Censimento dei servizi e dei processi di trattamento dei dati personali dell’Ente/Azienda con particolare riguardo a quelli supportati da sistemi informatici

Premesso che il titolare del trattamento, in attuazione del principio di accountability (responsabilizzazione), deve essere in grado di comprovare di avere applicato ai servizi e processi di trattamento di dati personali tutti i principi di cui all’art. 5 del GDPR[1], al fine di assicurare la corretta esecuzione degli stessi e di favorire gli adempimenti previsti, l’Ente/Azienda ha necessità di procedere con un censimento dettagliato dei servizi e processi di trattamento di dati personali con particolare riguardo a quelli supportati dai sistemi informatici, e, per le azienda sanitarie, tecnologico-sanitari e servizi di telemedicina (teleconsulto, televisita, teleconsulenza, telemonitoraggio, ecc… anche correlati a sistemi impiantabili sul paziente) acquisiti a qualunque titolo (es.: acquisto, noleggio, comodato d’uso, ecc…) ed erogati anche su infrastrutture esterne a quelle dell’organizzazione del titolare del trattamento. (es.: servizi Cloud).

Nell’ambito della propria struttura organizzativa, il Titolare ha provveduto a designare tutti i Direttori/Dirigenti Responsabili quali Soggetti Autorizzati al Trattamento con Delega (di seguito “SATD” o “Delegati”) fornendo loro esplicite istruzioni, tra cui la presente comunicazione; qualora si discostino da suddette istruzioni vengono equiparati, essi stessi, a titolari del trattamento, con conseguente loro diretta responsabilità in caso di eventuali violazioni delle disposizioni normative che disciplinano il trattamento dei dati personali.

L’art. 30 del GDPR stabilisce che ogni titolare del trattamento, fatte salve poche eccezioni che non rilevano in questa sede, debba tenere un registro delle attività di trattamento svolte sotto la propria responsabilità e che tale registro contenga le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49[2], la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.[3]

Da considerare che l’obbligo di cui al precedente capoverso è considerato essere la premessa indispensabile per poter dimostrare la conformità di tutti i servizi e processi di trattamento di dati personali ai principi enunciati dal GDPR. Il fine di tale obbligo è duplice:

rendere disponibile un censimento dei servizi e dei processi di trattamento di dati personali in essere, con le relative banche dati, sotto la responsabilità del titolare del trattamento;
definire, in maniera ordinata e ricostruibile ex post, verificabile da terzi, l’adozione di misure di sicurezza adeguate ed efficaci volte ad attuare il principio di responsabilizzazione come ulteriore garanzia del rispetto dei principi fondamentali di protezione dei dati.

Su richiesta dell’Autorità Garante per la Protezione dei dati Personali, tale registro dovrà essere messo a disposizione in caso di ispezione, di violazione di dati personali o comunque su eventuale richiesta dell’Autorità.

Per sua natura il registro dei trattamenti deve essere organizzato, alimentato ed aggiornato in maniera continua; tale attività è compito dei singoli SATD, su delega del Titolare conferita mediante la lettera di nomina. A livello operativo, l’attività di aggiornamento prevede la compilazione, da parte dei Soggetti Autorizzati al Trattamento con Delega, di specifici questionari relativi a servizi e processi di trattamento di dati personali effettuati da parte delle singole Unità Organizzative da loro dirette. Tali questionari, una volta compilati, dovranno essere inviati all’Ufficio Privacy che si occuperà del loro inserimento all’interno del sistema informatico aziendale di gestione del Registro dei Trattamenti.

In generale, eventuali attivazioni/modifiche/dismissioni di servizi o trattamenti dovranno essere comunicate tempestivamente all’Ufficio Privacy; alcuni esempi di tali operazioni sono di seguito riepilogati:

Attivazioni: nuova convenzione, nuovo studio clinico, nuovo trattamento di dati personali, nuova metodologia di esecuzione delle attività (es.: Intelligenza Artificiale, Telemedicina), nuovo servizio erogato dall’UO, nuovi trattamenti/servizi previsti dalla pubblicazione di nuovi obblighi normativi, inserimento di un nuovo sistema informatico o tecnologico-sanitario (es.: strumentazione sanitaria che preveda il trattamento di dati) di supporto al servizio/trattamento, nuova tipologia o fornitura di dispositivi impiantabili, assunzione di ruolo in ambito regionale/nazionale (es.: riferimento regionale con conseguenti adempimenti), ecc.
Modifiche: esternalizzazione/internalizzazione di un servizio, cambio di fornitore e/o di contratto per un servizio esternalizzato, modifica di normative di riferimento, cambio o integrazione di soggetti destinatari di comunicazioni di informazioni, cambio di un sistema informatico o tecnologico-sanitario di supporto al servizio/trattamento, modifica/cambio di fornitore/cambio di modalità-finalità di utilizzo di un sistema di trattamento, modifica di ruolo assunto in ambito regionale/nazionale (es.: riferimento regionale con conseguenti adempimenti), ecc.
Dismissioni: fine contratto/convenzione, fine studio clinico, cessazione di un servizio erogato, cessazione di un progetto, cessazione di ruolo assunto in ambito regionale/nazionale (es.: riferimento regionale con conseguenti adempimenti), dismissione sistema informatico/tecnologico-sanitario/telemedicina, ecc.

Di conseguenza:

nel caso in cui un SATD intenda attivare per la propria UO eventuali nuovi servizi/processi di trattamento di dati personali (punto 1 del precedente elenco) dovrà compilare un apposito modello di Analisi dei servizi e dei processi di trattamento (allegato alla presente comunicazione e sopra richiamato) con tutti i riferimenti richiesti ed inviarlo all’Ufficio Privacy e Sicurezza delle Informazioni;
in caso di modifica o dismissione di un servizio/processo di trattamento (punti 2 e 3 del precedente elenco) sarà sufficiente comunicare il codice del trattamento con la modifica apportata o la cessazione del servizio/trattamento.

La tempestività di aggiornamento del registro, pur essendo importante in tutti e tre i casi sopra riportati, è particolarmente stringente nei primi due (attivazione e modifica), con particolare riferimento al caso di attivazione di convenzioni/studi clinici e di acquisizione servizi/sistemi informatici/tecnologico-sanitari dall’esterno.

Inoltre, al fine di poter essere conformi con quanto previsto dall’art. 25 del GDPR (“Protezione dei dati fin dalla progettazione e per impostazione predefinita”), è necessario procedere con la comunicazione dell’aggiornamento fin dalle fasi preliminari dei processi di attivazione/acquisizione sopra indicati, mediante opportuna compilazione del questionario e relativa comunicazione all’Ufficio Privacy.

In riferimento a quanto sopra indicato, si ricorda che l’art 83.4.a del GDPR[4] prevede che sia irrogata una sanzione amministrativa, fino a 10 milioni di euro, nel caso in cui vi sia una violazione degli “obblighi del titolare del trattamento a norma dell’art. 30” che disciplina il Registro dei Trattamenti.

[1] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o

storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)

[2] Articolo 49 Deroghe in specifiche situazioni (C111-C114)

2. Il trasferimento di cui al paragrafo 1, primo comma, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato a essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i destinatari.

[3] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

[4] Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)

4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;

b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;

c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Censimento dei servizi e dei processi di trattamento dei dati personali

About Author / Davide De Luca

la gestione degli endpoint e le relative misure di sicurezza tecniche ed organizzative da applicare

il phishing cosa è e come difendersi.

Lascia un commento Annulla risposta