Protezione dei dati personali
Il 25 maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (cd. General Data Protection Regulation – GDPR).
Il GDPR dichiara fin dal suo incipit che “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale” e che “protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.
La principale novità introdotta dal GDPR è il principio di “responsabilizzazione” (cd. accountability) che, con un approccio basato principalmente sulla valutazione dei rischi sui diritti e le libertà degli interessati, attribuisce ai Titolari del trattamento (quindi anche all’Azienda USL di Modena) il compito di assicurare ed essere in grado di comprovare il rispetto dei principi applicabili al trattamento dei dati personali e di adottare le misure che ritengano a ciò più idonee ed opportune. Ciò ha imposto anche a questa Azienda di adottare un nuovo approccio nel trattamento dei dati personali, sia degli utenti che accedono alle strutture aziendali, sia degli operatori che vi lavorano.
In particolare sono previsti in capo all’Azienda/Titolare del trattamento nuovi adempimenti e un’intensa attività di adeguamento alla normativa comunitaria, obiettivi non semplici in una realtà sanitaria di grandi dimensioni, in cui quotidianamente vengono trattati migliaia di dati estremamente delicati come quelli riguardanti la salute delle persone. Proprio per questo è in corso di predisposizione un percorso applicativo in materia di protezione dei dati, che consenta di mettere a punto un sistema stabile a presidio permanente della tematica.
Fulcro operativo di tale percorso è l’Ufficio Privacy, al cui interno opera il Referente aziendale per la privacy, che si occupa delle problematiche inerenti la protezione dei dati personali e si pone come punto di riferimento non soltanto per gli operatori interni ma anche per gli utenti che desiderino maggiori informazioni sulle politiche aziendali a tutela della privacy o abbiano la necessità di chiarimenti o approfondimenti. L’altra figura che riveste grande rilievo ai fini della protezione dei dati e della concreta attuazione del progetto è il Servizio Information Communication Technology (ICT), che si occupa di uno degli aspetti fondamentali in materia: le misure di sicurezza poste a protezione dei dati trattati in modo informatizzato. L’Azienda ha inoltre provveduto a designare, così come richiesto dal GDPR, il Data Protection Officer (DPO), soggetto che riferisce direttamente al Titolare, in posizione di indipendenza e autonomia e che deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati personali, a garanzia di qualità del risultato del processo di adeguamento in atto.
In questa sezione sono disponibili provvedimenti e atti aziendali aggiornati adottati dall’Ausl di Modena per attuare le disposizioni di legge.
Procedura di gestione delle nomine a responsabile del trattamento dei dati ai sensi dell’art. 28 GDPR e delle clausole contrattuali tipo Ue del 4 giugno 2021
Esercizio dei diritti in materia di protezione dei dati personali ai sensi degli articoli 15 e ss. del GDPR
Ogni persona può tutelare i propri dati personali presentando un’istanza all’Azienda USL di Modena, Titolare del trattamento, senza particolari formalità e utilizzando l’apposito modulo.
L’istanza può essere inviata al Responsabile della protezione dati al seguente indirizzo e-mail: dpo@ausl.mo.it o per posta ordinaria all’indirizzo: Azienda USL di Modena – Ufficio Privacy – Via San Giovanni del Cantone 23, 41121 Modena.
L’Azienda è tenuta a fornire idoneo riscontro all’istanza senza ingiustificato ritardo e comunque entro un mese dal ricevimento della stessa.
L’interessato può inoltre richiedere informazioni generiche e/o chiarimenti in ordine alle modalità ordinarie di trattamento dei dati personali da parte della Ausl di Modena, rivolgendo l’istanza all’Ufficio Privacy aziendale o al Responsabile Protezione Dati, agli indirizzi di posta elettronica, rispettivamente, privacy@ausl.mo.it e dpo@ausl.mo.it.
Documenti utili
Accordo di contitolarità percorsi clinici
La provincia di Modena vede la presenza sullo stesso territorio di tre distinte Aziende Sanitarie (Azienda USL di Modena, Azienda Ospedaliero – Universitaria di Modena, Ospedale di Sassuolo S.p.A.), le quali condividono una serie di strumenti clinico – organizzativi (come i c.d.”PDTA” – Percorsi Diagnostici Terapeutici Assistenziali), volti a garantire la migliore assistenza dei pazienti e la riduzione dei tempi di attesa per la erogazione delle prestazioni assistenziali. Tali strumenti per essere efficaci richiedono necessariamente – pur nei limiti della indispensabilità – la condivisione tra le tre Aziende dei dati personali e di natura particolare dei pazienti interessati: tale flusso condiviso è stato regolamentato, dal punto di vista della normativa in materia di protezione dati personali, mediante un Accordo di Contitolarità stipulato tra le tre Aziende in conformità a quanto previsto dall’art 26 del GDPR e approvato con Delibera del Direttore Generale dell’Ausl di Modena N. 74 del 19/03/2021.
Si riporta qua sotto il contenuto essenziale dell’Accordo
La Struttura Complessa di Anatomia ed Istologia Patologica, afferente al Dipartimento Interaziendale Integrato di Medicina di Laboratorio e Anatomia Patologica, è stata di recente interessata dall’introduzione di un nuovo applicativo per la corretta gestione dei flussi informativi e procedurali che contribuiscono all’erogazione delle prestazioni di diagnostica e di laboratorio, a favore di tutti i pazienti che accedono alle strutture sanitarie presenti sul territorio provinciale afferenti all’Azienda Usl di Modena, all’Azienda Ospedaliero – Universitaria e all’Ospedale di Sassuolo Spa. L’ introduzione del nuovo applicativo di Anatomia Patologica ha messo in luce una più generale necessità di condivisione tra i professionisti dei dati di pertinenza del Dipartimento di Medicina di Laboratorio, al fine di garantire la migliore e più tempestiva assistenza ai pazienti in carico; lo strumento giuridico utilizzato per consentire tale gestione condivisa dei dati è l’istituto della contitolarità così come definito dall’art. 26 del GDPR, approvato con Delibera del Direttore Generale dell’Ausl di Modena N. 251 del 05/08/2021. Si riporta qua sotto il contenuto essenziale dell’Accordo.
La Rete provinciale di diagnostica per immagini si compone: delle Strutture Complesse, Semplici e Semplici Dipartimentali di Radiologia afferenti al Dipartimento interaziendale ad attività integrata di diagnostica per immagini, ubicate nei due ospedali di Modena (AOU) e negli ospedali della provincia (Ausl); delle Strutture di Neuroradiologia, di Medicina Nucleare e della Unità Operativa di Radiologia dell’Ospedale di Sassuolo S.p.A.. Queste ultime, pur non rientrando formalmente nel suddetto Dipartimento, rispondono ad esso funzionalmente, in quanto erogano prestazioni all’interno del percorso radiodiagnostico dei pazienti, garantendo inoltre l’erogazione omogenea delle attività a livello provinciale.
Tutte le predette Strutture della Rete provinciale di diagnostica per immagini, per lo svolgimento delle rispettive attività cliniche di refertazione, diagnosi e archiviazione, utilizzano il medesimo applicativo informatico centralizzato, denominato RIS-PACS, il quale consente la gestione e la condivisione del dato radiologico, cosa che già avviene nell’ambito dei percorsi assistenziali integrati in essere (PDTA).
Ad oggi le Strutture della Rete provinciale di diagnostica per immagini soddisfano pertanto le esigenze di diagnostica radiologica di tutto il territorio provinciale, erogando prestazioni a favore di tutti i pazienti/utenti che vi accedono. Per tale motivo, nell’ottica di integrazione che contraddistingue l’attività sanitaria delle tre Aziende e nel perseguimento dell’obiettivo comune di soddisfare i bisogni di tutela della salute e di sicurezza dei pazienti, si è ritenuto indispensabile addivenire ad una gestione condivisa dei dati personali da parte delle sopraelencate Strutture. Lo strumento giuridico utilizzato per consentire tale gestione condivisa dei dati è l’istituto della contitolarità così come definito dall’art. 26 del GDPR, approvato con Delibera del Direttore Generale dell’Ausl di Modena N. 358 dell’11/10/2022. Si riporta qua sotto il contenuto essenziale dell’Accordo.
L’Azienda Ospedaliero-Universitaria di Modena e l’Azienda USL di Modena hanno da tempo intrapreso un percorso di collaborazione e di integrazione tra loro, dando avvio alla gestione unificata di funzioni tecniche, amministrative e professionali, onde condividere le migliori professionalità presenti e razionalizzare risorse tecnologiche, materiali, umane e finanziarie.
Le due Aziende, mediante l’ istituzione dei due servizi denominati “Servizio Unico Gestione Giuridica del Personale” e “Servizio Unico Gestione Economico Operativa del Personale” deputati alla gestione di tutti gli aspetti inerenti i rapporti di lavoro, si occupano della gestione di tutto il personale assunto alle dipendenze delle stesse (e del personale che a vario titolo collabora con le due Aziende ad eccezione del personale convenzionato). Esse determinano e perseguono le medesime finalità istituzionali in modo congiunto e svolgono attività condivise e complementari, mediante un unico applicativo (GRU), cui accede in modo interscambiabile personale afferente all’una e all’altra Azienda.
Si è ritenuto pertanto necessario definire e adeguare al dettato normativo le modalità di trattamento dei dati personali di spettanza dei suddetti Servizi Unici attraverso lo strumento giuridico denominato Accordo di contitolarità del trattamento dei dati personali di competenza delle strutture complesse dei due Servizi Unici “Servizio Unico Gestione Giuridica del Personale” e “Servizio Unico Gestione Economico Operativa del Personale”, così come previsto e consentito dall’art. 26 del Regolamento (UE) 2016/679 – GDPR, secondo il quale “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”, approvato con Delibera del Direttore Generale dell’Ausl di Modena N. 475 del 22/12/2022. Si riporta qua sotto il contenuto essenziale dell’Accordo.
Procedura di gestione del data breach
L’Ausl ha predisposto una procedura aziendale con lo scopo di indicare, a tutto il personale, le modalità di gestione di un data breach, cioè di un episodio di violazione di dati personali, nel rispetto dei principi e delle disposizioni contenute nel GDPR.
Contatti
L’Ufficio privacy afferisce al Servizio affari generali e legali
Referente Ufficio Privacy: Roberta Guerzoni
e-mail privacy@ausl.mo.it
Data Protection Officer: Erica Molinari
e-mail: dpo@ausl.mo.it