7.1 Responsabili Interni del Trattamento
Il Titolare del Trattamento, in considerazione della complessità e della molteplicità delle funzioni istituzionali dell’Azienda, designa quali Responsabili del trattamento:
• ogni Dirigente preposto ad una Unità Operativa dell’Azienda, per le banche dati cartolari e per le banche dati elettroniche delle singole strutture;
il Dirigente Responsabile del Servizio Informatica per le banche dati elettroniche gestite centralmente;
tutti i soggetti esterni che, in qualsiasi maniera, utilizzano la banca dati del Titolare del Trattamento per conto e nell’interesse del Titolare per finalità connesse all’esercizio delle sue funzioni aziendali (art. 9).
La designazione dei Responsabili interni è legata al conferimento dell’incarico di struttura e si considera accettata mediante la sottoscrizione del contratto.
Il Titolare del Trattamento deve informare ciascun Responsabile del trattamento, così come individuato dal Regolamento, delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative vigenti.
Ogni Responsabile deve garantire:
– il tempestivo ed integrale rispetto dei doveri dell’Azienda previsti dal Codice, compreso il profilo relativo alla sicurezza;
– l’osservanza delle disposizioni del presente Regolamento nonché delle specifiche istruzioni impartite dal Titolare;
– l’interazione con il Garante in caso di richiesta di informazioni od altri accertamenti;
– l’adozione di idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalla normativa vigente e dal sistema di sicurezza aziendale in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza.
Il Responsabile del trattamento dei dati, in relazione all’attuazione delle misure di sicurezza, ha i seguenti compiti:
• redigere ed aggiornare l’elenco delle tipologie dei trattamenti effettuati (censimento – art. 16);
• richiedere al Responsabile del Servizio Informatica l’attribuzione ad ogni Incaricato del trattamento di un codice di identificazione personale individuale e non riutilizzabile per l’accesso ai dati;
• custodire le password per l’accesso ai dati da parte degli Incaricati;
• verificare con il Responsabile del Servizio Informatica l’efficacia dei programmi di protezione ed antivirus nonché definire le misure di accesso ai locali e le misure di sicurezza contro il rischio di intrusione;
• garantire che tutte le misure di sicurezza riguardanti i dati dell’Azienda siano applicate all’interno dell’Azienda stessa ed all’esterno, qualora agli stessi vi sia accesso da parte di soggetti terzi quali Responsabili del trattamento;
• informare il Titolare nella eventualità si siano rilevati dei rischi.
• Tutti coloro che, in qualsiasi maniera, gestiscono, in modo individuale e separato rispetto alla singola struttura di appartenenza, dati personali di terzi, assumono singolarmente la qualità di autonomi “Titolari” del trattamento.
7.2 Responsabili Esterni Del Trattamento
Tutti i soggetti esterni che effettuano operazioni di trattamento sulle banche dati dell’Azienda, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni aziendali, sono nominati “Responsabili esterni” del trattamento.
I Responsabili esterni hanno l’obbligo:
• di trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia di privacy;
• di rispettare le misure di sicurezza previste dal Codice sulla privacy e di adottare tutte le misure che siano idonee a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
• di nominare al loro interno i soggetti incaricati del trattamento;
• di garantire che i dati trattati siano portati a conoscenza soltanto del personale incaricato del trattamento;
• di trattare i dati personali, anche di natura sensibile e sanitaria, dei Pazienti esclusivamente per le finalità previste dal contratto o dalla convenzione;
• di attenersi alle disposizioni impartite dal Titolare del trattamento;
• di specificare i luoghi dove fisicamente avviene il trattamento dei dati.
Nel caso di mancato rispetto delle predette disposizioni, i Responsabili esterni del trattamento devono intendersi autonomi “Titolari” del trattamento e quindi soggetti ai rispettivi obblighi e pertanto rispondono direttamente e in via esclusiva per le eventuali violazioni alla legge.
7.3 Incaricati Del Trattamento
Ogni dipendente preposto ad un determinato servizio e tenuto ad effettuare operazioni tecniche di trattamento è da considerare, a tutti gli effetti, “Incaricato” ai sensi dell’art. 30 del Codice sulla privacy.
L’Incaricato, nello svolgimento delle operazioni strettamente connesse all’adempimento delle sue funzioni, deve attenersi scrupolosamente alle istruzioni impartite dal Titolare e dal Responsabile, impegnandosi ad adottare tutte le misure di sicurezza previste dal presente Regolamento nonché ogni altra misura che sia idonea a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio, anche accidentale, di distruzione o perdita, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta.
L’Incaricato collabora con il Titolare ed il Responsabile segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo ogni informazione necessaria per l’espletamento delle funzioni di controllo.
In particolare, l’Incaricato deve assicurare che, nel corso del trattamento, i dati siano:
– trattati in modo lecito e secondo correttezza;
– raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni di trattamento in termini compatibili con questi scopi;
– esatti e, se necessario, aggiornati, pertinenti, completi, non eccedenti e, se dati sensibili, indispensabili rispetto alle finalità per le quali sono raccolti o successivamente trattati;
– conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
L’Incaricato è tenuto alla completa riservatezza sui dati di cui sia venuto a conoscenza in occasione dell’espletamento della sua attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal Titolare e dal Responsabile, nei soli casi previsti dalla legge e/o nello svolgimento dell’attività aziendale.
La designazione dell’Incaricato viene effettuata mediante preposizione del dipendente, con provvedimento di assunzione od ordine di servizio, alla singola unità di servizio per la quale è individuato l’ambito di trattamento consentito per mezzo delle schede di censimento dati .
Gli Incaricati devono ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni, riguardo le attività sui dati affidate (inserimento, aggiornamento, cancellazione, ecc.) e gli adempimenti a cui sono tenuti.