Search
× Search

Notizie dalla Liguria

Riprende il dialogo Aiop-Aris con le Organizzazioni Sindacali

Il rinnovo del Contratto nazionale del personale non medico, che opera nella componente di diritto privato del Ssn è, da sempre, un’assoluta priorità per Aiop e Aris, e non è mai stato messo in discussione, nel rispetto dei legittimi interessi delle parti. A seguito dell’improvvisa interruzione delle trattative, avvenuta il 27 gennaio scorso, Barbara Cittadini, Presidente nazionale Aiop e Padre Virginio Bebber, Presidente nazionale Aris, hanno avviato immediati contatti con tutti gli interlocutori istituzionali, ribadendo l'assoluta volontà di rispettare gli impegni assunti nei confronti degli oltre 100mila lavoratori che ogni giorno, con grande professionalità, consentono agli italiani di avere una risposta alla propria domanda di salute, tenuto conto delle esigenze delle strutture rappresentate.

Il cammino verso il rinnovo del CCNL del personale non medico ha compiuto un nuovo passo in avanti

Forte segnale di responsabilità da parte dell’Assemblea AIOP

L’Assemblea generale dell’Aiop, convocata a Roma il 22 gennaio u.s., per esprimersi sul tema del rinnovo del CCNL, ha ribadito la volontà di definire, in tempi rapidi, l’intesa per il rinnovo del contratto del personale non medico della componente di diritto privato del Ssn, nel rispetto degli accordi e dei risultati con le Istituzioni e le Organizzazioni sindacali.
RSS
1345678910Last

Notizie Aiop Nazionale

7035

Quando i dati particolari sono soggetti a controlli da parte di terzi

I casi sono molti, soprattutto nelle cliniche ospedaliere

Marco Ghizzi, Data Protection Officer Villa Gemma s.p.a. (BS)

Alla luce della recente entrata in vigore del GDPR, la gestione della protezione dei dati e le regole di accesso agli stessi pongono leciti interrogativi sul corretto inquadramento degli organismi di controllo, come l'Organismo di Vigilanza, il Collegio Sindacale o il DPO, all'interno dell'organigramma privacy aziendale. All'interno di una società, infatti, tali organismi devono trovare l'equilibrio tra la propria natura indipendente nei confronti dei vertici aziendali (su cui possono e devono esercitare il proprio potere di controllo) e la necessità di svolgere le proprie funzioni all'interno della azienda controllata. Come noto infatti, tali organismi possono entrare in contatto con i dati di cui l'azienda è Titolare (elenco dei dipendenti, le loro presenze, la partecipazione ai corsi, le non conformità) e tali dati possono anche appartenere a categorie particolari (i vecchi dati sensibili): si pensi, per esempio, a quelli correlati alle visite mediche in ambito di medicina del lavoro per i dipendenti o a quelli sanitari nel caso di poliambulatori/cliniche ospedaliere o, ancora, a quelli giudiziari per le società di professionisti legali. Ebbene, la loro indipendenza intrinseca induce molti commentatori ad identificarli come Titolari di tali trattamenti in modo da non creare vincoli di alcun genere con l'azienda controllata. 

A tal riguardo, chi volesse approfondire questo orientamento può trovare interessanti spunti al seguente link:

ORGANISMI DI VIGILANZA E CONTROLLO E RUOLI PRIVACY: VALUTAZIONI GENERALI E PRIME CONSIDERAZIONI SUI TRATTAMENTI DEL DPO - Maria Roberta Perugini

Altri commentatori, invece, preferiscono nominarli Responsabili al trattamento, in quanto, ad esempio, ritengono che non definiscano autonomamente le finalità del trattamento ma le "subiscano" in ragione dell'incarico stesso assegnato loro dall'azienda Titolare (cfr. il link sottostante).

La Privacy e la vigilanza sul modello 231 . Quale ruolo per l’Organismo di Vigilanza? - Paola Perinu

Sulla scorta dei suddetti orientamenti, si tratterebbe quindi di chiarire se, concentrandoci ad esempio sulla figura del DPO, quest'ultimo sia da nominare Responsabile o addirittura Titolare del trattamento dati, dal momento che anch'esso entra in contatto con i dati aziendali nell'espletamento dei suoi compiti di controllo e, per sua natura, gode di totale autonomia nei confronti del Titolare medesimo.
Senonché, in caso affermativo, si innescherebbe un evidente circolo vizioso poiché esso stesso sarebbe chiamato a nominare, in ultima analisi, un DPO indipendente!
Diversamente, secondo chi scrive, una visione alternativa potrebbe essere quella di porre l'accento sull'analisi delle sue effettive attività all'interno della azienda, ovvero valutazione e controllo dei processi, dell'organizzazione e della sicurezza aziendale, nonché loro aderenza - o meno - alle norme privacy.
Così facendo emergerebbe che l'accesso ai dati, seppur implicito nelle funzioni del DPO, è da considerarsi meramente accidentale e il DPO non ha potere decisionale sui trattamenti degli stessi.
Pertanto, la sua Responsabilità al Trattamento è nulla in quanto non ne decide alcun aspetto.
A fronte di quanto sopra, si può analogamente concludere che tutti organismi di controllo, pur entrando in contatto con i dati trattati dal Titolare, non sono Responsabili della loro organizzazione, della loro sicurezza e della riduzione dei rischi.
Sarà sempre onere del Titolare definire le norme che questi organismi dovranno "operativamente" seguire durante l'uso di tali dati.
Si pensi, ad esempio, alla gestione dei dati proveniente dai rapporti con i whistleblowers: il Titolare avrà l'onere di informare i dipendenti della azienda delle modalità con cui interagire con l'Organismo di Vigilanza e come quest'ultimo tutelerà ogni informazione relativa alla persona.
Eventuali eccezioni emergono nel caso si affidi all'organismo di controllo anche l'organizzazione di determinati trattamenti, come ad esempio la conservazione dei dati in luogo separato (nel proprio studio) o la loro comunicazione ad enti terzi: in tali casi l'organismo dovrà essere eletto Responsabile del Trattamento dati per quanto di sua competenza.
Chi scrive ritiene tuttavia che tali casistiche dovrebbero essere estremamente circoscritte perché portatrici di potenziali conflitti di interesse all'interno dell'organismo di controllo stesso.

Conclusione
Gli organismi di controllo per loro natura non sono Titolari dei trattamenti in quanto ogni attività sui dati discende ed è limitata dal ruolo di mero controllo che l'azienda ha riservato loro.
Non possono nemmeno essere considerati Responsabili in quanto l'attività di controllo per sua natura non può avere responsabilità diretta su alcun aspetto organizzativo dell'azienda da controllare.
I componenti di tali organismi di controllo devono comunque essere istruiti sulla corretta gestione dei dati - in genere - e sulle specifiche norme che l'azienda si è data per la loro sicurezza, in quanto il loro compito potrebbe metterli in contatto con i dati. Sarà onere del Titolare garantire e poter dimostrare che tali soggetti siano stati debitamente istruiti in tal senso.
Da parte loro, i suddetti componenti saranno chiamati ad aderire a queste istruzioni aziendali nell'ambito privacy, analogamente a come lo sono per quel che riguarda le più generali norme di sicurezza da rispettarsi operando all'interno di una azienda.

Previous Article Big data in sanità
Next Article Le novità sul lavoro della settimana
Please login or register to post comments.

Rassegna Stampa Regionale

Articoli delle principali testate giornalistiche nazionali e della stampa locale relativi a sanità, ricerca scientifica e medicina, con una maggior attenzione alla realtà ligure. Il servizio integrale è riservato agli associati Aiop Liguria.

 

Rassegna Stampa Nazionale

RassAiop3HP

La rassegna stampa 
della sanità privata

Servizio riservato agli associati Aiop

Link Istituzionali

Copyright 2024 by Aconet srl
Back To Top