La "Privacy Policy" in Azienda in applicazione delle disposizioni del Reg.UE 2016/679 e del D.Lgs 196/2003
L'Azienda Ospedaliero-Universitaria di Ferrara (l’“Azienda”) ha attuato una serie di percorsi organizzativi per adeguare la propria attività e le proprie strutture alle disposizioni contenute nel RGDP e nel D.Lgs. 196/2003.
L'Azienda, in qualità di Titolare del trattamento, ha predisposto un percorso applicativo in materia di protezione dei dati, che consenta di mettere a punto un sistema stabile a presidio permanente della tematica approvando con delibera n. 289 del 28.12.2018 il Regolamento recante il sistema di gestione dei dati personali nell’Azienda Ospedaliero-Universitaria di Ferrara “Arcispedale S. Anna” in applicazione del Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei dati).
Il Regolamento è stato successivamente integrato e modificato con delibera n. 45 del 27.02.2020.
Con il già menzionato atto si è inteso individuare i soggetti nominati (o da nominare in futuro) Responsabili, tanto all’interno dell’Azienda (es. Direttore Sanitario e Direttore Amministrativo) quanto in relazione ai processi di esternalizzazione di servizi (es. per gli affidatari di servizi concessi in appalto, contratto e/o convenzione).
Si sono quindi individuati i referenti per il trattamento dei dati (es. Direttori di Unità Operativa, i Dirigenti titolari di strutture in staff alla direzione, nonché altri Dirigenti espressamente individuati con delibera del Direttore Generale).
Sono state inoltre pedissequamente determinate le modalità per l’individuazione dei soggetti ex art. 29 RGPD e 2-quaterdecies D.Lgs. 196/2003, cioè i dipendenti-collaboratori autorizzati a trattare dati personali di titolarità dell’Azienda, secondo le istruzioni legittimamente impartite.
Si provvede regolarmente, con scadenza almeno annuale, alla verifica della necessità di procedere alla revisione e all’eventuale aggiornamento del Regolamento interno dell’Azienda.
Sono state enumerate, con un elenco aperto, le tipologie di informative da fornire all’interessato in base alla finalità della raccolta dei dati nel caso concreto, tenuto conto anche delle forme con le quali le stesse possono essere rese, e sono state chiarite le modalità per rendere effettivo l’esercizio dei diritti da parte dell’interessato. Uno specifico approfondimento è stato dedicato poi alle misure di sicurezza da applicare.