informativa
privacy

POLICY PER LA SICUREZZA DEI DATI

PREMESSA

Il presente Regolamento è emanato con atto del Titolare Sig.ra Angela Giuseppina Pistoi al fine di individuare le norme comportamentali e le procedure tecnico organizzative cui è necessario attenersi in materia di trattamento di dati personali e di sicurezza, nello svolgimento di tutte le attività di Lamat S.r.l. (di seguito Lamat o l’Azienda).

Il Regolamento è sottoposto ad aggiornamento periodico, in linea con le novità normative e con le pronunce del Garante della privacy.

Dall’esame della materia emerge come sia imprescindibile l’acquisizione di una mentalità che porti alla piena tutela della privacy, da considerare soprattutto come garanzia, per il cittadino che si rivolge alle strutture sanitarie, di una riservatezza totale dal punto di vista reale e sostanziale.

La privacy è un diritto inviolabile della persona, per questo motivo la cura della privacy fra gli operatori della sanità costituisce un dovere per proteggere la libertà degli interessati e contribuire concretamente al miglioramento continuo della qualità del rapporto con l’utenza.

Art.1 OBIETTIVO

Lo scopo primario del presente Regolamento è quello di assicurare che ogni trattamento di dati personali, svolto nell’ambito delle mansioni lavorative, avvenga nel rispetto dei diritti, delle libertà, nonché della dignità delle persone, con particolare riferimento a tutti coloro che hanno rapporti con Lamat, secondo le disposizioni vigenti in materia di protezione dei dati e amministrazione digitale.

Lamat assicura l’adozione di misure di sicurezza tecniche e organizzative, anche preventive, idonee a contenere e, se possibile, evitare situazioni di rischio, di indisponibilità o di alterazione dei dati e tese ad assicurare l’integrità del patrimonio informativo a livello aziendale.

L’Azienda inoltre adotta tutte le misure occorrenti per facilitare l’esercizio dei diritti dell’interessato come previsto dalle disposizioni vigenti.

Art. 2 VALIDITA’ E AMBITO DI APPLICAZIONE

Il presente Regolamento si applica al trattamento dei dati personali raccolti e trattati dagli operatori di Lamat, nel rispetto di quanto previsto

  • dal Codice in materia di protezione dei dati personali, emanato con Decreto Legislativo del 30/06/2003, n. 196, così come modificato dal D. Lgs 101/2018;

  • dal Regolamento UE n.679 del Parlamento Europeo del 27/04/2016 (GDPR);

  • ogni altra norma applicabile in materia di protezione dei dati personali nel settore sanitario.

Lamat tratta le informazioni relative a:

  • Cittadini pazienti;

  • Personale in rapporto di dipendenza o consulenza;

  • Clienti e fornitori;

  • Soggetti che per motivi di studio o volontariato frequentano le strutture dell’azienda;

Le persone fisiche che, nell’esercizio delle proprie mansioni e a qualsiasi titolo svolgono attività in qualità di “soggetto delegato”, “soggetto autorizzato al trattamento dei dati personali”, e di “amministratore o operatore di sistema” e comunque tutti coloro, incluse le persone giuridiche, che trattano, in qualsiasi ruolo, dati personali anche particolari per conto di Lamat sono tenuti al rispetto delle regole a ognuno impartite dall’Azienda.

Art.3 TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI

Il Titolare del trattamento dei dati personali è Lamat S.r.l. nella persona del Rappresentante Legale, sig.ra Angela Giuseppina Pistoi.

Il Titolare provvede, nei casi previsti dalla legge:

  1. ad adottare e monitorare per quanto di competenza, le misure necessarie a garantire la protezione dei dati personali, coerenti con il livello di rischio per gli interessati opportunamente valutato;

  2. a nominare i Responsabili del trattamento di dati personali, impartendo loro le necessarie istruzioni per la corretta gestione e protezione dei dati personali;

  3. a formare i propri collaboratori autorizzati al trattamento dei dati personali;

  4. a garantire l’esercizio dei diritti degli interessati nei modi e nei tempi previsti dal GDPR;

  5. ad assolvere l’obbligo di notificazione all’Autorità Garante laddove previsto;

  6. in generale, ad applicare quanto previsto dalla normativa vigente.

In particolare, il Titolare del trattamento è tenuto, in base alle disposizioni vigenti in materia di protezione dei dati personali, a effettuare nei confronti di tutti i Responsabili del trattamento le verifiche e i controlli sulla correttezza del trattamento dei dati loro assegnati.

Per lo svolgimento dei compiti indicati e nel rispetto di quanto previsto dalla normativa vigente, il Titolare ha nominato un Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (RPD/DPO), come riportato all’art.5.

Art.4 AMMINISTRATORE DI SISTEMA

Il Titolare del trattamento dei dati ha affidato all’ Amministratore di Sistema le seguenti funzioni:

1. Amministratore del sistema informativo di Lamat, in tutte le sue componenti;

2. Amministratore del sistema di gestione e rendicontazione dei servizi e delle prestazioni;

3. Amministratore di rete;

4. Amministratore delle basi di dati.

L’amministratore di sistema inoltre

  • può accedere secondo necessità alle varie componenti dei sistemi informatici e ai dati in essi contenuti al solo scopo di gestire, manutenere e sviluppare i sistemi aziendali;

  • deve sovrintendere al processo di produzione delle copie di sicurezza e di provvedere alla verifica periodica del funzionamento dei dispositivi di sicurezza (backup);

  • può accedere ai database della società per effettuare operazioni di manutenzione, estrazione e verifica dei dati mediante l’utilizzo di sistemi avanzati di gestione di basi di dati.

L’Azienda ha altresì il compito di verificare l’operato dell’Amministratore di Sistema nei termini previsti dalla norma vigente.

Art.5 RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Responsabile della Protezione dei dati, nominato dal Titolare e registrato presso il sito del Garante della Protezione dei Dati Personali è la dott.ssa Fulvia Trucco.

Il Responsabile della protezione dei dati (DPO) ha funzione di riferimento in materia di protezione dei dati personali e coordina l’applicazione delle disposizioni di legge che riguardano la gestione e protezione dell’informazione, adeguandola agli specifici percorsi organizzativi dell’Azienda, anche per garantire il rispetto delle misure di sicurezza.

Il DPO svolge i seguenti compiti:

  1. assiste la Direzione Aziendale nei rapporti con il Garante e nei rapporti con altri soggetti pubblici o privati per quanto riguarda gli adempimenti derivanti dalla normativa sulla protezione dei dati personali;

  2. cura la gestione delle nomine a Responsabile del trattamento dei dati personali per i fornitori di servizi a cui Lamat affida attività di elaborazione delle informazioni relative a persone fisiche;

  3. provvede alla stesura del Documento di Analisi dei Rischi avvalendosi della necessaria collaborazione del personale interno, dei referenti esterni eventualmente coinvolti nelle attività di trattamento dei dati e degli Amministratori di Sistema;

  4. vigila sull’osservanza del presente Regolamento Aziendale anche mediante verifiche periodiche (audit), fornendo alla Direzione Aziendale la necessaria consulenza in ordine alle problematiche in tema di riservatezza, integrità e disponibilità dei dati personali;

  5. svolge l’attività di formazione aziendale in tema di normativa sulla protezione dei dati personali;

  6. fornisce risposta ai quesiti che vengono sottoposti alla sua attenzione da parte delle strutture aziendali relativamente al trattamento dei dati personali;

  7. gestisce le richieste di approfondimenti degli interessati per quanto riguarda il trattamento e la protezione dei loro dati personali;

  8. provvede, alla revisione ed all’integrazione della modulistica in uso in ambito aziendale per quanto concerne le modalità di trattamento e la sicurezza dei dati personali;

  9. verifica i contratti, le convenzioni e gli accordi di servizio che vengono stipulati dall’Azienda che prevedano un trattamento di dati personali proponendo, se ritenuto necessario, integrazioni in merito alle istruzioni da impartire per garantirne la protezione e la conformità alla relativa normativa vigente;

  10. supporta il Titolare nelle segnalazioni delle violazioni dei dati personali all’Autorità Garante della Protezione dei Dati Personali e agli interessati coinvolti, nei termini previsti dal GDPR;

  11. costituisce punto di contatto dedicato per l’Autorità Garante per tutto quanto concerne il trattamento dei dati personali;

  12. cura che la comunicazione di dati personali da parte dell’Azienda avvenga nel rispetto delle norme di legge;

  13. Supervisiona e coordina la gestione delle richieste di esercizio dei diritti da parte degli interessati, assicurando il rispetto delle modalità e delle tempistiche richieste dalla normativa vigente in materia di protezione dei dati personali.

Art.6 I SOGGETTI DELEGATI AL TRATTAMENTO DEI DATI PERSONALI

Lamat individua fra i suoi collaboratori i soggetti a cui delegare attività di trattamento dei dati personali (soggetti delegati).

In particolare, l’Azienda ha delegato al dott. Michelino Silvestro, nella sua qualità di “Direttore Tecnico del laboratorio”, la responsabilità del trattamento dei dati personali dei clienti e dei pazienti dell’Azienda.

Il dott. Michelino Silvestro nella sua qualità di “Responsabile delle Risorse Umane” ha ricevuto inoltre una delega per la responsabilità del trattamento dei dati personali dei lavoratori, dei dipendenti e dei collaboratori.

Art.7 I RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI

Lamat ha individuato e nominato i fornitori di servizi a cui ha affidato attività di trattamento dei dati personali. I nominativi dei Responsabili del trattamento sono riportati nel registro dei trattamenti dei Titolare e del Responsabile tenuto dall’Azienda nel rispetto delle prescrizioni del GDPR e curato dal DPO.

Ogni Responsabile del trattamento dei dati personali è tenuto a:

  1. Attuare ogni azione necessarie per garantire il rispetto delle vigenti disposizioni in materia di protezione dei dati personali relativamente alle attività di trattamento loro assegnate;

  2. Adottare ogni misura di sicurezza necessaria a garantire la sicurezza dei dati personali nell’erogazione delle prestazioni e dei servizi richiesti e contrattualizzati con l’Azienda;

  3. Rispettare puntualmente tutte le istruzioni impartite dall’Azienda, con particolare riferimento alle comunicazioni pertinenti eventuali violazioni o richieste di esercizio dei diritti degli interessati.

Inoltre, i Responsabili del trattamento sono dotati di autonomia gestionale e organizzativa nella scelta dei mezzi e delle misure di sicurezza individuate a protezione dei dati personali, nei limiti imposti dalla normativa vigente e dalle istruzioni impartite in ogni forma dall’Azienda.

I Responsabili del trattamento, relativamente al proprio settore di competenza, rispondono

a Lamat di ogni violazione o mancata attivazione di quanto previsto dalla normativa in

materia di protezione dei dati e amministrazione digitale e riferiscono periodicamente a questi e al DPO sulle modalità di svolgimento dei compiti specifici loro assegnati.

Art.8 AUTORIZZAZIONI PER IL TRATTAMENTO DEI DATI PERSONALI

I dipendenti e i collaboratori (studenti, tirocinanti, stagisti, liberi professionisti) di Lamat che, a qualsiasi titolo, debbano operare su dati personali nell’ambito delle attività svolte all’interno delle strutture aziendali sono stati autorizzati da Lamat e hanno ricevuto precise disposizioni sul corretto uso dei dati personali.

Le autorizzazioni sono state conferite anche a ditte esterne in qualità di fornitori e manutentori degli apparecchi di laboratorio in comodato d’uso presso la sede dell’Azienda.

L’atto di autorizzazione costituisce il presupposto di liceità per l’uso dei dati personali in ambito aziendale: tale atto, controfirmato per presa visione, è conservato a cura del DPO.

Art.9 UTILIZZO CORRETTO DEI BENI E DELLE INFORMAZIONI

Tutte le persone fisiche che, nell’esercizio delle proprie mansioni, trattano, in qualsiasi ruolo, dati personali e sensibili per conto di Lamat sono tenuti al rispetto delle regole indicate nell’autorizzazione per il trattamento dei dati personali ad ognuno fornite, a quanto riportato nel presente regolamento e a ogni istruzione in qualsiasi modo impartita dall’Azienda, oltre che ad ogni previsione di legge applicabile.

Art.10 COMUNICAZIONE VERSO TERZI

Le comunicazioni verso terzi dei dati sensibili gestiti da Lamat devono essere effettuate solo dal personale autorizzato, limitatamente ai dati pertinenti, corretti e non eccedenti necessari alle finalità per le quali sono oggetto di trattamento. La comunicazione dei dati inoltre deve avvenire secondo le istruzioni impartite dall’Azienda e in ogni caso nelle modalità più opportune per garantire la riservatezza delle informazioni.

Art.11 TRATTAMENTO INFORMATICO DEI DATI E UTILIZZO DEI SUPPORTI TECNICI CORRELATI

L’utilizzo delle risorse informatiche aziendali deve sempre ispirarsi ai principi della diligenza e della correttezza. A tal fine Lamat ha adottato un regolamento interno diretto ad evitare che comportamenti inconsapevoli possano innescare problemi e minacce alla sicurezza nel trattamento dei dati.

Vedasi documento “Utilizzo del sistema informatico aziendale”, in cui le singole problematiche vengono esaminate nel dettaglio.

Normativa:

  1. Linee guida del Garante per posta elettronica e internet (Del. n.13 -1/3/2007),

  2. D.lgs. 30/2005, Codice della proprietà industriale

  3. D.lgs. 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali

  4. Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati

  5. Standard ISO 27001 (2013) – normativa sul Sistema di gestione della sicurezza dell’informazione

  6. D.lgs. 101/2018 -Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)