In questa pagina sintetizziamo i principali quesiti in materia di protezione dei dati. Chiunque affronti una problematica giuridica e tecnico-giuridica in materia di protezione dei dati personali, dovrebbe porsi questi sei quesiti essenziali frutto dell’esperienza oramai ventennale dei componenti dello studio.

 

Quesito 1 sulla protezione dei dati personali: chi è il soggetto che decide in via autonoma le finalità e modalità del trattamento?

Quesito 2 sulla protezione dei dati personali: quali dati personali vengono trattati?

Quesito 3 sulla protezione dei dati personali: perché si effettua il trattamento dei dati?

Quesito 4 sulla protezione dei dati personali: come vengono trattati i dati personali?

Quesito 5 sulla protezione dei dati personali: dove vanno a finire i dati personali?

Quesito 6 sulla protezione dei dati personali: come vengono protetti i dati personali?

 

Il Data Protection Officer o Responsabile della protezione dei dati deve quotidianamente avere a che fare con questi quesiti, il primo quesito affronta una delle questioni essenziali e che spesso generano errori anche con conseguenze irreparabili, chi determina le finalità e modalità del trattamento coincide di regola con l’entità nel suo complesso, non con il legale rappresentante oppure con un organismo societario che invece è un organo interno alla società.

Per quanto concerne il secondo quesito si tratta di analizzare quali tipologie di dati personali vengono trattati durante uno specifico trattamento, per esempio potrebbero essere dati personali identificativi, oppure dati particolari (ex dati sensibili), oppure ancora dati giudiziari.

Il terzo quesito riguarda le finalità del trattamento e la base giuridica del trattamento, il trattamento potrebbe avvenire sulla base di un contratto o sulla base di un consenso.

Il quarto quesito riguarda le modalità del trattamento, mentre il quinto quesito apre ad interrogativi importanti sulla giurisdizione europea o extra europea, per esempio una e-mail potrebbe finire su server non europei e pertanto soggetti a poteri pubblici di Autorità relativi al Paese di destinazione dei dati.

Infine, il sesto quesito apre a questioni connesse al livello di sicurezza dei dati che deve essere adeguato al rischio inerente al trattamento dei dati e pertanto per il trattamento occorre valutare il rischio in termini di gravità e probabilità di verificazione di un evento.

Come si vede i quesiti essenziali della protezione dei dati personali sono quesiti che richiedono competenze legali e tecniche, sono sempre molto specialistici richiedendo una buona dose di studio e di esperienza. Pertanto, il Responsabile della protezione dei dati dovrà non solo avere un buon bagaglio tecnico e legale sul piano teorico ma dovrà aver maturato un’esperienza nello specifico settore.

 

QUATTRO CASI DI VIOLAZIONE DATI IN SANITA’

Si riportano di seguito quattro casi pratici di violazione dei dati personali, si tratta di una sintesi relativa a quattro casi esaminati dal Garante nel settore sanitario.

Caso 1 – La ASL della provincia di Enna aveva adottato, nelle proprie sedi, un sistema che consente il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze, al fine di garantire “una maggiore affidabilità tecnica nella verifica dell’identità di ogni dipendente” e “scoraggia[re] fenomeni di assenteismo […] l’Ufficio ha avviato un’istruttoria nei confronti dell’Azienda.

Caso 2 – Viene rilevata una violazione di dati personali consistente nella erronea consegna, a una paziente richiedente copia della propria cartella clinica, della cartella clinica relativa ad altro paziente.

Caso 3 – Una paziente che chiedeva che non fossero date informazioni sul suo stato di salute a soggetti terzi forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda. Successivamente alle dimissioni della paziente, l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare con il coniuge delle stessa.

Caso 4 – Viene rilevata una violazione dei dati personali in relazione all’avvenuta spedizione, in formato cartaceo, di documentazione, contenente referti relativi ad esami ematici di un bambino, a un soggetto diverso da quello legittimato a riceverla.

 

Per maggiore approfondimento sul ruolo del DPO e su altre tematiche si riportano alcuni articoli pubblicati e interviste TV del Prof. Avv. Fabio Di Resta, altri articoli sono reperibili nella sezione news del presente sito.

 

Qui un articolo di approfondimento sul trattamento dei dati sanitari e sul ruolo del DPO sempre a firma del Prof. Di Resta

Qui un articolo di approfondimento sul ruolo del DPO e sui requisiti dello stesso, sempre a firma del Prof. Di Resta

 

Qui un’intervista TV da parte del Prof. Avv. Di Resta del 18 marzo 2022, avvocato e presidente del Centre europeo per la Privacy, una riflessione sui rischi di cybersecurity e protezione dei dati: la sicurezza va declinata a vari livelli dai dati personali ai sistemi informativi e le reti. La società digitale ha dei rischi intrinseci connessi alla gestione digitale dei flussi informatici e necessitano di essere protetti. Una guerra sul campo si sovrappone alla guerra cibernetica e riguarda anche le fake news.

Qui una intervista del prof. Fabio Di Resta su Radio Cusano Campus  da parte di Gianluca Fabi, qualche riflessione sul caso dell’attacco informatico alla Regione Lazio, la lezione da apprendere. La nuova riforma con la istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) deve essere bene accolta, il lavoro futuro (davvero lungo il percorso da fare) dovrebbe essere certamente di maggiore impegno istituzionale, ma fondamentale appare la diffusione della cultura delle verifiche interne (su tutta la PA e nelle imprese) per comprendere il livello di sicurezza del singolo ente, unitamente a competenze vere non solo dichiarate su protezione dei dati e cybersecurity, distinguendo la competenza IT dalla cybersecurity. Ogni organizzazione pubblica e privata dovrebbe, secondo il GDPR, cybersecurity e standard internazionali, identificare il livello di rischio (inerente il trattamento dei dati personali/inerente la sicurezza dei sistemi informatici e delle reti) ed essere in grado di garantire e dimostrare di aver adottato misure fisiche, logiche ed organizzative efficaci, ma quante organizzazioni sono davvero in grado di farlo con certezza? Il caso Regione Lazio, ferme le responsabilità dei singoli che verranno accertate, si inserisce in un contesto generale davvero fragile, sul quale le istituzioni dedicate nella migliore delle ipotesi possono solo fare la loro parte nel futuro. Negli USA dove l’impalcatura sulla cybersecurity e’ già una realtà, la prima differenza, a mio avviso, è che le istituzioni conoscono le loro debolezze  e ci possono lavorare, è stato reso noto che il 93/95℅ dei server delle PA non sono sicuri, il gap e’ evidente e nel futuro la PA e le imprese non possono trascurare tutto questo.

 

Dettagli Contatti

ROMA

00195 Roma – Italia
Viale G. Mazzini, 123, 00195, Roma
tel. (0039) 0699330862
fax (0039) 0681151625

MILANO

29158 Milano – Italia
Piazzale Lugano, 29
tel. (0039) 0240705678

LATINA

04100 Latina –  Italia
via Vicenzo Monti, 42, A/2
tel. (0039) 07731740457
fax (0039) 07731870145

Inviaci una email