Nuovo regolamento Data Protection: come adeguarsi?

10 passi per la corretta esecuzione del GDPR

Il recente Reg.Ue 679/2016 in materia di Privacy e Protezione Dati troverà piena applicazione il prossimo 25 maggio 2018.
La disciplina introduce un nuovo modo di pensare e gestire il trattamento dei dati: non si tratta quindi di un mero aggiornamento della direttiva precedente, ma proprio di una diversa architettura giuridica del sistema che comporta un modo sostanzialmente nuovo di pensare e gestire il trattamento dei dati.

Da dove cominciare allora?

Abbiamo identificato 10 STEP che possono essere seguiti per l’implementazione:

  1. Conoscenza del nuovo Regolamento
    Il Reg. 679/2016 sostituirà in toto la dir 95/46/CE: si tratta di un provvedimento più complesso rispetto alla Direttiva e che arriva (dopo oltre 20 anni) a regolare una realtà sostanzialmente diversa da quella del ’95 e sempre più digitale. Occorre capirne i punti cardine e la ratio di fondo, nonché verificare che chi opera all’interno della propria struttura abbia consapevolezza di tale voluzione.
  2. Analisi dei dati trattati
    Occorre mappare con esattezza quali dati si trattano, perché si trattano e come si trattano.
    Il Regolamento infatti richiede, in sostanza, di effettuare una analisi del rischio dei dati trattati, e di implementare un modello di gestione dei dati per definire quali misure adottare al fine di tutelare i diritti degli interessanti, proteggendo i loro dati e gestendo i rischi ineliminabili.
  3. Revisione della Informativa
    Il nuovo Regolamento si incardina su un principio (in parte) nuovo: l’interessato deve avere il controllo dei propri dati (considerando n. 6). Sotto questo profilo appare chiaro come l’informativa deve essere chiara, completa ed esaustiva: con la nuova disciplina potranno essere usate anche le icone.
    Da rivedere quindi le informative “copia-incolla”: la logica del sistema richiede che l’informativa sia lo strumento principe per permettere all’interessato di sapere e, quindi, di decidere se e come permettere il trattamento dei dati.
  4. Verifica dell’impatto dei nuovo diritti del soggetto interessato
    La nuova disciplina non solo ribadisce ed amplia la tutela dei diritti dell’interessato già esistenti, ma ne crea dei nuovi. Oltre infatti ai diritti conoscitivi dell’informativa ed accesso, sono disciplinati i c.d. diritti di controllo, quali la limitazione al trattamento, la revoca del consenso, il diritto all’oblio, ed altresì il diritto alla portabilità dei dati.
    E’ necessario quindi verificare le procedure interne atte a dare risposta ove l’interessato azioni i suoi diritti e, per quanto riguarda in particolare, il (nuovo) diritto alla portabilità valutare una eventuale riorganizzazione interna, atta a consentire all’interessato di poter ricevere i propri dati in formato strutturato, di uso comune e leggibile.
  5. L’acquisizione del consenso
    Il consenso non è più scritto o verbale, ma per tutti libero (non condizionato), specifico (uno per ogni finalità), inequivocabile (certo) ed espresso. Per chi tratta poi dati sensibili deve essere anche “esplicitopouvez trouver ici. Poiché, poi, è in capo al titolare la prova di aver acquisito correttamente il consenso, occorre verificare con precisione il rapporto tra chiarezza della informativa e modalità di acquisizione dei diversi consensi a seconda delle diverse finalità.
  6. Il rispetto dell’accountability
    L’accountability è principio cardine del nuovo sistema: il titolare non è chiamato infatti al mero adempimento di un elenco di obblighi, ma è tenuto oggi a valutare i suoi trattamenti sotto il profilo del rischio, ad implementare le misure idonee e necessarie, a gestire il rischio residuo e, soprattutto, a dimostrare perché ha scelto quello misure (piuttosto che altre). Cambia quindi totalmente la prospettiva: da reattiva a pro-attiva.
    Occorre quindi rivedere il proprio processo interno di gestione del dato sotto questa nuova lente
  7. La privacy by design, il registro dei trattamenti, la valutazione di impatto
    il Regolamento introduce poi nuovi adempimenti che occorre sin da oggi cominciare a capire ed ad implementare: una riorganizzazione del servizio o una progettazione del prodotto che tenga conto della privacy sin dall’inizio (privacy by design e by default – art. 25), la predisposizione del registro delle attività di trattamento ove richiesto (art. 30), la valutazione di impatto (art. 35) richiesta nello specifico per il trattamento dei dati sanitari su larga scala.
  8. Data Protection Officer (DPO)
    E’ una figura nuova, che svolge in parte attività di consulenza e formazione ed in parte attività di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi (corte di giustizia e WP 29) nonché competenza di natura tecnologia. Inoltre, proprio in ragione dei suoi compiti di controllo, non può essere in posizione di conflitto di interessi.
    In ragione di quanto sopra, nelle Linee Guida del WP29 sul DPO si ammette espressamente la possibilità che l’incarico sia conferito ad enti giuridici che possano vantare una multiprofessionalità.
  9. Il trasferimento di dati
    Occorre accertarsi dove sono i propri dati e come vengono trattati, specie nel caso di cloud o di uso di app. E’ poi necessario verificare se il paese dove eventualmente i dati risiedono o sono trasferiti ha un accordo con la UE, e quali sono i termini.
  10. Data Breach
    Esteso a tutti i trattamenti ed a tutti i titolari l’obbligo di comunicare eventuali violazioni dei dati o del sistema (meccanismo già obbligatorio in area sanitaria per il Dossier Sanitario). Occorre quindi predisporre idonea procedura interna.

Ci sono 6 mesi per essere compliance al nuovo Regolamento; in carenza scatterà il rischio sanzioni che con la nuova disciplina potranno arrivare fino a 20 milioni di euro e/o 4% del fatturato mondiale annuo dell’azienda (art. 83 co 4 e 5).
Il tempo non è molto, mentre il rischio è molto alto: occorre partire.

 

Avv. Silvia Stefanelli
Studio Legale Stefanelli&Stefanelli

Nuovo regolamento MDR

L’impatto del nuovo regolamento MDR sugli studi clinici

Nuovo regolamento MDR

Il modello organizzativo sanitario, con tutti i processi che ne derivano, sta vivendo un profondo cambiamento strutturale, con importanti implicazioni nel medio-lungo termine.

L’invecchiamento della popolazione e la conseguente riconversione di un’ampia serie di servizi socio-assistenziali e sanitari rappresentano oggi una sfida a cui è necessario rispondere con soluzioni innovative e coordinate. Una di queste attiene ad un indispensabile adeguamento delle tecnologie alla necessità di supporto dei processi diagnostici e terapeutici, nella direzione di una crescente e rapida modernizzazione di questi ultimi. A tale scopo, va ripensata la modalità con la quale oggi l’innovazione può essere implementata, tenendo in considerazione i vincoli di spesa corrente e i piani di contenimento atti a rispettarli. Da qui, l’importanza di applicare strumenti di valutazione dell’impatto delle tecnologie in ambito ospedaliero, propri dell’Health Technology Assessment (HTA).

A queste esigenze si affiancano le novità in ambito normativo introdotte dal nuovo regolamento MDR – Medical Device Regulation per i dispositivi medici venduti in Europa, entrato in vigore il 26 maggio 2017, che stabilisce, tra i punti salienti, che i  produttori di medical device devono:

  • condurre studi clinici sulle prestazioni di ogni specifico dispositivo e provarne la sicurezza e le prestazioni in base al rischio ad esso associato
  • raccogliere e conservare i dati clinici post-vendita come parte della valutazione continua dei potenziali rischi per la sicurezza
  • fornire i dati clinici sulla sicurezza dei dispositivi, in particolare nel caso delle classi di rischio più elevate

Negli ultimi anni si è, infine, registrato un cambiamento epocale in tema di Public Procurement: con il nuovo Codice degli Appalti e l’introduzione dei Soggetti Aggregatori come stazioni appaltanti sono state, infatti, fortemente condizionate le modalità di acquisto delle Regioni, in funzione delle quali le Aziende devono evolvere le loro modalità di presidio sul Cliente.

Andrea Fasciani

Project Manager
CD Pharma Group s.r.l edpharmacie.fr.

Come definire il sistema retributivo aziendale?

Sistema retributivo aziendale: come definirlo?

Nelle turbolenze che attraversano la nostra economia, con le derivanti complessità interpretative e operative, permane – anzi, si rafforza – l’esigenza di gestire efficacemente il sistema retributivo aziendale per salvaguardare la competitività e il successo dell’azienda.

Perché la politica di reward sia veramente efficace deve permettere di sostenere l’attuazione della strategia di business attraverso le persone e per fare ciò è fondamentale che le politica retributiva aziendale parta da una vera e propria strategia di reward.

Questo assunto si basa su due concetti chiave:

  • Il contesto specifico aziendale è fattore fondamentale per l’assunzione delle corrette decisioni applicative in tema di Reward.
  • Esiste una robusta relazione tra il risultato aziendale e le politiche retributive che l’azienda adotta.

Possiamo riassumere in questo modo gli step necessari alla definizione del sistema retributivo aziendale:

  1. Identificazione della Strategia di Reward aziendale. Con Strategia di Reward si intende una serie di principi guida che definiscono le caratteristiche delle diverse componenti del sistema retributivo. Tale strategia dovrebbe essere allineata, da un lato, alla Mission, ai valori e agli obiettivi di business che l’azienda si pone e, dall’altro, alle caratteristiche delle persone che la compongono. Questo allineamento è basilare giacché garantisce la correlazione tra azioni di gestione retributiva adottate, livello di motivazione/performance delle persone e successo aziendale,  che è, appunto, dato dalla capacità dell’azienda di raggiungere gli obiettivi definiti nella strategia di business e di rispecchiare la Mission e i valori aziendali.
  2. Analisi e Definizione del Posizionamento Retributivo, che deve rispecchiare la strategia definita in precedenza. Il Posizionamento Retributivo è un indicatore della scelta operata dall’azienda in termini di livelli sul mercato delle retribuzioni e deve essere basato su quattro principi: il principio di legittimità (o contratto),  il principio della competitività esterna (o mercato), il principio dell’equità interna all’azienda e il principio della capacità retributiva (o ability to pay). Definire il posizionamento retributivo significa dunque sviluppare dei riferimenti secondo i quali remunerare i diversi ruoli aziendali. Al fine di verificare il proprio posizionamento è necessario confrontare l’attuale livello retributivo applicato dall’azienda con quello delle altre aziende appartenenti al proprio mercato di riferimento ed è qui che un’analisi retributiva solida gioca un ruolo fondamentale.
  3. Formulazione della Politica Retributiva, ossia i principi trainanti e le regole di funzionamento dei diversi elementi del sistema di Reward, quali ad esempio i principi che regolano gli aumenti retributivi all’interno dell’azienda.

Il patto tra i dipendenti e le aziende sta cambiando: il rapporto di lavoro sarà sempre più basato su una reciprocità di aspettative e prestazioni.  In questo contesto non bisogna sottovalutare l’impatto positivo di una corretta gestione retributiva in quanto:

“Avere in atto un corretto sistema di remunerazione aiuta le persone a fare le giuste scelte per assicurare il raggiungimento degli obiettivi strategici aziendali – Michael Porter”

Giulia Zucca
OD&M Consulting

PDR regione Lazio cosa rappresenta per le imprese la nullità delle clausole?

Tramite l’Avv. Nino Nigro, il nuovo partner dello Studio Legale Muscolo&Partners Avvocati Associati, che da tempo affianca ASBM Servizi nell’offrirvi il Servizio Crediti Pubblica Amministrazione , vi comunichiamo alcune informazioni di interesse per le aziende che hanno aderito al Piano di Rientro della Regione Lazio.

Le clausole degli accordi precedenti all’ultima proroga del 2015 all’interno del Piano, risultano nulle ex lege (ex art. 7 Dlgs 231/02, come integrato dal Dlgs 192/2012, lotta contro i ritardi di pagamento nelle transazioni commerciali).

Nullità clausole Regione Lazio, cosa significa questo per le imprese che hanno aderito al Piano?

Per rispondere è necessario innanzi tutto esaminare la normativa e quello che prevede:

  • Decorrenza e tassatività dei termini dell’adempimento 30 giorni dal ricevimento della fattura o dalla prestazione del servizio ovvero dalla fornitura del bene, 60 giorni in casi particolari (ovvero rapporti di fornitura di beni o servizi con la pubblica amministrazione).
  • Possibilità di concordare un termine diverso ma non tale da rendere eccessivamente oneroso il tempo di attesa del pagamento dovuto.

Un attento esame dei Piani di pagamento regionali ha rilevato la nullità dei seguenti articoli: art 4 comma 4.2 riguardante la data di scadenza di certificazione, comma 4.3 con riferimento alla possibilità di richiedere interessi per il mancato rispetto dei termini di certificazione solo su richiesta, comma 4.7 relativamente alla decorrenza d’interessi sia con riferimento al tasso ed al termine di calcolo viagrafromuk.com.

In conclusione…

I piani di pagamento adottati dalla Regione Lazio e sottoscritti dai fornitori a partire dal 2011, garantiscono ai fornitori il diritto di percepire gli interessi di mora (Dlgs 231/02 così come integrato dal Dlgs 192/12).

                                                                                                                                                            Avv. Nino Nigro
Studio Legale Muscolo&Partners Avvocati

Trattativa diretta su acquistinretepa.it : la nuova modalità di acquisto

ASBM Servizi fa parte dell’iniziativa Sportello MePA (Mercato elettronico della Pubblica Amministrazione) di Consip, per aiutare le aziende quotidianamente nella gestione dei prodotti su www.acquistiretepa.it .

La visibilità nei confronti della Pubblica Amministrazione è fondamentale per essere presenti sul mercato e garantire la totale trasparenza degli acquisti pubblici.

Recentemente alle opzioni di acquisto della Pubblica Amministrazione, Ordine diretto (ODA) e Richiesta di offerta (RdO), si è aggiunta una terza modalità: la Trattativa diretta.

Questa procedura di negoziazione, in versione semplificata rispetto alla RDO, si rivolge a un unico operatore economico.

Sul sito www.acquistinretepa.it è possibile scaricare la guida alla risposta di una Trattativa Diretta da parte dell’impresa.
I riferimenti normativi sono l’affidamento diretto, con procedura negoziata, ai sensi dell’art.36, comma 2, lettera A) – D.Lgs. 50/2016 e la procedura negoziata senza previa pubblicazione del bando, con un solo operatore economico, ai sensi dell’art.63 D https://rxcare.co.uk/cialis-online-uk/.Lgs. 50/2016.

Razionalizzazione degli acquisti: dove trovare i dati pubblici

Dal 29 settembre il MEF e Consip rendono visibili, tramite il Portale Open Data http://dati.consip.it/, i dati del Programma per la razionalizzazione degli acquisti. Analisi degli ordini, del transato diviso per categorie merceologiche ed elenchi strutturati di fornitori e Amministrazioni abilitati sono liberamente scaricabili in svariati formati dal .csv al .xls. I dati sono aggiornati mensilmente in modo completo e pubblicati con la profondità storica di tre anni.

Rimaniamo a vostra disposizione per continuare a discutere di tutte le novità apportate al Mercato elettronico della Pubblica Amministrazione attraverso il nostro servizio di Sportello MePA

  ASBM Servizi

Il Lean Thinking:come innovare e competere nel settore Life Sciences

Lean Thinking, come innovare e competere nel settore Life Sciences.

Cos’è il settore Life Sciences?

Il settore Life Sciences rappresenta ormai un contesto strategico rilevante all’interno del nostro Paese, giocando un forte ruolo di stimolo e di rilancio della competitività globale e nazionale per via del forte investimento che questo settore realizza nel campo della ricerca e sviluppo, in personale altamente qualificato, in processi produttivi tecnologicamente innovativi, in nuove attività imprenditoriali.

Tuttavia, come altre aziende di altri settori, si trova a operare in un contesto competitivo altamente instabile e fragile, caratterizzato da rapidi mutamenti di scenari sia in termini di concorrenza, dovuta anche all’emergere di nuovi paesi stranieri, che di mutevoli richieste e necessità da parte della clientela.

Lean Thinking, creare valore per il cliente

Soprattutto nel contesto specifico del settore scienze della vita, ovvero del farmaceutico, biotecnologico, medical device, occorre porre particolare attenzione alla capacità di creare valore per il cliente e di rispondere alle giuste esigenze del mercato. Le aziende che operano in questo settore, per la tipicità dei prodotti che vengono realizzati (farmaci, dispositivi medici e strumenti diagnostici) si trovano a gestire processi particolarmente complessi caratterizzati da tempi di sviluppo e di implementazione lentissimi con costi ingenti, sottoposti ad una regolamentazione elevata e a forti rischi di insuccesso.

Infatti criticità e/o errori nei processi e/o nei prodotti possono essere cruciali per la sopravvivenza di un’azienda: è necessario che il prodotto sia realizzato nel modo giusto, funzionale a soddisfare un bisogno effettivamente avvertito sul mercato, in grado di raggiungere la clientela in modo efficace e di generare valore per il cliente oltre che a garantire un ritorno economico per l’azienda. Fattori che spingono sempre di più alla ricerca di migliori performance sostenibili e di un’eccellenza strategica e operativa.

Per venire incontro a questa esigenza, sempre più diffusamente avvertita, negli ultimi anni si è sviluppato all’interno di alcune aziende del settore l’approccio Lean Thinking (Lean assessment), il quale grazie alla sua metodologia e alle sue tecniche fornisce alle imprese uno strumento concreto per raggiungere numerosi obbiettivi:

  • Ridurre gli sprechi
  • Destinare efficacemente le risorse
  • Essere più competitive sul mercato
  • Rimanere costantemente reattive ai cambiamenti
  • Ottimizzare il valore per il cliente finale

L’applicazione operativa di tale approccio, inteso come combinazione e integrazione di  principi, metodi e strumenti, ha dimostrato, infatti, che è possibile al contempo preservare il livello di qualità del prodotto o del servizio, agendo sulla complessità dei processi, favorendone la semplificazione, eliminando gli sprechi (e dunque, i relativi costi) e migliorare l’esperienza complessiva del cliente nonché la qualità (e dunque, il livello di soddisfazione) del lavoro di tutti gli attori coinvolti.

Il Lean Thinking è qualcosa di più di un metodo per il miglioramento dei processi, è un nuovo modo di ragionare che investe l’organizzazione nella sua totalità che si propone di aggredire gli sprechi lungo tutta la catena del valore facendo partecipare direttamente il personale alla ricerca delle soluzioni.

Alessandro Bacci
Partner Telos Consulting
Docente di Lean management – Università di Siena
Coordinatore Scientifico Luiss Lean lab – Luiss Business School