Protezione dei Dati e Conformità alle norme nLPD
Su agenda.ch, diamo importanza alla riservatezza dei dati e alla trasparenza.
Il nostro impegno >
Pertanto, adottiamo misure proattive affinché il nostro servizio rispetti le norme svizzere (in particolare la nuova legge sulla protezione dei dati entrata in vigore nel settembre 2023) così come il nuovo regolamento europeo GDPR relativo alla protezione dei dati applicabile dal 25 maggio 2018. È per questo che desideriamo informarvi di alcune modifiche apportate alle nostre Condizioni Generali per i clienti di agenda.ch, nonché l'aggiunta delle Condizioni di prenotazione di appuntamenti online, che devono ora essere obbligatoriamente validate dai vostri clienti / pazienti per tutti gli appuntamenti prenotati online dal 15 maggio 2018.
Prima di presentare le azioni concrete, è importante dettagliare il caso specifico di agenda.ch. Infatti, agenda.ch è una piattaforma SaaS di gestione dell'agenda "B to B", i nostri clienti aziende o indipendenti la utilizzano quindi per raccogliere e conservare dati di prenotazione e di cliente/paziente.
Bisogna quindi identificare e distinguere bene due responsabilità:
1. Il responsabile del trattamento (Data Controller) – è la società / la persona che decide quali dati raccogliere, e che definisce l'obiettivo di questa raccolta di dati, nel nostro caso, il cliente di agenda.ch (medico, osteopata, estetista, ecc).
2. Il subappaltatore (Data Processor) – (qui agenda.ch) è la società che "tratta" i dati personali per conto del responsabile del trattamento.
In quanto subappaltatore, trattiamo i dati personali gestiti dal nostro prodotto agenda.ch solo su istruzione documentata del responsabile del trattamento (nostro cliente). Ciò significa che non manipoliamo, non diffondiamo, non utilizziamo, non condividiamo i dati raccolti attraverso la nostra piattaforma, poiché questi dati non ci appartengono.
Inoltre, tutti i dati di agenda.ch sono archiviati presso il nostro fornitore di accesso Exoscale in Svizzera.
Ecco un breve riepilogo delle azioni in corso:
- Da dicembre 2022, agenda.ch in quanto subappaltatore, stabilisce un registro del trattamento dei dati, conformemente alla nuova legge sulla protezione dei dati (nLPD)
- Abbiamo inoltre implementato procedure interne per essere in grado di rispondere alle richieste dei clienti relative ai loro dati.
- qualsiasi persona può anche chiedere al responsabile del trattamento se vengono trattati dati personali che la riguardano. In caso affermativo, può ottenere da agenda.ch che questi dati le vengano consegnati elettronicamente.
- qualsiasi persona che desideri che i propri dati vengano eliminati, può contattare il nostro team per email o telefono affinché procediamo alla cancellazione totale dei suoi dati
- Dal 15 maggio 2018, abbiamo integrato nel modulo di prenotazione l'obbligo per un cliente/paziente di accettare condizioni d'uso specifiche alla protezione dei dati al momento della prenotazione online, con l'implementazione di note legali relative alla raccolta di dati personali, che dettagliano i flussi di raccolta e trattamento dei dati specifici per loro.
- aggiorniamo regolarmente questa pagina dedicata ai Principi di riservatezza con spiegazioni su come trattiamo le informazioni e i dati personali, una descrizione dettagliata delle nostre pratiche in materia di sicurezza nonché condizioni relative al trattamento dei dati che spiegano come i clienti possono ottenere maggiori informazioni sulla nostra sicurezza.
- Lo stesso vale per precisazioni sulla nostra collaborazione con partner fidati e fonti online al fine di migliorare la qualità delle informazioni personali che deteniamo sugli utenti, di comprendere come gli utenti interagiscono con il nostro sito e di scoprire i tipi di servizi che li interessano.
L'obiettivo principale della nuova Legge svizzera sulla Protezione dei Dati nonché il GDPR (Regolamento Generale sulla protezione dei dati) è rafforzare il quadro legale di protezione dei dati personali, e uniformarlo su tutto il territorio Europeo. Nel nostro contesto, le regole promulgate dal GDPR (e dalla nuova LPD) richiedono principalmente l'adozione di misure di buon senso: un'architettura moderna e sicura, una buona organizzazione, un po' di documentazione, queste misure permettono di essere conformi alla maggior parte delle regole. Ulteriori informazioni seguiranno presto.
Architettura dell'applicazione agenda.ch attuale:
- Tutti i dati di agenda.ch sono ospitati in Svizzera (presso Exoscale).
- Un cliente di agenda.ch ha accesso al proprio spazio su agenda.ch, accessibile tramite una password memorizzata in modo crittografato, accessibile via SSL.
- Un account viene bloccato dopo un certo numero di tentativi falliti.
- agenda.ch non utilizza e non tratta i dati dei propri clienti, in particolare il loro file paziente o cliente.
- I backup sono cifrati.
- Abbiamo implementato una politica di log applicativi per rilevare e tracciare qualsiasi tentativo di intrusione nella nostra architettura applicativa.
Evoluzioni previste dei nostri servizi verso un « Privacy by Design »:
- Saremo in grado di effettuare una distruzione fisica dell'insieme dei dati di un utente, o di un cliente di un cliente, su semplice richiesta.
- Creeremo delle pagine per consentire agli utenti, una volta identificati, di consultare e modificare le proprie informazioni personali;
- Stiamo studiando la creazione di un modulo per raccogliere le richieste di accesso alle informazioni personali degli utenti, in particolare per attivare un diritto all'oblio e farle eliminare fisicamente e quindi definitivamente. Determineremo nei prossimi mesi se questa richiesta sarà gestita dai clienti di agenda.ch o da agenda.ch direttamente.
- Aggiungeremo nel nostro Centro di aiuto https://help.agenda.ch informazioni su come far valere i diritti degli utenti sui propri dati e controllare l'utilizzo delle proprie informazioni personali tramite i nostri servizi. Spieghiamo inoltre come possiamo gestire le richieste riguardanti i dati che potreste ricevere dai clienti / pazienti di nazionalità Europea.