smau padova 2015 - franco cardin
TRANSCRIPT
eHealth e protezione dei dati personali
Do#. Franco Cardin
Le sfide dei sistemi di assistenza sanitaria in Europa 1/2
Ø La spesa pubblica in ambito sanitario nei 27 Sta? membri dell’UE è passata da una media del 5,9% del PIL nel 1990 al 7,2% del PIL nel 2010 e secondo le proiezioni il dato potrebbe crescere ulteriormente fino all’8,5% del PIL nel 2060;
Ø Le a#uali s?me prevedono che la quota della popolazione aPva
subira una forte contrazione, passando dal 61% al 51% della popolazione complessiva, mentre la percentuale della popolazione anziana (over 65) e molto anziana (over 80) nell’UE dovrebbe crescere rispePvamente dal 17,4% del 2010 al 30,0% nel 2060 e dal 4,7% del 2010 al 12,1% nel 2060.
Le sfide dei sistemi di assistenza sanitaria in Europa 2/2 Lo scenario epidemiologico, socioeconomico e culturale, in cui oggi operano i sistemi sanitari, è cara#erizzato: Ø da un progressivo invecchiamento della popolazione e dalla
conseguente diffusione di patologie cronico-‐degenera?ve che si cara#erizzano per l’elevata onerosità di ges?one, sia in fase di ricovero che di assistenza territoriale;
Ø dall’assunzione da parte dei ci#adini/uten? di un ruolo sempre più
proaPvo con conseguen? richieste di maggiore trasparenza e partecipazione al percorso diagnos?co, terapeu?co e riabilita?vo che li riguarda, al fine di migliorare il proprio benessere (pa?ent empowerment).
Agenda Digitale Europea: pillar n. 7
Prevede le seguen? 4 azioni rivolte alla sanità, rispePvamente indirizzate a: Ø accesso on-‐line sicuro ai propri da? sanitari e diffusione della
telemedicina; Ø definizione di un Minimum Data Set per i da? del paziente
(Pa?ent Summary); Ø interoperabilità dei sistemi di eHealth; Ø supporto all’Ambient Assisted Living (la domo?ca a supporto
della disabilità e della fragilità);
Commissione Europea: Piano d’Azione “Sanità Ele#ronica” 2012-‐2020
Le opportunità della sanità ele#ronica in Europa
L’u?lizzo di soluzioni e strumen? di sanità ele#ronica, comprese le applicazioni per disposi?vi mobili (Mobile Health), accompagnato da adegua? cambiamen? di ordine organizza?vo nei sistemi sanitari, può comportare: Ø un miglioramento della salute e della qualità della vita dei
ci#adini/uten?, dovuta alla maggiore efficacia dei processi di cura e di riabilitazione;
Ø una maggiore efficienza e produPvità dei sistemi sanitari e, conseguentemente, la possibilità di preservarne la sostenibilità economica;
Ø un’opportunità di crescita del mercato delle tecnologie informa?che e telema?che dedicate alla sanità.
Commissione Europea: Piano d’Azione “Sanità Ele#ronica” 2012-‐2020 Gli ostacoli allo sviluppo della sanità ele#ronica in Europa
Nonostante queste opportunità e vantaggi, la diffusione su vasta scala dell’eHealth e, in par?colare dell’mHealth, è intralciata dai seguen? ostacoli: Ø sensibilizzazione carente e scarsa fiducia nelle soluzioni di
sanità ele#ronica da parte di ci#adini/pazien? e operatori sanitari;
Ø mancanza di interoperabilità tra le diverse soluzioni di sanità ele#ronica;
Ø assenza di chiarezza giuridica sulle applicazioni mobili nel se#ore sanitario e del benessere e mancanza di trasparenza sull’uso dei da? rileva? con tali applicazioni;
Il “Privacy sweet 2014”
Ø Indagine realizzata nella sePmana tra il 12 e il 18 maggio 2014, promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra 28 Autorità della privacy di diversi Paesi.
Ø Considerata la par?colare natura sensibile dei da? personali
u?lizza?, nonché il sempre crescente sviluppo del se#ore della mHealth, l’Autorità Garante del nostro paese ha scelto di effe#uare l’indagine nell’ambito delle applicazioni mediche, accertando che circa il 50% di queste app, non fornisce agli uten? un’adeguata informa?va prima del loro download o raccoglie da? personali ecceden? e non per?nen? rispe#o alle funzionalità offerte.
Sanità digitale Ø ePrescrip?on -‐ rice#a medica ele#ronica; Ø Dematerializzazione dei refer? medici e delle cartelle cliniche;
Ø Refer? online; Ø Fascicolo sanitario ele#ronico.
Strategia per la crescita digitale 2014 -‐ 2020 (PCM 3.3.2015)
I percorsi assistenziali per il ci#adino e le soluzioni eHealth a supporto
ePrescription - ricetta medica elettronica
Ø DM 2 novembre 2011: modalità tecniche per la
dematerializzazione della rice#a medica cartacea per le prescrizioni a carico del SSN e dei SASN;
Ø Legge 17 dicembre 2012, n. 221 -‐ art. 13, comma 1: ha stabilito
che le Regioni e le Province Autonome devono provvedere alla graduale sos?tuzione delle prescrizioni in formato cartaceo con equivalen? in formato ele#ronico, in percentuali che non dovranno risultare inferiori al 60% nel 2013, all'80% nel 2014 e al 90% nel 2015.
ePrescription - ricetta medica elettronica La sos?tuzione delle prescrizioni mediche di farmaceu?ca e specialis?ca in formato cartaceo con quelle in formato ele#ronico, è un passaggio obbligato nell'automazione dei processi di comunicazione sia all'interno delle stru#ure di ricovero e cura, sia tra i MMG/PLS, in quanto rende possibile: Ø il controllo dell'appropriatezza prescriPva e della sicurezza in funzione delle
allergie del paziente e delle terapie in corso, con conseguente miglioramento della qualità delle cure e della riduzione dei rischi per il paziente (alimentazione del FSE);
Ø un migliore monitoraggio e controllo della spesa sanitaria;
dal 1° gennaio 2014, le prescrizioni farmaceu?che generate in formato ele#ronico sono valide su tu#o il territorio nazionale
Dematerializzazione dei referti medici
Linee guida per la dematerializzazione della documentazione clinica in diagnos?ca per immagini -‐ norma?va e prassi:
• parere favorevole del Garante per la protezione dei da? personali del 26 novembre 2009;
• approvate in conferenza Stato Regioni il 4 aprile 2012; • recepimento a cura delle singole Regioni e Province autonome.
Linee guida per la dematerializzazione della documentazione clinica in diagnos?ca per immagini - normativa e prassi:
• con?ene una de#agliata analisi dei presuppos? giuridici e norma?vi a supporto del processo di dematerializzazione della documentazione clinica in diagnos?ca per immagini, in termini di valenza giuridico-‐probatoria e medico-‐legale;
• specifica i tempi di conservazione; • fornisce direPve pra?che e di faPbilità per ges?re i refer? (compresi
quelli stru#ura?) e le immagini di diagnos?ca in formato digitale in ognuna delle seguen? fasi: -‐ creazione del referto -‐ so#oscrizione con firma digitale -‐ consolidamento (marcatura temporale) -‐ conservazione digitale a norma
Dematerializzazione dei refer? medici
Dematerializzazione delle cartelle cliniche Ø Legge 4 aprile 2012, n. 35 - art. 47- bis. (Semplificazione in materia di
sanita' digitale): 1. Nei limiti delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, nei piani di sanita' nazionali e regionali si privilegia la gestione elettronica delle pratiche cliniche, attraverso l'utilizzo della cartella clinica elettronica, cosi' come i sistemi di prenotazione elettronica per l'accesso alle strutture da parte dei cittadini con la finalita' di ottenere vantaggi in termini di accessibilita' e contenimento dei costi, senza nuovi o maggiori oneri per la finanza pubblica.
Ø Legge 17 dicembre 2012, n. 35 - art. 13, comma 5: all’art. 47-bis della legge 35/2012 sono aggiunti i seguenti due commi: Ø 1-bis. A decorrere dal 1° gennaio 2013, la conservazione delle cartelle
cliniche può essere effettuata, senza nuovi o maggiori oneri a carico della finanza pubblica, anche solo in forma digitale, nel rispetto di quanto previsto dal decreto legislativo 7 marzo 2005, n. 82, e dal decreto legislativo 30 giugno 2003, n. 196..
Ø 1-ter. Le disposizioni si applicano sia alle strutture sanitarie pubbliche, sia alle strutture sanitarie private accreditate.
Ø Provvedimento del Garante privacy del 19.11.2009 “Linee guida in tema di referti on line”;
Ø DPCM 8.8.2013 “Modalità di consegna, da parte delle Aziende sanitarie, dei refer? medici tramite web, posta ele#ronica cer?ficata e altre modalità digitali, nonché di effe#uazione del pagamento online delle prestazioni erogate;
Referti on line
DPCM 8.8.2013 art. 3 - Consegna del referto in modalità digitale
L’azienda sanitaria rende disponibile all’interessato il referto digitale o copia informatica dello stesso - nonchè, ove possibile, anche il reperto digitale - mediante una delle seguenti modalità di consegna digitale: Ø tramite il Fascicolo Sanitario Elettronico (FSE); Ø tramite web; Ø tramite posta elettronica; Ø tramite posta elettronica certificata anche presso il domicilio
digitale del cittadino; Ø tramite supporto elettronico.
DPCM 8.8.2013 art. 5 - Consenso dell’interessato
L’azienda sanitaria , in qualità di titolare del trattamento dei dati personali, dopo aver fornito all’interessato un’idonea informativa contenente anche le caratteristiche delle modalità digitali di consegna disponibili, deve: Ø acquisire un autonomo e specifico consenso dell’interessato
a trattare i suoi dati personali; Ø consentire la revoca in qualunque momento del consenso; Ø consentire all’interessato, all’atto di richiesta del consenso o
in ogni altro momento di indicare una farmacia presso cui ritirare il referto ai sensi del decreto del Ministro della salute 8.7.2011;
DPCM 8.8.2013
art. 6 - Requisiti di sicurezza per le aziende sanitarie
Per il trattamento dei dati personali nell’ambito delle modalità digitali di consegna dei referti, l’azienda sanitaria , in qualità di titolare del trattamento dei dati personali, deve: Ø adempiere agli obblighi di sicurezza dei dati e dei sistemi previsti
negli artt. 31, 33, e 34 del D. Lgs. 196/03; Ø garantire il rispetto delle misure di sicurezza previste nel
provvedimento del Garante per la protezione dei dati personali del 19.11.2009 “Linee guida in tema di referti on line”;
Ø ottemperare ai requisiti di sicurezza previsti nel punto 4. dell’allegato A al DPCM;
Ø Deliberazione del Garante per la protezione dei da? personali del 16 luglio 2009 “Linee guida in tema di Fascicolo sanitario ele#ronico e di dossier sanitario”;
Ø Documento del Ministero della Salute dell’11 novembre 2010 “ Il Fascicolo Sanitario Ele#ronico: linee guida nazionali” (approvato in Conferenza Stato – Regioni il 10.02.2011);
Ø Legge 17 dicembre 2012, n. 221 -‐ art. 12 “Fascicolo sanitario ele#ronico e sistemi di sorveglianza nel se#ore sanitario”;
Ø Legge 9 agosto 2013, n. 98 -‐ art. 17 “Misure per favorire la realizzazione del Fascicolo sanitario ele#ronico”;
Ø Schema DPCM in materia di FSE;
Fascicolo Sanitario Ele#ronico (FSE)
Art. 12 della legge 221/2012, come modificato dall’art. 17 della legge 98/2013
Ø comma 1 -‐ Il fascicolo sanitario ele#ronico (FSE) è l’insieme dei da? e documen? digitali di ?po sanitario e socio-‐sanitario genera? da even? clinici presen? e trascorsi, riguardan? l’assis?to;
Ø comma 2 – Il FSE è is?tuito dalle regioni e province autonome, conformemente a quanto disposto dai decre? di cui al comma 7, entro il 30 giugno 2015, nel rispe#o della norma?va vigente in materia di protezione dei da? personali, a fini di: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scien?fica in campo medico, biomedico ed
epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e
valutazione dell’assistenza sanitaria. Il FSE deve consen?re anche l’accesso da parte del ci#adino ai servizi
sanitari on line secondo modalità determinate nel decreto di cui al comma 7.
Art. 12 della legge 221/2012, come modificato dall’art. 17 della legge 98/2013
Ø comma 2-bis – Per favorire la qualità, il monitoraggio, l’appropriatezza nella dispensazione dei medicinali e l’aderenza alla terapia ai fini della sicurezza del paziente, è istituito il dossier farmaceutico quale parte specifica del FSE, aggiornato a cura della farmacia che effettua la dispensazione.
Ø comma 3 – Il FSE è alimentato in maniera continuativa, senza ulteriori oneri per la finanza pubblica, dai soggetti che prendono in cura l’assistito nell’ambito del SSN e dei servizi socio-sanitari regionali, nonché, su richiesta del cittadino, con i dati medici in possesso dello stesso.
Ø comma 3-bis – Il FSE può essere alimentato esclusivamente sulla base del consenso libero e informato da parte dell’assistito, il quale può decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo medesimo;
Art. 12 della legge 221/2012, come modificato dall’art. 17 della legge 98/2013
Ø comma 7 – con uno o più decreti dei Ministri della salute e dell’innovazione tecnologica verranno stabiliti: § i contenuti del FSE e del dossier farmaceutico nonché i limiti di
responsabilità e i compiti dei soggetti che concorrono alla sua implementazione;
§ i sistemi di codifica dei dati; § le garanzie e le misure di sicurezza da adottare nel trattamento
dei dati personali nel rispetto dei diritti dell’assistito; § le modalità e i livelli diversificati di accesso al FSE da parte dei
soggetti di cui ai commi 4,5 e 6; § la definizione e le relative modalità di attribuzione di un codice
identificativo univoco dell’assistito che non consenta l’identificazione diretta dell’assistito;
§ i criteri per l’interoperabilità del FSE a livello regionale, nazionale ed europeo;
Fascicolo Sanitario Ele#ronico (FSE)
Provvedimenti prescrittivi dal Garante in materia di dossier sanitario
Ø Dossier sanitario e tra#amento dei da? personali dei pazien? -‐ 10 gennaio 2013 (Azienda Ospedaliero Universitaria Ospedali riuni? di Trieste)
Ø Tra#amento di da? tramite il dossier sanitario aziendale -‐ 3 luglio 2014
(Azienda Sanitaria dell’Alto Adige) Ø Dossier sanitario ele#ronico e privacy dei pazien?-‐ 23 o#obre 2014
(Azienda Ospedaliero Universitaria S. Orsola Malpighi di Bologna) Ø Illeicità nel tra#amento di da? personali e sensibili presso una stru#ura
ospedaliera -‐ 18 dicembre 2014 (Azienda Policlinico Umberto I di Roma)
Rilievi e relative prescrizioni del Garante
Ø cos?tuire il dossier sanitario del paziente solamente dopo aver acquisito un suo consenso specifico e informato, dis?nto da quello prestato per finalità di cura;
Ø consen?re l’accesso al dossier sanitario tramite un adeguato sistema di autorizzazione;
Ø consen?re l’accesso al dossier sanitario al solo personale sanitario coinvolto nel processo di cura del paziente e per il tempo stre#amente necessario;
Ø consen?re l’accesso al dossier sanitario solo a#raverso il nome e cognome del paziente e non anche a#raverso richieste effe#uate con porzioni di nome e cognome, date di nascita, o cap di residenza;
Ø garan?re al paziente la possibilità di "oscurare" nel proprio dossier sanitario la visibilità di alcuni even? clinici ( es.HIV – droga -‐ alcool ecc. );
Ø prevedere un sistema di log che perme#a un aPvità di controllo degli accessi e delle operazioni effe#uate ( es. le#ura -‐ modifica ecc. ).
Schema di DPCM in materia di FSE
Ø Approvato in conferenza Stato-‐ Regioni il 13 marzo 2014;
Ø Parere favorevole del Garante per la protezione dei da? personali del 22 maggio 2014;
È formato da 30 ar?coli e da un disciplinare tecnico allegato
Schema di DPCM in materia di FSE: contenu? (ar#. 3, 4 e 5)
Ø I contenu? del FSE sono rappresenta? da un nucleo minimo di da? e documen?, uguale per tu#e le Regioni, nonché da ulteriori da? e documen? integra?vi la cui alimentazione è funzione del rispePvo livello di maturazione del processo di digitalizzazione di ogni Regione;
Ø Il nucleo minimo è cos?tuito dai seguen? da? e documen?: Ø Da? iden?fica?vi e amministra?vi dell’assis?to; Ø Refer?; Ø Verbali pronto soccorso; Ø Le#ere di dimissione; Ø Profilo sanitario sinte?co reda#o e aggiornato dal MMG/PLS; Ø Dossier farmaceu?co;
Ø Consenso o diniego alla donazione degli organi e tessu?.
Schema di DPCM in materia di FSE
Ø ar?colo 7: contenu? obbligatori dell’informa?va; Ø ar?colo 8: consenso dell’assis?to; Ø ar?colo 9: diriP dell’assis?to (oscuramento); Ø ar?colo 10: accesso al FSE da parte dell’assis?to; Ø ar?coli da 11 a 21: Per ognuna delle tre diverse finalità perseguite – cura,
ricerca e governo – vengono individua? la ?tolarità dei tra#amen? dei da? personali degli assis??, i da? ogge#o del tra#amento, la responsabilità e i compi? dei soggeP che concorrono all’alimentazione del FSE (solo per finalità di cura) e i soggeP autorizza? ad accedere alle informazioni del FSE;
Ø ar?coli da 22 a 26: regole tecniche, misure di sicurezza e sistema di conservazione;
Proposta di Regolamento Europeo sulla privacy
Ø considerando 5 - la rapidità dell’evoluzione tecnologica e la globalizzazione comportano anche nuove sfide per la protezione dei dati personali;
Ø considerando 6 - data l’importanza di creare un clima di fiducia che consentirà lo sviluppo dell’economia digitale, tale evoluzione richiede un quadro giuridico più solido e coerente in materia di protezione dei dati personali, affiancato da efficaci misure di attuazione;
Ø considerando 7 - Il divario creatosi nei livelli di protezione dei dati personali previsti nei singoli Stati dell’Unione, dovuto alla diversa attuazione della Direttiva 95/46/CE, costituiscono un freno all’esercizio delle attività economiche e possono falsare la concorrenza;
Ø considerando 11 - è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, offra alle persone in tutti gli Stati membri il medesimo livello di diritti giuridicamente tutelati, definisca obblighi e responsabilità e assicuri sanzioni equivalenti in tutti gli Stati membri.
Alcune novità contenute nella proposta di Regolamento Europeo sulla privacy
Ø Accountability (art. 22) Ø Privacy by Design & by Default (art. 23) Ø Data Breach Notification (artt. 31 e 32) Ø Privacy Impact Analisys (art. 33) Ø Data Protection Officer (artt. 35, 36 e 37)
Accountability (art. 22) Ø Il responsabile del trattamento adotta politiche e attua misure adeguate per
garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al presente regolamento. Tali misure comprendono, in particolare: ü la conservazione della documentazione, prevista dall’art. 28, relativa a tutti i
trattamenti effettuati; ü l’adozione delle misure di sicurezza previste dall’art. 30 ü l’esecuzione della valutazione d’impatto sulla protezione dei dati, prevista
dall’art. 33; ü la designazione del responsabile della protezione dei dati (DPO) prevista
dall’art. 35; Ø Il responsabile del trattamento mette in atto meccanismi per assicurare la
verifica dell’efficacia delle predette misure.
passaggio da un approccio “formalmente regolare” ad uno “effePvamente conforme”
Privacy by Design & by Default (art. 23)
Ø Le infrastrutture IT, i processi aziendali e gli applicativi di supporto, dovranno essere progettati, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, in modo tale che il trattamento avvenga in conformità al regolamento e sia garantita la tutela dei diritti dell’interessato.
Ø Si dovrà, inoltre, mettere in atto meccanismi per garantire che siano
trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone.
Data Breach Notification (art. 31)
In caso di violazione dei dati personali, il responsabile del trattamento deve inviare - ove possibile entro 24 ore - una notifica all’autorità di controllo, contenente almeno:
ü le categorie e il numero sia degli interessati coinvolti che dei dati oggetto della violazione;
ü l’identità e le coordinate di contatto del DPO o di altro soggetto da cui ottenere ulteriori informazioni;
ü le misure raccomandate per attenuare i possibili effetti pregiudizievoli;
ü la descrizione delle conseguenze della violazione; ü le misure adottate per porre rimedio alla violazione;
Data Breach Notification (art. 32)
Quando la violazione dei dati personali, può provocare un pregiudizio alla vita privata dell’interessato, il responsabile del trattamento deve anche comunicare allo stesso, senza ingiustificato ritardo, quanto accaduto, precisando quali suoi dati personali sono stati violati e le misure raccomandate per attenuare i possibili effetti pregiudizievoli.
Privacy Impact Analisys (art. 33) Ø Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità,
presenta rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento o l’incaricato del trattamento, effettua una valutazione dell’impatto del trattamento previsto sulla protezione dei dati personali.
Ø Presenta rischi specifici, tra gli altri, il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica, oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche;
Ø La valutazione d’impatto deve contenere almeno: ü una descrizione sistematica del trattamento previsto; ü una valutazione dei rischi per i diritti e le libertà degli interessati; ü le misure previste per affrontare i rischi, le garanzie, le misure di
sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al presente regolamento;
Designazione del Data Protection Officer (art. 35) Il responsabile del trattamento e l’incaricato del trattamento
designano sistematicamente un responsabile della protezione dei dati quando: a) il trattamento è effettuato da un’autorità pubblica o da un
organismo pubblico, oppure b) il trattamento è effettuato da una persona giuridica e
riguarda più di 5000 interessati per un periodo di 12 mesi consecutivi, oppure
c) le attività principali del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.
Posizione del Data Protection Officer (art. 36)
Il Responsabile del trattamento deve: Ø garantire il coinvolgimento del DPO in tutte le questioni
riguardanti la protezione dei dati personali; Ø assicurare l’indipendenza del DPO nell’esercizio del sue
funzioni e dei suoi compiti. In tal senso il DPO dovrà rispondere direttamente al “Management”;
Ø supportare il DPO fornendogli personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle sue funzioni e compiti;
Compiti del Data Protection Officer (art. 37)
Oltre che informare e consigliare il responsabile o l’incaricato del trattamento in merito agli obblighi derivanti dal regolamento, nonché conservare la documentazione relativa a tale attività e alle risposte ricevute, al DPO devono essere conferiti almeno i seguenti compiti: Ø sorvegliare sull’attuazione delle policy aziendali in materia di
protezione dei dati personali, con particolare riferimento all’attribuzione di responsabilità, alla formazione del personale che partecipa ai trattamenti ed allo svolgimento dei processi di audit;
Ø sorvegliare sull’attuazione degli obblighi stabiliti dal regolamento, con particolare riferimento alla privacy by design & by default, alla sicurezza dei dati, all’informazione degli interessati e alle richieste di esercizio dei loro diritti;
Compiti del Data Protection Officer (art. 37)
Ø garantire la conservazione della documentazione relativa ai trattamenti effettuati;
Ø controllare che le violazioni dei dati personali vengano correttamente documentate, notificate all’Autorità di controllo e comunicate agli interessati;
Ø controllare che venga effettuata, nei casi previsti dal regolamento, la valutazione d’impatto sulla protezione dei dati e svolta la consultazione preventiva nei casi;
Ø controllare che venga fornito riscontro alle richieste avanzate dall’Autorità di controllo, fungendo anche da punto di contatto con quest’ultima per ogni questione inerente al trattamento dei dati;
Ø informare i rappresentanti del personale (es. rappresentanti sindacali) sui trattamenti che riguardano i dipendenti.
