ADEMPIMENTI PRIVACY

Il GDPR per la casa di cura privata: la guida per gli adempimenti

La casa di cura privata, come qualsiasi struttura sanitaria, soggiace ad una serie di misure previste dal GDPR e in generale a tutte le connesse disposizioni in materia di protezione dei dati personali. Ecco una panoramica su quelli che sono gli adempimenti più rilevanti richiesti dalla normativa privacy europea e nazionale

22 Ott 2019
M
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza

Anche una casa di cura privata, come qualsiasi struttura sanitaria, deve soggiacere alle misure previste dal GDPR e, più in generale, alle disposizioni in materia di protezione dei dati personali.

Secondo il DPCM 27 giugno 1986, la casa di cura privata si configura come uno stabilimento sanitario gestito da privati, persone fisiche o giuridiche, che provvedono al ricovero ed – eventualmente – all’assistenza sanitaria ambulatoriale e in regime di degenza diurna di cittadini italiani e stranieri a fini di diagnosi, cura e riabilitazione.

Il GDPR per la casa di cura privata: l’accountability del titolare del trattamento

Determinando le finalità (es. cura del paziente) e i mezzi del trattamento (es. modalità informatiche), la casa di cura privata opera come Titolare del trattamento dei dati (art. 4 n. 7 del GDPR). Come tale “soggetto del trattamento” la casa di cura privata deve rispettare il “principio di responsabilizzazione” (o di “accountability”) di cui agli artt. 5.2 e 24 del GDPR.

WHITEPAPER
DATI: come PROTEGGERLI e mantenerli CONFORMI alle regole? Scarica la Guida
Sicurezza dei dati
Database

Nel rispetto di tale principio cardine dell’impalcatura europea, la casa di cura privata è pienamente responsabile delle scelte e delle azioni intraprese in materia di trattamento dei dati personali, e deve “darne conto” agli interessati secondo i disposti del GDPR.

Infine, in base all’art. 24 del GDPR, la casa di cura privata Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati sia effettuato conformemente al GDPR.

Il GDPR per la casa di cura privata: l’informativa ai pazienti

La casa di cura privata Titolare del trattamento deve da un lato informare il paziente interessato circa i suoi diritti in materia di trattamento dei dati personali; dall’altro deve agevolare i diritti previsti dal GDPR nel modo più efficace possibile.

Esaminiamo nel presente paragrafo quelli che sono i “diritti informativi” che appartengono al paziente della casa di cura privata (prima del GDPR, ed in costanza della vecchia formulazione del D.lgs. 196/2003, era presente il noto termine “Informativa Privacy”)

Per l’art. 12 del GDPR è necessario che la casa di cura privata utilizzi per tutte le informazioni sul trattamento dei dati ai pazienti interessati:

  • un linguaggio semplice e chiaro con una forma intellegibile (facilmente comprensibile);
  • una forma concisa (informazioni brevi e fruibili);
  • una forma trasparente (e veritiera);
  • una forma facilmente accessibile (affissioni, modulistiche, presenza su sito web ecc.).

Le informazioni rese ai sensi dell’Art. 13 del GDPR devono contenere:

  • l’identità e i dati di contatto (reali ed aggiornati) del Titolare del trattamento (es. ragione sociale e dati di contatto della casa di cura privata);
  • i dati di contatto del DPO (obbligatorio per le case di cura private);
  • le finalità del trattamento (es. trattamento dei dati per finalità di diagnosi, cura e riabilitazione dei pazienti interessati);
  • la base giuridica utilizzata per il trattamento dei dati (es. il consenso al trattamento dei dati);
  • i destinatari del trattamento, ossia le persone fisiche, giuridiche, le autorità pubbliche od organismi che ricevono comunicazione dei dati personali. È necessario specificare almeno la categoria di riferimento dei destinatari (es. lo studio commercialista, la Regione ecc.);
  • il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali;
  • il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo. È fondamentale stimare diversi periodi di conservazione per le diverse tipologie di dati trattati, in particolar modo per quelli particolari ai sensi dell’art. 9.1 del GDPR (es. dati relativi alla salute, genetici, biometrici ecc.);
  • i diritti del paziente interessato sui suoi dati personali. Sono esercitati senza alcuna formalità e gratuitamente (salvo richieste reiterate, eccessive o infondate); la casa di cura privata Titolare del trattamento deve ottemperare alle richieste senza ingiustificato ritardo, al massimo entro un mese dal ricevimento delle stesse (prorogato di due mesi in caso di richieste numerose o complesse). Infine si risponde, ove possibile, alle richieste nella stessa loro forma: a richieste cartacee si risponde in maniera cartacea, a richieste elettroniche si risponde in maniera elettronica.

Il GDPR per la casa di cura privata: i diritti degli interessati

Ai sensi dell’art. 15 del GDPR il paziente interessato ha il diritto di ottenere gratuitamente dalla casa di cura privata Titolare del trattamento la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nelle “informazioni sul trattamento dei dati”.

Ai sensi dell’art. 16 del GDPR il paziente interessato ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.

Ai sensi dell’art. 17 del GDPR il paziente interessato ha il diritto alla cancellazione dei suoi dati:

  • nel caso che non siano più necessari rispetto alle finalità di raccolta;
  • nel caso revochi il suo consenso e manchino altre basi giuridiche;
  • nel caso il paziente interessato si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso;
  • nel caso i dati siano trattati illecitamente da parte del Titolare del trattamento;
  • nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetto il Titolare del trattamento.

In tutti questi casi la casa di cura privata Titolare del trattamento dovrà procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo.

Non si applica il diritto alla cancellazione quando:

  • vi è un obbligo di legge da rispettare, un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investita la casa di cura privata Titolare del trattamento;
  • vi sono motivi di interesse pubblico nel settore della sanità pubblica;
  • vi sono finalità di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi;
  • si è in presenza di accertamento, esercizio o difesa di un diritto in sede giudiziaria (art. 24 Cost.).

Ai sensi dell’art. 18 del GDPR il paziente interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando:

  • il medesimo contesta l’esattezza dei dati personali;
  • il trattamento è illecito;
  • ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché la casa di cura privata Titolare del trattamento non abbia più bisogno di questi dati;
  • infine, quando si oppone al trattamento dei suoi dati.

Ai sensi dell’art. 20 del GDPR il paziente interessato ha il diritto alla portabilità dei suoi dati, ossia di ricevere dalla casa di cura privata Titolare del trattamento i dati personali che lo riguardano, e ha il diritto di chiedere al Titolare del trattamento di trasmetterli ad altro Titolare (es. un’altra struttura sanitaria).

La casa di cura privata Titolare del trattamento deve consegnare i dati – o trasmetterli – in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Il paziente interessato può esercitare il diritto alla portabilità dei suoi dati a due condizioni:

  • che vi sia la presenza di una base giuridica in alternativa tra consenso e contratto;
  • che il trattamento sia effettuato con mezzi automatizzati (non è possibile la portabilità di dati contenuti in modulistica cartacea). Il diritto alla portabilità non pregiudica altri diritti di cui al GDPR.

Infine, ai sensi dell’Art. 21 del GDPR il paziente interessato ha il diritto di opporsi in qualsiasi momento al trattamento avente come basi giuridiche l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ovvero il legittimo interesse del Titolare del trattamento:

  • le informazioni sul trattamento dei dati devono contenere la possibilità che il paziente interessato revochi il suo consenso – se utilizzato come base giuridica – in qualunque momento (e senza motivazioni). In questo caso è lecito il trattamento effettuato prima della revoca del consenso;
  • le informazioni sul trattamento dei dati devono contenere il diritto di proporre reclamo presso un’Autorità di Controllo (ad esempio, il Garante Privacy);
  • le informazioni sul trattamento dei dati devono specificare se la comunicazione di dati personali (ai destinatari) è un obbligo di legge o contrattuale, se il paziente interessato ha l’obbligo di fornire tali dati e le possibili conseguenze nel caso in cui lo stesso non volesse procedere con la comunicazione;
  • le informazioni sul trattamento dei dati devono specificare se è in atto un processo decisionale automatizzato (Art. 22 del GDPR), con la logica utilizzata, l’importanza e le conseguenze di tale trattamento.

Se la casa di cura privata Titolare del trattamento avesse necessità di trattare ulteriormente i dati personali degli interessati per un’altra finalità, sarà necessario informar loro in merito a questo ulteriore trattamento.

Il GDPR per la casa di cura privata: le basi giuridiche

Come per la maggior parte delle strutture sanitarie, anche le case di cura private possono utilizzare la base giuridica di cui all’art. 9.2 lett. h) del GDPR: a norma di tale articolo, è lecito il trattamento dei dati particolari “per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali […] ovvero conformemente al contratto con un professionista della sanità […]”.

Riprendendo il DPCM 27 giugno 1986 notiamo lo specifico riferimento alle finalità di “diagnosi, cura e riabilitazione”.

Dato il quasi-parallelismo con l’art. 9.2 lett. h) del GDPR, possiamo affermare che la casa di cura privata non ha necessità di utilizzare la base del consenso al trattamento dei dati personali, in quanto la liceità del trattamento è data da alcune delle “attività” tipizzate proprio dall’art. 9.2 lett. h) del GDPR.

Inoltre, l’art. 9.3 del GDPR dispone che è possibile utilizzare la base giuridica di cui all’art. 9.2 lett. h) del GDPR solo se i dati particolari “sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale […] o da altra persona anch’essa soggetta all’obbligo di segretezza […]”.

In ogni caso, non è sempre possibile “bypassare” la base giuridica del consenso al trattamento dei dati di cui agli Artt. 6.1 lett. a) e 9.1 lett. a) del GDPR).

Nella casa di cura privata – come in altre strutture sanitarie – è possibile utilizzare il consenso per diversi trattamenti e finalità, non rientranti nell’alveo dell’Art. 9.2 lett. h) del GDPR (ad esempio, è possibile ottenere un consenso per comunicare con il paziente interessato tramite telefono, SMS, messaggistica istantanea ovvero tramite e-mail).

Tra gli esempi più noti di consenso privacy in ambito sanitario figurano il Fascicolo Sanitario Elettronico (FSE), il Dossier Sanitario Elettronico (DSE) e la tematica dei Referti Online[1]. L’art. 7 del GDPR sintetizza i requisiti del consenso al trattamento dei dati personali:

  • la casa di cura privata deve dimostrare che il paziente interessato ha prestato il consenso (principio di responsabilizzazione);
  • ad ogni finalità del trattamento deve esserci un autonomo consenso (una sorta di “rapporto 1:1”, una finalità – un consenso);
  • il consenso deve essere comprensibile, facilmente accessibile, con linguaggio semplice e chiaro e chiaramente distinguibile da altre materie (e finalità);
  • il consenso è revocabile con la stessa facilità con la quale è prestato, in qualsiasi momento (potrebbe essere utile dotarsi di un modulo di revoca del consenso);
  • la revoca del consenso non pregiudica il trattamento posto in essere sino ad allora (sono fatti salvi – e leciti – i trattamenti che precedono la revoca);
  • il consenso è sempre informato (da non confondere, nella maniera più assoluta, con il “consenso informato al trattamento sanitario”, disciplinato diversamente).

Infine, il consenso – nel trattamento di dati particolari – deve essere esplicito (art. 9.2 lett. a del GDPR): comunemente è possibile procedere con la messa per iscritto della manifestazione di volontà del paziente interessato.

Come per qualsiasi struttura sanitaria, è possibile che la casa di cura privata possa trattare taluni dati personali mediante altre basi giuridiche:

  • art. 9.2 lett. c) del GDPR quando il trattamento dei dati è necessario per tutelare un interesse vitale del paziente interessato o di un’altra persona fisica, qualora il paziente interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  • art. 6.1 lett. b) del GDPR quando il trattamento è necessario all’esecuzione di un contratto in cui il paziente interessato è parte;
  • art. 6.1 lett. c) del GDPR quando il trattamento è necessario per adempiere ad un obbligo legale cui è soggetta la casa di cura privata (ad esempio, invio di alcuni dati al SSR);
  • art. 6.1 lett. e) del GDPR quando il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento;
  • art. 6.1 lett. f) del GDPR quando il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi.

La casa di cura privata Titolare del trattamento valuta autonomamente le basi giuridiche da utilizzare, caso per caso.

Sicurezza del trattamento e data breach

L’art. 32 del GDPR dispone che per approntare delle adeguate misure di sicurezza il Titolare del trattamento – nell’ottica del principio di responsabilizzazione di cui agli Artt. 5.2 e 24 del GDPR – deve tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio.

Tra le “soluzioni” che l’art. 32 del GDPR elenca – in maniera non esaustiva – vi sono:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup);
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Inoltre, punto importante, la casa di cura privata Titolare del trattamento fa sì che chiunque agisca per suo conto ed abbia accesso ai dati personali dei pazienti interessati sia istruito ed autorizzato.

Esaminiamo ora il data breach, ossia la tematica della violazione dei dati personali. Ai sensi dell’art. 4 n. 12 del GDPR, la violazione dei dati personali si configura come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Ai sensi degli artt. 33 e 34 del GDPR, in caso di data breach il Titolare del Trattamento deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo.

Ecco cosa contiene la notifica del data breach al Garante Privacy:

  • descrizione dettagliata del data breach;
  • categorie e numero approssimativo di interessati (es. numero di pazienti coinvolti);
  • categorie e numero approssimativo di registrazioni dei dati personali;
  • dati di contatto della casa di cura privata per tutte le informazioni richieste dal Garante Privacy;
  • descrizione delle probabili conseguenze del data breach;
  • descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio.

In ogni caso, a prescindere dalla necessità di notifica o meno di un data breach, la casa di cura privata deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR.

È possibile inviare la notifica al Garante all’indirizzo e-mail dedicato, utilizzando un modello recentemente messo a disposizione dall’Autorità.

La formazione del personale autorizzato al trattamento dei dati

Riprendendo l’art. 32 del GDPR, il paragrafo 4 del medesimo dispone che chiunque agisca sotto l’autorità del Titolare del trattamento, e abbia accesso ai dati personali, non possa trattare i dati se non è istruito (e, quindi, adeguatamente formato all’uopo).

L’art. 2-quaterdecies del Codice Privacy[2] afferma che il Titolare del trattamento può prevedere, sotto la sua responsabilità e nell’ambito del suo assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità.

Inoltre, il Titolare del Trattamento sceglie le modalità più opportune per autorizzare al trattamento le sue risorse umane che trattano i dati.

Da un lato la casa di cura privata può autorizzare come meglio crede (principio di responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale deve essere istruito, ossia deve comprendere la reale portata dell’autorizzazione. In altre parole, il personale autorizzato deve essere formato in maniera adeguata.

Il GDPR per la casa di cura privata: il registro dei trattamenti

Tutte le case di cura private sono obbligate alla tenuta dei registri delle attività di trattamento di cui all’art. 30 del GDPR.

Il trattamento su base permanente di dati particolari, tra i quali spiccano i dati relativi alla salute, i dati genetici e – in alcuni casi – biometrici, rende necessario l’obbligo in oggetto.

Tali registri sono tenuti in forma scritta sotto la responsabilità del Titolare del trattamento (la ricorrenza del “principio di responsabilizzazione” è un mantra unico nel GDPR).

Il Titolare del trattamento è tenuto a rispettare quanto contenuto nell’Art. 30.1 del GDPR:

  • indicazione del nome e dei dati di contatto del Titolare del trattamento: ragione sociale della casa di cura privata e relativi dati di contatto (via, civico, CAP, città, provincia, contatto telefonico, mail ecc.). Inserire anche i dati di contatto del DPO;
  • delineare in maniera compiuta quali sono le finalità del trattamento dei dati;
  • descrivere le categorie di interessati (es. pazienti) e le categorie di dati personali (es. personali e particolari);
  • descrivere le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (se del caso) i destinatari di paesi terzi od organizzazioni internazionali;
  • ove attuati dalla casa di cura privata, inserire i trasferimenti di dati personali verso il/i paese/i terzo/i ovvero verso la/le organizzazione/i internazionale/i;
  • inserire, ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, che non devono discostarsi da quanto previsto nelle informazioni sul trattamento dei dati;
  • mettere in campo una descrizione generale delle misure di sicurezza tecniche e organizzative adottate di cui all’art. 32 del GDPR.

La valutazione d’impatto sul trattamento dei dati (DPIA)

La Valutazione d’Impatto sulla Protezione dei Dati (DPIA), di cui agli Artt. 35 e 36 del GDPR, si configura come un’autonoma valutazione che il Titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche.

È richiesta in particolar modo in tre casi:

  1. quando si procede ad una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. quando si è in presenza di un trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9.1 del GDPR (dati particolari), ovvero di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR;
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (es. videosorveglianza su larga scala)[3].

Secondo le Linee Guida WP248 del Working Party 29 per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento.

In base all’art. 35.7 del GDPR una valutazione d’impatto deve contenere:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal Titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
  • nonché le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Ogniqualvolta la casa di cura privata si trovasse in una delle fattispecie di cui agli Artt. 35 e 36 del GDPR, nonché presenti nelle utili Linee Guida WP248, sarà necessario procedere con la valutazione di impatto[4].

Il responsabile della protezione dei dati (DPO)

L’obbligo di nominare un DPO scatta, ai sensi dell’art. 37 del GDPR, solo nei seguenti casi:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del GDPR ovvero di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR.

La casa di cura privata, tenuta obbligatoriamente alla nomina di un DPO, deve affidarsi ad un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39 del GDPR (informare, fornire consulenza, sorvegliare l’osservanza del GDPR, sensibilizzare e formare il personale della casa di cura privata, fornire un parere sulla valutazione d’impatto, cooperare e fungere da punto di contatto con il Garante Privacy).

Il trasferimento all’estero dei dati

È possibile che la casa di cura privata abbia rapporti con soggetti presenti all’estero, ossia presenti in paesi esterni all’Unione Europea (UE) e/o allo Spazio Economico Europeo (SEE).

In tali casi è necessario porre luce su tre condizioni alternative:

  1. presenza di una “decisione di adeguatezza”, se il paese extra UE/SEE verso cui la Casa di Cura privata vuole trasferire i dati sia uno dei seguenti: Andorra, Argentina, Canada, Isole Faer Oer, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA;
  2. in assenza di una “decisione di adeguatezza”: il trasferimento dei dati personali deve essere effettuato sulla base di accordi contrattuali, stipulati tra il Titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea, che forniscano garanzie adeguate agli utenti (esempio l’esercizio dei diritti del GDPR).
  3. in assenza delle precedenti condizioni, l’art. 49 del GDPR prevede alcune eccezioni – da utilizzarsi in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento. Il trasferimento può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:
    1. l’utente (es. il paziente interessato) ha espresso esplicitamente il consenso al trasferimento, una volta adeguatamente informato dal Titolare dell’assenza delle condizioni precedenti e degli eventuali rischi;
    2. il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente (es. il paziente interessato) e il Titolare del trattamento stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente.

NOTE

  1. Da leggersi parallelamente al GDPR e Codice Privacy novellato.
  2. Articolo inserito dal D. Lgs. 101/2018.
  3. Da prendere in considerazione se presente nella casa di cura privata.
  4. È possibile utilizzare un utile software opensource dell’autorità privacy francese CNIL, alla cui traduzione in lingua italiana partecipa il Garante Privacy italiano.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr