Modello Organizzativo Privacy (MOP)
La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale dell’Unione Europea. L’art. 8, par. 1 della Carta dei diritti fondamentali dell’Unione Europea, nonché l’art. 16, par. 1 del Trattato sul funzionamento dell’Unione Europea, stabiliscono, infatti, che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
Il diritto alla privacy costituisce, secondo il legislatore europeo, un vero e proprio diritto inviolabile dell’essere umano, che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertà fondamentali, nonché la dignità del singolo individuo.
In attuazione di quanto sopra, il 24 maggio 2016 è entrato in vigore il Regolamento Europeo 2016/679 (GDPR), divenuto definitivamente applicabile in tutti gli Stati membri con decorrenza 25 maggio 2018.
A livello nazionale, in attuazione dell’art. 13 della l. 163/2017, il legislatore italiano ha adottato il decreto legislativo 10 agosto 2018, n. 101, a mezzo del quale ha provveduto all’abrogazione e alla modifica di tutte le disposizioni del decreto legislativo 30 giugno 2003, n. 196 incompatibili con il GDPR.
Per quanto sopra, la “cultura della privacy” diviene un vero e proprio elemento cardine dell’organizzazione di tutte le Pubbliche Amministrazioni.
ARCS, pertanto, si adopera affinché si rafforzi una maggiore consapevolezza della materia all’interno della propria organizzazione e ciò, non solo con la conoscenza dei principi fondamentali alla base della vigente normativa nel trattamento dei dati, ma anche ponendo in essere tutti gli adempimenti di carattere tecnico e organizzativo atti a contribuire al miglioramento della qualità del rapporto con l'utenza e il trattamento dei dati.
SOGGETTI
Titolare del trattamento
AZIENDA REGIONALE DI COORDINAMENTO PER LA SALUTE (ARCS)
- sede legale: Via Pozzuolo, 330 – 33100 UDINE
- contatto: +39 0432 1438010
- partita iva: 02948180308
Responsabile della protezione dati ex art. 37 GDPR
Il Responsabile della Protezione dati (RPD) è una figura introdotta dall’art. 37 del GDPR che all’interno dell’Ente ha il compito di informare e consigliare il Titolare del trattamento dati, il responsabile del trattamento è tutti gli incaricati sugli obblighi previsti dalle norme in materia, verificare e monitorare sull’attuazione e l’applicazione delle norme in materia di privacy, fornire pareri ed assistere il Titolare in merito alle valutazioni di impatto sulla protezione dei dati, cooperare con le autorità di controllo e fungere da punto di contatto, non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti. Il RPD non è, però, personalmente responsabile nei confronti dei terzi dell'inosservanza degli obblighi in materia di protezione dei dati personali in quanto è compito del Titolare (art. 24 GDPR) mettere in atto le misure tecniche ed organizzative adeguate.
Responsabile Protezione dati ex art. 37 GDPR di ARCS
Informative privacy
Secondo il principio di accountability, ARCS in qualità sia di Titolare che di Responsabile Esterno del trattamento dati, rende ai soggetti interessati le informative in uso.
Incaricati del trattamento di primo e di secondo livello
Il MOP prevede che ciascun dipendente/collaboratore del Titolare tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto per le finalità indicate all’interessato (principio di "limitazione della finalità e minimizzazione dei dati”, art. 5 comma 1 lett. b) e c) del Reg. 679/16).
Considerata l’organizzazione di ARCS si è, quindi, optato per identificare e distinguere, con decreto n. 50 del 18/02/2020, gli incaricati di primo e di secondo livello, anche al fine di rendere espliciti i relativi ruoli all’interno dell’organizzazione aziendale: nelle nomine sono, in particolare, indicate tutte le istruzioni che ARCS fornisce ai propri dipendenti per un corretto trattamento dei dati.
Responsabile esterno del trattamento dati ex art. 28 GDPR
Qualora il Titolare ricorra a soggetti esterni per lo svolgimento di alcune attività che implicano un trattamento di dati, provvede a nominare detto soggetto quale “Responsabile Esterno del Trattamento”, regolando il rapporto con lo stesso a mezzo di un apposito contratto di nomina a “Responsabile Esterno del Trattamento” ex art. 28 del Reg. UE/679/16.
È prevista, inoltre, la nomina di ARCS quale “Responsabile Esterno del Trattamento” nell'ipotesi in cui tratti dati per conto di terzi.
La regolamentazione aziendale in materia, con i relativi modelli, è stata approvata con decreto n. 153 del 22/06/2020.
Regolamento Privacy
L'Azienda, a tali fini, implementa costantemente un Modello Organizzativo Privacy aziendale (MOP) e si è dotata di un regolamento in materia di trattamento dei dati personali che disciplina, nell’ambito delle attività istituzionali attribuite dall’articolo 4 della legge regionale 27 dicembre 2018, n. 27 e ss.mm. e ii., le modalità di trattamento dei dati personali, nel rispetto di quanto previsto dalla normativa europea e nazionale.
Policy informatica
La sicurezza informatica è un elemento sempre più rilevante nell’ambito degli Enti, soprattutto in virtù della continua interconnessione dei sistemi ed il considerevole aumento dei servizi offerti attraverso la rete.
Per ARCS è pertanto un obiettivo preciso quello di garantire sempre più alti standard di sicurezza informatica volti a prevenire rischi informatici e di violazione dati. Per tale ragione, oltre alle misure di sicurezza prettamente tecniche, ARCS si è dotata anche di una policy di sicurezza informatica, approvata con Decreto del Direttore Generale n. 261 del 03/12/2020, quale misura di carattere organizzativo che indica tutte le procedure e le regole di condotta che devono essere tenute da dipendenti e collaboratori per contrastare i rischi informatici.