Istituto di Ricovero e Cura a Carattere Scientifico

(1)

Delibera n. 2019/00612 del 25/09/2019 Dirigente Proponente Gianvito Amendola pag. 1/8

Istituto di Ricovero e Cura a Carattere Scientifico

CENTRO DI RIFERIMENTO ONCOLOGICO DELLA BASILICATA

Rionero in Vulture (PZ)

DELIBERAZIONE DEL DIRETTORE GENERALE

n. 2019/00612 del 25/09/2019

al Collegio Sindacale alla Giunta Regionale

OGGETTO

Modello organizzativo ed individuazione dei soggetti competenti in materia di protezione dei dati personali ai sensi del Regolamento UE 2016/679 e D. Lgs. N. 101/2018

Unità operativa proponente Affari Generali e Personale (UOC) Documenti integranti il provvedimento:

Descrizione Allegato Descrizione Allegato

Allegato 1 Allegato 2

Allegato 3 Allegato 4

Allegato 5

Dichiarazione di immediata esecutività

Destinatari dell’atto per l’esecuzione

Affari Generali e Personale (UOC) Oncologia medica (UOC)

Controllo di Gestione Chirurgia Plastica (UOC)

Radioterapia (UOC) Registro Tumori Regionale, Epidemiologia clinica e biostatistica (UOC)

Chirurgia Senologica (UOC) Chirurgia Oncologica (UOC) Ematologia e Trapianto di cellule staminali (UOC) Medicina Nucleare (UOC)

Anatomia patologica Gestione Tecnico Patrimoniale e

Approvvigionamenti (UOC) Laboratorio Analisi Cliniche (UOC) Oncologia sperimentale (UOSD) Coordinamento attività e gruppi oncologici

multidisciplinari (UOSD) Endoscopia (UOSD)

Hospice, supportive simultaneous care e cure

palliative (UOSD) Diagnostica Senologica (UOSD)

Citopatologia (UOSD) Farmacia (UOSD)

Psico-oncologia (UOSD) Diagnostica Onco-Ginecologica (UOSD)

Day Hospital Ematologico (UOS) Day Hospital Ematologico (UOS) Radioterapia Metabolica (UOS) Anestesia e Rianimazione (UOC) Servizio Pianificazione e Sistema Informativo

(UOSD)

Destinatari dell’atto per conoscenza

(2)

Delibera n. 2019/00612 del 25/09/2019 Dirigente Proponente Gianvito Amendola pag. 2/8 Controllo di Gestione

La presente Deliberazione, tenuto conto delle fonti relative alla disciplina della privacy ovvero della tipologia degli atti allegati è assoggettata a:

pubblicazione integrale

pubblicazione della sola deliberazione pubblicazione del solo frontespizio

RISERVATO ALL’UNITA’ OPERATIVA PROPONENTE (IMPUTAZIONE BUDGET) CdR

PdC At / Pa / Ce Importo €

(3)

IL DIRETTORE GENERALE

Richiamata la deliberazione n. 389 del 14/06/2019;

Visto il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati - GDPR), in vigore dal 24 maggio 2016 e applicabile a partire dal 25 maggio 2018;

Visto il Decreto Legislativo n. 101/2018 recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 succitato;

Richiamato in particolare l’art. 5 del GDPR, che al comma 1 enuncia i principi applicabili al trattamento dei dati personali e al comma 2 pone in capo al titolare il principio di responsabilizzazione e rendicontazione (cd. accountability), in base al quale lo stesso deve assicurare, ed essere in grado di comprovare, il rispetto di tali principi;

Vista la Delibera del Direttore Generale n. 257/2019 con cui veniva costituito il Gruppo di Lavoro Privacy;

Vista la Delibera del Direttore Generale n. 765/2019 con cui venivano nominati i Responsabili dei Trattamenti di Dati Personali;

Dato atto che la responsabilizzazione del titolare si realizza anche mediante:

 la concreta adozione, sia al momento della determinazione dei mezzi del trattamento che all’atto del trattamento stesso, di misure tecniche e organizzative adeguate ed efficaci, che tengano conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento nonché del rischio per i diritti e le libertà

delle persone fisiche (privacy by design);

 l’adozione di misure tecniche ed organizzative adeguate che garantiscano che siano trattati soltanto i dati personali necessari per ciascuna finalità di trattamento (privacy by default);

 l’individuazione di un Responsabile della Protezione dei Dati (RPD) – obbligatorio per le Pubbliche Amministrazioni - che, tra le altre funzioni, fornisce indicazioni e vigila sulla corretta osservanza del GDPR all’interno dell’organizzazione del titolare;

(4)

Vista la Delibera del Direttore Generale n. 514/2019 con la quale si è proceduto a nominare il RPD per l’Ente nella persona dell’ing. BRUNO Gianfranco;

Dato atto che Titolare del trattamento è lo stesso IRCCS CROB di Rionero in Vulture;

Considerato che il Regolamento (UE) 2016/679, oltre ad indurre nel titolare una sostanziale revisione delle proprie politiche in materia di privacy, dovuta in particolar modo all’applicazione del succitato principio di ‘accountability’, ovvero responsabilizzazione e rendicontazione, innova sia il glossario sia i ruoli privacy e le responsabilità connesse all’interno dell’organizzazione del titolare e innesta all'interno della struttura organizzative nuove responsabilità sulla protezione dei dati, ritenendo che il dato, per il suo valore economico sociale ed organizzativo, sia una risorsa assegnata alla responsabilità dell'azione dirigenziale alla stregua di quelle finanziarie ed umane;

Ritenuto per quanto sopra di procedere ad un adeguamento dell’organizzazione privacy nell’Ente secondo le previsioni dell’art. 2-quaterdecies del D. Lgs. 101/2018 attribuendo specifici compiti e funzioni connessi al trattamento di dati personali a persone fisiche all’uopo designate che opereranno sotto l’autorità del Titolare nell’ambito del proprio assetto organizzativo;

Ritenuto di autorizzare gli operatori (dipendenti e non) assegnati alle strutture afferenti ai soggetti designati, che agiscono sotto la loro autorità, al trattamento dei dati personali, nel rispetto del principio di minimizzazione dei dati, istruendoli sulle modalità del trattamento come riportato nell’allegato 1), parte integrante e sostanziale del presente atto, stabilendo che gli ambiti di trattamento di ciascun autorizzato (tipi di dati personali trattati, operazioni di trattamento eseguibili ecc.) siano quelli che saranno individuati con successiva delibera in corso di predisposizione;

Considerato che ogni soggetto che tratta dati personali per conto dell’Ente deve essere individuato responsabile dei trattamenti nei modi e nelle forme previsti all’art. 28 del GDPR;

Visto che l’Ente può determinare finalità e mezzi del trattamento congiuntamente ad altro Titolare, specificandone i termini con accordo interno di contitolarità nei modi e nelle forme previsti all’art. 26 del GDPR;

Ritenuto inoltre di individuare come Amministratori di sistema (AdS - Provvedimenti del Garante del 27/11/2008 e del 25/06/2009) i soggetti interni ed esterni all’Azienda che

(5)

svolgono attività di gestione e manutenzione di impianti di elaborazione o di sue componenti nonché le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati quali gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi;

Tenuto conto che esiste la ricognizione dei soggetti esterni le cui attività presuppongono la designazione a Responsabile dei Trattamenti ai sensi dell’art. 28 del GDPR ovvero l’accordo interno di contitolarità dei Trattamenti ai sensi dell’art. 26 del GDPR;

Ritenuto di demandare alla U.O.C. AA.GG. e personale il compito di svolgere le attività amministrative connesse con l’applicazione della normativa privacy;

Ritenuto che si debba procedere attraverso una pianificazione certa alla traduzione delle indicazioni che il RPD fornirà nell’ambito delle responsabilità, competenze tecniche e amministrative delle strutture preposte, partendo dalla rilevazione dell’attuale stato dell’arte per arrivare alla piena attuazione della vigente normativa in materia di protezione dei dati personali;

Acquisiti i pareri favorevoli del Direttore Amministrativo e del Direttore Sanitario;

D E L I B E R A

Per i motivi che si intendono espressi in premessa, che si intendono integralmente riportati:

1. di prendere atto della costituzione del Gruppo di Lavoro Privacy istituito con Delibera del Direttore Generale 257/2019;

2. di prendere atto della nomina a Responsabile della Protezione dei Dati (RPD) conferita con Delibera del Direttore Generale n. 514/2019 all’ing. BRUNO Gianfranco;

3. di designare quali persone fisiche cui attribuire specifici compiti e funzioni connessi al trattamento di dati personali i dirigenti responsabili di Strutture Semplici (anche Dipartimentali) e di Strutture Complesse, ai quali verrà notificata la designazione secondo il modello di cui all’allegato 2, parte integrante e sostanziale del presente atto;

(6)

4. di autorizzare i dipendenti assegnati alle strutture e i soggetti che vi operano a qualsiasi altro titolo al trattamento dei dati personali, nel rispetto del principio di minimizzazione dei dati, secondo le istruzioni e raccomandazioni riportate nell’allegato 1), parte integrante e sostanziale del presente atto, nonché del Regolamento sull’utilizzo degli strumenti informatici e telematici adottato con Delibera del Direttore Generale 563/2016; gli ambiti di trattamento (tipi di dati personali trattati, operazioni di trattamento eseguibili ecc.) di ciascuna struttura saranno individuati con successiva delibera in corso di predisposizione;

5. di individuare quali Responsabili dei Trattamenti i soggetti che effettuano Trattamenti di dati personali per conto dell’Istituto; con tali soggetti verranno sottoscritti appositi accordi secondo lo schema di cui all’allegato 3 parte integrante e sostanziale del presente atto;

6. di dare mandato alla Struttura Servizi Informativi di individuare gli Amministratori di sistema interni all’Azienda; per quanto riguarda gli esterni, il RPD – man mano che verranno sottoscritti gli accordi per la nomina a Responsabili – comunicherà alla Struttura Servizi Informativi il nominativo dei fornitori che svolgono attività da Amministratori di Sistema;

7. di individuare i Trattamenti relativamente ai quali finalità e mezzi del trattamento vengono determinati congiuntamente ad altro Titolare e sottoscrivere con tali Titolari appositi accordi interni di contitolarità nei modi e nelle forme previsti all’art. 26 del GDPR, secondo lo schema di cui all’allegato 4 parte integrante e sostanziale del presente atto;

8. di prendere atto della esistenza del Registro delle attività di trattamento dando mandato alle strutture competenti di mantenerlo costantemente aggiornato in tempo reale;

9. di stabilire che ogni struttura – sin dalla fase di predisposizione dei documenti di gara – deve segnalare al RPD la possibilità che l’oggetto della gara possa comprendere trattamento di dati personali per conto dell’Azienda, rientrando pertanto nel novero dell’art. 28 del Regolamento UE, in base al quale il futuro contraente dovrà ricoprire il ruolo di Responsabile dei Trattamenti; la struttura che effettua la segnalazione collaborerà con il RPD per la redazione dello schema di accordo per la designazione a Responsabile dei Trattamenti che deve costituire parte integrante dei documenti di gara;

10. di dare mandato alla Struttura Servizi Informativi - con la consulenza del RPD e con la piena e fattiva collaborazione delle altre Strutture interessate – di aggiornare, se necessario, il regolamento contenente le linee guida di cui alla

(7)

delibera n. 563 del 03/10/2016 “Regolamento sull’utilizzo degli strumenti informatici e telematici”;

11. di demandare alla U.O.C. AA.GG. e personale il compito di svolgere le attività amministrative connesse con l’applicazione della normativa privacy;

12. di demandare al responsabile della struttura U.O.C. AA.GG. e personale il compito di:

 formalizzare e sottoscrivere le designazioni ai soggetti di cui al punto 4 del presente provvedimento secondo l’allegato 2, parte integrante e sostanziale del presente atto;

 formalizzare e sottoscrivere gli accordi per la nomina di Responsabile dei Trattamenti con i soggetti di cui al punto 6 secondo l’allegato 3, parte integrante e sostanziale del presente atto;

 formalizzare e sottoscrivere gli accordi interni di contitolarità dei Trattamenti con i soggetti di cui al punto 8 secondo l’allegato 4, parte integrante e sostanziale del presente atto;

13. di demandare al Responsabile della Struttura Servizi Informativi il compito di formalizzare e sottoscrivere l’incarico di Amministratore di Sistema ai soggetti interni ed esterni secondo lo schema dell’allegato 5, parte integrante e sostanziale del presente atto;

14. di revocare la Delibera del Direttore Generale n. 765/2018 con cui venivano nominati i Responsabili dei Trattamenti di Dati Personali;

15. di dare atto che l’istruttore del provvedimento curerà la notifica del presente provvedimento;

16. di rendere il presente provvedimento immediatamente esecutivo.

Il presente atto comporta oneri NON comporta oneri

(8)

Nicola Piccardo

L’Istruttore Il Dirigente

Gianvito Amendola Il Dirigente Responsabile

Cristiana Mecca Antonio Prospero Colasurdo

Il Direttore Amministrativo Il Direttore Sanitario

Cristiana Mecca Il Direttore Scientifico Il Direttore Generale F.F.

Il presente atto è trasmesso per l’imputazione dei conseguenti costi all’U.O.C. Gestione Economico Finanziaria e all'U.O.C. Controllo di Gestione

CERTIFICATO DI PUBBLICAZIONE

Si certifica che la presente deliberazione è pubblicata all’albo pretorio informatico dell’ Istituto di Ricovero e Cura a Carattere Scientifico CROB di Rionero inVulture e che vi rimarrà per cinque giorni consecutivi. Gli allegati cartacei sono disponibili per l’eventuale consultazione agli atti di ufficio.

La stessa, ove non assoggettata al controllo regionale e ove non sia stata dichiarata immediatamente eseguibile, diviene esecutiva, ai sensi dell’art. 11, comma 11 e dell’art. 44 comma 8 della L.R. n. 39/2001, decorsi cinque giorni consecutivi dalla sua pubblicazione.

Rionero in V.re lì, 25/09/2019