Disposizioni di attuazione GDPR in ambito aziendale
I nuovi adempimenti previsti dal Regolamento comportano una intensa attività di organizzazione a carico delle amministrazioni pubbliche.
Il Garante per la protezione dei dati personali ha indicato in particolare alle pp.aa. di dare seguito con assoluta priorità a partire dal 25 maggio 2018 a:
- l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171);
- la notifica delle violazioni dei dati personali (c.d. Data Breach, artt. 33 e 34).
Istituzione del registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30 del RGPD. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Con la medesima deliberazione 416/2018 l’azienda ha istituito il registro dei trattamenti e, con la successiva deliberazione 620/2019, si è dato atto della sua progressiva implementazione.
L'assetto organizzativo aziendale
In seguito all'attivazione delle misure organizzative necessarie a supportare gli adempimenti connessi al GDPR, l'azienda ha strutturato la gestione aziendale mediante una figura ed un organismo interno di supporto (referente e USP) i quali fungono da intercapedine tra il titolare e il RPD-DPO.
Inoltre l'azienda, da un lato, fruisce di una collaborazione ormai ventennale con i colleghi della ULSS 3 per la condivisione degli aspetti critici connessi alla materia, dall'altro è supportata, come tutte le aziende regionali, dalla struttura competente di Azienda Zero a livello di indirizzo generale e messa a disposizione di documentazione di riferimento.
L'organigramma aziendale dei ruoli privacy dopo il GDPR
L'azienda ha sostanzialmente mantenuto l'assetto precedente al GDPR mediante apposite disposizioni che sono state fornite in sede di prima attuazione a partire dal 25 maggio 2018. In base alle previsioni del regolamento, la figura di Responsabile viene circoscritta ai soggetti esterni all'azienda, mentre, per la declinazione dei ruoli di responsabilità interni, ora si delineano le figure di delegato e di autorizzato (gli ex incaricati).
Accordo per la nomina Responsabili (esterni) al trattamento
Il GDPR fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve dimostrare che il responsabile fornisce "garanzie sufficienti" – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
A fianco trovate il modello di Accordo da utilizzare da parte di tutti i delegati al trattamento che intrattengono rapporti con soggetti esterni che effettuano operazioni di trattamento sulle banche dati dell’Azienda, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni istituzionali. Questo modello di accordo si applica, quindi, oltre a tutta la materia contrattuale di acquisiti di beni e servizi anche a quella convenzionale con soggetti pubblici e privati