SOLUZIONI SU MISURA
PER OGNI STUDIO MEDICO

Dalla compilazione del GDPR personalizzata per la medicina di gruppo
al semplice accesso riservato ai singoli medici:
perchè ogni realtà è unica.

COMPILAZIONE FAI DA TE

Ad opera del medico

MAGGIORI DETTAGLI
Ideale per il medico che opera singolarmente o con postazione di segreteria.

  • Per singoli medici
  • Audit in remoto
  • Audit in loco
  • Supporto email

COMPILAZIONE ASSISTITA

Con il nostro supporto

MAGGIORI DETTAGLI
Consigliato ai Medici che desiderano demandare agli Specialisti, l'onere della raccolta dei dati ed il loro censimento su MilleGDPR.
  • Per studi medici
  • Audit in remoto
  • Audit in loco
  • Supporto email-priority

CORSO DI FORMAZIONE

per incaricati per il G.D.P.R.

MAGGIORI DETTAGLI
Consigliato al Titolare e a tutti gli incaricati del trattamento dati.


  • Per ogni incaricato
  • Audit in remoto
  • Audit in loco
  • Supporto on site
  • Servizio di formazione


Servizio DPO Esterno



Il DPO (Data Protection Officier)?

Il GDPR ha istituito la figura del DPO (Data Protection Officier) per le aziende con più di 200 dipendenti e per coloro che trattano abitualmente dati sensibili. Il DPO deve essere individuato in una figura esperta, priva di conflitti di interesse.
Servizio DPO fornito da Consulenti Esterni.
Siete in regola?

FAQ




Cosa significa "Privacy"?
Oggi come oggi, il concetto di privacy non è solo il diritto di essere «lasciati in pace» o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l'uso e la circolazione di dati personali che costituiscono il bene primario della «società dell'informazione.

Nel caso di più finalità per il trattamento dei dati come deve essere il consenso?

Deve essere accettato un consenso per ogni finalità di trattamento preceduto dalla relativa informativa.
Che cos'è il GDPR?
Per "GDPR" ("General Data Protection Regulation") si intende il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La nuova normativa entrerà pienamente in vigore in tutti i Paesi dell'Unione Europea il prossimo 25 maggio 2018.

Il GDPR introduce importantissime novità per cittadini e imprese, con l'obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell'economia digitale.
Come faccio a sapere se il GDPR si applica alla mia attività?
Se sei un'azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell'Unione Europea, sei tenuto ad adeguarti al GDPR. Il GDPR si applica anche a imprese ed enti che hanno sede al di fuori dell'Unione Europea, ad esempio se vendono beni o servizi, anche via internet, all'interno dell'Unione Europea.
Ma che cos'è un dato personale?
In pratica, un dato personale è qualunque informazione riconducibile ad un individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l'indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l'impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari. Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all'orientamento sessuale o all'apparenza a partiti e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.
Quali sono le mie responsabilità come azienda o studio e cosa rischio?
Ai sensi del GDPR, dovrai adottare tutte le misure di protezione dei dati previste dalla normativa. Ecco alcuni esempi di quello che dovrai fare per adeguarti al GDPR:

informa in modo chiaro, semplice e non "legalese" i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;

chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;

assicurati di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un'altra azienda (i.e. portabilità);

in caso di violazioni di dati o data breach – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – dovrai darne comunicazione entro 72 ore all'Autorità di controllo;

nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrai assicurarti di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati

Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, che comprendono multe fino a 20 milioni di Euro o – nel caso di imprese – fino al 4% del fatturato globale dell'esercizio precedente, se superiore.
Cosa devo fare per adeguarmi e da dove cominciare?
La nuova normativa richiede di adottare una serie di misure per proteggere in modo adeguato i dati delle persone con cui la tua azienda o il tuo studio si trova ad operare, ad esempio i dati dei tuoi dipendenti e dei tuoi clienti.

La prima cosa da fare, quindi, è prendere consapevolezza:

attivati per capire quali dati tratta la tua azienda o il tuo studio, a chi appartengono, per quali finalità li utilizzi, a quali rischi sono esposti e a chi vengono comunicati;

documenta i trattamenti di dati che hai individuato: il GDPR richiede di tenere (anche in formato elettronico) un Registro aggiornato dei dati personali che gestisci. Il Registro dei trattamenti potrebbe non essere necessario in alcuni casi specifici. Tuttavia, anche in questi casi è raccomandato dal Garante per la Protezione dei dati personali in quanto rappresenta uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte dell'Autorità di controllo, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti svolti ed è uno strumento indispensabile per ogni valutazione e analisi del rischio.
Cosa si intende per "trattamento" di dati personali? Quali trattamenti esegue tipicamente un'azienda o uno studio professionale?
Per "trattamento" si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.

Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un'operazione di trattamento da parte di studi professionali e aziende:

anagrafiche clienti o pazienti, dati sensibili come le cartelle cliniche o le ricette

anagrafiche dipendenti

anagrafiche fornitori

videosorveglianza

campagne commerciali e di marketing

gestione di un sito web

Se faccio medicina di gruppo?
Per i medici che fanno medicina di gruppo sarà necessario incaricare non solo la segretaria ma anche tutti gli altri che la compongono come incaricati e tracciare tutti i permessi che hanno sul dato del trattamento.
Chi è il responsabile della protezione dei dati personali (DPO) e quali sono i suoi compiti?
Il responsabile della protezione dei dati personali è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali
Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.
Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
La designazione del responsabile del trattamento non è obbligatoria ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

In ogni caso, resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.
È possibile nominare un unico responsabile della protezione dei dati personali nell'ambito di un gruppo imprenditoriale?
Il Regolamento (UE) 2016/679 prevede che un gruppo possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento
Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?
Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un "dipendente" del titolare o del responsabile del trattamento ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.
Siamo una medicina di gruppo / rete / associazione e siamo membri di uno Studio Medico Associato, titolare di Partita IVA. Lo Studio Medico Associato è tenuto ad eseguire il proprio assessment e alla nomina del DPO?
Lo Studio Associato è tenuto ad adempiere al Regolamento GDPR, poiché soggetto con Partita IVA e titolare di uno o più trattamenti dati che coinvolgono coloro verso i quali espleta la propria attività (ad esempio tiene una rubrica che contiene i dati relativi ai pazienti).

Inoltre, lo Studio Medico rispetta anche una delle casistiche di obbligatorietà di nomina di un DPO , ovvero il trattamento di dati sensibili, sanitari in questo caso, su larga scala (quindi con un numero potenzialmente illimitato di possibili pazienti). Di conseguenza la nomina di un Data Protection Officer è obbligatoria in questo caso.
Accountability
Principio di 'responsabilizzazione', cioè ogni azienda deve essere in grado di dimostrare la propria conformità al GDPR
Dpia
Data protection impact assessment o valutazione d'impatto sulla protezione dei dati: consiste nella valutazione dei rischi derivanti dal trattamento di dati personali per i diritti e le libertà degli interessati nonché delle misure atte a mitigarli; obbligatoria quando si presume un rischio elevato
Dpo
Data protection officer (responsabile della protezione dei dati) nuovo organo indipendente di sorveglianza circa l'effettività del sistema realizzato dall'azienda per essere conforme al GDPR; obbligatorio nei casi previsti dalla legge
Data breach
Qualsiasi violazione di sicurezza riguardante dati personali, come la distribuzione, l'accesso, la modifica o la divulgazione non autorizzata dei dati, oppure la perdita degli stessi
Dato personale
Qualsiasi informazione suscettibile di identificare un individuo
Gdpr
General data protection regulation ovvero il regolamento dell'Unione europea 2016/679 del 27 aprile 2016. Il regolamento diventerà operativo il 25 maggio 2018 in tutti i Paesi Ue, dopo due anni durante i quali è stato dato modo agli operatori di adeguarsi alle nuove regole. Il regolamento, che non ha bisogno di recepimento, manda in soffitta la direttiva 95/46/Ce, dalla quale hanno preso spunto le varie normative nazionali sulla privacy ora in vigore, compreso il codice italiano (il Dlgs 196/2003)
Privacy by default
La protezione dei dati personali deve risultare come impostazione predefinita: devono essere utilizzati solo i dati personali necessari allo specifico scopo legittimo perseguito e unicamente per il tempo essenziale allo scopo
Privacy by design
Il profilo della protezione dei dati personali deve essere affrontato sin dalla fase di concepimento di nuovi progetti o processi, prodotti o servizi
Registro dei trattamenti
L'elencazione sistematica di tutti i trattamenti dei dati personali effettuati dall'azienda con indicazione dei principali elementi di dettaglio atti a identificarli
Titolare del trattamento
L'azienda o l'ente pubblico che ha potere decisionale sull'uso dei dati personali di propria pertinenza

CONTATTACI