione esplicita tra misure correttive e preventive. Registra sempre le misure correttive nel registro di violazione dei dati. Può essere utile includere queste misure nel ciclo plan-do-check / learn-act;
Evitare la frammentazione delle registrazioni; crea una registrazione ben organizzata che viene inserita allo stesso livello di dettaglio dei dettagli per ogni unità organizzativa. Considerare, ad esempio, rendere la registrazione trasparente a tutti i dipendenti in modo che possano consultare la panoramica della registrazione prima di registrare qualcosa da soli;
Registrare per caso se il responsabile della protezione dei dati (FG) è coinvolto e, in tal caso, in quale misura. Ogni organizzazione governativa ha un FG.
Registrare per caso se la violazione dei dati è stata segnalata all’AP e ai soggetti coinvolti e spiegare perché ciò è accaduto o meno;
Sii trasparente nei confronti delle persone interessate se c’è stata una violazione dei dati. Comunicare in modo efficace e tempestivo su questo. Conservare la prova di tale notifica e registrarla nella registrazione. 
Preparare un manuale o fornire formazione per i dipendenti che completano la registrazione della violazione dei dati. Questa istruzione può essere parte di una procedura di segnalazione documentata per l’obbligo di segnalazione di violazione dei dati.
Registrare quali altre organizzazioni sono state coinvolte in una violazione (ad esempio co-processori, processori o sub-processori). Ciò è utile se un’organizzazione stipula nuovi accordi con il processore con i relativi processori.
Valutare la classificazione delle violazioni dei dati in base alla natura, alle conseguenze e alle parti coinvolte e alle possibili misure;
Discutere regolarmente la registrazione della violazione dei dati al livello giusto all’interno dell’organizzazione come parte di un ciclo di pianificazione-controllo / apprendimento. In questo modo le organizzazioni possono imparare dagli errori. Il FG può svolgere un ruolo attivo in queste discussioni.

Fonte: Simone Chiarelli

GDPR: in Italia oltre 630 notifiche di data breach

Dall’inizio dell’applicabilità del GDPR, ci sono state in Italia solo 630 notifiche di data breach, mentre ne sono avvenute oltre 10.000 in Paesi come l’Olanda, la Germania e la Gran Bretagna; a livello di Stati membri dell’Unione europea si contano invece più di 59.000 notifiche di violazione dei dati personali (data breach) eseguite da quando il GDPR è entrato in vigore il 25 maggio 2018.

SOFTWARE ISPEZIONE GDPR – SIMULATORE ISPEZIONE GARANTE PRIVACY E GUARDIA DI FINANZA

Secondo il GDPR Data Breach survey pubblicato da DLA Piper, Paesi Bassi, Germania e Regno Unito hanno contato rispettivamente circa 15.400, 12.600 e 10.600 notifiche di data breach e i Paesi Bassi comandano ancora la classifica dei dati pro capite con 89,8 segnalazioni ogni 100.000 persone, seguiti da Irlanda e Danimarca.

Scarica il report DLA Piper GDPR data breach survey dal seguente link

DPO/Consulente privacy – Come acquisire nuovi incarichi professionali – parte 1

Le opportunità professionali per il ruolo di DPO / Consulente privacy, dopo il boom dell’anno scorso con l’entrata in vigore del Reg. Ue 2016/679, si sono progressivamente ridotte, determinando l’esigenza in molti professionisti, di definire una efficace strategia per acquisire nuovi incarichi professionali.

Attualmente il panorama professionale dei DPO/ Consulente privacy è costituito da numerosi professionisti, alcuni con molta esperienza in ambito privacy, esperienza sia legale che informatica, altri invece che propongono esclusivamente “approcci” sul basso costo.
In un contesto del genere è davvero difficile per un serio professionista approcciarsi al mercato degli incarichi professionali come DPO e alla consulenza privacy in genere.

Le prime domande che ti devi porre nel definire la strada corretta per acquisire nuovi incarichi come DPO / Consulente privacy sono le seguenti:
Cosa farai per farti conoscere come un valido DPO / Consulente privacy?
Come intendi differenziarti e far risaltare la tua proposta di consulenza come DPO  e privacy?
Chi sono i tuoi clienti target?
Cosa stanno cercando?
Quale sarà la tua proposta di valore che ti differenzierà dai concorrenti?

Il primo aspetto da considerare è come dimostrare le tue qualifiche e le tue competenze professionali.

A tale riguardo è consigliabile avere seguito un corso specifico per DPO (ad esempio il corso on line Esperto DPO, che ti fornisce anche software professionale per svolgere tale professione), con rilascio dell’attestato, o un corso specifico come consulente privacy (ad esempio il corso on line Esperto Privacy).

E’ consigliabile integrare tale corso con una formazione più specifica inerente gli Audit Privacy (ad esempio il corso on line Esperto Audit Privacy) , attività che ogni 6 mesi deve essere svolta in ogni azienda, per evidenziare eventuali criticità privacy sanzionabili.

Ma non è sufficiente. Il potenziale cliente deve essere rassicurato sul fatto che stai svolgendo un programma continuo di aggiornamento professionale, in modo tale da potere garantire all’azienda una puntuale ed efficace competenza in ambito privacy / GDPR.
E’ quindi consigliabile utilizzare il servizio www.clubdpo.com, che assicura tale aggiornamento continuo.

Quindi, una delle tue prime preoccupazioni dovrebbe essere quella di certificare, sostenere e rafforzare le qualifiche indicate nel curriculum.

Un’altra strategia per dimostrare le proprie qualifiche professionali, è quella di creare un blog sulla privacy e pubblicare i contenuti sui gruppi specifici di LinkedIn e Facebook, nonchè parteciparvi attivamente rispondendo alle domande dei vari utenti.

E’ utile creare un proprio canale Youtube dove postare brevi video blog contenenti consigli operativi.

Altresì la partecipazione a conferenze e seminari svilupperà la tua rete professionale e rafforzerà la tua reputazione di esperto.

La tecnica di marketing più potente per un consulente è quella di pubblicare un articolo in una rivista (quotidiano o periodico), oppure pubblicare un libro e distribuirlo ad esempio in rete su Kindle o su altri network specializzati.

Autore: Dr. Matteo Rapparini – Seguimi su Linkedin
CEO Edirama – http://www.edirama.org