Nuovo regolamento Data Protection: come adeguarsi?

10 passi per la corretta esecuzione del GDPR

Il recente Reg.Ue 679/2016 in materia di Privacy e Protezione Dati troverà piena applicazione il prossimo 25 maggio 2018.
La disciplina introduce un nuovo modo di pensare e gestire il trattamento dei dati: non si tratta quindi di un mero aggiornamento della direttiva precedente, ma proprio di una diversa architettura giuridica del sistema che comporta un modo sostanzialmente nuovo di pensare e gestire il trattamento dei dati.

Da dove cominciare allora?

Abbiamo identificato 10 STEP che possono essere seguiti per l’implementazione:

  1. Conoscenza del nuovo Regolamento
    Il Reg. 679/2016 sostituirà in toto la dir 95/46/CE: si tratta di un provvedimento più complesso rispetto alla Direttiva e che arriva (dopo oltre 20 anni) a regolare una realtà sostanzialmente diversa da quella del ’95 e sempre più digitale. Occorre capirne i punti cardine e la ratio di fondo, nonché verificare che chi opera all’interno della propria struttura abbia consapevolezza di tale voluzione.
  2. Analisi dei dati trattati
    Occorre mappare con esattezza quali dati si trattano, perché si trattano e come si trattano.
    Il Regolamento infatti richiede, in sostanza, di effettuare una analisi del rischio dei dati trattati, e di implementare un modello di gestione dei dati per definire quali misure adottare al fine di tutelare i diritti degli interessanti, proteggendo i loro dati e gestendo i rischi ineliminabili.
  3. Revisione della Informativa
    Il nuovo Regolamento si incardina su un principio (in parte) nuovo: l’interessato deve avere il controllo dei propri dati (considerando n. 6). Sotto questo profilo appare chiaro come l’informativa deve essere chiara, completa ed esaustiva: con la nuova disciplina potranno essere usate anche le icone.
    Da rivedere quindi le informative “copia-incolla”: la logica del sistema richiede che l’informativa sia lo strumento principe per permettere all’interessato di sapere e, quindi, di decidere se e come permettere il trattamento dei dati.
  4. Verifica dell’impatto dei nuovo diritti del soggetto interessato
    La nuova disciplina non solo ribadisce ed amplia la tutela dei diritti dell’interessato già esistenti, ma ne crea dei nuovi. Oltre infatti ai diritti conoscitivi dell’informativa ed accesso, sono disciplinati i c.d. diritti di controllo, quali la limitazione al trattamento, la revoca del consenso, il diritto all’oblio, ed altresì il diritto alla portabilità dei dati.
    E’ necessario quindi verificare le procedure interne atte a dare risposta ove l’interessato azioni i suoi diritti e, per quanto riguarda in particolare, il (nuovo) diritto alla portabilità valutare una eventuale riorganizzazione interna, atta a consentire all’interessato di poter ricevere i propri dati in formato strutturato, di uso comune e leggibile.
  5. L’acquisizione del consenso
    Il consenso non è più scritto o verbale, ma per tutti libero (non condizionato), specifico (uno per ogni finalità), inequivocabile (certo) ed espresso. Per chi tratta poi dati sensibili deve essere anche “esplicitopouvez trouver ici. Poiché, poi, è in capo al titolare la prova di aver acquisito correttamente il consenso, occorre verificare con precisione il rapporto tra chiarezza della informativa e modalità di acquisizione dei diversi consensi a seconda delle diverse finalità.
  6. Il rispetto dell’accountability
    L’accountability è principio cardine del nuovo sistema: il titolare non è chiamato infatti al mero adempimento di un elenco di obblighi, ma è tenuto oggi a valutare i suoi trattamenti sotto il profilo del rischio, ad implementare le misure idonee e necessarie, a gestire il rischio residuo e, soprattutto, a dimostrare perché ha scelto quello misure (piuttosto che altre). Cambia quindi totalmente la prospettiva: da reattiva a pro-attiva.
    Occorre quindi rivedere il proprio processo interno di gestione del dato sotto questa nuova lente
  7. La privacy by design, il registro dei trattamenti, la valutazione di impatto
    il Regolamento introduce poi nuovi adempimenti che occorre sin da oggi cominciare a capire ed ad implementare: una riorganizzazione del servizio o una progettazione del prodotto che tenga conto della privacy sin dall’inizio (privacy by design e by default – art. 25), la predisposizione del registro delle attività di trattamento ove richiesto (art. 30), la valutazione di impatto (art. 35) richiesta nello specifico per il trattamento dei dati sanitari su larga scala.
  8. Data Protection Officer (DPO)
    E’ una figura nuova, che svolge in parte attività di consulenza e formazione ed in parte attività di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi (corte di giustizia e WP 29) nonché competenza di natura tecnologia. Inoltre, proprio in ragione dei suoi compiti di controllo, non può essere in posizione di conflitto di interessi.
    In ragione di quanto sopra, nelle Linee Guida del WP29 sul DPO si ammette espressamente la possibilità che l’incarico sia conferito ad enti giuridici che possano vantare una multiprofessionalità.
  9. Il trasferimento di dati
    Occorre accertarsi dove sono i propri dati e come vengono trattati, specie nel caso di cloud o di uso di app. E’ poi necessario verificare se il paese dove eventualmente i dati risiedono o sono trasferiti ha un accordo con la UE, e quali sono i termini.
  10. Data Breach
    Esteso a tutti i trattamenti ed a tutti i titolari l’obbligo di comunicare eventuali violazioni dei dati o del sistema (meccanismo già obbligatorio in area sanitaria per il Dossier Sanitario). Occorre quindi predisporre idonea procedura interna.

Ci sono 6 mesi per essere compliance al nuovo Regolamento; in carenza scatterà il rischio sanzioni che con la nuova disciplina potranno arrivare fino a 20 milioni di euro e/o 4% del fatturato mondiale annuo dell’azienda (art. 83 co 4 e 5).
Il tempo non è molto, mentre il rischio è molto alto: occorre partire.

 

Avv. Silvia Stefanelli
Studio Legale Stefanelli&Stefanelli

Nuovo regolamento MDR

L’impatto del nuovo regolamento MDR sugli studi clinici

Nuovo regolamento MDR

Il modello organizzativo sanitario, con tutti i processi che ne derivano, sta vivendo un profondo cambiamento strutturale, con importanti implicazioni nel medio-lungo termine.

L’invecchiamento della popolazione e la conseguente riconversione di un’ampia serie di servizi socio-assistenziali e sanitari rappresentano oggi una sfida a cui è necessario rispondere con soluzioni innovative e coordinate. Una di queste attiene ad un indispensabile adeguamento delle tecnologie alla necessità di supporto dei processi diagnostici e terapeutici, nella direzione di una crescente e rapida modernizzazione di questi ultimi. A tale scopo, va ripensata la modalità con la quale oggi l’innovazione può essere implementata, tenendo in considerazione i vincoli di spesa corrente e i piani di contenimento atti a rispettarli. Da qui, l’importanza di applicare strumenti di valutazione dell’impatto delle tecnologie in ambito ospedaliero, propri dell’Health Technology Assessment (HTA).

A queste esigenze si affiancano le novità in ambito normativo introdotte dal nuovo regolamento MDR – Medical Device Regulation per i dispositivi medici venduti in Europa, entrato in vigore il 26 maggio 2017, che stabilisce, tra i punti salienti, che i  produttori di medical device devono:

  • condurre studi clinici sulle prestazioni di ogni specifico dispositivo e provarne la sicurezza e le prestazioni in base al rischio ad esso associato
  • raccogliere e conservare i dati clinici post-vendita come parte della valutazione continua dei potenziali rischi per la sicurezza
  • fornire i dati clinici sulla sicurezza dei dispositivi, in particolare nel caso delle classi di rischio più elevate

Negli ultimi anni si è, infine, registrato un cambiamento epocale in tema di Public Procurement: con il nuovo Codice degli Appalti e l’introduzione dei Soggetti Aggregatori come stazioni appaltanti sono state, infatti, fortemente condizionate le modalità di acquisto delle Regioni, in funzione delle quali le Aziende devono evolvere le loro modalità di presidio sul Cliente.

Andrea Fasciani

Project Manager
CD Pharma Group s.r.l edpharmacie.fr.

PDR regione Lazio cosa rappresenta per le imprese la nullità delle clausole?

Tramite l’Avv. Nino Nigro, il nuovo partner dello Studio Legale Muscolo&Partners Avvocati Associati, che da tempo affianca ASBM Servizi nell’offrirvi il Servizio Crediti Pubblica Amministrazione , vi comunichiamo alcune informazioni di interesse per le aziende che hanno aderito al Piano di Rientro della Regione Lazio.

Le clausole degli accordi precedenti all’ultima proroga del 2015 all’interno del Piano, risultano nulle ex lege (ex art. 7 Dlgs 231/02, come integrato dal Dlgs 192/2012, lotta contro i ritardi di pagamento nelle transazioni commerciali).

Nullità clausole Regione Lazio, cosa significa questo per le imprese che hanno aderito al Piano?

Per rispondere è necessario innanzi tutto esaminare la normativa e quello che prevede:

  • Decorrenza e tassatività dei termini dell’adempimento 30 giorni dal ricevimento della fattura o dalla prestazione del servizio ovvero dalla fornitura del bene, 60 giorni in casi particolari (ovvero rapporti di fornitura di beni o servizi con la pubblica amministrazione).
  • Possibilità di concordare un termine diverso ma non tale da rendere eccessivamente oneroso il tempo di attesa del pagamento dovuto.

Un attento esame dei Piani di pagamento regionali ha rilevato la nullità dei seguenti articoli: art 4 comma 4.2 riguardante la data di scadenza di certificazione, comma 4.3 con riferimento alla possibilità di richiedere interessi per il mancato rispetto dei termini di certificazione solo su richiesta, comma 4.7 relativamente alla decorrenza d’interessi sia con riferimento al tasso ed al termine di calcolo viagrafromuk.com.

In conclusione…

I piani di pagamento adottati dalla Regione Lazio e sottoscritti dai fornitori a partire dal 2011, garantiscono ai fornitori il diritto di percepire gli interessi di mora (Dlgs 231/02 così come integrato dal Dlgs 192/12).

                                                                                                                                                            Avv. Nino Nigro
Studio Legale Muscolo&Partners Avvocati