Dati identificativi del titolare del trattamento
HEALTHIA S.r.l. Startup Innovativa
(di seguito per brevità Healthia)
- REA RM 1547007
- Partita IVA numero 14803361006
- Capitale sociale 164.766,00€
- Sede legale: 00181 - Roma, Piazza Camillo Finocchiaro Aprile n.3
- Indirizzo e-mail: info@healthia.it
- Posta Elettronica Certificata: healthia@pec.aruba.it
- Sito Web: https://www.healthia.it
LA TUTELA DEI DATI E DELLA PRIVACY IN HEALTHIA
La Società Healthia è certificata ISO 27001 ottemperando ai requisiti ottimali per impostare e gestire un sistema di gestione della sicurezza delle informazioni. Inoltre, Healthia ha implementato una propria politica della privacy e della tutela dei dati coerente con i dettami normativi della Legge 196/2003, del Regolamento Europeo sulla privacy n°679/2016 e successive integrazioni. Scopo del presente documento è certificare le modalità con le quali Healthia opera in conformità ai sensi dell’Articolo 40 del suddetto regolamento, certificando procedure, misure tecniche ed organizzative adeguate ai servizi erogati alla propria Clientela.
Le attività di Healthia sono focalizzate sulle seguenti macro aree:
- Application development
- Artificial Intelligence
- Capitale sociale 164.766,00€
- Assistenza tecnico - sistemistica erogata dalla Sede
- Assistenza tecnico - sistemistica presso i propri Clienti
- Business Intelligence
- Data Mining e Data Warehouse
- Medical Device Integration
- System Integration
Healthia assicura la massima tutela dei dati presi in carico, dei loro Titolari e dei Responsabili del loro trattamento. Healthia eroga i propri servizi in qualità di Titolare del trattamento, per la sfera di dati personali e particolari afferenti ai propri Collaboratori, ed opera quale Responsabile Esterno del trattamento, per gli ambiti di trattamento con il quale interagisce in relazione ai contratti di servizi con i propri Clienti.
Healthia è attenta alla soddisfazione di alcuni principi basilari:
- implementare le proprie procedure, i sistemi e l’operatività in una logica che soddisfi i principi della “privacy by design” e della “privacy by default”, sin dalle fasi di progettazione come previsto dall’articolo 25 del Regolamento Europeo 679/2016;
- tutelare le informazioni personali dei propri trattamenti e dei trattamenti gestiti per conto del Cliente assicurando il pieno rispetto di quanto previsto dall’articolo 5 del Regolamento Europeo 679/2016, ovvero:
- liceità, correttezza e trasparenza, raccogliendo informazioni per finalità determinate;
- legittimità, limitando gli accessi a quanto necessario rispetto alle finalità per le quali sono trattati, verificandone esattezza, coerenza ed adottando tutte le misure ragionevoli per eliminazioni e/o modifiche;
- conservazione, in forme che consentano l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- protezione, adottando misure tecniche e organizzative adeguate impedendo trattamenti non autorizzati o illeciti, protetti dalla perdita, dalla distruzione o dal danno accidentali;
- assicurare che la propria Clientela abbia piena consapevolezza delle tutele poste in atto da Healthia, opportunamente differenziate per ciascuna tipologia di servizio erogato.
Healthia opera secondo i dettami delle politiche di qualità, protesa al miglioramento continuo ed alla ricerca delle soluzioni e delle procedure maggiormente efficaci in una logica di contenimento dei rischi correlati ai trattamenti.
RUOLO NELLE POLITICHE DELLA PRIVACY
Responsabile esterno del trattamento
Il Cliente è titolare del trattamento dei dati personali e particolari gestiti nella propria organizzazione, Healthia può accedervi in relazione a servizi previsti dal mandato contrattuale ricevuto dal Cliente ed in veste di responsabile esterno del trattamento, trattando dati personali per conto del Titolare del trattamento e doperando, quando previsto, in veste di amministratore di sistema.
Healthia, svolgendo il proprio ruolo di Responsabile esterno del trattamento, assicura che:
- i dati personali siano trattati su istruzione documentata del titolare del trattamento;
- le proprie persone incaricate al trattamento sono impegnate alla riservatezza e sono adeguatamente formate;
- sono adottate tutte le misure richieste ai sensi dell'articolo 32;
- non ricorre a un altro responsabile del trattamento;
- assiste ove necessario il titolare del trattamento con misure tecniche e organizzative adeguate e nel rispetto degli obblighi di cui agli articoli da 32 a 36;
- elimina o restituisce i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento;
- mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28.
Nello svolgimento del proprio ruolo di Responsabile esterno del trattamento, Healthia è coadiuvata da proprie risorse caratterizzate dal profilo di incaricato al trattamento, ovvero l’operatore che riceve una specifica autorizzazione da Healthia, corredata da istruzioni, in merito alle responsabilità ed ai compiti afferenti alla sfera dei dati personali con i quali entra in contatto durante l’espletamento della propria mansione.
Gli incaricati sono Collaboratori sotto contratto diretto con Healthia, sono periodicamente formati ed il loro operato è oggetto di audit periodici relativamente alle performance ed alla compliance.
Privacy Officer e Responsabile Protezione Dati
Le attività correlate a trattamenti di dati personali sono sviluppate con la supervisione del nostro Privacy Officer, le cui competenze giuridiche, informatiche e gestionali consentono di valutare la coerenza dell’offerta Healthia ai requisiti normativi e di protezione previsti per i trattamenti di dati personali.
Il Privacy Officer offre ai propri vertici aziendali la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali trattati in veste di responsabile esterno del trattamento, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza.
In ossequio al Regolamento Europeo 679/2016, in Healthia opera anche un consulente esterno che ha l’incarico di Responsabile della Protezione dei Dati (Data Protection Officer), con competenze analoghe al Privacy Officer, ma che distingue il proprio operato in veste non operativa e autonoma, espletando le proprie funzioni di validazione in piena indipendenza senza ricevere alcuna istruzione o impartizione gerarchica.
Responsabile della Protezione dei Dati del Cliente
Il Cliente segnala a Healthia i dati di contatto del proprio Privacy Officer o del Responsabile Protezione Dati, per ogni necessità correlata agli ambiti dei trattamenti.
Healthia si riserva di poter contattare il Responsabile Protezione Dati del Cliente in ogni occasione correlata all’erogazione di nuovi servizi che abbiamo impatto su trattamenti di dati personali e particolari, al fine di garantire che i propri servizi soddisfino i principi della tutela della privacy by design e della tutela della privacy by default.
Incaricato
L’Incaricato del trattamento è una Risorsa di Healthia che opera sotto la diretta autorità del Titolare e del Responsabile del trattamento. Dietro apposita autorizzazione, definita lettera di incarico, effettua materialmente operazioni di trattamento sui dati personali attenendosi alle istruzioni impartite.
LA VALUTAZIONE DI IMPATTO
Sulla base del principio di responsabilizzazione, Healthia promuove sempre l’analisi dei rischi e la valutazione di impatto per la sicurezza dei dati sia all’atto in cui il trattamento viene posto in essere, sia nel suo svolgimento che nella sua cessazione, individuando e condividendo con il Cliente l’attuazione di misure organizzative e di sicurezza conformi alle prescrizioni normative.
VADEMECUM SUI DATI
Per “dati” si intendono informazioni di natura cartacea o digitale a cui Healthia accede nell’ambito dell’esecuzione dei contratti di servizi sottoscritti con il Cliente e:
- sono afferenti ad “interessati” per i quali il titolare del trattamento ha acquisito regolare consenso al trattamento conforme ai dettami normativi.
- sono conservati e/o eliminati e/o restituiti secondo indicazioni specifiche ricevute dal cliente.
- non sono accessibili per finalità difformi dall’oggetto del contratto di erogazione dei servizi.
- non sono accessibili da incaricati che non abbiano specifica autorizzazione al trattamento.
- non sono oggetto di diffusione o cessione a terzi.
- ove il cliente lo renda possibile vengono anonimizzati.
- sono trasmessi esclusivamente in modalità protetta e crittografata.
Healthia ha progettato ed implementato adeguati sistemi di accesso e protezione dei suddetti dati, sia a livello fisico e perimetrale, sia a livello logico per i dati conservati e gestiti su sistemi informatici.
Healthia non tratta dati personali e/o particolari per il quali in via diretta o attraverso il proprio Cliente non abbia evidenza del consenso al trattamento.
VADEMECUM SUGLI AMMINISTRATORI DI SISTEMA
Nel rispetto del Regolamento Europeo sulla protezione dei dati personali (GDPR) Healthia affida a proprie risorse definite Amministratori di sistema il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (come prevede l’ex art. 32 del Regolamento), in aggiunta o integrazione ad eventuali misure minime di sicurezza presenti a cui si faceva riferimento nell’allegato B della legge 196/2003.
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, Healthia quale responsabile esterno del trattamento pone in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza coerente al rischio. Tra queste misure, attraverso i propri Amministratori di sistema Healthia assicura:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Healthia, in ottemperanza alla normativa, considera amministratori di sistema anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, amministratori di reti e di apparati di sicurezza e amministratori di sistemi software complessi (che ad esempio detengono diritti di profilazione di utenti in termini di accesso a dati personali e particolari).
Healthia opera presso i propri sistemi e presso i sistemi del Cliente con diverse Figure professionali, aventi valenza di amministratore di sistema esterno, con le seguenti attribuzioni:
- amministratore di basi dati complesse
- amministratore di software complessi
La nomina è a cura del Titolare del trattamento ed è a titolo personale.
L’operato degli amministratori di sistema è oggetto di verifica annuale da parte da parte del Responsabile del trattamento, al fine di verificare rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Si prospettano due scenari, che contemplano uno o più soggetti interni o esterni all’organizzazione:
Il ruolo di Amministratore di sistema esterno è contemplato nell’atto con il quale il Cliente designa Healthia Responsabile esterno del trattamento. Nell’atto sono evidenziate le specifiche funzioni di Amministratore di Sistema attribuite e sono elencate in maniera analitica tutte le attività che verranno svolte.
Gli accessi ai sistemi da parte degli Amministratori di sistema di Healthia sono oggetto di registrazione su un file di log, unitamente ad ogni informazione che è possibile tracciare in merito alle attività svolte. Il file è crittografato e contiene i log di un periodo non inferiore agli ultimi sei mesi.
FINALITÀ E MODALITÀ DEL TRATTAMENTO
Finalità del Trattamento
I dati al quale Healthia può avere accesso, attraverso propri Collaboratori espressamente incaricati e formati, sono afferenti alle gestioni del proprio business e sono correlati all’esecuzione del contratto di erogazione di servizi in essere con il Cliente.
I dati vengono trattati in conformità alle prescrizioni in materia di liceità del trattamento previste dal Regolamento Europeo 679/2016.
Le tipologie di dati trattati possono essere raggruppate nell’elenco seguente:
- Dati anagrafici e di identità;
- Dati biometrici;
- Dati di geolocalizzazione;
- Dati relativi a consensi;
- Dati relativi alla rete di prossimità degli interessati;
- Dati sanitari.
Durata della conservazione
La conservazione dei dati raccolti è per il tempo necessario al compimento della finalità del trattamento e del contratto di erogazione di servizi.
Modalità di conservazione
Vengono adottate misure di sicurezza al fine di eseguire il trattamento nel rispetto dei principi di riservatezza, integrità, disponibilità ed eliminazione dei dati come esposto più avanti nel presente documento. Healthia conserva i dati dei propri trattamenti conformemente alle disposizioni normative. La conservazione di dati di trattamenti del Cliente avviene secondo le modalità successivamente descritte:
- Archiviazione digitale: dal momento del caricamento dei dati su sistemi Healthia, o su sistemi di Clienti di Healthia, e sino alla loro eliminazione e/o restituzione.
- Servizi di assistenza tecnico sistemistica, che prevedono attività su sistemi (propri o del Cliente) interessati ai trattamenti di dati personali: Healthia riveste il ruolo di Responsabile Esterno del Trattamento limitatamente alle operazioni di gestione, manutenzione ed aggiornamento dei sistemi informatici utilizzati presso il Cliente ivi incluse le mansioni e responsabilità correlate al ruolo di amministratore esterno di sistema.
Le operazioni di modifica parziale, eliminazione e restituzione di dati cartacei e/o digitali vengono certificate da entrambi le Parti attraverso sottoscrizione di specifico verbale.
RAPPORTI CON LA CLIENTELA
Acquisizione dell’incarico
La liceità del trattamento di dati afferenti a persone fisiche, cioè la possibilità di accedere ai suddetti dati in ragione del contratto di erogazione di servizi, può essere possibile solo se il Cliente ha provveduto alla nomina di Healthia quale Responsabile Esterno del Trattamento esplicitando le tipologie di dati consegnati e le modalità di conservazione richieste.
Modalità di accesso e/o di rettifica
La possibilità di revocare i dati o rettificarli è vincolata alla natura dei servizi oggetto del contratto con il Cliente. Healthia eroga i servizi richiesti collaborando con il Cliente per i casi di accesso e/o rettifica e/o oblio previsti dalla normativa e per i quali il Cliente risponde direttamente ai propri interessati. Nell’acquisizione dei dati Healthia non entra nel merito delle tempistiche di conservazione di atti ufficiali e di documenti fiscali attenendosi esclusivamente alle disposizioni impartite in merito dal Cliente.
METODOLOGIE DI PROGETTAZIONE ED IMPLEMENTAZIONE
Valutazione preventiva dell’impatto
Healthia ha effettuato la valutazione di impatto sulla protezione dei dati dei propri sistemi e delle proprie procedure riportando un rischio residuale minimo e accettabile relativamente all’erogazione dei propri servizi, implementando altresì una politica di miglioramento continuo finalizzata alla riduzione massima del fattore di rischio.
Protezione dei dati cartacei
Healthia ha predisposto un sistema di immagazzinamento delle informazioni cartacee attraverso locali ed armadi presidiati, chiusi a chiave e dedicati in via esclusiva allo scopo. L’accesso esterno è interdetto ai non autorizzati, è protetto da sistemi anti intrusione ed anti incendio ed è video sorvegliato.
Le informazioni sono contenute in faldoni anonimizzati, le cui etichette non consentono alcuna rilevazione di dati personali in essi contenuti.
I sistemi informatici di gestione della logistica non contengono alcuna informazione di natura personale ma solo indicazioni specifiche del faldone, della provenienza, della posizione in magazzino, della natura dei documenti in esso contenuti.
Protezione dei dati gestiti su sistemi informatici
Healthia ha progettato e sviluppato applicazioni specifiche a supporto dei servizi che eroga alla Clientela. I sistemi sono progettati avendo particolare attenzione alla gestione della privacy, con piena rispondenza ai principi della privacy by design la quale prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all'utilizzo e all'eliminazione finale.
I sistemi server che ospitano le applicazioni di Healthia fornite al Cliente risiedono all’interno della Comunità Europea, ed il Cliente ha diritto in qualsiasi momento di conoscere l’esatta ubicazione delle banche dati oggetto dei servizi sotto contratto. L’accesso esterno è interdetto ai non autorizzati, è protetto da sistemi anti intrusione ed anti incendio ed è video sorvegliato. I sistemi server non sono utilizzabili quali postazioni di lavoro.
I sistemi server sono dotati di protezione a garanzia della business continuity e sono progettati con l’obiettivo di garantire esercizio 24 ore su 24, sette giorni su sette.
I sistemi server impiegati da Healthia, così come i sistemi client, sono protetti da adeguati sistemi firewall ed IPS e da strumenti ani malware. Le tecnologie sono oggetto di continuo aggiornamento. Le informazioni di natura personale e particolare sono accessibili esclusivamente dietro utilizzo di credenziali caratterizzate da elevato livello di complessità, con policies di rilascio e di accesso che sono convenute direttamente con il Cliente.
Healthia ha implementato ulteriori misure di sicurezza logica e fisica sugli ambiti informatici e digitali:
- protezione dei dati da accesso non autorizzato agli applicativi;
- protezione dei dati da accesso non autorizzato ai server;
- protezione dei dati da accesso non autorizzato ai database;
- protezione dei dati da accesso non autorizzato alle copie di backup dei database;
- mancanza di opzioni di accesso esterno.
Infine, Healthia ha creato un proprio ufficio privacy, coordinato da un Responsabile Protezione Dati, che opera sinergicamente con i responsabili interni per l’attuazione delle politiche sulla privacy. Healthia inoltre ha proceduto con l’implementazione dei requisiti richiesti dalla normativa ISO 27001 al fine di creare un sistema di gestione della sicurezza delle informazioni (in gergo SGSI o ISMS) includendo aspetti relativi alla sicurezza logica, fisica ed organizzativa dell’azienda stessa.
Sito Web
Il sito web di Healthia ha scopi di natura informativa ed istituzionale e non nasce per acquisire intenzionalmente informazioni sui Visitatori e su abitudini dei Visitatori. Non sono stati attivati strumenti di profilazione. La privacy policy e la cookie policy sono descritte all’interno del sito web in specifiche sezioni, raggiungibili direttamente dalla home page.
E’ presente un modulo di raccolta dati per coloro che richiedono informazioni. Il form raccoglie temporaneamente i dati ed invia una mail all’ufficio commerciale e non viene conservata sul server alcuna ulteriore informazione.
GESTIONE DEI DATA BREACH
Healthia è fortemente protesa verso il massimo contenimento dei rischi di data breach, interpretando la motivazione più importante che sottintende l’intero impianto normativo del Regolamento Europeo 679/2016.
Con il termine data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato, a cui segue una notifica della violazione avvenuta. Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà, la dignità e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli articoli 33 e 34 del Regolamento Europeo 679/2016 indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.
Healthia osserva le disposizioni dell’articolo 33 con il quale si impone al Titolare del trattamento (o ad eventuale Responsabile esterno) di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui si acquisisce consapevolezza dell’avvenuta violazione con un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza. A titolo esemplificativo, non esaustivo:
- la perdita temporanea di accesso ad un indirizzario e-mail a causa di un blackout non rappresenta evento che richiede una notifica;
- la perdita temporanea di accesso a dati bancari o sanitari è considerata un evento che pone a rischio (anche elevato) i diritti degli individui e viene gestita ai sensi dei suddetti articoli 33 e 34;
- lo smarrimento di una memoria magnetica contenente dati sensibili criptati indecifrabili da terzi, la cui chiave crittografica non è divulgata non rappresenta evento lesivo nei confronti degli interessati e quindi non obbligatoriamente notificabile;
- lo smarrimento di una memoria magnetica contenente dati sensibili in chiaro, o criptati ma decifrabili da terzi, rappresenta evento lesivo nei confronti degli interessati e quindi obbligatoriamente notificabile.
Healthia ha attuato ogni misura utile al contenimento del rischio di data breach ed alle conseguenti possibili divulgazioni di dati riservati o confidenziali. Per questo motivo, le policies di sicurezza di Healthia prevedono alcune specifiche misure:
- gli Incaricati di Healthia non utilizzano memorie magnetiche esterne per attività di test e/o trasferimento di dati;
- gli Incaricati di Healthia non duplicano basi dati su notebook personali o aziendali;
- gli Incaricati di Healthia autorizzati ad accedere a dati personali e particolari sono adeguatamente formati sui rischi correlati e sottoscrivono stringenti accordi di riservatezza a salvaguardia dei dati di Healthia e del Cliente.
Nell’ipotesi di rilevazione di un data breach, la procedura prevista da Healthia prevede la seguente prassi:
- viene raccolta la segnalazione di avvenuta violazione;
- il Responsabile Protezione Dati certifica l’avvenuta violazione e comunica in tempo reale l’evento al Titolare del trattamento;
- ove necessario viene prodotta la notifica all’Autorità, a norma dell’articolo 55;
- ove non si sia ancora in grado di conoscere con certezza il numero di persone e di dati personali interessati dalla violazione si comunicherà inizialmente un ammontare approssimativo, provvedendo a specificare il numero esatto a seguito di accertamenti, aggiornando l’Autorità in itinere rispetto ai nuovi riscontri;
- in particolari casi potrà essere effettuata un’unica “notifica aggregata” di tutte le violazioni occorse nel breve periodo di tempo (anche superando le 72 ore);
- si valuta se le misure di cifratura e pseudonomizzazione consentono di considerare inintellegibili i dati oggetto della violazione, escludendo quindi la necessità di comunicazione agli interessati (salvo diverse disposizioni dell’Autorità);
- in caso di rischio elevato per gli interessati, il DPO avvia le procedure di comunicazione dell’avvenuta violazione agli interessati consentendo loro di attivarsi a tutela dei propri interessi, come previsto dall’articolo 34 del Regolamento Europeo 679/2016. La notifica sarà inviata a mezzo email, SMS o con messaggi diretti il cui contenuto è comunicato in maniera evidente e trasparente, con terminologia immediatamente comprensibile;
- se la violazione riguarda dati sanitari, la comunicazione avrà luogo entro 48 ore dalla conoscenza del fatto, indicando le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati;
- si procede con un aggiornamento del documento di valutazione dei rischi e delle misure di contenimento, il cui giudizio prognostico dovrà essere personalizzato avendo riguardo alle concrete circostanze della violazione;
- si attuano misure e correttivi finalizzati all’impedire il verificarsi di un analogo data breach.
Per consentire l’attività di accertamento del Garante, verrà predisposto un elenco aggiornato delle violazioni subite, con il dettaglio delle circostanze e delle conseguenze. L’inventario adotterà misure che ne garantiscano integrità ed immodificabilità. Nell’eventuale notifica di violazione al Garante, verranno indicate tutte le informazioni richieste sulla procedura descritta sul sito dell’Autorità Garante
TRASFERIMENTO DEI DATI
Portabilità dei dati e/o consegna all’interessato come da articolo 20 del Regolamento Europeo 679/2016
I servizi di Healthia non contemplano estrazione di dati in forma strutturata da fornire in via diretta all’interessato. Ove fattibile, il processo di estrazione e consegna è comunque eseguito dietro richiesta formale del Titolare del Trattamento.
Altresì non è prevista consegna di documentazione cartacea direttamente all’interessato, fatti salvi accordi formali presi direttamente con il Titolare del Trattamento.
Trasferimento a terzi
Nessuna forma di trasferimento e/o di estrazione dei dati a terzi è possibile, fatte salve richieste dell’Autorità o specifiche richieste del Cliente.
MONITORAGGIO DEL SISTEMA PRIVACY
Durante l’attività sistematica di revisione delle procedure e dei processi, della gestione della sicurezza dei dati e dei sistemi, vengono aggiornati e rivisti anche tutti i processi correlati alla politica della privacy di Healthia.
FORMAZIONE
Ambito interno
Healthia organizza piani periodici di formazione dei propri Collaboratori, nel pieno rispetto dei dettami dell’articolo 29 del Regolamento Europeo 679/2016, che stabilisce che “il Responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del Titolare del trattamento, che abbia accesso ai dati personali, non può trattare tali dati se non è istruito in tal senso dal titolare”.
La formazione ha per oggetto aspetti legati alla normativa ed agli aggiornamenti ed adeguamenti, nonché la valutazione di casi pratici, la valutazione delle problematiche correlate ai servizi erogati al Cliente e la presentazione delle procedure interne di compliance.
I Collaboratori di Healthia interessati ai trattamenti di dati personali e particolari ricevono specifiche nozioni a seconda dei ruoli da questi ricoperto.
Servizi di formazione alla Clientela
Healthia fornisce al Cliente servizi di formazione personalizzati correlati a specifiche tematiche o alle attività erogate.
I piani di formazione sono oggetto di progettualità condivisa con il Cliente. In casi particolari, Healthia sottoscrive un accordo di riservatezza che tutela il segreto industriale correlato agli scopi ed ai contenuti dei piani di formazione condivisi con il Cliente.
ATTIVITÀ DI SVILUPPO SOFTWARE
Sin dalla prima riunione di kick off del progetto Healthia sottoscrive un accordo di non divulgazione (in inglese non-disclosure agreement, ovvero detto NDA), comunemente conosciuto come accordo di riservatezza, che tutela il segreto industriale correlato agli scopi, alle funzionalità ed ai contenuti dei sistemi gestionali che verranno sviluppati per il Cliente.
Lo sviluppo delle applicazioni e la loro operatività sono oggetto di logiche di progettualità che soddisfano nativamente i principi della “privacy by design” e della “privacy by default”, come previsto dall’articolo 25 del Regolamento Europeo 679/2016.
Healthia coadiuva il Cliente nella progettazione dei sistemi informatici di trattamento, nell’individuare e contenere i rischi derivanti dal trattamento, agevolando operazioni di valutazione di impatto derivante dall’impiego di soluzioni informatiche sviluppate su commessa e implementando funzionalità di garanzia di trattamento sicuro.
CONTATTI
Per qualsiasi ulteriore chiarimento è possibile rivolgersi al Responsabile Protezione Dati di Healthia inviando un messaggio e-mail all’indirizzo dpo@healthia.it