Introduzione
Il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation), entrato in vigore il 25 maggio 2018, fornisce un aggiornamento significativo alla legge che disciplina il modo in cui i dati personali vengono raccolti e utilizzati, estendendo diritti e controllo più ampi alle persone in relazione a come vengono trattati i loro dati personali e imponendo, al contempo, obblighi più stringenti alle organizzazioni che trattano i dati personali.

Questa dichiarazione spiega il nostro forte impegno mirato a rispettare il GDPR e fornisce un contesto in relazione al trattamento dei dati personali da parte di iRhythm.

Il nostro impegno
iRhythm prende sul serio la privacy e la sicurezza dei dati. Abbiamo migliorato e rivediamo continuamente il nostro solido programma di conformità al fine di allinearci ulteriormente agli elementi unici del GDPR. Il nostro team di progetto interfunzionale, inclusi gli esperti esterni che si occupano di sicurezza e di privacy dei dati, lavora con l’obiettivo di garantire la conformità e la trasparenza con i nostri clienti e pazienti.

Conformità al GDPR
Nell’ambito della nostra procedura di adeguamento al GDPR, abbiamo intrapreso un’analisi dettagliata di tutti i processi aziendali nell’ambito dei quali vengono raccolti e utilizzati dati personali. Abbiamo mappato i nostri flussi di dati e condotto un’analisi delle lacune rispetto ai quali abbiamo strutturato il nostro programma di conformità. I passaggi chiave che abbiamo adottato nell’ambito di questo programma includono quanto segue:

• Trasparenza: Esame e aggiornamento dei nostri avvisi sulla privacy rivolti a medici, pazienti, utenti del nostro sito web e del nostro portale ZioReports, nonché comunicazione di informazioni sul nostro trattamento legittimo, allo scopo di soddisfare i nostri obblighi di notifica ai sensi del GDPR.
• Registrazione del trattamento: Documentazione dei nostri registri di trattamento dei dati personali e determinazione e registrazione delle basi giuridiche appropriate per ciascuna finalità di trattamento. Questo è un documento vivente che teniamo sotto controllo.
• Diritti dei soggetti: Aggiornamento degli avvisi alle persone sul rafforzamento dei diritti e implementazione di politiche e processi nuovi e adeguati, per precedere, gestire e rispondere all’esercizio dei diritti dei soggetti interessati.
• Sicurezza: I Dati personali e dei pazienti sono crittografati durante il transito e in fase stanziale. La politica di crittografia di iRhythm soddisfa o supera tutti gli standard commerciali e governativi generalmente accettati.
• Risposta agli incidenti: Esame e miglioramento delle nostre procedure di risposta agli incidenti esistenti, volti a identificare, indagare, contenere ed effettuare tutte le segnalazioni necessarie entro i tempi richiesti dal GDPR.
• Valutazioni dell’impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment): iRhythm ha implementato una procedura DPIA e condurrà DPIA qualora il nostro trattamento dei dati personali potrebbe comportare un alto livello di rischio. Abbiamo implementato alcuni processi per registrare ogni valutazione e, ove appropriato, per registrare e gestire le misure atte a ridurre il livello di rischio.
• Privacy attraverso la progettazione e attraverso le impostazioni predefinite: Sviluppo di linee guida per l’uso da parte degli sviluppatori di prodotti e sistemi, per fare in modo che iRhythm possa cercare di incorporare Privacy attraverso la progettazione e attraverso le impostazioni predefinite in nuovi sistemi e processi.
• Politiche e procedure: Revisione, aggiornamento e scrittura di nuove politiche e procedure per soddisfare gli obblighi più stringenti del GDPR a noi imposti.
• Contratti: Richiesta di informazioni sulla capacità di adeguamento al GDPR dei nostri fornitori di servizi e riesamina e aggiornamenti continui degli accordi relativi al trattamento dei dati personali in linea con i requisiti del GDPR presso i clienti e i subappaltatori.
• Conservazione dei dati: Conservazione dei dati personali per tutta la durata dell’utilizzo dello Zio service da parte Sua, e secondo necessità, per adempiere ai nostri obblighi contrattuali, al fine di individuare problematiche o risolvere procedimenti di natura giuridica (o normativa). Potremmo anche conservare le informazioni aggregate oltre il periodo specificato, a fini di ricerca e per facilitare lo sviluppo e il miglioramento dei nostri servizi. I pazienti non possono essere identificati tramite le informazioni aggregate conservate o utilizzate per questi scopi.
• Formazione e consapevolezza: Aggiornamento dei materiali di formazione e implementazione di un programma di formazione per i dipendenti in merito ai requisiti del GDPR; ulteriore sensibilizzazione e miglioramento della cultura della conformità all’interno di iRhythm.
• Funzionario per la privacy: Abbiamo progettato la proprietà per la conformità alla privacy all’interno di iRhythm. Il Funzionario è supportato da un team interfunzionale che promuove la consapevolezza del GDPR in tutta l’organizzazione.
• Notifica: le nostre politiche sulla privacy possono essere visualizzate sul nostro sito web all’indirizzo https://www.zioreports.com/Application.html#PP_UK.
• Titolare del trattamento dei dati/Responsabile del trattamento: Accertamento che iRhythm è un titolare del trattamento dei dati e non un Responsabile del trattamento. In qualità di titolare del trattamento dei dati, iRhythm comprende di essere soggetta all’ambito più ampio degli obblighi derivanti dalla legge sulla protezione dei dati a cui sono soggetti anche i propri account.
• Responsabilità: Introduzione di sistemi e registri per acquisire e conservare i registri delle misure di conformità adottate.

iRhythm comprende che la supervisione continua e la consapevolezza dei dipendenti sono fondamentali per la conformità continua al GDPR. Continuiamo a rivedere il trattamento dei dati personali, modificando e adattando la nostra documentazione come richiesto.

In caso di ulteriori domande sulla conformità al GDPR, ci contatti all’indirizzo e-mail UKprivacy@irhythmtech.com.