Un emanazione dello Studio Paci ed una partnership con esperti contabili ha ispirato questo nuovo progetto di Rappresentanza Europea per le aziende Extra UE

Articolo 27 – GDPR
Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione
1. Ove si applichi l’articolo 3, paragrafo 2, il titolare del trattamento o il responsabile del trattamento designa per iscritto un rappresentante nell’Unione.
2. L’obbligo di cui al paragrafo 1 del presente articolo non si applica:
a) al trattamento se quest’ultimo è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento; oppure
b) alle autorità pubbliche o agli organismi pubblici.

3. Il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento è monitorato. 4.Ai fini della conformità con il presente regolamento, il rappresentante è incaricato dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento. 5.La designazione di un rappresentante a cura del titolare del trattamento o del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.

GDPR: Senato della Repubblica 9 maggio Accountability e Consapevolezza, il sottile filo rosso fra diritti e libertà. Studio Paci ha contribuito alla riuscita di questo ambizioso progetto.  L’Osservatorio679 | GDPR ha organizzato un workshop in cui dibatteranno relatori di importanza internazionale. Autorità italiane ed europee, professionisti, accademici, si confronteranno su temi ancora aperti.

Scarica la locandina

08:45 – 9:00     Registrazione

Apre i lavori Mariapia GARAVAGLIA

09:00 – 09:30    Giovanni BUTTARELLI – Presidente Autorità Garante Europea
09:30 – 10:00    Bruno GENCARELLI – Capo dell’unità “Protezione e flussi internazionali di dati” –
Direzione generale Giustizia e Consumatori, Commissione europea
10:00 – 10:30    Giuseppe BUSIA – Segretario Generale Autorità Garante Italiana
10:30 – 11:00    Riccardo GIANNETTI – Presidente Osservatorio 679

GDPR, L’ADEGUAMENTO ITALIANO NELLA PROSPETTIVA UE

Dibattito presieduto da: Mariapia GARAVAGLIA

11:00 – 11:30     Giusella FINOCCHIARO – Professore di Diritto Privato – Università di Bologna
11:30 – 12:00     Cosimo Maria FERRI – Sottosegretario Ministero della Giustizia
12:00 – 12:30     Gianluca DI ASCENZO – Presidente CODACONS/ Vicepresidente Osservatorio 679
12:30 – 13:00     Walter RICCIARDI – Presidente Istituto Superiore di Sanità –executive board OMS

13:00 – 14:00   Light Lunch

GDPR, L’ACCOUNTABILITY IN EUROPA
Dibattito presieduto da:
Rosario IMPERIALI – Studio Imperiali
Riccardo GIANNETTI – Presidente Osservatorio 679

14:00 – 17:00
Brainstorming
Bruno GENCARELLI – Capo dell’unità “Protezione e flussi internazionali di dati” / Direzione generale Giustizia e Consumatori, Commissione europea
Autorità Garante BULGARA – presidenza di turno del Consiglio dell’unione
Giuseppe BUSIA – Segretario Generale Autorità Garante Italiana
Emanuele RIVA – Direttore Dipartimento Certificazione e Ispezione ACCREDIA
Altre Autorità Garanti*

* in attesa di conferma

BROCHURE

REGISTRATI

si ringraziano

   

  

     

   

   

  

GDPR CONSIDERANDO 171, DA NON SOTTOVALUTARE

“…Il trattamento già in corso alla data di applicazione del presente regolamento dovrebbe essere reso conforme al presente regolamento entro un periodo di due anni dall’entrata in vigore del presente regolamento…”

In buona sostanza, il titolare che ha già posto in essere un trattamento di dati personali alla data del 25 maggio 2018, deve arrivare a tale data con tutti i processi e le procedure aziendali rese già conformi ai nuovi disposti normativi. Il considerando va letto nel suo pieno significato anche e, soprattutto, per quanto riguarda gli archivi dei medici visitati (ex art. 5 EU Reg. 2016/679)

In parole povere, il lavoro di adeguamento deve essere terminato e non iniziato il 25 maggio 2018.
E quindi che fare?

Intanto porsi il problema è già un buon inizio, ma il trovare consulenti qualificati e non dell’ultimo minuto e dotarsi di un valido e preparato DPO, in grado di portare e mantenere l’azienda in conformità, sarà la carta vincente.

Infine, come dimostrare la conformità?
Ad ognuno la sua scelta. Gli strumenti resi disponibili dal testo GDPR sono diversi…
La certificazione volontaria, accreditata (ISO/IEC 17065:2012 – Reg. 765/2008), rappresenta per il settore farmaceutico un elemento di presa di coscienza e di accountability in merito ai Data Base utilizzati.

Laddove viene fatto un uso di dati personali dei medici, con archivi propri o di terzi, responsabilizza il titolare ad effettuare una corretta valutazione dei processi e dei dati.
In questo scenario il ruolo degli Auditor, dei consulenti e dei DPO sarà cruciale e le aziende avranno sempre più bisogno di professionisti estremamente preparati. Un auditor in grado di certificare le proprie competenze sul campo è una garanzia per l’azienda e un vantaggio per tutto il sistema privacy

La posta in gioco è molto alta.

Sarà necessario lavorare alacremente perché IL TEMPO CHE RIMANE AL 25 MAGGIO 2018 PUò essere tanto o poco. Considerato il fatto che ila maggior parte  delle aziende non è si è mai posta neanche il problema forse, per taluni sono pochissimi.

(fonte: Osservatorio 679)

Approvato in via preliminare lo schema di decreto legislativo per adeguare il quadro normativo nazionale alle disposizioni del regolamento UE 2016/679

Nell’attesa del decreto definitivo, anche se un pò lentamente, l’Italia sta facendo i passi giusti. L’adeguamento è necessario per:

• abrogare le norme italiane incompatibili col Regolamento;
• per definire le norme italiane che si “collegano” con il Regolamento nel rispetto dei principi e delle norme del Regolamento stesso.

A breve pubblicheremo il testo.

 

Mancano poche settimane all’esecutività delle misure del GDPR, il Regolamento Europeo n.2016/679 sulla Data Protection di cui tanto si parla.

Il sistema di regole che i sistemi aziendali dovranno rispettare a partire dal prossimo 25 maggio è davvero complesso, dato che al Regolamento dovranno essere associate anche talune disposizioni del Decreto Legislativo n.196, ed è chiaro che ogni azienda deve darsi da fare con urgenza per conformare a norma i propri trattamenti di dati personali.

Con il GDPR in effetti ci troviamo davanti ad una rivoluzione di approccio alla protezione dei dati personali, un’occasione di innovazione nella gestione delle informazioni, un nuovo contesto dove si parla di accountability, privacy by design, privacy by default, approccio basato sul rischio, auditing, Data Protection Officer.

Ma il sistema sanitario è un sistema molto critico, dove per essere compliant alle norme e proteggere adeguatamente l’importante patrimonio informativo è necessario adottare misure impegnative, tali da proteggere adeguatamente le informazioni, con un coinvolgimento di tutto il management.

È proprio sull’adozione di specifiche misure di sicurezza e sul controllo della loro adeguatezza che è necessario focalizzare l’attenzione nel sistema di trattamento dei dati di salute, per evitare che queste preziose risorse siano esposte a rischi.

La Fondazione Toscana “G. Monasterio”, L’Istituto di Fisiologia Clinica del CNR, APIHM, il Master in Management delle Aziende Sanitarie e il Dipartimento di Economia e Management dell’Università di Pisa, impegnati da anni nello studio e l’analisi dei temi legati alla nuova regolamentazione comunitaria della protezione dei dati in ambito sanitario, organizzano un evento i cui relatori, alla luce delle specifiche caratteristiche e complessità, si confronteranno sullo stato dell’arte e sui costi dell’applicazione del GDPR, in particolare per quanto riguarda la tenuta in sicurezza dei sistemi informativi.

 

Programma

08.30 – Registrazione dei partecipanti

09.00 – 09.30 – Apertura lavori e saluti delle Autorità

Filomena Polito – Presidente di APIHM

Luciano Ciucci – Direttore Generale della Fondazione Toscana Gabriele Monasterio – Pisa

Giorgio Iervasi – Direttore dell’Istituto di Fisiologia clinica – CNR – Pisa

Luca Anselmi – Professore di Economia Aziendale Dipartimento di Economia e Management – Università di Pisa

Carlo Milli – Direttore Amministrativo – Azienda ospedaliero universitaria Pisana

Guerrino Zanotti – Segretario di Stato per gli Affari Interni della Repubblica di San Marino

Alberto Marchesi – Presidente  Ordine Avvocati di Pisa

 

Sessione 1 – Cybersecurity – Minacce, vulnerabilità e rischi per i dati, le persone ed i pazienti

Moderazione a cura di Mauro Giraldi,  Direttore Sanitario Presidio ospedaliero – AOU Pisana

09.30 – 09.50 – Allarme sicurezza informatica nel mondo: un bollettino di guerra. Luigi Sfredda – Responsabile comunicazione – ASUR Marche

09.50 – 10.10 – Internet delle cose, le meraviglie e le sorprese dell’IoT. Maurizio Rizzetto – Direttore S.C. Innovazione e Gestione Tecnologie A.A.S. n. 5 Friuli occidentale – Gruppo ICT Associazione italiana Ingegneri clinici

10.10 – 10.30 – La mancata percezione del rischio del trattamento dei dati del cittadino, una prima analisi. Marco Paterni – Istituto di Fisiologia clinica – CNR

10.30 – 10.50 – Infrastrutture critiche e sicurezza, l’importanza dell’architettura di sicurezza. Francesco Grasso – Responsabile Sistemi informativi Azienda ospedaliero-universitaria Policlinico Umberto I Roma

10.50 -11.20 – Pausa caffè

11.20 – 11.40 – I Dispositivi medici e la sicurezza dei dati: stato dell’arte. Ilde Maria Barbieri – Ingegnere clinico – ASST Bergamo ovest

11.40 – 12.00 – Cyber risk in corsia ed ambulatori. Giuseppina Terranova – Clinical Risk Manager – ASL Toscana nord-ovest

12.00 – 12.20 – Cyber security e dati a maggior tutela. Stefano Dalmiani – Direttore Area ICT – Fondazione Toscana Gabriele Monasterio

12.20 – 12.40 – Il costo della cattiva gestione della sicurezza dei dati, un rischio da ponderare. Caterina Giannetti – Ricercatrice del Dipartimento di Economia e Management dell’Università di Pisa

12.40 – 13.10 – Discussione

13.10 – 14.15 – Pausa

14.15 – 14.20 – Apertura lavori pomeridiani.  Filomena Polito – Presidente di APIHM

Sessione 2 – I rischi del trattamento – Accountability e procedure di Data Breach

Moderazione a cura di Franco Antonio Margonari. Direttore UOC Affari Generali – ULSS 9 Scaligera

 

14.20 – 14.40 – CyberSecurity e rischi di sicurezza, esperienze e normative europee a confronto  Alessandro Vallega – Oracle GDPR Business development EMEA Security – Clusit Board of Director

14.40 – 15.00 – Attacchi informatici e CyberDifese. Giuseppe Augiero – Amministratore di sistema – Fondazione Toscana Gabriele Monasterio – Pisa

15.00 – 15.20 – Il recupero dei dati perduti, strategie e strumenti. Paolo Tognotti – Responsabile IT di AEG S.p.A.

15.20 – 15.40 – Oltre Bitcoin, applicazioni della blockchain in ambito sanitario. Marco Carlo Spada – Consulente per la sicurezza dei Sistemi informatici. Maria Letizia Perugini – Blockchain postdoctroral reseacher HEG – Università di Parma

15.40 – 16.00 – L’approccio risk-based alle politiche di sicurezza, l’organizzazione per dar seguito al GDPR. Graziano De’ Petris – Responsabile dell’Ufficio Privacy Azienda sanitaria universitaria integrata – Trieste Vicepresidente APIHM

16.00 – 16.20 – Pausa

16.20 – 16.40 – Il DPO e la valutazione e comunicazione del rischio e del danno cyber.  Filomena Polito – DPO e Presidente di APIHM

16.40 – 17.00 – Rischio Cyber e responsabilità del trattamento dei dati.  Nicola Fabiano – Avvocato cassazionista – ICT Security Manager Certified

17:00 – 17:10 – “Valutazione del rischio nell’ambito dei processi e nelle integrazioni”. Marco Bechini – Direttore Soluzioni ed interoperabilità Dedalus

17:10 – 17:30 – “AGID e le misure di sicurezza adeguate: come si implementano”. Luca Di Leo – Consulente Privacy

17:30 – 17:50 – “Alert e Privacy by design, tecnologie e procedure per la prevenzione e gestione del CyberRisk” Antonio Guzzo – Responsabile dei Sistemi Informativi del Comune di Praia a Mare

17.40 – 18.00 – Conclusione dei lavori e sintesi finale. Graziano De’ Petris – Responsabile dell’Ufficio Privacy Azienda sanitaria universitaria integrata – Trieste