Autore Topic: REGISTRO DEI TRATTAMENTI - ALCUNI DUBBI  (Letto 1386 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline tiziana francolino

  • Nuovi iscritti
  • *
  • Post: 3
  • Nuovo iscritto
    • Mostra profilo
Re:REGISTRO DEI TRATTAMENTI - ALCUNI DUBBI
« Risposta #3 il: 01 Maggio 2018, 12:36:54 »
Grazie mille per il supporto!!!

Forum del Portale Omniavis.it

Re:REGISTRO DEI TRATTAMENTI - ALCUNI DUBBI
« Risposta #3 il: 01 Maggio 2018, 12:36:54 »

 


Online Simone Chiarelli

  • Dott. Simone Chiarelli
  • Administrator
  • Membro Super
  • *****
  • Post: 21.747
  • Dott. Simone Chiarelli
    • Mostra profilo
    • Chiarelli Simone
    • E-mail
Re:REGISTRO DEI TRATTAMENTI - ALCUNI DUBBI
« Risposta #2 il: 30 Aprile 2018, 20:22:40 »
Sto redigendo il registro delle attività di trattamento e non mi sono chiare alcune cose.
BENVENUTA e speriamo di poterti essere utile ... e quando vuoi contribuisci pure con quesiti, risposte o spunti

1) CONTITOLARITA'
Dal testo del regolamento, pare che sussista quando due o più soggetti  INSIEME determinano le finalità e i mezzi di trattamento (es. in un gruppo di imprese)
Confermo.
Il GDPR (https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA) ne tratta all'art. 26 ed in particolare "Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità"


Da qualche ricerca effettuata, pare che se due soggetti che utilizzano gli stessi dati personali (es. mediante una banca dati comune) anche se per finalità diverse e per aspetti diversi sono contitolari.
CONFERMO

Vado al dunque... noi sottoscriviamo spesso convenzioni con fondi e/o assicurazioni per l'erogazione di prestazione in regime solvente. quando l'assistito sceglie la mia struttura, con la compagnia / fondo ci si scambia dati personali (anche documentazione sanitaria) mediante un loro portale.
Ritiene che in questo caso ci sia contitolarità?
Da quanto descritto non sembrerebbe.
Sembra che vi siano DUE DATABASE distinti, autonomi, ed ognuno gestito distintamente da due titolari i quali SCAMBIANO i dati in occasione dell'attivazione di una prestazione contrattuale.
SOLO SE invece dello scambio vi è accesso ed aggiornamento di una banca dati comune è corretto parlare di contitolarità.
Altrimenti abbiamo due titolari e forme di COMUNICAZIONE/SCAMBIO di dati da gestire con consenso/informativa


Sarebbe così gentile da farmi qualche altro esempio per capire bene il concetto. Purtroppo su internet non si rinvengono molte notizie in merito.

Esempio:
Banca dati delle pratiche edilizie dell'UNIONE DEI COMUNI X, Y e Z.
L'Unione riceve le pratiche su un PORTALE CONDIVISO e questi dati sono gestiti, autonomamente, da ogni Comune sempre utilizzando la stessa banca dati.
Unione e singoli Comuni sono contitolari (attenzione i Comuni, X, Y e Z non sono fra loro contitolari, ma lo sono ciascuno con l'unione).

Es. Società di franchising che mette a disposizione del gruppo un database centralizzato dei clienti. Franchisee e Franchisor utilizzando, con password distinte, la medesima banca dati che popolano, aggiornano, consultano ecc....


***************************
2) RESPONSABILE DEL TRATTAMENTO
- Devo indicare nel  registro della mia azienda che siamo responsabilI per conto di un titolare (es. perché svolgiamo servizi di laboratorio per altra struttura) anche se non siamo stati ancora nominati tali?
Per il GDPR (art. 4): «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
Il GDPR aggiunge poi "I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico".
NON SI PREVEDE un atto di nomina/designazione per cui se voi avete un contratto valido che vi legittima/obbliga al trattamento siete di già responsabili del trattamento e come tali, dal 25 maggio, dovete qualificarvi.
Meglio se chiedete conferma scritta al TITOLARE in quanto spetta a lui fornire ISTRUZIONI (ad esempio sui contenuti dell'informativa, del consenso ecc...).
Meglio TRACCIARE sempre questi passaggi!


3) Invece del secondo Registro che Lei ha spiegato necessario per comprovare e per mappare la mia attività data per data, posso predisporre un piano di adeguamento che riporti da dove siamo partiti (quindi ciò che era stato riscontrato in una gap analysis fatta da consulenti) e cosa abbiamo implementato (es. registro, procedura data breach etc) e, di conseguenza, i nostri obiettivi futuri?
Questo va bene ma è altra cosa. Questo è la valutazione di impatto o qualcosa di analogo.
Questo serve per dimostrare che avete un progetto di adeguamento .... ma non completa il percorso di accountability ... vi suggerisco di tenere anche un semplice file in condivisa dove appuntarvi le varie operazioni ... anche un GOOGLE CALENDAR all'occorrenza .... non serve che sia un documento complicato nè che sia aggiornato in tempo reale, magari una volta ogni 15 giorni lo aggiornate!


4) Vorrei, se possibile, una sua opinione su come ho imposto il Registro: Siamo un'azienda piuttosto grande con 3500 dipendenti e con più sedi in Italia. Il Registro l'ho impostato per singolo ufficio che per la sede centrale amministrativa e per l'Istituto Scientifico/Centro Medico per servizi ospedalieri (CUP, AMBULATORIO etc.) individuati tramite organigramma. Per Ognuno di loro è inserito la/le attività di trattamento svolti. inoltre, poiché abbiamo più sedi (tutte dipendenti da quella centrale) ho pensato sia giusto comporre un unico registro che includa i singoli registri di tutte le sedi proprio in virtù della varietà di attività svolte.
Grazie mille!!!
Da quanto descritto sembra corretto ... sul punto il GDPR lascia abbastanza libertà.
Oltre al registro che ho preparato e pubblicato (adatto ad una PA) segnalo questo più adatto ad una azienda:
http://www.defensis.it/risorse-eventi/registro_dei_trattamenti_gdpr_-_modello.html


Tiziana
* * * * * * * * * *
Dott. Simone Chiarelli
simone.chiarelli@gmail.com
tel. 3337663638
* * * * * * * * * *
https://www.youtube.com/user/simonechiarelli

Offline tiziana francolino

  • Nuovi iscritti
  • *
  • Post: 3
  • Nuovo iscritto
    • Mostra profilo
REGISTRO DEI TRATTAMENTI - ALCUNI DUBBI
« Risposta #1 il: 30 Aprile 2018, 15:06:12 »
Sto redigendo il registro delle attività di trattamento e non mi sono chiare alcune cose.

1) CONTITOLARITA'
Dal testo del regolamento, pare che sussista quando due o più soggetti  INSIEME determinano le finalità e i mezzi di trattamento (es. in un gruppo di imprese)
Da qualche ricerca effettuata, pare che se due soggetti che utilizzano gli stessi dati personali (es. mediante una banca dati comune) anche se per finalità diverse e per aspetti diversi sono contitolari.

Vado al dunque... noi sottoscriviamo spesso convenzioni con fondi e/o assicurazioni per l'erogazione di prestazione in regime solvente. quando l'assistito sceglie la mia struttura, con la compagnia / fondo ci si scambia dati personali (anche documentazione sanitaria) mediante un loro portale.
Ritiene che in questo caso ci sia contitolarità?

Sarebbe così gentile da farmi qualche altro esempio per capire bene il concetto. Purtroppo su internet non si rinvengono molte notizie in merito.

2) RESPONSABILE DEL TRATTAMENTO
- Devo indicare nel  registro della mia azienda che siamo responsabilI per conto di un titolare (es. perché svolgiamo servizi di laboratorio per altra struttura) anche se non siamo stati ancora nominati tali?

3) Invece del secondo Registro che Lei ha spiegato necessario per comprovare e per mappare la mia attività data per data, posso predisporre un piano di adeguamento che riporti da dove siamo partiti (quindi ciò che era stato riscontrato in una gap analysis fatta da consulenti) e cosa abbiamo implementato (es. registro, procedura data breach etc) e, di conseguenza, i nostri obiettivi futuri?

4) Vorrei, se possibile, una sua opinione su come ho imposto il Registro: Siamo un'azienda piuttosto grande con 3500 dipendenti e con più sedi in Italia. Il Registro l'ho impostato per singolo ufficio che per la sede centrale amministrativa e per l'Istituto Scientifico/Centro Medico per servizi ospedalieri (CUP, AMBULATORIO etc.) individuati tramite organigramma. Per Ognuno di loro è inserito la/le attività di trattamento svolti. inoltre, poiché abbiamo più sedi (tutte dipendenti da quella centrale) ho pensato sia giusto comporre un unico registro che includa i singoli registri di tutte le sedi proprio in virtù della varietà di attività svolte.
Grazie mille!!!
Tiziana
« Ultima modifica: 30 Aprile 2018, 15:36:44 da tiziana francolino »