Policy Privacy

Edizione Giugno 2021

Dati identificativi del titolare del trattamento HEALTHIA S.r.l. Startup Innovativa
(di seguito per brevità Healthia)
  • REA RM 1547007
  • Partita IVA numero 14803361006
  • Capitale sociale 164.766,00€
  • Sede legale: 00181 - Roma, Piazza Camillo Finocchiaro Aprile n.3
  • Indirizzo e-mail: info@healthia.it
  • Posta Elettronica Certificata: healthia@pec.aruba.it
  • Sito Web: https://www.healthia.it

LA TUTELA DEI DATI E DELLA PRIVACY IN HEALTHIA

La Società Healthia è certificata ISO 27001 ottemperando ai requisiti ottimali per impostare e gestire un sistema di gestione della sicurezza delle informazioni. Inoltre, Healthia ha implementato una propria politica della privacy e della tutela dei dati coerente con i dettami normativi della Legge 196/2003, del Regolamento Europeo sulla privacy n°679/2016 e successive integrazioni. Scopo del presente documento è certificare le modalità con le quali Healthia opera in conformità ai sensi dell’Articolo 40 del suddetto regolamento, certificando procedure, misure tecniche ed organizzative adeguate ai servizi erogati alla propria Clientela.

Le attività di Healthia sono focalizzate sulle seguenti macro aree:

Healthia assicura la massima tutela dei dati presi in carico, dei loro Titolari e dei Responsabili del loro trattamento. Healthia eroga i propri servizi in qualità di Titolare del trattamento, per la sfera di dati personali e particolari afferenti ai propri Collaboratori, ed opera quale Responsabile Esterno del trattamento, per gli ambiti di trattamento con il quale interagisce in relazione ai contratti di servizi con i propri Clienti.

Healthia è attenta alla soddisfazione di alcuni principi basilari:

Healthia opera secondo i dettami delle politiche di qualità, protesa al miglioramento continuo ed alla ricerca delle soluzioni e delle procedure maggiormente efficaci in una logica di contenimento dei rischi correlati ai trattamenti.

RUOLO NELLE POLITICHE DELLA PRIVACY

Responsabile esterno del trattamento

Il Cliente è titolare del trattamento dei dati personali e particolari gestiti nella propria organizzazione, Healthia può accedervi in relazione a servizi previsti dal mandato contrattuale ricevuto dal Cliente ed in veste di responsabile esterno del trattamento, trattando dati personali per conto del Titolare del trattamento e doperando, quando previsto, in veste di amministratore di sistema.

Healthia, svolgendo il proprio ruolo di Responsabile esterno del trattamento, assicura che:

Nello svolgimento del proprio ruolo di Responsabile esterno del trattamento, Healthia è coadiuvata da proprie risorse caratterizzate dal profilo di incaricato al trattamento, ovvero l’operatore che riceve una specifica autorizzazione da Healthia, corredata da istruzioni, in merito alle responsabilità ed ai compiti afferenti alla sfera dei dati personali con i quali entra in contatto durante l’espletamento della propria mansione.

Gli incaricati sono Collaboratori sotto contratto diretto con Healthia, sono periodicamente formati ed il loro operato è oggetto di audit periodici relativamente alle performance ed alla compliance.

Privacy Officer e Responsabile Protezione Dati

Le attività correlate a trattamenti di dati personali sono sviluppate con la supervisione del nostro Privacy Officer, le cui competenze giuridiche, informatiche e gestionali consentono di valutare la coerenza dell’offerta Healthia ai requisiti normativi e di protezione previsti per i trattamenti di dati personali.

Il Privacy Officer offre ai propri vertici aziendali la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali trattati in veste di responsabile esterno del trattamento, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza.

In ossequio al Regolamento Europeo 679/2016, in Healthia opera anche un consulente esterno che ha l’incarico di Responsabile della Protezione dei Dati (Data Protection Officer), con competenze analoghe al Privacy Officer, ma che distingue il proprio operato in veste non operativa e autonoma, espletando le proprie funzioni di validazione in piena indipendenza senza ricevere alcuna istruzione o impartizione gerarchica.

Responsabile della Protezione dei Dati del Cliente

Il Cliente segnala a Healthia i dati di contatto del proprio Privacy Officer o del Responsabile Protezione Dati, per ogni necessità correlata agli ambiti dei trattamenti.

Healthia si riserva di poter contattare il Responsabile Protezione Dati del Cliente in ogni occasione correlata all’erogazione di nuovi servizi che abbiamo impatto su trattamenti di dati personali e particolari, al fine di garantire che i propri servizi soddisfino i principi della tutela della privacy by design e della tutela della privacy by default.

Incaricato

L’Incaricato del trattamento è una Risorsa di Healthia che opera sotto la diretta autorità del Titolare e del Responsabile del trattamento. Dietro apposita autorizzazione, definita lettera di incarico, effettua materialmente operazioni di trattamento sui dati personali attenendosi alle istruzioni impartite.

LA VALUTAZIONE DI IMPATTO

Sulla base del principio di responsabilizzazione, Healthia promuove sempre l’analisi dei rischi e la valutazione di impatto per la sicurezza dei dati sia all’atto in cui il trattamento viene posto in essere, sia nel suo svolgimento che nella sua cessazione, individuando e condividendo con il Cliente l’attuazione di misure organizzative e di sicurezza conformi alle prescrizioni normative.

VADEMECUM SUI DATI

Per “dati” si intendono informazioni di natura cartacea o digitale a cui Healthia accede nell’ambito dell’esecuzione dei contratti di servizi sottoscritti con il Cliente e:

Healthia ha progettato ed implementato adeguati sistemi di accesso e protezione dei suddetti dati, sia a livello fisico e perimetrale, sia a livello logico per i dati conservati e gestiti su sistemi informatici.

Healthia non tratta dati personali e/o particolari per il quali in via diretta o attraverso il proprio Cliente non abbia evidenza del consenso al trattamento.

VADEMECUM SUGLI AMMINISTRATORI DI SISTEMA

Nel rispetto del Regolamento Europeo sulla protezione dei dati personali (GDPR) Healthia affida a proprie risorse definite Amministratori di sistema il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (come prevede l’ex art. 32 del Regolamento), in aggiunta o integrazione ad eventuali misure minime di sicurezza presenti a cui si faceva riferimento nell’allegato B della legge 196/2003.

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, Healthia quale responsabile esterno del trattamento pone in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza coerente al rischio. Tra queste misure, attraverso i propri Amministratori di sistema Healthia assicura:

Healthia, in ottemperanza alla normativa, considera amministratori di sistema anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, amministratori di reti e di apparati di sicurezza e amministratori di sistemi software complessi (che ad esempio detengono diritti di profilazione di utenti in termini di accesso a dati personali e particolari).

Healthia opera presso i propri sistemi e presso i sistemi del Cliente con diverse Figure professionali, aventi valenza di amministratore di sistema esterno, con le seguenti attribuzioni:

La nomina è a cura del Titolare del trattamento ed è a titolo personale.

L’operato degli amministratori di sistema è oggetto di verifica annuale da parte da parte del Responsabile del trattamento, al fine di verificare rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Si prospettano due scenari, che contemplano uno o più soggetti interni o esterni all’organizzazione:

Il ruolo di Amministratore di sistema esterno è contemplato nell’atto con il quale il Cliente designa Healthia Responsabile esterno del trattamento. Nell’atto sono evidenziate le specifiche funzioni di Amministratore di Sistema attribuite e sono elencate in maniera analitica tutte le attività che verranno svolte.

Gli accessi ai sistemi da parte degli Amministratori di sistema di Healthia sono oggetto di registrazione su un file di log, unitamente ad ogni informazione che è possibile tracciare in merito alle attività svolte. Il file è crittografato e contiene i log di un periodo non inferiore agli ultimi sei mesi.

FINALITÀ E MODALITÀ DEL TRATTAMENTO

Finalità del Trattamento

I dati al quale Healthia può avere accesso, attraverso propri Collaboratori espressamente incaricati e formati, sono afferenti alle gestioni del proprio business e sono correlati all’esecuzione del contratto di erogazione di servizi in essere con il Cliente.

I dati vengono trattati in conformità alle prescrizioni in materia di liceità del trattamento previste dal Regolamento Europeo 679/2016.

Le tipologie di dati trattati possono essere raggruppate nell’elenco seguente:

Durata della conservazione

La conservazione dei dati raccolti è per il tempo necessario al compimento della finalità del trattamento e del contratto di erogazione di servizi.

Modalità di conservazione

Vengono adottate misure di sicurezza al fine di eseguire il trattamento nel rispetto dei principi di riservatezza, integrità, disponibilità ed eliminazione dei dati come esposto più avanti nel presente documento. Healthia conserva i dati dei propri trattamenti conformemente alle disposizioni normative. La conservazione di dati di trattamenti del Cliente avviene secondo le modalità successivamente descritte:

Le operazioni di modifica parziale, eliminazione e restituzione di dati cartacei e/o digitali vengono certificate da entrambi le Parti attraverso sottoscrizione di specifico verbale.

RAPPORTI CON LA CLIENTELA

Acquisizione dell’incarico

La liceità del trattamento di dati afferenti a persone fisiche, cioè la possibilità di accedere ai suddetti dati in ragione del contratto di erogazione di servizi, può essere possibile solo se il Cliente ha provveduto alla nomina di Healthia quale Responsabile Esterno del Trattamento esplicitando le tipologie di dati consegnati e le modalità di conservazione richieste.

Modalità di accesso e/o di rettifica

La possibilità di revocare i dati o rettificarli è vincolata alla natura dei servizi oggetto del contratto con il Cliente. Healthia eroga i servizi richiesti collaborando con il Cliente per i casi di accesso e/o rettifica e/o oblio previsti dalla normativa e per i quali il Cliente risponde direttamente ai propri interessati. Nell’acquisizione dei dati Healthia non entra nel merito delle tempistiche di conservazione di atti ufficiali e di documenti fiscali attenendosi esclusivamente alle disposizioni impartite in merito dal Cliente.

METODOLOGIE DI PROGETTAZIONE ED IMPLEMENTAZIONE

Valutazione preventiva dell’impatto

Healthia ha effettuato la valutazione di impatto sulla protezione dei dati dei propri sistemi e delle proprie procedure riportando un rischio residuale minimo e accettabile relativamente all’erogazione dei propri servizi, implementando altresì una politica di miglioramento continuo finalizzata alla riduzione massima del fattore di rischio.

Protezione dei dati cartacei

Healthia ha predisposto un sistema di immagazzinamento delle informazioni cartacee attraverso locali ed armadi presidiati, chiusi a chiave e dedicati in via esclusiva allo scopo. L’accesso esterno è interdetto ai non autorizzati, è protetto da sistemi anti intrusione ed anti incendio ed è video sorvegliato.

Le informazioni sono contenute in faldoni anonimizzati, le cui etichette non consentono alcuna rilevazione di dati personali in essi contenuti.

I sistemi informatici di gestione della logistica non contengono alcuna informazione di natura personale ma solo indicazioni specifiche del faldone, della provenienza, della posizione in magazzino, della natura dei documenti in esso contenuti.

Protezione dei dati gestiti su sistemi informatici

Healthia ha progettato e sviluppato applicazioni specifiche a supporto dei servizi che eroga alla Clientela. I sistemi sono progettati avendo particolare attenzione alla gestione della privacy, con piena rispondenza ai principi della privacy by design la quale prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all'utilizzo e all'eliminazione finale.

I sistemi server che ospitano le applicazioni di Healthia fornite al Cliente risiedono all’interno della Comunità Europea, ed il Cliente ha diritto in qualsiasi momento di conoscere l’esatta ubicazione delle banche dati oggetto dei servizi sotto contratto. L’accesso esterno è interdetto ai non autorizzati, è protetto da sistemi anti intrusione ed anti incendio ed è video sorvegliato. I sistemi server non sono utilizzabili quali postazioni di lavoro.

I sistemi server sono dotati di protezione a garanzia della business continuity e sono progettati con l’obiettivo di garantire esercizio 24 ore su 24, sette giorni su sette.

I sistemi server impiegati da Healthia, così come i sistemi client, sono protetti da adeguati sistemi firewall ed IPS e da strumenti ani malware. Le tecnologie sono oggetto di continuo aggiornamento. Le informazioni di natura personale e particolare sono accessibili esclusivamente dietro utilizzo di credenziali caratterizzate da elevato livello di complessità, con policies di rilascio e di accesso che sono convenute direttamente con il Cliente.

Healthia ha implementato ulteriori misure di sicurezza logica e fisica sugli ambiti informatici e digitali:

Infine, Healthia ha creato un proprio ufficio privacy, coordinato da un Responsabile Protezione Dati, che opera sinergicamente con i responsabili interni per l’attuazione delle politiche sulla privacy. Healthia inoltre ha proceduto con l’implementazione dei requisiti richiesti dalla normativa ISO 27001 al fine di creare un sistema di gestione della sicurezza delle informazioni (in gergo SGSI o ISMS) includendo aspetti relativi alla sicurezza logica, fisica ed organizzativa dell’azienda stessa.

Sito Web

Il sito web di Healthia ha scopi di natura informativa ed istituzionale e non nasce per acquisire intenzionalmente informazioni sui Visitatori e su abitudini dei Visitatori. Non sono stati attivati strumenti di profilazione. La privacy policy e la cookie policy sono descritte all’interno del sito web in specifiche sezioni, raggiungibili direttamente dalla home page.

E’ presente un modulo di raccolta dati per coloro che richiedono informazioni. Il form raccoglie temporaneamente i dati ed invia una mail all’ufficio commerciale e non viene conservata sul server alcuna ulteriore informazione.

GESTIONE DEI DATA BREACH

Healthia è fortemente protesa verso il massimo contenimento dei rischi di data breach, interpretando la motivazione più importante che sottintende l’intero impianto normativo del Regolamento Europeo 679/2016.

Con il termine data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato, a cui segue una notifica della violazione avvenuta. Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà, la dignità e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli articoli 33 e 34 del Regolamento Europeo 679/2016 indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.

Healthia osserva le disposizioni dell’articolo 33 con il quale si impone al Titolare del trattamento (o ad eventuale Responsabile esterno) di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui si acquisisce consapevolezza dell’avvenuta violazione con un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza. A titolo esemplificativo, non esaustivo:

Healthia ha attuato ogni misura utile al contenimento del rischio di data breach ed alle conseguenti possibili divulgazioni di dati riservati o confidenziali. Per questo motivo, le policies di sicurezza di Healthia prevedono alcune specifiche misure:

Nell’ipotesi di rilevazione di un data breach, la procedura prevista da Healthia prevede la seguente prassi:

Per consentire l’attività di accertamento del Garante, verrà predisposto un elenco aggiornato delle violazioni subite, con il dettaglio delle circostanze e delle conseguenze. L’inventario adotterà misure che ne garantiscano integrità ed immodificabilità. Nell’eventuale notifica di violazione al Garante, verranno indicate tutte le informazioni richieste sulla procedura descritta sul sito dell’Autorità Garante

TRASFERIMENTO DEI DATI

Portabilità dei dati e/o consegna all’interessato come da articolo 20 del Regolamento Europeo 679/2016

I servizi di Healthia non contemplano estrazione di dati in forma strutturata da fornire in via diretta all’interessato. Ove fattibile, il processo di estrazione e consegna è comunque eseguito dietro richiesta formale del Titolare del Trattamento.

Altresì non è prevista consegna di documentazione cartacea direttamente all’interessato, fatti salvi accordi formali presi direttamente con il Titolare del Trattamento.

Trasferimento a terzi

Nessuna forma di trasferimento e/o di estrazione dei dati a terzi è possibile, fatte salve richieste dell’Autorità o specifiche richieste del Cliente.

MONITORAGGIO DEL SISTEMA PRIVACY

Durante l’attività sistematica di revisione delle procedure e dei processi, della gestione della sicurezza dei dati e dei sistemi, vengono aggiornati e rivisti anche tutti i processi correlati alla politica della privacy di Healthia.

FORMAZIONE

Ambito interno

Healthia organizza piani periodici di formazione dei propri Collaboratori, nel pieno rispetto dei dettami dell’articolo 29 del Regolamento Europeo 679/2016, che stabilisce che “il Responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del Titolare del trattamento, che abbia accesso ai dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare”.

La formazione ha per oggetto aspetti legati alla normativa ed agli aggiornamenti ed adeguamenti, nonché la valutazione di casi pratici, la valutazione delle problematiche correlate ai servizi erogati al Cliente e la presentazione delle procedure interne di compliance.

I Collaboratori di Healthia interessati ai trattamenti di dati personali e particolari ricevono specifiche nozioni a seconda dei ruoli da questi ricoperto.

Servizi di formazione alla Clientela

Healthia fornisce al Cliente servizi di formazione personalizzati correlati a specifiche tematiche o alle attività erogate.

I piani di formazione sono oggetto di progettualità condivisa con il Cliente. In casi particolari, Healthia sottoscrive un accordo di riservatezza che tutela il segreto industriale correlato agli scopi ed ai contenuti dei piani di formazione condivisi con il Cliente.

ATTIVITÀ DI SVILUPPO SOFTWARE

Sin dalla prima riunione di kick off del progetto Healthia sottoscrive un accordo di non divulgazione (in inglese non-disclosure agreement, ovvero detto NDA), comunemente conosciuto come accordo di riservatezza, che tutela il segreto industriale correlato agli scopi, alle funzionalità ed ai contenuti dei sistemi gestionali che verranno sviluppati per il Cliente.

Lo sviluppo delle applicazioni e la loro operatività sono oggetto di logiche di progettualità che soddisfano nativamente i principi della “privacy by design” e della “privacy by default”, come previsto dall’articolo 25 del Regolamento Europeo 679/2016.

Healthia coadiuva il Cliente nella progettazione dei sistemi informatici di trattamento, nell’individuare e contenere i rischi derivanti dal trattamento, agevolando operazioni di valutazione di impatto derivante dall’impiego di soluzioni informatiche sviluppate su commessa e implementando funzionalità di garanzia di trattamento sicuro.

CONTATTI

Per qualsiasi ulteriore chiarimento è possibile rivolgersi al Responsabile Protezione Dati di Healthia inviando un messaggio e-mail all’indirizzo dpo@healthia.it