IMPLEMENTAZIONE PRESSO LA TOMA ADVANCED BIOMEDICAL ASSAYS DEL NUOVO DISPOSTO NORMATIVO SULLA TUTELA DELLA PRIVACY E TRATTAMENTO DATI SENSIBILI
Il presente documento è finalizzato ad individuare e stabilire le misure di sicurezza organizzative, fisiche e logiche, inerenti le attività aziendali, nel rispetto del disposto normativo di prossimo entrata in vigore (25 maggio 2018) affinché le stesse siano adottate e siano rispettati gli obblighi, in materia di tutela della privacy e di sicurezza del trattamento dei dati previsto dal ilRegolamento Ue 2016/679,noto come GDPR (General Data Protection Regulation – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali: legge 20 novembre 2017, n. 167 in vigore dal 12 dicembre p.v.)
20180515 toma privacy gdpr ver10 definitiva parte 1
1. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 1 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
1 of 529
IMPLEMENTAZIONE PRESSO LA TOMA ADVANCED
BIOMEDICAL ASSAYS DEL NUOVO DISPOSTO NORMATIVO
SULLA TUTELA DELLA PRIVACY E TRATTAMENTO DATI
SENSIBILI
Il presente documento è finalizzato ad individuare e stabilire le misure di sicurezza organizzative, fisiche
e logiche, inerenti le attività aziendali, nel rispetto del disposto normativo di prossimo entrata in vigore
(25 maggio 2018) affinché le stesse siano adottate e siano rispettati gli obblighi, in materia di tutela della
privacy e di sicurezza del trattamento dei dati previsto dal il Regolamento Ue 2016/679, noto
come GDPR (General Data Protection Regulation – relativo alla protezione delle persone fisiche con
riguardo al trattamento e alla libera circolazione dei dati personali: legge 20 novembre 2017, n. 167 in
vigore dal 12 dicembre p.v.)
Titolare dei Dati della Struttura: il Rappresentante Legale Dott. Federico Maggi
Compendio redatto da: Dir. HR-IMM-INT-STR Dott. Roberto Scarafia
2. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 2 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
2 of 529
PREMESSA
A fronte delle attività di studio, informazione e formazione, alle quali è seguito l’adeguamento
ed l’implementazione alla nuova privacy rispetto all’esistente DPS, la Direzione Sanitaria della
TOMA vuole porre in premessa l’accento su alcuni aspetti ritenuti di fondamentale importanza a
garanzia della riservatezza e sicurezza, dei pazienti/utenti (interessati) che fruiscono
quotidianamente dei servizi sanitari aziendali e dei loro dati informatici e cartacei.
E bene premettere che il 99% dei dati gestiti dalla TOMA perviene alla struttura a livello
cartaceo e viene inserito manualmente dagli incaricati aziendali all’interno del Data Base
aziendale, non sussiste pertanto uno scambio informatico di dati con l’esterno, se non quelli
imposti per legge dal SSN o dal MEF attraverso linee telefoniche, protocolli e procedure dedicate
ed imposte dalla PA.
Nelle aree fisiche della TOMA (dove risiedono pc e terminali), legate all’inserimento e alla
gestione dei dati, siano essi normali o sensibili, si accede solo con un Badge Elettronico
Personale (Thecnodrive) e tutte le movimentazioni sono tracciabili e memorizzate e i livelli di
accesso sono differenziati in relazione al tipo di ambienti e agli incarichi rivestiti. Le aree sono
dotate di impianti antifurto, sanificazione temporizzata a raggi UV (che previene la presenza di
persone quando è in funzione) oltre a impianti esterni di videosorveglianza. Alcuni locali sono
sottoposti ad ulteriori forme di sicurezza e vi si può accedere solo con PAD a combinazione
numerica.
Protocolli e procedure di accesso alle aree sono presenti e oggetto di controlli di qualità
periodici. Le attività di gestione dei dati sensibili è fisicamente svincolata / scollegata dai servizi
di posta non residenti presso l’azienda.
Con tali premesse i rischi di DATA BREACH presso la TOMA sono drasticamente ridotti, ciò non
di meno la Direzione Sanitaria è particolarmente sensibile ed attenta alla materia e ha dato
disposizione perché venissero portate a termine le attività di analisi, verifica ed
implementazione del nuovo disposto normativo descritte a seguire
3. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 3 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
3 of 529
SOMMARIO -
IMPLEMENTAZIONE PRESSO LA TOMA ADVANCED BIOMEDICAL
ASSAYS DEL NUOVO DISPOSTO NORMATIVO SULLA TUTELA DELLA
PRIVACY E TRATTAMENTO DATI SENSIBILI.......................................1
PREMESSA.......................................................................................2
PARTE PRIMA ................................................................................18
INTRODUZIONE E STRUTTURA DEL DOCUMENTO ..........................18
SCOPO E CAMPO DI APPLICAZIONE ...............................................19
RIFERIMENTI NORMATIVI E DOCUMENTALI...................................21
DOCUMENTI INTERNI ....................................................................21
STRUTTURA ORGANIZZATIVA A SUPPORTO DELLA PRIVACY..........22
INNOVAZIONE DI PROCESSO E PRODOTTO NEL SETTORE MEDICO DIAGNOSTICO............................................. 23
FINANZIAMENTI E BANDI .............................................................................................................................................................. 24
PROMOZIONE DELL'INNOVAZIONE e INFORMAZIONE......................................................................................................... 24
NORMAZIONE........................................................................................................................................................................................... 24
TRATTAMENTO DEI DATI PERSONALI DELLA TOMA .......................27
REPARTI DI STAFF.................................................................................................................................................................................. 28
CITOGENETICA CONVENZIONALE ................................................................................................................................................................30
ANALISI IN EPOCA PRENATALE.....................................................................................................................................................................30
ANALISI IN EPOCA POSTNATALE ..................................................................................................................................................................30
4. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 4 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
4 of 529
SINDROMI MENDELIANE CON INSTABILITÀ CROMOSOMICA.........................................................................................................31
CITOGENETICA MOLECOLARE ED ONCOLOGICA...........................................................................................................................31
ANALISI ..............................................................................................................................................................................................................32
Reparto Biologia Molecolare....................................................................................................................................................................32
SEZIONE VIRALI.....................................................................................................................................................................................................33
SEZIONE GENETICA MEDICA...........................................................................................................................................................................33
SEZIONE GENETICA ONCOLOGICA................................................................................................................................................................34
SEZIONE GENETICA FORENSE ........................................................................................................................................................................34
SEZIONE FARMACOGENETICA........................................................................................................................................................................34
SEZIONE DI SEMINOLOGIA ...............................................................................................................................................................................34
RICERCA DEL GENOMA DI AGENTI INFETTIVI...............................................................................................................................35
GENETICA ONCOLOGICA............................................................................................................................................................................35
BRCA............................................................................................................................................................................................................................36
POLIPOSI ADENOMATOSA FAMILIARE.......................................................................................................................................................37
SINDROME DI LYNCH ..........................................................................................................................................................................................37
GENETICA MOLECOLARE ..........................................................................................................................................................................38
ACCERTAMENTI DI PATERNITÀ ....................................................................................................................................................................39
Reparto Biochimica Clinica e Tossicologia........................................................................................................................................39
Reparto Citologia...........................................................................................................................................................................................40
Reparto Microbiologia ................................................................................................................................................................................41
FUNZIONE DI LINEA – REPARTO COMMERCIALE E MARKETING NAZIONALE .......................................................... 41
DIAGRAMMA DI FLUSSO DEI DATI PRESSO TOMA .........................42
ORGANIGRAMMA IN FUNZIONE DELLA PRIVACY IN TOMA............43
STRUMENTAZIONE IN GENERALE...................................................44
ELENCO DEI TRATTAMENTI............................................................46
Natura dei dati trattati .......................................................................................................................................................................... 46
Organi........................................................................................................................................................................................................... 51
Trattamento dati affidati all'esterno............................................................................................................................................... 51
5. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 5 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
5 of 529
Trattamenti affidati all’esterno.......................................................................................................................................................... 52
Modalità di trattamento........................................................................................................................................................................ 55
GESTIONE DEGLI INCARICATI .........................................................55
Distribuzione dei compiti e delle responsabilità........................................................................................................................ 56
Responsabilità di processo e di gestione .................................................................................................................................... 56
Procedura di gestione del Sistema di autenticazione e di autorizzazione....................................................................... 58
Amministratori di sistema................................................................................................................................................................... 61
MISURE DI SICUREZZA ...................................................................65
Individuazione degli attacchi.............................................................................................................................................................. 65
Policy di Back up...................................................................................................................................................................................... 66
GOOGLE E IL GPDR ................................................................................................................................................................................. 68
ARUBA E IL GDPR.................................................................................................................................................................................... 70
PERIODICITA’ SALVATAGGI O BACKUP ........................................................................................................................................ 70
Criteri e modalità di salvataggio e di ripristino della disponibilità dei dati......................................................................71
Misure di protezione ........................................................................................................................................................................... 71
Misure di tipo organizzativo. Rientrano in tale categoria:........................................................................................................72
Misure di protezione delle aree e dei locali (criteri di protezione fisica) e rispettive procedure.............................72
La bontà delle misure adottate è periodicamente verificata secondo la seguente tabella: ..................................................73
Schede descrittive delle misure adottate sotto la precedente normativa...........................................................................74
Piano di verifica periodico delle misure adottate...........................................................................................................................80
Accesso alle Aree Riservate della TOMA..............................................................................................................................................81
Video sorveglianza in TOMA.....................................................................................................................................................................81
Dislocazione impianti di ripresa .....................................................................................................................................................................82
Principio di finalità................................................................................................................................................................................................82
Informativa...............................................................................................................................................................................................................82
Soggetti preposti e misure di sicurezza .......................................................................................................................................................83
Durata della conservazione...............................................................................................................................................................................83
Procedure interne volte alla gestione dei codici d’identificazione .....................................................................................83
Gestione, custodia e aggiornamento della parola chiave (Password)..................................................................................84
Le regole per la gestione della parola chiave sono le seguenti: ....................................................................................................85
Utilizzo delle parole chiave in caso di emergenza (assenza dell’Incaricato) ....................................................................86
6. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 6 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
6 of 529
Sistema di assegnazione e controllo dei profili................................................................................................................................86
Misure di prevenzione da programmi dannosi o da accessi abusivi .................................................................................87
Misure a protezione dei dati sensibili degli Interessati................................................................................................................88
CIFRATURA DEI DATI O SEPARAZIONE DEI DATI IDENTIFICATIVI................................................................................. 88
Archivi cartacei ...........................................................................................................................................................................................89
PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI .........................91
CONTATTI......................................................................................93
REVISIONI E ALLEGATI ...................................................................93
PARTE SECONDA ...........................................................................94
SUNTO ILLUSTRATIVO ED OPERATIVO DELLE ATTIVITA’.................94
In estrema sintesi col GDPR:............................................................................................................................................................... 94
Il Garante ha dato precise indicazioni: Le priorità operative sono tre:............................................................................ 94
Cosa si intende nel dettaglio per GDPR?........................................................................................................................................ 94
GDPR Readiness Assessment and Roadmap Design................................................................................................................. 95
Privacy enforcement 1: il registro dei trattamenti (art.30) ......................................................................................................96
Privacy enforcement 2: gestione del consenso e dei dati personali........................................................................................96
Privacy enforcement 3: il diritto all’oblio e/o alla cancellazione...........................................................................................96
Enabling GDPR. On premise and Cloud Approach..........................................................................................................................96
Security Enforcement 1: la gestione degli incidenti di sicurezza............................................................................................96
Security Enforcement 2: identità e ruoli per governare l’accesso ai dati personali.......................................................96
Tre delle pratiche migliori per la preparazione del GDPR:.................................................................................................... 97
Lavorare insieme............................................................................................................................................................................................97
Valutare l'impatto.........................................................................................................................................................................................97
Identificare i dati ...........................................................................................................................................................................................97
I QUESITI DEL DOCUMENTO CHE SODDISFANO LE RICHIESTE DEL GDPR (General Data Protection
Regulation): ............................................................................................................................................................................................... 97
Scoprire i risultati e le risorse in dettaglio.................................................................................................................................... 98
7. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 7 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
7 of 529
QUESITO UNO – 1/2 - Quanti e quali dei dati sono identificati della TOMA? ..................................................................98
QUESITO DUE – 2/2 - Sei fiducioso negli strumenti della TOMA per classificare i dati personali? ........................98
Gestisci i risultati e le risorse nel dettaglio................................................................................................................................... 98
QUESITO TRE – 1/9 - TOMA ha un programma di governance dei dati conforme al GDPR......................................98
QUESITO QUATTRO – 2/9 - Notifica dettagliata del trattamento agli interessati.........................................................98
QUESITO CINQUE – 3/9 - Interruzione dell'elaborazione su richiesta.................................................................................99
QUESITO SEI – 4/9 - Ottenere il consenso..........................................................................................................................................99
QUESITO SETTE – 5/9 - Richieste di rettifica, cancellazione o trasferimento di dati personali.............................99
QUESITO OTTO – 6/9 - Rettificare dati personali inesatti o incompleti riguardanti gli interessati......................99
QUESITO NOVE – 7/9 - Cancellare i dati personali ....................................................................................................................100
QUESITO DIECI – 8/9 - Fornire dati personali in formato comune e strutturato........................................................100
QUESITO UNDICI – 9/9 - Limitazioni al trattamento dei dati personali..........................................................................100
Proteggi i risultati e le risorse nel dettaglio ...............................................................................................................................101
QUESITO DODICI – 1/5 - Protezione dei dati e privacy per design e impostazioni predefinite.............................101
QUESITO TREDICI – 2/5 - Proteggi i dati personali, ad esempio tramite la crittografia.........................................101
QUESITO QUATTORDICI – 3/5 - controlli di sicurezza per garantire iservatezza, integrità, disponibilità dei
dati personali................................................................................................................................................................................................102
QUESITO QUINDICI – 4/5 - Rileva e risponde alle violazioni dei dati................................................................................102
QUESITO SEDICI – 5/5 - Facilitare i test periodici delle misure di sicurezza.................................................................102
Segnala risultati e risorse in dettaglio..........................................................................................................................................103
QUESITO DICIASETTE – ¼ - Mantenere traccia di controllo per mostrare la conformità GDPR.........................103
QUESITO DICIOTTO – 2/4 - Trasferire i dati personali verso paesi terzi.........................................................................103
QUESITO DICIANNOVE – 3/4 - Traccia e registra i trasferimenti di dati personali..................................................104
QUESITO VENTI - 4/4 - DPIA Data protection impact assessment.....................................................................................104
GESTIONE DEI DATI SENSIBILI DELLA TOMA– PROCEDURE – SICUREZZA – PRIVACY ESTERNA ED
INTERNA...................................................................................................................................................................................................104
PARTE TERZA...............................................................................107
Possibile Modello di Governance e di Gestione ...........................107
delle azioni previste dal GDPR in TOMA.......................................107
8. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 8 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
8 of 529
Data inventory........................................................................................................................................................................................108
L’obiettivo della prima area di attività è finalizzato alla conoscenza dei dati trattati.............................................108
Modalità di costruzione del Registro.................................................................................................................................................108
Analisi dei rischi e degli impatti......................................................................................................................................................110
Misure organizzative............................................................................................................................................................................114
Misure tecnologiche .............................................................................................................................................................................115
Misure applicative.................................................................................................................................................................................116
Misure minime di sicurezza AgID ...............................................................................................................................................116
ABSC (AgID Basic Security Control) ..............................................................................................................................................117
ABSC5 uso appropriato dei privilegi di amministratore..........................................................................................................118
ABSC8 difese contro i malware.............................................................................................................................................................118
ABSC10 Copie di sicurezza......................................................................................................................................................................118
SCHEDA DELLE MISURE IN ESSERE E DA ADOTTARE IN TOMA......................................................................................118
Il regime sanzionatorio.......................................................................................................................................................................121
Cosa fare: un possibile modello di azione ...................................................................................................................................121
Primo self assesment sui temi di Sicurezza e Privacy – FILE XLSX ..................................................................................123
Il tool, basato su due files xlsx, sono allegati a parte. ................................................................................................................123
20180501 Adeguatezza GDPR registro e scheda ver5. xlsx.............................................................................................................123
20180306 Adeguatezza GDPR registro e scheda ver. xlxs ...............................................................................................................123
GDPR: novità, ambiti di applicazione e sanzioni...........................124
Le novità del GDPR ...............................................................................................................................................................................124
L’ambito di applicazione del regolamento..................................................................................................................................129
L’ambito di applicazione materiale................................................................................................................................................130
Le sanzioni................................................................................................................................................................................................131
DATA INVENTORY........................................................................134
Tipologia di dati trattati......................................................................................................................................................................134
Principi per il trattamento .............................................................................................................................................................136
IL REGISTRO DEI TRATTAMENTI .................................................139
L’articolo 30 del Regolamento .....................................................................................................................................................139
9. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 9 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
9 of 529
Ratio della norma..................................................................................................................................................................................141
Soggetti tenuti a dotarsi di un registro.........................................................................................................................................142
Contenuti del registro..........................................................................................................................................................................143
REGISTRO DEL Titolare...........................................................................................................................................................................143
REGISTRO DEL RESPONSABILE...........................................................................................................................................................144
Strutturare i registri: un possibile approccio metodologico...............................................................................................146
Aggiornamento e messa a disposizione dei registri ...........................................................................................................147
TENUTA DEL REGISTRO................................................................149
Inventario degli asset tecnologici...................................................................................................................................................149
ANALISI DEI RISCHI E DEGLI IMPATTI ...........................................152
Analisi dei rischi.....................................................................................................................................................................................152
Analisi preliminare del rischio..............................................................................................................................................................152
Riferimenti normativi...............................................................................................................................................................................153
Una necessaria considerazione sui principi generali di data protection in relazione all’analisi del rischio...155
I principi a sfondo della DPIA ........................................................................................................................................................156
Quando è necessario svolgere l’analisi dei rischi.........................................................................................................................156
Rischio inerente e rischio residuo........................................................................................................................................................157
Analisi preliminare del rischio e prospettiva garantista .....................................................................................................158
Analisi dei rischi: considerazione tecniche .................................................................................................................................161
Ambito di applicazione della DPIA .............................................................................................................................................167
Come effettuare una DPIA: un possibile approccio metodologico ................................................................................168
Valutazione della probabilità totale di accadimento delle minacce ..............................................................................168
Valutazione del livello di gravità per ogni binomio minaccia-danno ..............................................................................168
Valutazione del rischio complessivo del trattamento: implementazione misure o consultazione preventiva
.......................................................................................................................................................................................................................170
Implementazione delle misure e calcolo del rischio residuo..............................................................................................170
Consultazione preventiva dell’Autorità di controllo in assenza di misure adeguate alla mitigazione del rischio
.......................................................................................................................................................................................................................170
10. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 10 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
10 of 529
PIANO DI ADEGUAMENTO: piano di attività e valutazione di
sostenibilità.................................................................................173
Adozione di un piano di adeguamento.........................................................................................................................................173
FASI PRINCIPALI PER L’ADOZIONE DI UN PIANO DI ADEGUAMENTO: rilevazione e analisi..............................174
Mappare i trattamenti di dati personali..........................................................................................................................................174
Analizzare i rischi e valutare gli impatti e valutare l’adeguatezza delle misure tecnico-organizzative..........174
Piano di adeguamento..............................................................................................................................................................................175
Trasformazione e adeguamento .....................................................................................................................................................175
Attuare un modello organizzativo......................................................................................................................................................176
Attuare politiche, procedure e linee guida......................................................................................................................................176
Attuare i processi per gestire le terze parti....................................................................................................................................177
Attuare i processi per gestire i rapporti con gli interessati....................................................................................................177
Attuare le misure tecnico organizzative .....................................................................................................................................178
In particolare il Titolare deve:..............................................................................................................................................................179
Attuare i processi per rilevare e gestire le violazioni di sicurezza ......................................................................................179
Monitoraggio e manutenzione .....................................................................................................................................................179
Aggiornare il sistema documentale ...................................................................................................................................................180
Analizzare i rischi, valutare gli impatti e migliorare le misure di sicurezza..................................................................180
Monitorare l’efficacia delle misure di sicurezza...........................................................................................................................180
MISURE ORGANIZZATIVE.............................................................181
Cosa intendiamo per Big Data..........................................................................................................................................................181
Schema organizzativo per la Data Protection............................................................................................................................182
Titolare del trattamento. ........................................................................................................................................................................183
Comitato Data Protection.......................................................................................................................................................................183
Responsabili del trattamento................................................................................................................................................................185
Data Processing Manager (DPM)........................................................................................................................................................185
Amministratori di Sistema. ....................................................................................................................................................................185
Incaricati del trattamento......................................................................................................................................................................186
Titolare e conTitolare ......................................................................................................................................................................186
Il Titolare ..................................................................................................................................................................................................187
11. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 11 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
11 of 529
Il con-Titolare..........................................................................................................................................................................................189
NOMINA DEI RESPONSABILI ........................................................191
Riferimento Normativo ...................................................................................................................................................................191
La scelta del Responsabile.................................................................................................................................................................193
Il rapporto con il Titolare e le attività del Responsabile.......................................................................................................194
Le responsabilità ...............................................................................................................................................................................196
La filiera dei sub-Responsabili.........................................................................................................................................................196
LA FIGURA DEL DPO.....................................................................198
INFORMATIVE E CONSENSI..........................................................210
L’informativa...........................................................................................................................................................................................210
Un esempio d’informativa per il trattamento dei dati personali e sensibili secondo il GDPR ..........................212
Trattamento dei dati personali e sensibili ..............................................................................................................................213
Finalità.............................................................................................................................................................................................................213
Modalità del trattamento .......................................................................................................................................................................213
Tempo di conservazione dei dati.........................................................................................................................................................213
Ambito di comunicazione e diffusione ..............................................................................................................................................214
Conseguenze del mancato consenso al trattamento..................................................................................................................214
Diritti dell’interessato...............................................................................................................................................................................214
Trattamento dei dati personali e sensibili tramite Dossier Sanitario .............................................................................215
Trattamento dei dati personali e sensibili tramite Fascicolo Sanitario Elettronico..................................................215
Gestione del consenso.........................................................................................................................................................................216
Metodi di Acquisizione dei consensi digitali..............................................................................................................................219
I DIRITTI DELL’INTERESSATO ........................................................224
Modalità per l’esercizio dei diritti (art. 12)................................................................................................................................229
Portabilità dei dati ................................................................................................................................................................................230
DATA PROTECTION AGREEMENT con terze parti..........................232
Accordo tra Titolare e Responsabile .............................................................................................................................................232
12. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 12 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
12 of 529
[Riferimento al DPA] Punto 2.3.2 del DPA - Rendicontazione, audit e collaborazione..............................................233
[Riferimento al DPA] Punto 2.5 del DPA - Comunicazione a terzi ....................................................................................233
[Riferimento al DPA] Punto 2.2.2 - Obblighi generali del Responsabile............................................................................233
Riferimenti Normativi...............................................................................................................................................................................234
[Riferimento al DPA] Punto 2.15- Obblighi generali del Responsabile..............................................................................234
In ogni caso il Responsabile sarà tenuto a garantire: .........................................................................................................................234
[Riferimento al DPA] Punto 2.7.1 Requisiti minimi da imporre ad altri Responsabili e Subresponsabili.........235
[Riferimento al DPA] Punto 2.10 Diritti dell’interessato..........................................................................................................235
[Riferimento al DPA] Rispettivamente i punti 2.11, 2.12, 2.13 ...........................................................................................236
[Riferimento al DPA] Punto - 2.16.......................................................................................................................................................236
Sistema documentale per la data protection .............................................................................................................................236
Ruoli e responsabilità..........................................................................................................................................................................237
I Responsabili del trattamento devono contribuire a: ..........................................................................................................237
Il DPO deve contribuire a: ..................................................................................................................................................................238
Il Titolare del Trattamento, ha il compito di:................................................................................................................................238
MODALITA’ DI GESTIONE.............................................................239
Strutturazione del sistema documentale privacy....................................................................................................................239
Aggiornamento del sistema di gestione documentale privacy...........................................................................................241
IL SISTEMA DI MONITORING........................................................242
Attività di monitoraggio .................................................................................................................................................................242
KPI di monitoraggio..............................................................................................................................................................................244
Flussi informativi da parte del DPO ...........................................................................................................................................244
I molteplici protagonisti del sistema di monitoraggio...........................................................................................................245
DATA BREACH ...........................................................................249
Riferimenti Normativi .....................................................................................................................................................................251
La ratio.......................................................................................................................................................................................................252
In cosa consiste l’attività di notifica...............................................................................................................................................252
Contenuto della notifica......................................................................................................................................................................253
Processo complessivo di data breach management ............................................................................................................255
13. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 13 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
13 of 529
La valutazione dell’impatto di una violazione .......................................................................................................................257
Ulteriori comunicazioni al soggetto interessato.......................................................................................................................259
Esempio di flusso di gestione...........................................................................................................................................................260
LE MISURE TECNICHE...................................................................262
Data protection by design..................................................................................................................................................................263
IDENTITA’ E ACCESSO ..................................................................268
1. I dati personali sono: (C39)........................................................................................................................................................268
ENCRYPTION ...............................................................................274
Data at rest,..............................................................................................................................................................................................275
Data in transit, ........................................................................................................................................................................................275
Altri ambiti di elaborazione del dato,............................................................................................................................................276
LOGGING E MONITORAGGIO.......................................................277
Il primo passo obbligatorio è la catalogazione delle informazioni che si intendono tracciare.............................282
Il terzo passo è l’implementazione di un sistema centralizzato di tracciatura............................................................282
LE MISURE APPLICATIVE ..............................................................285
Anonimizzazione e pseudonimizzazione.....................................................................................................................................285
Anonimizzazione.........................................................................................................................................................................................287
Pseudominizzazione..................................................................................................................................................................................287
Scelta della tecnica appropriata .........................................................................................................................................................289
I diritti dell’interessato che impattano sulle applicazioni....................................................................................................290
La cancellazione..........................................................................................................................................................................................292
La limitazione...............................................................................................................................................................................................292
IL TRASFERIMENTO DEI DATI VERSO PAESI TERZI.........................293
ALCUNI DUBBI APPLICATIVI.........................................................294
ODV: RICEPIMENTO DELLA NORMA DA PARTE DEGLI ORGANI DI CONTROLLO - Eventuali obblighi..........294
14. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 14 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
14 of 529
QUALI ORGANISMI ISPETTIVI e a quando le ispezioni ???..................................................................................................299
RICERCA E SVILUPPO : COME GESTIRE LA MATERIA IN AMBITO DI NUOVA PRIVACY .....................................306
Un intero progetto di adeguamento al RGPD in 9 fasi:..........................................................................................................309
IN BREVE: TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO...............................................................311
ULTIME RACCOMANDAZIONI PER I TITOLARI DEI DATI....................................................................................................312
Allegato 1....................................................................................314
Format di una possibile scheda di un’attività di trattamento contenuta nel registro ..............................................314
Allegato 2....................................................................................315
Modello di DPA Data Processing Agreement.............................................................................................................................315
Definizioni ................................................................................................................................................................................................315
Obblighi del Responsabile ..............................................................................................................................................................316
Obblighi generali del Responsabile................................................................................................................................................316
Tenuta del registro delle attività di trattamento......................................................................................................................317
Comunicazione a terzi.........................................................................................................................................................................317
Ricorso ad altri Responsabili e Sub-responsabili.....................................................................................................................318
Requisiti minimi da imporre ad altri Responsabili e Sub-responsabili..........................................................................318
Riservatezza dei dati trattati ............................................................................................................................................................318
Incaricati del trattamento..................................................................................................................................................................318
Diritti dell’interessato..........................................................................................................................................................................319
Violazione dei dati personali ............................................................................................................................................................319
Valutazione d’impatto .........................................................................................................................................................................320
Consultazione preventiva ..................................................................................................................................................................320
Responsabile della Protezione dei Dati .....................................................................................................................................320
Misure di sicurezza...............................................................................................................................................................................320
Il responsabile deve implementare misure che garantiscano:...........................................................................................320
Termine del rapporto ..........................................................................................................................................................................321
Obblighi del Titolare ............................................................................................................................................................................321
Responsabilità ........................................................................................................................................................................................321
Allegati ....................................................................................................................................................................................................321
15. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 15 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
15 of 529
Allegato 3....................................................................................322
Autorizzazione n. 8/2016 - Autorizzazione generale al trattamento dei dati genetici - 15 dicembre 2016...322
1) Definizioni...........................................................................................................................................................................................330
2) Ambito di applicazione..................................................................................................................................................................332
3) Finalità del trattamento. ...............................................................................................................................................................334
4) Modalità di trattamento................................................................................................................................................................336
4.1) Raccolta e conservazione...............................................................................................................................................................336
4.2) Ricerca scientifica e statistica.....................................................................................................................................................337
4.3) Misure di sicurezza...........................................................................................................................................................................338
5) Informativa.........................................................................................................................................................................................339
5.1) Consulenza genetica e attività di informazione..................................................................................................................340
6) Consenso..............................................................................................................................................................................................341
7) Trattamenti in settori particolari..............................................................................................................................................343
8) Conservazione dei dati e dei campioni. ..................................................................................................................................343
8.1) Conservazione a fini di ricerca. ...........................................................................................................................................................344
9) Comunicazione e diffusione dei dati........................................................................................................................................344
10) Richieste di autorizzazione.......................................................................................................................................................346
11) Norme finali.....................................................................................................................................................................................346
12) Efficacia temporale.......................................................................................................................................................................347
Allegato 4....................................................................................348
Modulo Informativa Privacy – MSQ 5.2 Rv3...............................................................................................................................348
Allegato 5....................................................................................349
MODELLO / TEMPLATE del Contratto Data Protection adottato c/o la TOMA.......................................................349
Allegato 6....................................................................................361
Slide riassuntiva per il Personale in caso di DATA BREACH...............................................................................................361
Allegato 7....................................................................................362
Slide riassuntiva per il Personale inerente il Flusso di Notifica nel caso intervenga un DATA BREACH ........362
16. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 16 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
16 of 529
Allegato 8....................................................................................363
MODELLO / TEMPLATE di Lettera dei Diritti per i Pazienti Privati della Toma (senza impegnativa – NO SSN)
.......................................................................................................................................................................................................................363
Allegato 9....................................................................................371
MODELLO / TEMPLATE della lettera di notifica al GARANTE Privacy in caso di DATA BREACH......................371
Allegato 10..................................................................................376
SLIDES DEL SECONDO EVENTO INFORMATIVO E FORMATIVO PER GLI INCARICATI .........................................376
Allegato 11..................................................................................422
Organigramma della Toma Advanced Biomedical Assays Spa...........................................................................................422
Allegato 12..................................................................................423
20180501 Adeguatezza GDPR registro e scheda ver5...........................................................................................................423
Allegato 13..................................................................................439
20180504 QUESTIONARIO X CED..................................................................................................................................................439
Allegato 14..................................................................................445
LETTERA DI NOMINA GDPR INCARICATI/E TRATTAMENTO prima pagina della lettera.....................................445
Allegato 15..................................................................................446
LETTERE FIRMATE DI TUTTI GLI INCARICATI AL TRATTAMENTO DATI (seconda pagina) ..............................446
Allegato 16..................................................................................508
ESTRATTO SLIDES DEL PRIMO EVENTO INFORMATIVO E FORMATIVO PER GLI INCARICATI........................508
17. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 17 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
17 of 529
PARTE PRIMA
MANUALE DELLE MISURE DI SICUREZZA
PER LA TUTELA DELLA PRIVACY - GDPR
INTRODUZIONE E STRUTTURA DEL DOCUMENTO
A seguito di quanto elaborato nelle precedenti versioni legate alla vecchia normativa sulla Privacy,
l’obiettivo del presente documento è quello di far fronte ai precisi obblighi di legge del 20 novembre
2017, n. 167 che ha recepito il Regolamento Ue 2016/679, noto come GDPR (General Data Protection
Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera
circolazione dei dati personali che sostituisce il decreto legislativo 196/2003 (art.34 e regola 19
dell’allegato B), relativo alla stesura di un Documento Programmatico per la Sicurezza dei dati personali
e sensibili con particolare attenzione al censimento dei dati trattati, alle modalità del trattamento ed alle
misure di sicurezza poste in essere per la protezione dei dati stessi (DPS).
Anche se il presente documento sostituisce la precedente procedura, si è optato per una stesura del
documento mantenendo parte del lavoro precedentemente eseguito in accordo con le linee guida suggerite
18. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 18 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
18 of 529
dal Garante; per questo motivo il presente documento non avrà una struttura funzionale come presente
nelle altre procedure.
Il Documento, una volta approvato con delibera del CDA, risulterà finalizzato alla corretta gestione e
trattamento, in ambito organizzativo e tecnologico, del dato personale (comune, sensibile, super-sensibile
e/o giudiziario) effettuato presso i laboratori Toma Advanced Biomedical Assays S.p.A. - (nel seguito,
per brevità, "TOMA").
Per ogni approfondimento sulla metodologia interna adottata si rimanda alle specifiche policy interne
adottate dalla TOMA. (TORNA AL SOMMARIO)
SCOPO E CAMPO DI APPLICAZIONE
Il presente Documento ha pertanto l’obiettivo di attestare la conformità delle misure organizzative e di
sicurezza a quanto stabilito dalla normativa di prossima entrata in vigore con nuove disposizioni in
materia di protezione dei dati personali (legge 20 novembre 2017, n. 167), il tutto integrato con un
Disciplinare tecnico aggiornato in materia di misure minime di sicurezza, allegati, rinnovo delle
lettere d’incarico, eventuali contratti per la nomina di alcune figure previste dalla nuova normativa
comunitaria, P.I.A., Registro dei dati, etc. etc., nonché fornire indicazioni relative alla produzione,
gestione, conservazione e trasmissione delle informazioni aziendali con particolare attenzione a quelle di
tipo elettronico che, per loro natura, risultano particolarmente critiche e fortemente analizzate ed tutelate
dal nuovo disposto, non solo come oggetto di tutela, ma come fondamentale risorsa dei futuri processi di
macro-economia globale.
In questo Manuale d’istruzione, formazione e d’uso sono altresì individuati i trattamenti, direttamente o
attraverso collaborazioni esterne ovvero funzioni accentrate, effettuati da TOMA, in quanto titolare (o, a
seconda dei casi, co-titolare del trattamento), con l’indicazione della natura dei dati e della struttura
(ufficio, funzione, etc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici
impiegati.
19. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 19 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
19 of 529
Si individuano i sistemi informativi impiegati, le precauzioni di tipo tecnologico per garantire la
protezione degli strumenti elettronici e il personale coinvolto per tipologia per tutti i livelli prescritti,
nonché i disciplinari cui sono assoggettati i vari soggetti coinvolti nei trattamenti.
I soggetti, a vario titolo, a cui il presente Documento fa riferimento sono:
il Titolare: la TOMA, in persona del suo legale rappresentante pro tempore Dott. Federico
Maggi che, nel complesso, esercita un potere decisionale autonomo sulle finalità e modalità di
trattamento dei dati personali, ivi compreso il profilo della sicurezza, ricoprendo anche il ruolo di
Presidente, Direttore Sanitario e Direttore Generale della TOMA;
i Dipendenti: dipendenti e collaboratori della TOMA. Pertanto, laddove, qui di seguito, sia
utilizzato il termine “Dipendenti o Incaricati”, quest’ultimo è comprensivo anche dei collaboratori
seppure gli stessi siano definiti saltuariamente come “esterni” o “fornitori”;
i Destinatari: dipendenti e membri degli organi;
gli Interessati: le persone fisiche cui si riferiscono i dati personali;
i Responsabili: i soggetti nominati tali facoltativamente dal Titolare a livello di organigramma
aziendale, seppur in ambito di nuova privacy i Responsabili sono complessivamente
assimilati a Dipendenti / Incaricati;
gli Incaricati: i soggetti nominati tali facoltativamente dal Titolare o dal Responsabile di
area/settore;
gli Amministratori di sistema: figure professionali finalizzate alla gestione e alla manutenzione
di un impianto di elaborazione o di sue componenti qualificati tali dall’organigramma aziendale,
ma definibili “Dipendenti o Incaricati” per la nuova privacy
20. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 20 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
20 of 529
Vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla
protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti, strumenti, catene di
strumenti operanti in TOMA ma collegati/e all’esterno attraverso collegamenti dedicati, contrattualmente
previsti per il corretto funzionamento, interventi di manutenzione, allarme, statistica e qualità sia per
propositi di certificazione sia per disposti di legge.
Sono inclusi anche gli apparati di sicurezza, gli incaricati al controllo sanitario dei dipendenti, della
sicurezza, delle paghe e contributi, bilancio ed editoria e “last but not least” gli amministratori di sistemi
software complessi.
Tali soggetti per la TOMA sono a titolo illustrativo, ma non esaustivo: Ariosa/Roche, Regione Lombardia
(SISS), il SSN, l’Agenzia delle Entrate (MEF), la competente ASL, Coperativa Alisei, il Sig. Marco
Moroni (amministratore di sistema interno) e il Sig. Mirco Lucchini (amministratore di sistema interno),
la NUVICOM, la ALFEconsulting, lo Studio Engolli, lo Studio Faroni Nebuloni, etc. etc..
RIFERIMENTI NORMATIVI E DOCUMENTALI
Il presente Documento è stato redatto in conformità a quanto previsto dalla normativa nazionale in vigore
ed in particolare in conformità a quanto statuito dal Regolamento UE 2016/679, noto
come GDPR (General Data Protection Regulation – relativo alla protezione delle persone fisiche con
riguardo al trattamento e alla libera circolazione dei dati personali: legge 20 novembre 2017, n. 167 in
vigore dal 12 dicembre 2017 ed operativo per i destinatari dal 26 maggio 2018)
DOCUMENTI INTERNI
Organigramma aziendale – : vedi procedure ISO qualità
Organigramma Privacy TOMA – contenuto nel presente documento tra gli allegati (all. 11)
Documentazione afferente, inclusa nei manuali di qualità / certificazione etc. etc. etc – : vedi
procedure ISO qualità
Nomine a incaricati, responsabili e amministratori di sistema (interni ed esterni) – (allegati al
presente documento – all. 14 e 15)
21. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 21 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
21 of 529
Norme generali di comportamento - Linee Guida per l’utilizzo dei sistemi e dei servizi informatici
aziendali e per il trattamento dei dati derivanti dall’utilizzo di Internet e della posta elettronica – :
vedi procedure ISO qualità
Misure di sicurezza informatiche adottate da TOMA– : vedi procedure ISO qualità + vecchio DPS
+ documentazione contenuta nel presente compendio inclusi gli allegati (TORNA AL SOMMARIO)
STRUTTURA ORGANIZZATIVA A SUPPORTO DELLA
PRIVACY
L’Istituto di Analisi Mediche e Ricerca TOMA è una struttura privata convenzionata con il Sistema
Sanitario Nazionale ed è stata la prima struttura privata italiana e tra le prime nel mondo ad
occuparsi di diagnosi prenatale delle malattie genetiche. L’Istituto offre un completo servizio di analisi di
laboratorio di chimica clinica, immunologia e tossicologia. Da sempre all’avanguardia in campo
tecnologico, TOMA ospita apparecchiature di analisi di ultima generazione, volte al miglioramento della
qualità delle prestazioni erogate, alla riduzione dei tempi di esecuzione delle medesime, nonché
all’aggiornamento delle metodiche e dei processi analitici. Oltre a far fronte alla richiesta di attività
routinaria del Servizio Sanitario Nazionale, l’Istituto TOMA svolge anche un’attività di medicina del
lavoro per conto di aziende convenzionate e centri di servizio
La mission di TOMA
La convinzione che l’attenzione all’innovazione aziendale rappresenti l’unica vera possibilità di garantire
ai nostri clienti un servizio efficiente ci ha portato alla consapevolezza che offrire un servizio di analisi
completo ed efficace sia prima di tutto un servizio pubblico. L’impegno costante verso la ricerca e
l’offerta di un servizio integrato di genetica di laboratorio che soddisfi pienamente le aspettative dei nostri
clienti sono da sempre la nostra missione. E’ nostra ferma convinzione che debba essere il campione
biologico a spostarsi e non il paziente: un’opportunità per tutti di accedere al servizio.
L'Azienda si articola in cinque reparti operativi/produttivi dotati di attrezzature moderne e laboratori
altamente specializzati, tanto da essere elencata tra i laboratori altamente tecnologici da parte del
M.I.U.R.:
22. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 22 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
22 of 529
Biochimica Clinica Medica e Tossicologia
Citogenetica
Biologia Molecolare
Ricerca e Sviluppo
Citologia
La struttura produttiva è supportata da altre aree e uffici delegati a svolgere attività di supporto e gestione
commerciale, risorse umane, strategico, normativo, amministrativo, finanziario, segreteria, logistico,
informatico, qualità, vigilanza, sicurezza, etico, contributivo, editoriale e medico
le 6 aree interne alla struttura che supportano le attività di produzione/servizi:
Area Commerciale
Area del Personale, Strategie, Internazionalizzazione, Comunicazione e Immagine
Area Amministrazione e Finanza
Area Segreteria e Accettazione
Area Logistica - Acquisti
Area CED-IT
Le attività principali svolte dalla TOMA sono:
INNOVAZIONE DI PROCESSO E PRODOTTO NEL SETTORE MEDICO DIAGNOSTICO
Scouting di bisogni, idee, innovazioni e tecnologie.
Assistenza tecnica e consulenza alle aziende e agli enti pubblici in materia di:
tematiche sanitarie
qualità o sicurezza
certificazione di prodotto
proprietà intellettuale
metodi e processi
23. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 23 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
23 of 529
Servizi di analisi medico diagnostiche su campioni biologici umani
Servizi di analisi, prove e controlli su prodotti, processi
Servizi di supporto allo sviluppo di nuovi prodotti
Servizi di co-progettazione/supporto al miglioramento delle tecnologie e dei processi
produttivi e/o prodotti
Supporto nell'individuazione di partner tecnologici, laboratori di ricerca e test
Realizzazione di progetti di ricerca scientifica - industriale e sperimentale - nei propri
laboratori, con aziende e università
FINANZIAMENTI E BANDI
Partecipazione o co-partecipazione come capofila o come membri di una filiera a
finanziamenti e bandi comunitari, nazionali e regionali
Creazione di partenariati per la partecipazione a bandi comunitari, nazionali e regionali
Coordinamento e rendicontazione delle attività progettuali
PROMOZIONE DELL'INNOVAZIONE e INFORMAZIONE
Partecipazione a fiere, realizzazione di “brokerage event” e partecipazione a ”social
networks” e ad altri strumenti di “networking”
Pubblicazione di riviste e documentazione tecnico-scientifica e di dati statistici di settore
Informazione e assistenza sulle tematiche facenti parte del core business aziendale,
attraverso la pubblicazione su primarie riviste scientifiche nazionali ed internazionali di
articoli, studi, ricerche, statistiche, in autonomia o in collaborazione con aziende primari
del settore, università, specialisti, enti ospedalieri, fondazioni
Organizzazione di congressi, simposi, convegni, seminari, eventi
24. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 24 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
24 of 529
NORMAZIONE
L'attività di normazione tecnica costituisce un compito istituzionale per la TOMA per
quanto attiene tutti i metodi ed i processi messi a punto all’interno della struttura nei settori
di riferimento, sia in ambito nazionale, europeo e internazionale.
Tale attività prevede: o la partecipazione e il coordinamento di Gruppi di Lavoro e
Commissioni interne o interaziendali per la revisione e stesura di norme tecniche; o lo
sviluppo di metodi di prova e la predisposizione ed elaborazione della documentazione
tecnica; o la definizione delle caratteristiche di prodotti metodi e processi delle industrie
afferenti alle attività di TOMA ma presenti in vari settori a monte o a valle delle attività
aziendali
Alcuni dei servizi vengono erogati all’utenza attraverso un Portale, accessibile agli utenti al seguente
nome di dominio: https://www.tomalab.com
La TOMA, per erogare i suoi servizi all’utente e per la gestione delle attività, si avvale anche di
partner/fornitori tecnologici che la assistono e le offrono il necessario supporto in attività non afferenti il
“core business” aziendale.
Nel presente Manuale e negli allegati è possibile verificare l’elenco completo dei soggetti terzi, la
titolarità e i trattamenti sviluppati per i partner strategici che trattano dati personali di titolarità della
TOMA o che offrono servizi IT a supporto dei processi e per finalità correlate alla fornitura di servizi
istituzionali della TOMA, sempre che gli stessi non siano coperti/tutelati da accordi di confidenzialità,
riservatezza (NDA) o entrino in conflitto con disposti normativi come quello di cui stiamo trattando.
Presso ogni funzione della TOMA, le risorse, mediante “Responsabili” o “Incaricati” (ognuno
nell’ambito dell’attività lavorativa - Dipendenti), effettuano il trattamento di dati personali di rispettiva
competenza attenendosi, scrupolosamente, alle istruzioni ricevute, alle singole policy aziendali adottate
ed ogni altra ulteriore indicazione, anche verbale, fornita dal Responsabile per la protezione dei dati
personali di area o per il tramite dal Referente Privacy (DS o chi da lui temporaneamente incaricato/a).
25. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 25 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
25 of 529
La TOMA, oltre al trattamento dei dati personali di cui è titolare (in maniera autonoma), può eseguire
trattamenti di dati personali di titolarità di terzi soggetti giuridici (Ospedali, Cliniche, altri laboratori,
tribunali, medici generici e specialisti, aziende, sia nazionali che estere,) con i quali vengono condivisi ed
erogati servizi all’utenza che consistono prevalentemente in referti medico diagnostici; per tali motivi, la
maggior parte delle volte la TOMA riveste il ruolo di co-titolare di determinati trattamenti.
In tali casi la TOMA è tenuta ad adottare tutte le misure per garantire la sicurezza delle informazioni e dei
dati trattati oppure le misure espressamente richieste, con riferimento ai trattamenti di cui è
contrattualmente responsabile, e in ogni caso nel rispetto di quanto previsto dalla nuova normativa
europea sulla Privacy.
In sintesi il trattamento sui dati, operato dalla TOMA può essere schematizzato identificando e
classificando l'ambito del trattamento dei dati personali nel modo seguente:
1. La TOMA tratta dati personali nell'ambito dei suoi processi interni aziendali (così come riportato
nell’organigramma privacy della TOMA e dal diagramma indicante il flusso del 95% dei dati
generici, sensibili e super-sensibili in entrata ed uscita presso la TOMA), anche attraverso il sito
web sopra indicato:
a) I trattamenti sono effettuati all’interno della TOMA;
b) I trattamenti sono effettuati mediante l’ausilio di “funzioni accentrate” (Reparti Operativi -
Segreteria – Amministrazione - Risorse Umane e Organizzazione, Ufficio Acquisti,
Servizio Contabilità e bilancio, Controllo di Gestione).
2. La TOMA tratta dati personali di titolarità di terzi soggetti giuridici operanti nel sistema sanitario
conformemente a quanto previsto da accordi sottoscritti. In questi casi, i trattamenti sono effettuati
dalla TOMA in qualità di titolare autonomo o co-titolare, direttamente nei confronti dei soggetti
interessati (utenti).
La TOMA per alcune delle attività prestate può o DEVE avvalersi dell’attività (ulteriori) di fornitori
esterni designati quali Responsabili in Outsourcing del trattamento (SISS – REGIONE LOMBARDIA –
ASL – MEF –AG. ENTRATE com’anche gestione piattaforme informatiche, sito web, etc.), i quali, a loro
26. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 26 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
26 of 529
volta, potrebbero aver bisogno di sub-appaltare determinati servizi (attività di manutenzione, hosting
etc.).
In tali casi, al fine di non contravvenire al principio in base al quale un responsabile non può nominare a
sua volta un altro responsabile, i Responsabili nominati dalla TOMA sottoscrivono (ove possibile
visto la posizione dominante di alcuni fornitori) con i propri terzi fornitori (sub-appaltatori) un
accordo scritto che impone a questi ultimi il rispetto degli stessi obblighi a cui il Responsabile si è
vincolato in virtù della designazione ricevuta dalla TOMA e concernente il rispetto delle misure di
sicurezza e di riservatezza in ambito privacy.
Il Modello dell’accordo scritto che la Toma sottoscrive con i propri fornitori che gestiscono dati sensibili
per conto di Toma e allegato al presente documento . (Allegato n°5)
A tal fine, come da politica aziendale, il Responsabile comunica alla TOMA (titolare del trattamento)
copia dei contratti conclusi con gli eventuali terzi fornitori esterni, portando a conoscenza le principali
modalità di esecuzione dei servizi resi anche dal terzo fornitore esterno (in particolare, le specifiche
funzioni a cui è addetto, le tipologie di dati a cui hanno avuto accesso e le procedure adottate per garantire
la sicurezza dei dati trattati).
Vero si è che con alcuni soggetti giuridici pubblici (SISS – ASL – Regione Lombardia – MEF – Ag.
Entrate – M.E.F. non sussistono dichiarazioni né contratti, né garanzie, né possibilità di controlli, ma solo
obblighi ai quali la TOMA è sottoposta in virtù di una posizione dominante e pertanto l’impossibilità di
sapere da dove originano eventuali DATA BREACH dei dati a loro forniti.
L’organigramma privacy della TOMA è inserito intorno a pagina 42 (TORNA AL SOMMARIO)
TRATTAMENTO DEI DATI PERSONALI DELLA TOMA
La TOMA tratta dati personali nell'ambito della propria attività istituzionale dei servizi sopra indicati.
I trattamenti sono eseguiti mediante operazioni cartacee convertite in elettroniche attraverso il sistema
informatico interno della TOMA ed anche in minima parte attraverso il proprio sito web, nonché e
27. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 27 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
27 of 529
prevalentemente in DATA ENTRY mediante operazioni manuali e cartacee. (Vedi grafico flusso dati
della TOMA incluso al presente compendio intorno a pagina 40 )
Tali operazioni di trattamento sono eseguite da coloro che operano in qualità di Incaricati della TOMA e
parzialmente da parte di soggetti esterni nominati dalla stessa Responsabili del trattamento in outsourcing.
Ciascun Responsabile di Area/Reparto valuta le eventuali misure di sicurezza da adottare per la propria
Divisione/Funzione/Area anche in relazione alle particolari funzioni svolte e informa prontamente il
Titolare del trattamento dei dati di ogni questione rilevante ai fini degli adempimenti e gli obblighi
inerenti la legge 20 novembre 2017, n. 167 in vigore dal 12 dicembre p.v.. o nuova privacy (GDPR)
Strutture di riferimento: nel seguito sono indicate le strutture (uffici, funzioni, etc.) all’interno delle
quali è effettuato il trattamento di dati personali della TOMA, le Aree e gli Uffici, coordinati da persone
espressamente incaricate dei relativi trattamenti di dati personali:
REPARTI DI STAFF
- Reparto Segreteria ed Accettazione, svolge attività di supporto alla Direzione Generale e agli
altri reparti oltre ad una serie di attività inerenti centralino e portierato, accettazione pazienti,
inserimento nel sistema sanitario regionale delle impegnative mediche e delle schede
anamnestiche dei pazienti, consegna dei referti a mano o li invia via posta, gestisce vari elenchi
indirizzi, etc. etc. (Responsabile di Reparto Sig.ra Silvia Nava);
- Reparto Logistica e Servizi Tecnici, gestisce attività di fattorinaggio, magazzino, ritiro e consegna
materiale biologico, gestione dei corrieri, approvvigionamenti, gestione dei fornitori etc. etc. (in
stretta collaborazione con l’Ufficio Acquisti, il reparto Amministrazione Finanza e Controllo,
reparto Commercio e Marketing Nazionale); gestisce l’archivio; interventi di manutenzione, la
logistica delle sedi di lavoro; smaltimento dei rifiuti speciali, condizioni di alcuni strumenti
(Responsabile di Reparto Dr. Bruno Santagata);
28. Edizione 1
DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA DEI DATI PERSONALI E
SENSIBILI
rielaborato ai sensi del G.D.P.R.
General Data Protection Regulation
R. UE n°679/16 - L. n°167/17
DATA EMISSIONE NUMERO PAGINA
26/05/2018 28 / 529
DATA REVISIONE NUMERO REVISIONE
n.a. 0
TOMA Advanced Biomedical Assays SpA
Via Francesco Ferrer, 25/27
21052 Busto Arsizio
REDATTO DA
R. Scarafia
HM-IMM-INT-STR
SIGLA PROCEDURA
20180526RS01
rscarafia@tomalab.com
28 of 529
- Reparto Risorse Umane, Strategia, Internazionalizzazione e Comunicazione si occupa di
promuovere e coordinare le azioni dei differenti Reparti in funzione del raggiungimento degli
obiettivi aziendali per quanto concerne le materie di sua competenza; la Comunicazione opera per
consolidare l’immagine aziendale unica e coordinare iniziative ed attività sia sul fronte interno che
esterno, gestisce il personale, la formazione, i rapporti con i vari enti provinciali in stretta
collaborazione con il Reparto Amministrazione e Finanza. Imposta con la Direzione Generale le
strategie aziendali.
Effettua attività di scouting sul mercato internazionale per concludere accordi commerciali, di
partnership, scambio/cessione/acquisto di Know-How finalizzato ad ampliare l’offerta interna di
prodotti medico diagnostici o esportare i servizi aziendali.
Elabora, studia, negozia, chiude e firma contratti in merito. (Responsabile di Reparto Dott.
Roberto Scarafia);
- Referente Raccordo Qualità svolge attività di raccordo e coordinamento dei Referenti Qualità
delle singole Divisioni ed opera per assicurare il corretto funzionamento del Sistema Qualità
aziendale; gestisce e mantiene i contatti con l’Ente di accreditamento; agisce in raccordo e
coordinamento con Responsabili di Laboratorio, Responsabili e Responsabili Aree di Staff
(Responsabile Dott.ssa Beatrice Grimi);
- Reparto Amministrazione, Finanza e Controllo si occupa principalmente di ottemperare agli
obblighi di legge inerenti la contabilità e al bilancio. Provvede inoltre a sistematizzare determinate
variabili economiche e procede ad omogeneizzarle secondo criteri unici di gestione e provvede a
progettare, implementare e ottimizzare soluzioni ad elevato impatto sulla funzione amministrativa
(Responsabile di Reparto in qualità di consulente esterno associato allo studio Faroni-Nebuloni
Dr. Federico Faroni);
- Reparto Citogenetica di TOMA costituisce una tra le più vaste e approfondite esperienze
scientifiche a livello internazionale, avendo al suo attivo 40 anni di attività e di studio.