Regolamento Generale Sulla Protezione dei Dati – Regolamento U.E. 2016/679 e D.Lgs. 10.08.2018, n. 101. Nomina dei Responsabili dei Dati Personali dell’IRCCS CROB di Rionero in Vulture. - IRCCS Crob

(1)

Delibera n. 2018/00765 del 15/11/2018 Dirigente Proponente Cristiana Mecca pag. 1/12

Istituto di Ricovero e Cura a Carattere Scientifico

CENTRO DI RIFERIMENTO ONCOLOGICO DELLA BASILICATA

Rionero in Vulture (PZ)

+

DELIBERAZIONE DEL DIRETTORE GENERALE

n. 2018/00765 del 15/11/2018

al Collegio Sindacale alla Giunta Regionale

OGGETTO

Regolamento Generale Sulla Protezione dei Dati – Regolamento U.E. 2016/679 e D.Lgs. 10.08.2018, n.

101. Nomina dei Responsabili dei Dati Personali dell’IRCCS CROB di Rionero in Vulture.

Unità operativa proponente Direzione Amministrativa

Documenti integranti il provvedimento:

Descrizione Allegato Descrizione Allegato

Raccomandazioni

Dichiarazione di immediata esecutività Destinatari dell’atto per l’esecuzione

Destinatari dell’atto per conoscenza

La presente Deliberazione, tenuto conto delle fonti relative alla disciplina della privacy ovvero della tipologia degli atti allegati è assoggettata a:

pubblicazione integrale

pubblicazione della sola deliberazione pubblicazione del solo frontespizio

RISERVATO ALL’UNITA’ OPERATIVA PROPONENTE (IMPUTAZIONE BUDGET) CdR

PdC At / Pa / Ce Importo €

(2)

IL DIRETTORE GENERALE

RICHIAMATI:

 il D.Lgs. 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati persoanli" e ss.mm.ii.;

 il D. Lgs. 7 marzo 2005, n. 82 "Codice dell'amministrazione digitale" e ss.mm.ii.;

 il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio datato 27 aprile 2016 Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la direttiva 95/46/CE. (Regolamento generale sulla protezione dei dati- RGPD), entrato in vigore il 24 aprile 2016 e da applicare a decorrere dal 25 maggio 2018;

 il D.Lgs. 10/8/2018 n. 101 avente ad oggetto "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati"

EVIDENZIATO:

 Che ai sensi dell’art. 4 – Definizioni - del Regolamento UE 2016/679 s’intende per:

1. "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificat ivo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2. "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3. “limitazione di trattamento”: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

(3)

4. "profilazione": qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5. "pseudonimizzazione": il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6. "archivio": qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7. "titolare del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8. "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9. "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10. "terzo": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11. "consenso dell'interessato": qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso,

(4)

mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12. "violazione dei dati personali": la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

13. "dati genetici": i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14. "dati biometrici": i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15. "dati relativi alla salute": i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

 Che ai sensi dell’art. 5 - Principi applicabili al trattamento dei dati personali - del succitato Regolamento UE 2016/679, i dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (nel rispetto dei principi di «liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono infatti essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (nel rispetto del principio di «esattezza»);

e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure

(5)

tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato (nel rispetto del principio di «limitazione della conservazione»);

f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (nel rispetto del principio di «integrità e riservatezza»). Atteso che, sempre in base alla normativa vigente, il titolare del trattamento è competente per il rispetto dei presenti principi e in grado di comprovarlo (nel rispetto del principio della «responsabilizzazione»).

 Che ai sensi del successivo articolo 6 - Liceità del trattamento - del Regolamento UE 2016/679 il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

a) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

b) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

c) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

d) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

EVIDENZIATO:

 Che all’interno della categoria dei dati personali il Regolamento assicura una tutela differenziata, a categorie particolari di dati che sono quelli che rivelano l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose e filosofiche, l’appartenenza sindacale, i dati genetici, biometrici intesi a identificare in modo univoco una persona fisica, i dati relative alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9);

 Che il regime specifico garantito dal legislatore comunitario prevede, esclusivamente per i dati di cui al punto precedente, il divieto di trattamento se non in presenza di una serie di

(6)

condizioni, tra le quali rilevano ai fini di quanto di specifico interesse, quelle previste rispettivamente alle lettere h), trattamento necessario per finalità di medicina preventiva, del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza, terapia sanitaria o sociale, e della lettera i che afferisce al trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica;

DATO ATTO:

 Che il legislatore nazionale in sede di recepimento della normativa comunitaria con il D.lgs.

10.08.2018, n. 101 ha inserito modifiche al D.Lgs. 30.06.2003, n. 196, introducendo l’articolo 2 – sexies che prevede espressamente che si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri in una serie di materie tra le quali preme qui evidenziare :

t) attività amministrative di certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;

u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonchè compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile , salvaguardia della vita e incolumità fisica;

 Che, pertanto, in ambito sanitario non è previsto l’obbligo di acquisire il consenso quando i dati sono trattati per finalità di diagnosi, cura e ricerca scientifica finalizzata alla cura;

EVIDENZIATO:

 Che il Regolamento prevede altresì che spetta al titolare del trattamento, che nel caso di specie coincide con il Direttore Generale di questo Istituto, mettere in atto le misure tecniche adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente alla norma;

 Che il Titolare del Trattamento può ricorrere alla figura del Responsabile del Trattamento che è colui che viene preposto dal Titolare al trattamento di dati personali;

 Che il Titolare a sua volta può avvalersi degli Incaricati che sono le persone autorizzate a compiere operazioni di trattamento dei dati;

 Che Il Titolare designa il responsabile della Protezione dei Dati (RDP), che nel caso di specie è l’Avv.to Cathy La Torre, giusta delibera n. 319 del 25.05.2018, alla quale è stato affidato, tra l’altro anche il Servizio di assistenza all’adeguamento alle procedure al Regolamento UE 2016/679;

(7)

 Che l’avv.to La Torre nell’ambito del contratto in essere con questo Istituto nei giorni scorsi ha provveduto ad informare e formare tutti i dipendenti dell’Istituto in merito ai contenuti del Regolamento ed alle norme cui attenersi nell’espletamento dei compiti e delle mansioni quotidiane;

 Che è intenzione di questa Direzione individuare i Responsabili del Trattamento nelle persone dei dirigenti con incarico di responsabile di struttura complessa e di struttura semplice dipartimentale;

 Che i dirigenti de quibus hanno tutti un rapporto di pubblico impiego con l’Istituto e hanno stipulato un contratto a tempo determinato di conferimento dell’incarico di struttura, nel quale tra l’altro è previsto l’obbligo di segretezza e di riservatezza nell’espletamento dei relativi compiti e dunque nei trattamenti dei dati personali da questi gestiti e trattati;

 Che il conferimento dell’incarico di responsabile di struttura, complessa e semplice dipartimentale, poiché comporta la gestione di risorse umane e strumentali, ha in se un carattere implicito di managerialità che il titolare deve possedere, maturare e gestire e che lo rende pertanto idoneo all’espletamento dell’incarico di Responsabile del Trattamento;

RICHIAMATA :

 la deliberazione n. 378 del 15.06.2018, approvata con D.G.R. n. 631 del 05.07.2018, con la quale è stato adottato, ai sensi dell’art. 3 comma 1 bis del D.lgs. 30.12.1992, n. 502 e ss.mm.ii., il nuovo Atto Aziendale dell’IRCCS CROB;

Acquisiti i pareri favorevoli del Direttore Amministrativo e del Direttore Sanitario;

D E L I B E R A

Per i motivi che si intendono espressi in premessa, che si intendono integralmente riportati:

1. di nominare quali Responsabili del Trattamento dei dati personali, nel contesto delle funzioni istituzionali proprie da questa Azienda, i signori dirigenti di seguito nominativamente indicati:

Dott. Antonio P. Colasurdo Direttore Sanitario Aziendale e di Presidio,

Dott. Rocco Galasso U.O.C. Registro Tumori Regionale, Epidemiologia Clinica e Biostatistica;

Direttore Scientifico f.f.

Dott. Michele Aieta Direttore Dipartimento Medico U.O.C. Oncologia medica

Dott. Pellegrino Musto Direttore Dipartimento Regionale di Ematologia U.O.C. Ematologia e trapianto di cellule staminali;

(8)

Dott.ssa Modano U.O.C. ff Anestesia e Rianimazione;

Dott. Giuseppe La Torre Direttore del Dipartimento Chirurgico;

U.O.C. Chirurgia Senologica/oncologica;

Dott. Cosimo le Quaglie U.O.C. Chirurgia Toracica Dott. Tomamso Fabrizio U.O.C. Chirurgia Plastica;

Dott.ssa Giulia Vita U.O.C. Anatomia Patologica;

Dott. Aldo Cammarota Direttore del Dipartimento dei Servizi;

U.O.C. Diagnostica per Immagini;

Dott. Antonio Traficante U.O.C. Laboratorio Analisi Cliniche;

Dott. Giovanni Storto U.O.C. Medicina nucleare;

Dott. Vincenzo Fusco U.O.C. Radioterapia

Dott.ssa Cristiana Mecca Direttore Dipartimento Amministrativo Dott. Gianvito Amendola U.O.C. Affari Generali e Personale;

Dott.ssa Alba Capobianco S.S.D. Coordinamento Attività e Gruppi Oncologici Multidisciplinari;

Dott. Pasquale Di Leo S.S.D. Hospice, Supportive Simultaneus care e cure palliative;

Dott.ssa Ing. Maria Lauletta S.S.D. Gestione Tecnico – patrimoniale ed Approvigionamenti Dott.ssa Anna Lalinga S.S.D. Citopatologia;

2. Di stabilire, altresì, che la designazione al trattamento, affidata con il presente provvedimento, è relativa ai procedimenti afferenti le materie concernenti le funzioni istituzionali attribuite a questo Istituto e dalle fonti di diritto, limitatamente ai procedimenti di competenza della struttura dipartimentale, complessa o semplice dipartimentale di cui ciascuno dei sunnominati ha la responsabilità gestionale;

3. Di dare atto che la predetta designazione decorre dalla data di notifica del presente atto e cesserà di diritto, senza necessità di ulteriore atto, alla data di cessazione dell'incarico attribuito, fatto salvo diverso provvedimento del Direttore Generale pro tempore;

4. Di dare atto che la finalità del trattamento dei dati personali, da svolgere in conformità ai principi di cui agli articoli 5 e 6 del Regolamento UE 2016/679, deve coincidere con il fine pubblico predeterminato dalla legge per ciascuna tipologia di procedimento amministrativo ovvero con la finalità assegnata dall'ordinamento giuridico a ciascuna operazione di trattamento;

5. Di ribadire che la natura del trattamento è costituita da qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

6. Di ribadire che restano fermi gli obblighi previsti dalla normativa dell'Unione europea e dallo Stato che stabiliscono divieti o limiti in materia di trattamento di dati personali. Le operazioni e la durata, compresa la conservazione tramite l'archiviazione del trattamento devono essere svolte, soprattutto per quanto concerne i dati sensibili e i dati giudiziari, nel rispetto del Regolamento Ue 2016/679, delle altre fonti di diritto europee e nazionali e dei provvedimenti del Garante della Privacy;

7. Di precisare che, sin dalla fase di progettazione del trattamento, i sistemi informativi e i programmi informatici devono essere configurati in modo da ridurre al minimo l'utilizzazione di dati personali e di dati identificativi, escludendoli dal trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.

8. Di precisare che ciascuna operazione di trattamento può avere per oggetto i dati personali strettamente pertinenti, non eccedenti e indispensabili rispetto alle sopra indicate finalità, le quali non possano essere perseguite, caso per caso, mediante il trattamento di dati anonimi o personali

(9)

di natura diversa, in particolare allorché trattasi di dati sensibili e giudiziari.

9. Di ribadire che possono formare oggetto di trattamento i dati personali degli interessati che interagiscono con le funzioni di questo Istituto per dare esecuzione alle tipologie di trattamento:

a) effettuato sulla base del consenso espresso per una o più specifiche finalità, diverse da quelle per cui sono stati raccolti e non rientranti nello svolgimento delle funzioni istituzionali;

b) eseguito in virtù di un contratto o di accordi precontrattuali;

c) necessario per adempiere a un obbligo stabilito dall'ordinamento giuridico;

d) necessario per salvaguardare interessi vitali dell'interessato o di altra persona;

e) necessario per l'esecuzione di un compito di interesse pubblico o connesso di cui è investita questa Azienda.

10. Di ribadire che i così detti “dati sensibili” sono indicati nell’art. 9 del Regolamento e sono i dati che rivelano l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose e filosofiche, l’appartenenza sindacale, i dati genetici, biometrici intesi a identificare in modo univoco una persona fisica, i dati relative alla salute o alla vita sessuale o all’orientamento sessuale della persona;

11. Di ricordare che ai sensi dell’art. 2 – sexties del D.Lgs. 30.06.2003, n. 196 come modificato ed integrato dall’art. 2 del D.lgs. 10.08.2018, n. 101, è considerato rilevante l’interesse pubblico relativo ai trattamenti effettuati per i compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica, e pertanto non è richiesto come necessario e prodromico al trattamento il consenso espresso dell’interessato;

12. Di precisare che con riferimento alle materie e ai procedimenti amministrativi di competenza rispettivamente di ciascun servizio o ufficio, costituiscono categorie di Interessati:

 La direzione strategica comprensiva del Direttore Scientifico, i componenti del Collegio Sindacale, i componenti dell’Organismo di Indirizzo e Verifica, i componenti dell’OIV;

 i dipendenti e gli ex dipendenti;

 i partecipanti a selezioni finalizzate all'assunzione;

 gli stagisti, i praticanti/tirocinanti per conseguire idoneità professionali, i collaboratori, i consulenti, i professionisti;

 gli istanti di autorizzazioni e concessioni nonché di atti e provvedimenti amministrativi da rilasciare obbligatoriamente o facoltativamente;

 i contravventori di norme di leggi, regolamenti e ordinanze;

 i titolari o rappresentanti di soggetti giuridici pubblici e privati candidati a fornire a questa Azienda lavori, beni e servizi, forniture ovvero parti di contratti aventi ad oggetto le precitate forniture;

 i componenti di commissioni giudicatrici di gare o di selezioni;

 i beneficiari di contributi, sovvenzioni o utilità di qualunque genere;

 I volontari che prestano le loro attività presso la nostra Azienda;

 I pazienti e i medici prescrittori;

 ogni altro Soggetto non espressamente rientrante le categorie sopra menzionate a titolo

(10)

indicativo e non esaustivo che per ragione delle attività istituzionali svolte dal CROB entra in contatto con l'istituto;

13. Di precisare che i Titolari designati del trattamento, provvedono, nell'ambito delle materie di loro competenza:

 a tenere aggiornato il registro delle categorie di attività di trattamento svolte per conto del Titolare;

 a coadiuvare il Titolare nell’adottare misure tecniche e organizzative adeguate a garantire la sicurezza dei trattamenti;

 ad autorizzare i dipendenti appartenenti alla loro struttura ad accedere ai dati personali al fine di svolgere il trattamento afferente i rispettivi compiti istituzionali istruendoli specificamente per iscritto;

 a richiedere al Titolare eventuale piano di formazione per il personale che partecipa ai trattamenti in materia di protezione dei dati personali;

 a collaborare con il Titolare al fine di definire la valutazione dell'impatto sulla protezione dei dati (di seguito indicata con "DPIA") fornendo allo stesso ogni informazione di cui è in possesso;

 a informare il Titolare, senza ingiustificato ritardo, della conoscenza di casi di violazione dei dati personali (cd. "data breach"), per la successiva notifica della violazione al Garante Privacy, nel caso in cui il Titolare stesso ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati;

 a curare le informative di cui agli articoli 13 e 14 del RGPD da fornire agli interessati, con la necessaria modulistica o determinando altre forme idonee di informazione inerenti i trattamenti di competenza della propria struttura organizzativa, facendo, in presenza di dati sensibili, espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento;

 a curare l'eventuale raccolta del consenso degli interessati per il trattamento dei dati sensibili qualora il loro trattamento non sia previsto da una specifica norma di legge;

 ad adottare le misure necessarie per facilitare l'esercizio dei diritti dell'interessato di cui agli articoli da 15 a 22 del RGPD 2016/679;

 a stipulare gli accordi con altri soggetti pubblici o privati per l'esercizio del diritto di accesso alle banche-dati nei limiti previsti dalle disposizioni legislative e regolamentari;

14. Di dare atto che i designati del trattamento, tenuto conto delle indicazioni impartire dal Titolare, sono autorizzati a incaricare i dipendenti incardinati nella struttura da loro diretta quali incaricati e autorizzati del trattamento, ai sensi dell'articolo 29 GDPR. Sono altresì autorizzati e incaricati di designare i responsabili di servizi esterni, quali i soggetti affidatari di un contratto di appalto o di concessione per la fornitura di servizi da svolgere per conto di questa Azienda in qualità di Responsabili del trattamento ai sensi dell'articolo 28 del GDPR. Le suddette nomine saranno effettuate con successivi atti.

15. Della designazione o delle eventuali modifiche concernenti la designazione o la sostituzione delle figure suddette dovrà essere data informazione al Direttore Generale, il quale può opporsi a tali designazioni.

16. Di approvare l’allegato documento contenente delle semplici raccomandazioni che i Titolari designati potranno comunicare alle risorse da loro gestite per improntare l’agire quotidiano alle regole minime del buon senso e nel rispetto della tutela delle persone e del trattamento dei dati personali;

17. Di precisare altresì che il direttore Generale in qualità di Titolare dispone di adottare, tramite il supporto tecnico degli amministratori di sistema, tutte le preventive misure di sicurezza,

(11)

ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 31);

18. Di disporre altresì di definire una politica di sicurezza per assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e servizi afferenti il trattamento dei dati; di assicurarsi la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in caso di incidente fisico o tecnico; di definire una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative applicate;

19. Di disporre che la presente sia notificata ai Titolari Designati del trattamento, nonchè inserita nei fascicoli personali di ognuno, sia comunicata al Responsabile della protezione dati, nonché pubblicato nella sezione "Amministrazione trasparente" del sito web istituzionale di questa Azienda.

20. Di demandare alla segreteria della direzione strategica la trasmissione delle comunicazioni e notifiche di cui al presente provvedimento.

Il presente atto comporta oneri NON comporta oneri

(12)

L’Istruttore Il Dirigente

Cristiana Mecca Il Dirigente Responsabile Cristiana Mecca Antonio Prospero Colasurdo

Il Direttore Amministrativo Il Direttore Sanitario

Giovanni Battista Bochicchio

Il Direttore Scientifico F.F. Il Direttore Generale

Il presente atto è trasmesso per l’imputazione dei conseguenti costi all’U.O.C. Gestione Economico Finanziaria e all'U.O.C. Controllo di Gestione

CERTIFICATO DI PUBBLICAZIONE

Si certifica che la presente deliberazione è pubblicata all’albo pretorio informatico dell’ Istituto di Ricovero e Cura a Carattere Scientifico CROB di Rionero inVulture e che vi rimarrà per cinque giorni consecutivi. Gli allegati cartacei sono disponibili per l’eventuale consultazione agli atti di ufficio.

La stessa, ove non assoggettata al controllo regionale e ove non sia stata dichiarata immediatamente eseguibile, diviene esecutiva, ai sensi dell’art. 11, comma 11 e dell’art. 44 comma 8 della L.R. n. 39/2001, d ecorsi cinque giorni consecutivi dalla sua pubblicazione.

Rionero in V.re lì, 15/11/2018