Archivi categoria: Ruoli e Responsabilità

Responsabili esterni: partnership di lungo periodo o scaricabarile?

Il GDPR, finalmente, evidenzia le situazioni di disorganizzazione. Assistiamo ai tentavitivi di svolgere ciò che non si è fatto finora, soprattutto dal punto di vista della concretezza operativa. Nel redigere il registro dei trattamenti emerge il problema dell’assessment relativo alle nomine dei responsabili esterni di trattamento. Ho potuto osservare che alcuni titolari ‘spammano’ i loro… Leggi tutto »

Il “Poliziotto buono” che controlla i nostri dati. Ecco come nominarlo

A dare le indicazioni il Garante della Privacy attraverso una serie di Faq per facilitare la nomina della figura del “Responsabile della Protezione dei Dati”, figura obbligatoria per strutture sanitarie pubbliche e private, che ha il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi altresì all’esterno in via diretta con tutte le… Leggi tutto »

Clausole contrattuali tra Titolare e Responsabile

Le Autorità per la Protezione de Dati francese e spagnola hanno pubblicato due guide per i Responsabili del trattamento, più precisamente e rispettivamente “Règlement européen sur la protection des données : un guide pour accompagner les sous-traitants” e “Directrices para contratos responsable – encargado”. Inoltre L’Autorità Inglese (ICO) ha pubblicato una bozza di guida sui… Leggi tutto »

IL CONSENSO RACCOLTO PRIMA DELLA DATA DI EFFICACIA DEL GDPR SARÀ ANCORA VALIDO?

La “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” pubblicata dal Garante precisa, nelle “Raccomandazioni” in calce alla scheda dedicata al consenso, che: “Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per… Leggi tutto »

Test clinici e GDPR: valutazioni sulla contitolarità dei dati

Ho cominciato ad affrontare l’implementazione del nuovo Reg. 679/2016 con molti miei clienti, casa farmaceutiche e aziende di medical device. Tra i vari trattamenti di dati effettuati da tali tipologie di titolari, ci sono quelli relativi ai test clinici sui medicinali e alle indagini cliniche sui dispositivi medici. E qui mi sono resa conto che… Leggi tutto »

Il processo di autenticazione nel Fascicolo Sanitario Elettronico

Dal punto di vista della privacy, il Servizio Pubblico per l’Identità digitale – SPID è a norma con il GDPR, in quanto adeguata misura di cautela per proteggere i dati personali (Art. 32). Attualmente, in molti servizi di Fascicolo Sanitario Elettronico online, ci si autentica a livello 2 (Level of Assurance 3 (LoA3) dello standard… Leggi tutto »

Riflessioni sui contenuti dei registri del trattamento art. 30 GDPR

Tutti i Titolari e i Responsabili di trattamento, eccetto gli organismi con meno di 250 dipendenti, sono obbligati a tenere un registro delle operazioni di trattamento. Per le eccezioni di cui all’articolo 30.5 rimando al mio precedente articolo. Dunque, il Regolamento prevede due distinti regolamenti : uno del Titolare del trattamento e uno del Responsabile. La scelta… Leggi tutto »

Una checklist per adeguarsi al GDPR

Adeguarsi al GDPR può essere un compito abbastanza complesso: il Regolamento è corposo 99 articoli e 173 considerando. Ho ritenuto utile, almeno per me, elaborare un riassunto ragionato, che guidi il processo mentale per capire se e come adeguare le procedure aziendali per ottenere la compliance. Come tutti i riassunti, ovviamente si possono perdere dei… Leggi tutto »

Piano operativo per adeguare un organizzazione al GDPR

Il GDPR ha compiuto un anno (il 27 Aprile, pubblicato in GUE il 4/5/2016) e molti non hanno ancora delineato un piano di adeguamento. Rimane poco più di un anno (25 Maggio 2018) per adeguarsi. Alcuni garanti europei hanno pubblicato qualche documento su come adeguarsi: Il garante Inglese (ICO) ha proposto 12 passi Il garante… Leggi tutto »

IL GDPR agevola la ricerca scientifica

La direttiva 46/95 trattava l’argomento principalmente nei seguenti termini: Il trattamento a fini di ricerca scientifica è considerato non incompatibile con altri trattamenti ( 6) La conservazione dei dati può essere prolungato oltre il termine previsto dai singoli specifici trattamenti per la ricerca scientifica (art. 6) L’informativa può non essere data quando particolarmente onerosa (40)… Leggi tutto »