Modalità di gestione delle violazioni di dati personali (data breach)
L’ORAS, al fine di tutelare i dati personali dei propri utenti, ha predisposto una procedura aziendale per affrontare e gestire nel miglior modo possibile le eventuali violazioni dei dati personali che, per trasparenza, vuole rendere nota all’utenza di ORAS e a tutti i soggetti interessati (Qui il link alla procedura).
Ciò, in quanto, una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, causare danni alla persona fisica.
La violazione dei dati personali può consistere nella distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale od illegale, a dati personali trasmessi, conservati o comunque trattati.
Riteniamo opportuno informare i nostri utenti, collaboratori, fornitori sui rischi che potrebbero derivare dalle violazioni sopra elencate.
Ai sensi del Regolamento europeo, infatti, i principali rischi per i diritti e le libertà di tutti gli interessati, a seguito dell’avvenuta violazione dei dati sono:
- danni fisici, materiali o immateriali alle persone fisiche;
- perdita del controllo dei dati degli interessati;
- limitazioni dei diritti/discriminazione;
- furto o usurpazione di identità;
- perdite finanziarie/danno economico o sociale o reputazionale (sia per l’interessato che per il Titolare);
- decifratura non autorizzata della pseudonimizzazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari);
- o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata
Nel caso in cui si verifichi una violazione dei dati personali degli interessati l’ORAS si atterrà a quanto previsto dalla specifica procedura d’intervento.
Per la gestione di questo tipo di eventi è stato costituito un gruppo di lavoro denominato “team di crisi”, così composto:
- Rappresentante legale dell’ORAS, che è anche la funzione che ha la responsabilità di comunicare con organi di stampa, responsabile del team
- Responsabile della Protezione dei Dati Personali (RPD)
- ADS/Responsabile dell’ufficio Sistemi Informativi
- Responsabile Area Risorse Umane nel caso in cui l’evento coinvolga i dati dei dipendenti dell’ORAS
- Direttore Sanitario nel caso in cui l’evento coinvolga i dati dei pazienti/utenti di prestazioni sanitarie
- Direttore Amministrativo nel casi in cui l’evento riguardi i servizi esternalizzati dal titolare a Responsabili esterni del trattamento o per le attività/Servizi svolti dall’ORAS in qualità di responsabile del trattamento;
Fanno parte del gruppo di lavoro anche altre funzioni aziendali quali:
- Responsabile delle funzioni per la sicurezza del paziente RFSP
- Responsabile della sicurezza prevenzione e protezione (RSPP)
- Responsabili Unità operative/Servizi/Aree Amministrative)
e/o figure esterne (responsabile esterno e/o sub responsabile o Contitolare), che verranno di volta in volta coinvolte in base al tipo di evento
Il gruppo di lavoro “team di crisi”, in caso di incidente/violazione dei dati personali si occuperà di analizzare la gravità dell’evento prendendo in considerazione i dati, gli interessati coinvolti, la portata e l’arco temporale secondo precisi parametri individuati.
A seguito di tale analisi l’ORAS realizzerà un’approfondita valutazione del rischio al fine di comprendere l’effettiva sussistenza o meno della violazione.
In caso di esito positivo il “team di crisi” procederà alla risoluzione del problema.
Inoltre, in caso di violazione dei dati personali potrebbe essere necessario dover comunicare al Garante Privacy l’evento entro 72 ore dall’accadimento.
Per tale ragione, qualora, della violazione ne sia venuto a conoscenza un nostro Responsabile esterno del trattamento o sub responsabile essi sono tenuti a comunicarci la violazione, il primo entro 24 ore, il secondo entro 12 ore dalla scoperta del fatto.
Qualora, la violazione dei dati abbia cagionato un rischio elevato per i diritti e le libertà fondamentali delle persone interessate, saremo tenuti a dare un’opportuna comunicazione al fine di consentire loro di adottare idonee precauzioni volte a ridurre al minimo il potenziale danno derivante dalla violazione.
Nella comunicazione siamo tenuti ad indicare:
- il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
- le probabili conseguenze della violazione dei dati personali;
- le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Non siamo obbligati ad informare gli interessati nel caso in cui abbiamo messo in atto misure tecniche ed organizzative adeguate di protezione sui dati oggetto della violazione o quando abbiamo successivamente adottato misure atte a scongiurare nuovi rischi elevati per i diritti e le libertà fondamentali ed inoltre, quando la comunicazione richiederebbe sforzi sproporzionati. In questo caso procederemo con una comunicazione pubblica o misura simile.
In ogni caso valuteremo l’opportunità, anche se non strettamente obbligatoria di tenere aggiornati gli interessati.
Il Responsabile della Protezione dei Dati (RPD) è la persona a cui gli interessati potranno rivolgersi per avere informazioni e segnalare eventuali problemi o incidenti inerenti i propri dati personali.
il RPD è contattabile tramite e-mail al seguente indirizzo di posta elettronica rpd@ospedalemotta.it o telefonicamente al seguente numero 0422 287339.