GDPR considerando 171 non sottovalutare

GDPR CONSIDERANDO 171, DA NON SOTTOVALUTARE

“…Il trattamento già in corso alla data di applicazione del presente regolamento dovrebbe essere reso conforme al presente regolamento entro un periodo di due anni dall’entrata in vigore del presente regolamento…”

In buona sostanza, il titolare che ha già posto in essere un trattamento di dati personali alla data del 25 maggio 2018, deve arrivare a tale data con tutti i processi e le procedure aziendali rese già conformi ai nuovi disposti normativi. Il considerando va letto nel suo pieno significato anche e, soprattutto, per quanto riguarda gli archivi dei medici visitati (ex art. 5 EU Reg. 2016/679)

In parole povere, il lavoro di adeguamento deve essere terminato e non iniziato il 25 maggio 2018.
E quindi che fare?

Intanto porsi il problema è già un buon inizio, ma il trovare consulenti qualificati e non dell’ultimo minuto e dotarsi di un valido e preparato DPO, in grado di portare e mantenere l’azienda in conformità, sarà la carta vincente.

Infine, come dimostrare la conformità?
Ad ognuno la sua scelta. Gli strumenti resi disponibili dal testo GDPR sono diversi…
La certificazione volontaria, accreditata (ISO/IEC 17065:2012 – Reg. 765/2008), rappresenta per il settore farmaceutico un elemento di presa di coscienza e di accountability in merito ai Data Base utilizzati.

Laddove viene fatto un uso di dati personali dei medici, con archivi propri o di terzi, responsabilizza il titolare ad effettuare una corretta valutazione dei processi e dei dati.
In questo scenario il ruolo degli Auditor, dei consulenti e dei DPO sarà cruciale e le aziende avranno sempre più bisogno di professionisti estremamente preparati. Un auditor in grado di certificare le proprie competenze sul campo è una garanzia per l’azienda e un vantaggio per tutto il sistema privacy

La posta in gioco è molto alta.

Sarà necessario lavorare alacremente perché IL TEMPO CHE RIMANE AL 25 MAGGIO 2018 PUò essere tanto o poco. Considerato il fatto che ila maggior parte  delle aziende non è si è mai posta neanche il problema forse, per taluni sono pochissimi.

(fonte: Osservatorio 679)

GDPR: approvato lo schema di decreto, NON SI ABROGA IL D.Lgs. 196/2003

Approvato in via preliminare lo schema di decreto legislativo per adeguare il quadro normativo nazionale alle disposizioni del regolamento UE 2016/679

Nell’attesa del decreto definitivo, anche se un pò lentamente, l’Italia sta facendo i passi giusti. L’adeguamento è necessario per:

  • abrogare le norme italiane incompatibili col Regolamento;
  • per definire le norme italiane che si “collegano” con il Regolamento nel rispetto dei principi e delle norme del Regolamento stesso.

A breve pubblicheremo il testo.

 

Pisa, 23 marzo 2018 – Studio Paci presente con Luca Di Leo relatore al Convegno “Cybersecurity: nuove sfide per l’applicazione del GDPR in ambito sanitario”

Mancano poche settimane all’esecutività delle misure del GDPR, il Regolamento Europeo n.2016/679 sulla Data Protection di cui tanto si parla.

Il sistema di regole che i sistemi aziendali dovranno rispettare a partire dal prossimo 25 maggio è davvero complesso, dato che al Regolamento dovranno essere associate anche talune disposizioni del Decreto Legislativo n.196, ed è chiaro che ogni azienda deve darsi da fare con urgenza per conformare a norma i propri trattamenti di dati personali.

Con il GDPR in effetti ci troviamo davanti ad una rivoluzione di approccio alla protezione dei dati personali, un’occasione di innovazione nella gestione delle informazioni, un nuovo contesto dove si parla di accountability, privacy by design, privacy by default, approccio basato sul rischio, auditing, Data Protection Officer.

Ma il sistema sanitario è un sistema molto critico, dove per essere compliant alle norme e proteggere adeguatamente l’importante patrimonio informativo è necessario adottare misure impegnative, tali da proteggere adeguatamente le informazioni, con un coinvolgimento di tutto il management.

È proprio sull’adozione di specifiche misure di sicurezza e sul controllo della loro adeguatezza che è necessario focalizzare l’attenzione nel sistema di trattamento dei dati di salute, per evitare che queste preziose risorse siano esposte a rischi.

La Fondazione Toscana “G. Monasterio”, L’Istituto di Fisiologia Clinica del CNR, APIHM, il Master in Management delle Aziende Sanitarie e il Dipartimento di Economia e Management dell’Università di Pisa, impegnati da anni nello studio e l’analisi dei temi legati alla nuova regolamentazione comunitaria della protezione dei dati in ambito sanitario, organizzano un evento i cui relatori, alla luce delle specifiche caratteristiche e complessità, si confronteranno sullo stato dell’arte e sui costi dell’applicazione del GDPR, in particolare per quanto riguarda la tenuta in sicurezza dei sistemi informativi.

 

Programma

08.30 – Registrazione dei partecipanti

09.00 – 09.30 – Apertura lavori e saluti delle Autorità

Filomena Polito – Presidente di APIHM

Luciano Ciucci – Direttore Generale della Fondazione Toscana Gabriele Monasterio – Pisa

Giorgio Iervasi – Direttore dell’Istituto di Fisiologia clinica – CNR – Pisa

Luca Anselmi – Professore di Economia Aziendale Dipartimento di Economia e Management – Università di Pisa

Carlo Milli – Direttore Amministrativo – Azienda ospedaliero universitaria Pisana

Guerrino Zanotti – Segretario di Stato per gli Affari Interni della Repubblica di San Marino

Alberto Marchesi – Presidente  Ordine Avvocati di Pisa

 

Sessione 1 – Cybersecurity – Minacce, vulnerabilità e rischi per i dati, le persone ed i pazienti

Moderazione a cura di Mauro Giraldi,  Direttore Sanitario Presidio ospedaliero – AOU Pisana

09.30 – 09.50 – Allarme sicurezza informatica nel mondo: un bollettino di guerra. Luigi Sfredda – Responsabile comunicazione – ASUR Marche

09.50 – 10.10 – Internet delle cose, le meraviglie e le sorprese dell’IoT. Maurizio Rizzetto – Direttore S.C. Innovazione e Gestione Tecnologie A.A.S. n. 5 Friuli occidentale – Gruppo ICT Associazione italiana Ingegneri clinici

10.10 – 10.30 – La mancata percezione del rischio del trattamento dei dati del cittadino, una prima analisi. Marco Paterni – Istituto di Fisiologia clinica – CNR

10.30 – 10.50 – Infrastrutture critiche e sicurezza, l’importanza dell’architettura di sicurezza. Francesco Grasso – Responsabile Sistemi informativi Azienda ospedaliero-universitaria Policlinico Umberto I Roma

10.50 -11.20 – Pausa caffè

11.20 – 11.40 – I Dispositivi medici e la sicurezza dei dati: stato dell’arte. Ilde Maria Barbieri – Ingegnere clinico – ASST Bergamo ovest

11.40 – 12.00 – Cyber risk in corsia ed ambulatori. Giuseppina Terranova – Clinical Risk Manager – ASL Toscana nord-ovest

12.00 – 12.20 – Cyber security e dati a maggior tutela. Stefano Dalmiani – Direttore Area ICT – Fondazione Toscana Gabriele Monasterio

12.20 – 12.40 – Il costo della cattiva gestione della sicurezza dei dati, un rischio da ponderare. Caterina Giannetti – Ricercatrice del Dipartimento di Economia e Management dell’Università di Pisa

12.40 – 13.10 – Discussione

13.10 – 14.15 – Pausa

14.15 – 14.20 – Apertura lavori pomeridiani.  Filomena Polito – Presidente di APIHM

Sessione 2 – I rischi del trattamento – Accountability e procedure di Data Breach

Moderazione a cura di Franco Antonio Margonari. Direttore UOC Affari Generali – ULSS 9 Scaligera

 

14.20 – 14.40 – CyberSecurity e rischi di sicurezza, esperienze e normative europee a confronto  Alessandro Vallega – Oracle GDPR Business development EMEA Security – Clusit Board of Director

14.40 – 15.00 – Attacchi informatici e CyberDifese. Giuseppe Augiero – Amministratore di sistema – Fondazione Toscana Gabriele Monasterio – Pisa

15.00 – 15.20 – Il recupero dei dati perduti, strategie e strumenti. Paolo Tognotti – Responsabile IT di AEG S.p.A.

15.20 – 15.40 – Oltre Bitcoin, applicazioni della blockchain in ambito sanitario. Marco Carlo Spada – Consulente per la sicurezza dei Sistemi informatici. Maria Letizia Perugini – Blockchain postdoctroral reseacher HEG – Università di Parma

15.40 – 16.00 – L’approccio risk-based alle politiche di sicurezza, l’organizzazione per dar seguito al GDPR. Graziano De’ Petris – Responsabile dell’Ufficio Privacy Azienda sanitaria universitaria integrata – Trieste Vicepresidente APIHM

16.00 – 16.20 – Pausa

16.20 – 16.40 – Il DPO e la valutazione e comunicazione del rischio e del danno cyber.  Filomena Polito – DPO e Presidente di APIHM

16.40 – 17.00 – Rischio Cyber e responsabilità del trattamento dei dati.  Nicola Fabiano – Avvocato cassazionista – ICT Security Manager Certified

17:00 – 17:10 – “Valutazione del rischio nell’ambito dei processi e nelle integrazioni”. Marco Bechini – Direttore Soluzioni ed interoperabilità Dedalus

17:10 – 17:30 – “AGID e le misure di sicurezza adeguate: come si implementano”. Luca Di Leo – Consulente Privacy

17:30 – 17:50 – “Alert e Privacy by design, tecnologie e procedure per la prevenzione e gestione del CyberRisk” Antonio Guzzo – Responsabile dei Sistemi Informativi del Comune di Praia a Mare

17.40 – 18.00 – Conclusione dei lavori e sintesi finale. Graziano De’ Petris – Responsabile dell’Ufficio Privacy Azienda sanitaria universitaria integrata – Trieste

 

 

Convegno dello Studio Paci all’ANIS di San Marino

La nuova Privacy riguarderà anche le imprese di San Marino
PDF Stampa
Venerdì 27 Ottobre 2017
Patrizia Gigante
di Daniele BartolucciLe imprese di San Marino che trattano dati personali di cittadini europei, a prescindere dall’attività svolta e dalla tipologia dei dati trattati, dovranno sottostare molto presto a nuovi obblighi e responsabilità previste da una nuova normativa europea in materia di privacy. Con la nuova legislazione in materia di protezione dei dati (introdotta nel maggio 2016 con il General Data Protection Regulation o Regolamento UE 2016/679, in sostituzione alla Direttiva sulla protezione dei dati 95/46 del 1995), infatti, dal 25 maggio 2018 cambierà il modo di rapportarsi con l’UE, sia che nel frattempo venga modificata la normativa interna, ovvero la Legge 23 maggio 1995 n.70 che regolamenta la raccolta la raccolta informatizzata dei dati personali, sia che le imprese debbano adeguarsi autonomamente. Una rivoluzione che si avvicina sempre di più, mancano ancora solo pochi mesi, e che potrebbe mettere San Marino fuori mercato (basti pensare che oltre il 90% dell’import/export avviene con Paesi UE), o i suoi player a rischio di pesanti sanzioni.
ANIS CON LE IMPRESE: CONVENZIONE E CONVEGNO

Proprio per questo motivo, da tempo l’ANIS ha aperto un dialogo con le istituzioni sammarinesi, sollecitando una normativa che tuteli il futuro e garantisca alle imprese la continuità operativa senza esporle a nuovi rischi. Per supportare le Aziende in questo importate passaggio, nel frattempo, si è aperto un costruttivo dialogo con lo Studio Privacy Paci di Rimini (che si trova all’interno dello Studio Cocco&Gigante), con il quale – analogamente a Confindustria Romagna – si è deciso di attivare una convenzione per le aziende associate, offrendo loro un servizio che diverrà fondamentale, affidandosi ad un team di esperti che da anni operano nel settore al fianco delle imprese. Non solo: “Per un ulteriore approfondimento su tutte le novità e gli adempimenti, la nostra Associazione, in collaborazione con il suddetto studio, ha organizzato un seminario di studio che si svolgerà venerdì 27 ottobre alle ore 10 nella sala corsi Anis”. I Relatori saranno la stessa la dott.ssa Gloriamaria Paci e l’avvocato Patrizia Gigante, che già era intervenuta al seminario di giugno, tenutosi sempre a San Marino, grazie alla Camera di Commercio e in collaborazione sempre con ANIS. Le imprese interessate a partecipare all’evento dal titolo “Il Regolamento Europeo in materia di protezione dei dati personali 2016/679. Come affrontare la normativa che avrà un impatto trasversale su tutti i processi aziendali” (vedi box in basso a destra), possono contattare la segreteria ANIS al numero di telefono 0549/873918 per informazioni e iscrizioni.

TRATTAMENTO DATI: TANTI GLI ASPETTI LEGALI

“Il concetto privacy, intesa come diritto alla riservatezza, si è ormai evoluto a tal punto da riguardare tutto e tutti”, ha spiegato la Dott.ssa Gloria Paci (vedi Fixing nr 35). Senza tralasciare quindi l’onere per lo Stato, saranno soprattutto le imprese a doversi attrezzare in vista dell’entrata in vigore del nuovo Regolamento UE.

“In particolar modo le imprese sammarinesi”, avverte l’Avv. Patrizia Gigante, relatrice al seminario del 27 ottobre in ANIS, “in quanto la maggior parte della loro operatività riguarda l’Unione Europea e, quindi, si riferisce a cittadini europei. Il nostro Studio vanta fra i suoi clienti numerose aziende sammarinesi, un’esperienza grazie alla quale ho potuto approfondire diverse casistiche che rientrano in queste dinamiche: dalla più classica impresa che commercializza prodotti da e verso l’UE, fino alle imprese capogruppo, che in alcuni casi fanno già raccolta dati in Italia tramite le altre società e poi li trasferiscono a San Marino, dove li detengono. Spesso, purtroppo, svolgono questa attività inconsapevoli di come andrebbe invece regolamentato il trattamento dei dati, a partire dalla modulistica, che a volte non ne tiene conto”.

“Senza dimenticare”, avverte l’Avv. Gigante, “gli stessi lavoratori frontalieri italiani occupati nelle imprese sammarinesi e tutti i residenti e soggiornanti che provengono dagli Stati membri dell’UE, che ovviamente saranno tutelati dal nuovo GDPR. Si tratta di migliaia di persone e stiamo parlando solo di coloro i quali sono a San Marino. Se estendiamo l’attività a tutti i cittadini i cui dati sono raccolti, o trattati, o detenuti in Repubblica, è facile comprendere il volume totale e, quindi, il rischio potenziale a cui le aziende sammarinesi potrebbero essere esposte da maggio 2018”. Inoltre c’è lo Stato: solo a livello sanitario, basta pensare a quanti dati di natura sensibile di cittadini europei raccoglie e detiene lo Stato di San Marino. Oppure alle telecamere poste sulle strade. “La casistica riguardante lo Stato è infinita, se vogliamo, ma anche in questo caso valgono le stesse regole”.

TUTELA ADEGUATA, SERVE UNA NORMATIVA EFFICACE

Anche solo con queste valutazioni preliminari, è facile comprendere quanto San Marino, intesa come Stato e imprese, stia rischiando.

Ma è ancora un rischio che molti non considerano tale, perché – pensano – riguarda l’Unione Europea, non sapendo che, invece, “questa tutela ha validità extraterritoriale”, spiega l’Avv. Gigante: “Il regolamento sarà infatti applicabile a tutti gli operatori anche se offrono solo online prodotti e/o servizi ai cittadini europei, determinando un’applicazione quindi universale. Questa disposizione è importante perché consentirà di applicare il regolamento anche a tutti gli operatori che non dispongono uno stabilimento in Europa. E’ probabilmente un concetto nuovo per molti imprenditori, e non solo, per questo occorre sensibilizzare in primis le Istituzioni e le imprese sammarinesi, perché non venga sottovalutato il rischio. Un rischio che possiamo già qualificare in sanzioni, che potrebbero venire comminate alle aziende (ma anche allo Stato stesso e ai suoi Enti, ndr) e che saranno pesantissime, ma anche a una sorta di isolamento commerciale. Ed è un rischio che, immagino, nessun Paese vorrebbe correre”.

Per questo motivo “occorre aumentare la consapevolezza su questa tematica, anche grazie ai convegni che si sono svolti e che si stanno organizzando, ma anche attivando canali diretti con il Garante Privacy italiano per arrivare, nel più breve tempo possibile ad una tutela adeguata. In questo processo San Marino può sfruttare comunque un vantaggio: non avendo alle spalle una complessa storia di diritto alla Privacy come altri Paesi, può adeguarsi molto più velocemente, anche evitando magari piccoli e grandi errori che altri hanno commesso e che stanno correggendo ora”.

IL CONVEGNO PER LE IMPRESE ANIS

“Per supportare al meglio le nostre aziende in questo indispensabile adeguamento organizzativo”, annunciano da ANIS, “abbiamo stipulato una convenzione con lo Studio Consulenza Privacy della Dott.ssa Gloriamaria Paci che fornirà tutta l’assistenza professionale necessaria”. Inoltre, “per un ulteriore approfondimento su tutte le novità e gli adempimenti, la nostra Associazione, in collaborazione con il suddetto studio, organizza un seminario di studio che si svolgerà venerdì 27 ottobre alle ore 10 nella sala corsi Anis”. I Relatori saranno la stessa la dott.ssa Gloriamaria Paci e l’avvocato Patrizia Gigante, che già era intervenuta al seminario di giugno, tenutosi sempre a San Marino. Le imprese associate, interessate a partecipare all’evento dal titolo “Il Regolamento Europeo in materia di protezione dei dati personali 2016/679″. Come affrontare la normativa che avrà un impatto trasversale su tutti i processi aziendali”, possono farlo compilando il modulo che ANIS ha inviato loro oppure contattando la segreteria (0549/873918).