Fimmg Sezione Web di Taranto e Provincia

730 PRECOMPILATO


730 precompilato: le linee guida Fimmg per gli adempimenti

Predisposto Commissione Fisco Fimmg



IP Address Lookup
IP Address


Dal 25 maggio va in vigore il GDPR General Data Protection Regulation.

Cambia la gestione della privacy negli studi medici. Previste pesanti sanzioni per gli inadempienti. Come mettersi in regola


REGOLAMENTO UFFICIALE GDPR
Il GDPR è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno. Dal 25 maggio 2018, inizierà ad avere efficacia, andando a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, e abrogando le norme che risulteranno incompatibili con il Codice per la protezione dei dati personali (dlgs.n. 196/2003) attualmente in vigore. È possibile visualizzare e scaricare il testo completo del GDPR in italiano e in formato PDF dal sito eur-lex.europa.eu, così come è stato pubblicato sulla Gazzetta Ufficiale Europea.

I punti principali del nuovo regolamento possono essere così riassunti:

Il Data Breach (violazione dei dati) - È previsto l'obbligo di dare comunicazione all'autorità di controllo competente (e in alcuni casi ai diretti interessati), di eventuali attacchi informatici con violazioni dei dati personali entro il tempo massimo di 72h dall’evento.

Privacy Impact Assessment - Nel caso di trattamenti con rischi elevati per i diritti e le libertà dell’individuo, il Titolare dei Dati deve procedere ad un Privacy Impact Assesment, cioè una valutazione dell’impatto dei trattamenti sulla privacy che effettuerà prima dell’inizio dei trattamenti con le figure più opportune del proprio organigramma Privacy.

Le sanzioni - Il non rispetto della nuova normativa prevede un apparato sanzionatorio (non solo economico amministrativo) peggiorativo rispetto alla normativa precedente. Il Regolamento, quindi, prevede l’attribuzione di una tra le seguenti sanzioni economiche:
• una multa fino a 10 milioni di euro o fino al 2% del volume d’affari globale registrato dall’azienda nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 del Regolamento;
• fino a 20 milioni di euro o fino al 4% del volume d’affari registrato dall’azienda nei casi previsti dall’articolo 83, Paragrafi 5 e 6 del Regolamento.
Lo scopo principale del GDPR è, quindi, quello di ridurre gli attacchi informatici conoscendo le specifiche vulnerabilità dell’azienda. Proprio per la sua versatilità, si impongono anche multe onerose in caso di mancato adempimento del Regolamento stesso.

I principi introdotti dal nuovo regolamento possono essere così riassunti.

ACCOUNTABILITY
Il titolare del trattamento dei dati personali è colui che determina le finalità e i mezzi del trattamento, ed è il responsabile dei rischi inerenti ai diritti e alle libertà delle persone fisiche, il quale deve dimostrare di aver adottato le misure adeguate per garantire che il trattamento è effettivamente conforme al Regolamento. Queste misure, proprio per la versatilità del GDPR, si adattano al contesto aziendale.

PRIVACY BY DESIGN
La Privacy by Design pone l'utente al centro del sistema privacy (per definizione, quindi, è "user centric"), qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali. La Privacy by Design comprende una trilogia di aree di applicazioni :
1. sistemi IT;
2. pratiche commerciali corrette;
3. progettazione strutturale e infrastrutture di rete)
e vengono individuati 7 principi definiti fondazionali che esprimono pienamente l'intero senso di questa prospettiva:
1. Proattivo non reattivo – prevenire non correggere;
2. Privacy come impostazione di default;
3. Privacy incorporata nella progettazione;
4. Massima funzionalità − Valore positivo, non valore zero;
5. Sicurezza fino alla fine − Piena protezione del ciclo vitale;
6. Visibilità e trasparenza − Mantenere la trasparenza;
7. Rispetto per la privacy dell'utente − Centralità dell'utente).
Le applicazioni pratiche della Privacy by Design sono molteplici e non soggette a limiti (dalla progettazione strutturale di edifici o di ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni soluzione progettuale in ambito IT).

PRIVACY BY DEFAULT
La privacy by Default è sostanzialmente l’impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate, inquesto modo, solo i dati personali necessari alle finalità del trattamento potranno essere raccolti ed utilizzati dai sistemi informatici e dai responsabili del trattamento, in uno specifico periodo di conservazione.

DIRITTO ALL’OBLIO
Il diritto all’oblio di cui all’art. 17 del GDPR è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale. Per un verso esso conferma e adegua al mondo digitale punti fermi del diritto alla cancellazione dei dati quando essi non sono più necessari alle finalità per cui sono stati raccolti, o quando viene revocato il consenso e i dati non possono essere trattati dal titolare su una base giuridica diversa. Il GDPR aggiunge anche il diritto di opposizione dell’interessato, a condizione che non sussista alcun interesse legittimo prevalente del titolare (art. 21, paragrafo1), oppure l’opposizione si basi sull’art. 21 paragrafo 2, e cioè i dati siano trattati per finalità di marketing diretto.

DIRITTO AL RISARCIMENTO
Chiunque subisca un danno materiale o immateriale provocato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento – o dal responsabile del trattamento -, se e solo se, quest’ultimo non sia in grado di dimostrare che il danno in questione non gli sia in alcun modo imputabile.

GDPR COME BENEFICIO
Il Regolamento impone un elevato impegno da parte delle aziende, perché mette in discussione l’intero sistema di progettazione (a causa del privacy by design e by default). Inoltre, l’impegno economico richiesto non è trascurabile, perché si richiede di investire nell’adozione di adeguate misure di prevenzione. L’impegno morale ed economico richiesti, però, saranno sempre inferiori rispetto ad un eventuale attacco informatico con l’aggiunta delle sanzioni espresse dal Regolamento, infine le aziende si troveranno quindi ad affrontare l’adempimento normativo comunitario, con un’opportunità unica e irripetibile di rivedere completamente la propria strategia di trattamento dell’informazione, includendo politiche di data retention, conservazione digitale e ammodernamento in chiave digitale dei processi aziendali.

Per mettersi in regola Il Titolare del Trattamento dei Dati (lo Studio Medico) deve:
• Effettuare una Gap-Analysis (Assessment vs. GDPR), che evidenzi le discrepanze fra la propria situazione documentale/amministrativa ed operativa e le prescrizioni GDPR
• Definire ed adottare le misure prescritte
• Mantenere in maniera proattiva ed aggiornata la fotografia dello stato GPDR
• Definire i Ruoli (interni, ma soprattutto esterni) e le Deleghe
• Dare comunicazione agli organi preposti in caso di Data Breach




VERBALI COMITATO PROVINCIALE  AZIENDALE  ASL TARANTO

Ricerca personalizzata