C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
La privacy nella Pubblica Amministrazione
Un caso pratico: il progetto I-Care
Avv. Chiara Rabbito
1
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
I PRINCIPI GENERALI
2
Il quadro normativo
• Convenzione del Consiglio d’Europa n. 108 del
1981
• Direttiva 95/46/CE
• Legge 675 del 1996
• Decreto legislativo 282/1999
• Decreto legislativo 196 del 2003
3
Il Codice della privacy
Il Codice della privacy (d.lgs. 196/2003) si occupa della
tutela del cittadino in relazione al trattamento dei
suoi dati personali
E’ pertanto escluso dalle problematiche sulla
privacy il trattamento di dati statistici e di dati
aggregati.
4
Il trattamento
• Che cos’è un trattamento?
• Per trattamento si intende:
• qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati.
• …quindi anche annotare un dato personale su un
post-it è un trattamento!
5
Come deve avvenire un trattamento
• Il trattamento dei dati personali deve
svolgersi nel rispetto dei diritti e delle
liberta' fondamentali, nonche' della
dignita' dell'interessato, con particolare
riferimento alla riservatezza, all'identita'
personale e al diritto alla protezione dei
dati personali.
6
I dati personali
• Che cos’è un dato personale?
• Per “dato personale” si intende qualunque
informazione relativa a persona fisica,
persona giuridica, ente od associazione,
identificati o identificabili, anche
indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un
numero di identificazione personale
7
I dati sensibili
• Nell’ambito dei dati personali esiste una
particolare categoria di cosiddetti “dati
sensibili”
8
Definizione di dato sensibile
• Sono "dati sensibili" i dati personali idonei a
rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonche' i dati
personali idonei a rivelare lo stato di
salute e la vita sessuale
9
I soggetti della privacy
• Sono coinvolti una
molteplicità di
soggetti….
10
L’interessato
• L’interessato è la persona fisica, la
persona giuridica, l'ente o l'associazione
cui si riferiscono i dati personali;
11
Il titolare dei dati
• Chi è il titolare dei dati?
• Per titolare si intende la persona fisica, la
persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente
ad altro titolare (il cosiddetto co-titolare), le
decisioni in ordine alle finalita', alle modalita'
del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo
della sicurezza
12
Il responsabile dei dati
• Chi è il responsabile?
• la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi
altro ente, associazione od organismo
preposti dal titolare al trattamento
di dati personali
13
Il responsabile esterno
• Frequentemente risulta necessaria la
nomina di un cosiddetto “responsabile
esterno”
• …per esempio il nostro commercialista…
• Può trattarsi di una persona fisica o di
un ente
• Come avviene la nomina?
14
La nomina a responsabile esterno
•
Atto di nomina di responsabile esterno del trattamento ex art. 29 del
d.lgs. 196/2003
•
Il/La…………………(nome Ente), nella Sua qualità di titolare del trattamento ai
sensi dell'art. 29 del d.lgs.196/2003,
PREMESSO CHE
il d.lgs.196/2003 ha espressamente previsto la possibilità che il titolare preponga
al trattamento dei dati personali uno o più responsabili, scelti tra soggetti che,
per la loro capacità, esperienza e affidabilità, forniscano idonea garanzia del
pieno rispetto delle vigenti disposizioni in materia di tutela dei dati personali, ivi
compresa la sicurezza degli stessi;
CHE il responsabile deve procedere al trattamento con la dovuta diligenza,
nonché attenendosi alle istruzioni ricevute dal titolare, il quale deve vigilare sulla
puntuale osservanza delle disposizioni vigenti;
L’ENTE
intende procedere alla nomina di ………………………………… responsabile del
trattamento, per ciò che attiene ai dati personali e sensibili di cui è titolare e il
cui trattamento è necessario per …...
Il titolare dichiara che i dati trasmessi al responsabile sono:
1. esatti e aggiornati;
2. pertinenti, completi e non eccedenti la finalità della raccolta;
3. raccolti e trasmessi al responsabile in modo lecito.
•
•
•
•
•
•
•
•
•
15
I doveri del responsabile esterno
• Il responsabile deve:
• a) operare nel rispetto dei principi generali fissati dall'art. 11 del
d.lgs.196/2003;
• b) impartire ai propri incaricati le istruzioni fornite dal titolare del
trattamento, nonché imporre le precauzioni generali dettate dal
d.lgs.196/2003;
• c) adottare e rispettare le misure di sicurezza indicate e predisposte
dal titolare;
• d) vigilare sul rispetto delle misure di sicurezza da parte dei
soggetti incaricati,
• e) tenere la lista degli incaricati con l’indicazione dell’ambito di
trattamento consentito mediante strumenti elettronici e quella del
trattamento mediante strumenti non elettronici,
• f) effettuare esclusivamente i trattamenti indicati dal titolare
16
Gli incaricati
• Chi sono gli incaricati?
• le persone fisiche autorizzate a
compiere operazioni di trattamento dal
titolare o dal responsabile
17
L’autorizzazione
• Come avviene l’autorizzazione
dell’incaricato?
• Mediante lettera di incarico o
• Mediante lettera di riservatezza
18
La lettera di incarico
Atto di nomina di incaricato del trattamento di dati personali e
sensibili ai fini di…..
• Il/La…………………(nome Ente), nella Sua qualità di titolare – ovvero –
•
•
•
•
•
responsabile del trattamento dei dati in relazione a…., ai sensi dell’art. 30 del
d. lgs. n. 196/2003,
designa quale incaricato al trattamento dei dati personali e sensibili
il Sig./la Sig.ra (nome e cognome), nato/a a …………………., il
………………………….., in servizio presso …………………………..(inserire
ufficio/area/funzione).
Tale nomina riguarda il trattamento di dati personali e sensibili ai quali il
soggetto sopracitato abbia accesso in relazione
a………………………………nell'espletamento della funzione che gli è propria,
nelle mansioni e/o per gli incarichi che gli/le sono stati affidati.
Art. 30 (Incaricati del trattamento): 1. Le operazioni di trattamento possono
essere effettuate solo da incaricati che operano sotto la diretta autorita' del
titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La
designazione e' effettuata per iscritto e individua puntualmente l'ambito del
trattamento consentito. Si considera tale anche la documentata
preposizione della persona fisica ad una unita' per la quale e'
individuato, per iscritto, l'ambito del trattamento consentito agli
19
addetti all'unita' medesima.
I doveri dell’incaricato
• il Sig./la Sig.ra ……………………………….. dovrà trattare
i dati personali e sensibili attenendosi alle seguenti
modalità:
• in modo lecito e secondo correttezza;
• raccogliendoli e registrandoli per gli scopi inerenti
l'attività svolta;
• verificando, ove possibile, che siano esatti e, se
necessario, aggiornarli;
• verificando che siano pertinenti, completi e non
eccedenti le finalità per le quali sono stati
raccolti o successivamente trattati, secondo le
indicazioni ricevute dal responsabile/titolare;
20
I criteri fondamentali
21
Art. 7
(Diritto di accesso ai dati personali ed altri diritti)
•
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione
in forma intelligibile.
•
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalita' e modalita' del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti
elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualita' di rappresentante
designato nel territorio dello Stato, di responsabili o incaricati.
22
Art. 7
(Diritto di accesso ai dati personali ed altri diritti)
•
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,
l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei
dati trattati in violazione di legge, compresi quelli di cui non e'
necessaria la conservazione in relazione agli scopi per i quali i dati sono
stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state
portate a conoscenza, anche per quanto riguarda il loro contenuto, di
coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in
cui tale adempimento si rivela impossibile o comporta un impiego di
mezzi manifestamente sproporzionato rispetto al diritto tutelato.
•
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo
riguardano, ancorche' pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di
materiale pubblicitario o di vendita diretta o per il compimento di
ricerche di mercato o di comunicazione commerciale.
23
Art. 11
(Modalita' del trattamento e requisiti dei dati)
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini compatibili con
tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali
sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato
per un periodo di tempo non superiore a quello necessario agli scopi
per i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia
di trattamento dei dati personali non possono essere utilizzati.
24
Le modalità del trattamento
• I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e
legittimi, ed utilizzati in altre operazioni del trattamento in
termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle
finalita' per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a
quello necessario agli scopi per i quali essi sono stati raccolti
o successivamente trattati.
• I dati personali trattati in violazione della disciplina rilevante
in materia di trattamento dei dati personali non possono
essere utilizzati.
25
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
Adempimenti privacy per gli enti
pubblici
26
Regolamento dati sensibili
•
Art. 20
(Principi applicabili al trattamento di dati sensibili)
1. Il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito
solo se autorizzato da espressa disposizione di legge nella quale sono
specificati i tipi di' dati che possono essere trattati e di operazioni
eseguibili e le finalita' di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalita' di rilevante
interesse pubblico, ma non i tipi di dati sensibili e di operazioni
eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e
di operazioni identificati e resi pubblici a cura dei soggetti che ne
effettuano il trattamento, in relazione alle specifiche finalita' perseguite
nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto
di natura regolamentare adottato in conformita' al parere espresso dal
Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi
tipo.
27
Regolamento dati sensibili
•
3. Se il trattamento non e' previsto espressamente da una disposizione
di legge i soggetti pubblici possono richiedere al Garante
l'individuazione delle attivita', tra quelle demandate ai medesimi
soggetti dalla legge, che perseguono finalita' di rilevante interesse
pubblico e per le quali e' conseguentemente autorizzato, ai sensi
dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il
trattamento e' consentito solo se il soggetto pubblico provvede altresi'
a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di
cui al comma 2.
28
Il regolamento dei dati sensibili
• CASO A
• Ai sensi dell’art. 20 il trattamento dei
dati sensibili da parte di soggetti
pubblici e' consentito solo se
autorizzato da espressa
disposizione di legge nella quale
sono specificati i tipi di dati che
possono essere trattati e di
operazioni eseguibili e le finalità di
rilevante interesse pubblico
perseguite.
29
Il regolamento dei dati sensibili
• CASO B
• Nei casi in cui la disposizione di legge
specifichi le finalità di rilevante interesse
pubblico, ma non i tipi di dati sensibili
trattati e le operazioni eseguibili, il
trattamento è consentito solo in riferimento ai
tipi di dati e di operazioni identificati e resi
pubblici dai soggetti che effettuano il
trattamento in relazione alle specifiche finalità
perseguite nei singoli casi con atto di
natura regolamentare.
30
Il regolamento dei dati sensibili
• CASO C
• Tuttavia, se il trattamento non e' previsto
espressamente da una disposizione di legge i
soggetti pubblici possono richiedere al
Garante l'individuazione delle attività,
tra quelle demandate ai medesimi soggetti
dalla legge, che perseguono finalità di
rilevante interesse pubblico e per le
quali e' conseguentemente autorizzato,
ai sensi dell'articolo 26, comma 2, il
trattamento dei dati sensibili (art. 20
comma 3).
31
Adempimenti Ente non sanitario
• Il Regolamento per i dati sensibili è già stato
elaborato sulla base della legge 675/96, ma
era da aggiornare in base al nuovo Codice
entro il 31 dicembre 2004
• Si tratta anche di mettere a punto un
Documento Programmatico di Sicurezza entro
il 31 marzo di ogni anno.
32
Il regolamento dei dati sensibili
• Trattamento dei dati sensibili nella
pubblica amministrazione
(G.U. n. 170 del 23 luglio 2005)
• Il Garante segnala che non sono state ancora
introdotte le garanzie previste in ordine al
trattamento di alcune informazioni che
riguardano profili particolarmente delicati
della sfera privata delle persone, ovvero dei
c.d. dati "sensibili".
33
Il regolamento dei dati sensibili
Il Garante:
se non interverranno entro il 31 dicembre prossimo (2004)
i necessari atti di natura regolamentare il trattamento
dei dati sensibili e giudiziari dovrà essere infatti
interrotto a decorrere dal 1° gennaio prossimo.
La prosecuzione del trattamento di dati sensibili e
giudiziari dopo tale data concretizzerebbe un illecito,
con conseguenti responsabilità di diverso ordine, anche
contabile e per danno erariale; potrebbe inoltre
comportare l'inutilizzabilità dei dati trattati
indebitamente, nonché il possibile intervento di
provvedimenti anche giudiziari di blocco o di divieto del
trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n.
158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11,
commi 1, lett. a) e 2, del Codice).
34
Il regolamento dei dati sensibili
IL MODELLO DI REGOLAMENTO FORNITO DAL GARANTE
• Art. ...
• 1. Il presente regolamento, in attuazione del Codice in materia
di protezione dei dati personali (artt. 20, comma 2, e 21,
comma 2, del decreto legislativo 30 giugno 2003, n. 196),
identifica le tipologie di dati sensibili e di operazioni
indispensabili a ... per perseguire le finalità di rilevante interesse
pubblico espressamente individuate da apposita previsione di
legge.
• Art. ...
• 1. Ai sensi dell'art. 1, ... , per le finalità di ... tratta le seguenti
tipologie di dati sensibili e giudiziari mediante i tipi di operazioni
di seguito indicati.
•
• INDICAZIONE DEL TRATTAMENTO E DESCRIZIONE
RIASSUNTIVA DEL CONTESTO
• Indicare sinteticamente il contesto in cui il trattamento è
effettuato, descrivendo anche, con linguaggio chiaro e
comunicativo, le caratteristiche principali del trattamento e del 35
flusso informativo
Il regolamento dei dati sensibili
• FINALITÁ DI RILEVANTE INTERESSE
PUBBLICO PERSEGUITE
• Indicare le finalità di rilevante interesse
pubblico specificamente indicate dal Codice o
da una norma di legge e il relativo riferimento
normativo.
FONTE NORMATIVA
• Indicare, se possibile, le fonti normative
sull'attività istituzionale cui il trattamento è
collegato.
36
Il regolamento dei dati sensibili
•
•
•
•
•
TIPI DI DATI TRATTATI
(barrare le caselle corrispondenti)
origine
□ razziale □ etnica
convinzioni
□ religiose □ filosofiche □ d'altro
genere
• convinzioni
□ politiche □ sindacali
• stato di salute □ patologie attuali □ patologie
pregresse
□ terapie in corso □ anamnesi
familiare
• vita sessuale □
• dati di carattere giudiziario (art. 4, comma1, lett. e),
del Codice)□
37
Il regolamento dei dati sensibili
•
•
•
OPERAZIONI ESEGUITE
(barrare le caselle corrispondenti)
Particolari forme di trattamento
Interconnessioni e raffronti di dati:
–
–
•
•
•
•
con altre informazioni o banche dati dello stesso soggetto pubblico (specificare quali
ed indicarne i motivi): ...........................................
con altri soggetti pubblici o privati (specificare quali ed indicare la base normativa):
...........................................
Trattamento automatizzato volto a definire il profilo o la personalità
dell'interessato ai fini dell'adozione di un provvedimento amministrativo o
giudiziario (specificare quali ed indicarne i motivi o la base normativa):
...........................................
Comunicazione ai seguenti soggetti per le seguenti finalità (indicare l'eventuale
base normativa):
...........................................
Diffusione (specificare l'ambito ed indicare l'eventuale base normativa):
...........................................
Altre operazioni (indicare eventuali altre operazioni effettuate sui dati, diverse da
quelle sopra indicate):
...........................................
38
Il regolamento dei dati sensibili
• Altre tipologie più ricorrenti di trattamento
• Raccolta:
□ presso gli interessati □ presso
terzi
• Elaborazione: □ in forma cartacea
□ con
modalità informatizzate
• Altre operazioni indispensabili rispetto alla finalità del
trattamento e diverse da quelle "ordinarie" quali la
registrazione, la conservazione, la cancellazione o il
blocco nei casi previsti dalla legge (specificare):
...........................................
39
Nomina del coordinatore per il diritto
di accesso ai dati
•
•
•
•
•
•
•
•
•
•
Art. 13. Legge 675/1996 (Diritti dell'interessato).
1. In relazione al trattamento di dati personali l'interessato ha diritto:
a) di conoscere, mediante accesso gratuito al registro di cui all'articolo 31,
comma 1, lettera a), l'esistenza di trattamenti di dati che possono riguardarlo.
Al Coordinatore del diritto di accesso sono attribuite le seguenti funzioni:
a) promuovere la sensibilizzazione dei Responsabili e gli incaricati del
trattamento dei dati, sia in via generale e preventiva sia su singola richiesta, sui
diritti di cui all’art. 13 della legge n.675/96;
b) collaborare con i singoli interessati alla redazione e compilazione delle istanze
per l’esercizio dei diritti medesimi;
c) smistare le singole istanze verso i Responsabili del trattamento dei dati
competenti ad ottemperare alle medesime;
d) individuare le singole misure ritenute opportune per agevolare l’accesso ai
dati personali da parte
dell’interessato, coordinandosi con i Responsabili del trattamento dei dati e il
Responsabile della sicurezza;
e) individuare e proporre le misure opportune per semplificare le modalità di
accesso e per ridurre i tempi di attesa, indicandole, laddove necessario, ai
Responsabile del trattamento dei dati e al Responsabile della sicurezza (delibera
RER)
40
La particolarità dei dati sanitari
41
I dati sanitari
Il Codice privacy fa oggetto di disciplina il
trattamento dei dati sanitari nel caso in
cui sia finalizzato alla tutela della
salute e solo se effettuato da specifici
titolari qualificati, i quali
istituzionalmente svolgono funzioni di
tutela della salute, ossia gli esercenti
delle professioni sanitarie e degli
organismi sanitari pubblici.
42
I dati sanitari
I dati sanitari, definizione normativa:
devono considerarsi dati sanitari ai fini del Codice tutti
quei dati dai quali possa desumersi o presumersi
uno stato patologico, sintomatico o cronico in
capo ad un determinato soggetto. Definizione MOLTO
AMPIA.
L’art. 76 disciplina il trattamento dei dati idonei a
rivelare lo stato di salute, specificando che tale
trattamento deve avvenire per finalità di tutela
della salute dell’interessato, di terzi e della
collettività.
43
I dati sanitari
• Ne consegue che:
se il trattamento non è a fini di tutela della
salute, ma per esempio a fini di ricerca o
scientifici non si applicano in toto le norme
sui dati sanitari.
Se il trattamento viene effettuato NON da
esercenti professioni sanitarie o NON da
organismi sanitari non si applica la disciplina
ad hoc.
44
L’ambito applicativo
45
Esercenti professioni sanitarie
• Si ritiene che debbano qualificarsi come “esercenti
professioni sanitarie” coloro che svolgono la loro
attività a stretto contatto con il paziente e che la
esercitano sulla base di un titolo, in qualsiasi forma
rilasciato dalla pubblica autorità a fini abilitativi, quali:
medici chirurgi, odontoiatri, farmacisti, ostetrici,
assistenti sanitari, infermieri professionali, vigilatori
d’infanzia, terapisti della rianimazione, tecnici sanitari
di radiologia medica, tecnici di immunologia e
trasfusione, tecnici di igiene ambientale, igienisti
dentali, podologi, audiometristi, massofisioterapisti,
tecnici della riabilitazione funzionale, tecnici di
laboratorio, dietisti.
46
Organismi sanitari pubblici
• Per quanto concerne gli “organismi sanitari
pubblici” deve ritenersi che rientrino in tale
definizione le strutture sanitarie individuate
dalla legge 23 dicembre 1978 n. 833 e
successive modifiche.
• Si tratta di: Aziende Sanitarie Locali, Aziende
ospedaliere, istituti di ricerca e cura a
carattere scientifico, farmacie pubbliche,
ambulatori destinati a fornire prestazioni
sanitarie mediche e chirurgiche, enti di ricerca
e sperimentazione, residenze sanitarie e
assistenziali.
47
Gli OSSS
Legge Regionale 16 agosto 2001, n. 20. B.U.R. n.
75/2001.
Art. 1 - Figura professionale e profilo.
È individuata la figura professionale dell’operatore sociosanitario.
L’operatore socio-sanitario è l’operatore che, a seguito
dell’attestato di qualifica conseguito al termine di
specifica formazione professionale, svolge attività
indirizzata a:
soddisfare i bisogni primari della persona, nell’ambito
delle proprie aree di competenza, in un contesto sia
sociale che sanitario;
favorire il benessere e l’autonomia dell’utente.
48
Gli OSSS
In sostituzione e appoggio dei familiari e su indicazione del personale preposto è in grado di:
aiutare per la corretta assunzione dei farmaci prescritti e per il corretto utilizzo di apparecchi
medicali di semplice uso;
aiutare nella preparazione alle prestazioni sanitarie;
osservare, riconoscere e riferire alcuni dei più comuni sintomi di allarme che l’utente può
presentare (pallore, sudorazione, ecc…);
attuare interventi di primo soccorso;
effettuare piccole medicazioni o cambio delle stesse ed effettuare iniezioni intramuscolari;
controllare e assistere la somministrazione delle diete;
aiutare nelle attività di animazione e che favoriscono la socializzazione, il recupero e il
mantenimento di capacità cognitive e manuali;
collaborare a educare al movimento e favorire movimenti di mobilizzazione semplici su singoli e
gruppi;
provvedere al trasporto di utenti, anche allettati, in barella-carrozzella;
collaborare alla composizione della salma e provvedere al suo trasferimento;
utilizzare specifici protocolli per mantenere la sicurezza dell’utente, riducendo al massimo il
rischio;
svolgere attività di informazione sui servizi del territorio e curare il disbrigo di pratiche
burocratiche;
accompagnare l’utente per l’accesso ai servizi.
49
I dati sanitari
L’art. 76 disciplina il trattamento dei dati idonei a
rivelare lo stato di salute, specificando che tale
trattamento deve avvenire per finalità di
tutela della salute dell’interessato, di terzi
e della collettività.
• Ne consegue che:
• se il trattamento non è a fini di tutela
della salute, ma per esempio a fini di
ricerca o scientifici non si applicano in
toto le norme sui dati sanitari.
50
Il consenso
• Gli esercenti le professioni sanitarie e gli organismi
sanitari pubblici, anche nell'ambito di un'attivita' di
rilevante interesse pubblico ai sensi dell'articolo 85,
trattano i dati personali idonei a rivelare lo stato di
salute:
a) con il consenso dell'interessato e anche
senza l'autorizzazione del Garante, se il
trattamento riguarda dati e operazioni indispensabili
per perseguire una finalita' di tutela della salute o
dell'incolumita' fisica dell'interessato;
b) anche senza il consenso dell'interessato e
previa autorizzazione del Garante, se la finalita'
di cui alla lettera a) riguarda un terzo o la collettivita'.
51
Il consenso informato
Il consenso deve essere un
consenso informato
52
Art. 13 Informativa
•
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a) le finalita' e le modalita' del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualita' di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel
territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare
ha designato piu' responsabili e' indicato almeno uno di essi, indicando il sito della
rete di comunicazione o le modalita' attraverso le quali e' conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un
responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui
all'articolo 7, e' indicato tale responsabile.
53
Art. 13 Informativa
•
3. Il Garante puo' individuare con proprio provvedimento modalita' semplificate
per l'informativa fornita in particolare da servizi telefonici di assistenza e
informazione al pubblico.
•
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al
comma 1, comprensiva delle categorie di dati trattati, e' data al medesimo
interessato all'atto della registrazione dei dati o, quando e' prevista la loro
comunicazione, non oltre la prima comunicazione.
•
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui
alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali
finalita' e per il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Garante,
prescrivendo eventuali misure appropriate. dichiari manifestamente
sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante,
54
impossibile.
L’informativa in ambito sanitario
• L’informativa dovrà essere resa in forma chiara,
evidenziando gli elementi di cui all’art. 13. Essa
dovrà essere resa preferibilmente per iscritto,
anche con carte tascabili con eventuali
pieghevoli.
• L’informativa dovrà contenere l’analitica
indicazione dei trattamenti effettuabili per scopi
scientifici, ovvero mediante l’uso delle moderne
tecnologie, ivi comprese telemedicina e
teleassistenza, nonché per fornire beni o servizi
mediante rete telematica, al fine di notiziare
l’interessato dei trattamenti che più di altri
presentano rischi per i diritti e le libertà
fondamentali.
55
La comunicazione dei dati sanitari
Per gli organismi sanitari pubblici l’art. 76 prevede che il
trattamento avviene "con il consenso dell'interessato
e anche senza l'autorizzazione del Garante, se il
trattamento riguarda dati e operazioni indispensabili
per perseguire una finalità di tutela della salute o
dell'incolumità fisica dell'interessato".
Per esempio se la ASL (organismo sanitario pubblico)
nel consenso specificamente acquisito dall'interessato
precisa che i dati sanitari possono essere comunicati
ad altro soggetto pubblico o anche privato (es. casa
di riposo privata), il trasferimento dei dati
sanitari è legittimo.
56
Le modalità semplificate
57
Le modalità semplificate
• Per i dati sanitari sono previste modalità semplificate di rilascio
dell’informativa e del consenso.
• L’informativa del medico di medicina generale o del pediatra
può riferirsi:
• a) al complessivo trattamento di dati personali necessario per
l’attività di prevenzione, diagnosi, cura e riabilitazione svolte
dal medico o dal pediatra,
• b) al trattamento di dati correlato a quello effettuato dal medico di
•
•
•
•
medicina generale o dal pediatra di libera scelta, effettuato da un
professionista o da un altro soggetto che:
sostituisce temporaneamente il medico o il pediatra,
fornisce una prestazione specialistica su richiesta del medico o del
pediatra,
tratta i dati nell’ambito di un’attività professionale prestata in forma
associata,
fornisce i farmaci prescritti.
58
Unicità dell’informativa
In tal modo il cittadino che richieda
le prestazioni del Servizio Sanitario
Nazionale, rivolgendosi al MMG o al
pediatra di libera scelta riceve
un’unica informativa che copre
anche tutti i trattamenti correlati,
eliminando così la necessità di
fornire ogni volta una nuova
informativa.
59
L’informativa resa da organismi
sanitari
• Per quanto concerne l’informativa resa da organismi
sanitari essa può essere resa in forma unica per:
• a) una pluralità di trattamenti effettuati anche il
luoghi territorialmente differenti oltre che in
settori, reparti ed altre articolazioni operative di
una stessa struttura sanitaria, ma queste andranno
specificamente indicate nell’informativa;
• b) avere ad oggetto una pluralità di trattamenti
effettuati anche a fini amministrativi e addirittura
in tempi diversi. A questo fine, l’informativa e il
consenso dovranno essere annotati
dall’organismo o dalle strutture con modalità
omogenee e coordinate e tali da permetterne la verifica
da parte degli altri reparti o unità che trattano i dati
dell’interessato anche in tempi diversi.
60
Consenso semplificato
• Per quanto concerne le modalità semplificate di
raccolta del consenso dell’interessato, il consenso può
essere prestato un’unica volta anche per più
trattamenti.
• Il consenso può essere manifestato in un’unica
dichiarazione e può essere reso oralmente, con
deroga espressa alla regola generale che, per i dati
sensibili, richiede la forma scritta ad substantiam.
L’art. 81 infatti consente l’espressione orale del
consenso
purché
venga
annotato
dall’esercente la professione sanitaria o
dall’organismo sanitario.
61
Trattamento dati sensibili non sanitari
• Laddove
l’organismo
sanitario
debba
procedere al trattamento di dati sensibili
diversi dai dati sanitari, è tenuto al rispetto
delle condizioni di cui all’art. 20 del Codice.
• Ai sensi dell’art. 20 il trattamento dei dati
sensibili da parte di soggetti pubblici e'
consentito solo se autorizzato da
espressa disposizione di legge nella quale
sono specificati i tipi di dati che possono
essere trattati e di operazioni eseguibili e le
finalità di rilevante interesse pubblico
perseguite.
62
Trattamento di dati sensibili non
sanitari
• Nei casi in cui la disposizione di legge
specifichi le finalità di rilevante interesse
pubblico, ma non i tipi di dati sensibili trattati
e le operazioni eseguibili, il trattamento è
consentito solo in riferimento ai tipi di dati e
di operazioni identificati e resi pubblici dai
soggetti che effettuano il trattamento in
relazione alle specifiche finalità perseguite
nei singoli casi con atto di natura
regolamentare.
63
Adempimenti AUSL
Le Ausl provvedono mediante inserimento
di apposite schede nel Regolamento dei
dati sensibili della Regione
64
Trattamento di dati sensibili non
sanitari
Tuttavia, se il trattamento non e' previsto
espressamente da una disposizione di legge i
soggetti pubblici possono richiedere al
Garante l'individuazione delle attività,
tra quelle demandate ai medesimi
soggetti dalla legge, che perseguono
finalità di rilevante interesse pubblico e
per le quali e' conseguentemente
autorizzato, ai sensi dell'articolo 26,
comma 2, il trattamento dei dati
sensibili (art. 20 comma 3).
65
Il consenso degli incapaci
• Per quanto concerne il consenso degli incapaci e i
casi di emergenza sanitaria, con il nuovo Codice il
consenso diventa un atto che, seppure in
particolari circostanze, può essere prestato da
terzi.
• Infatti, se il trattamento sia necessario per la
salvaguardia della vita o dell’incolumità fisica
dell’interessato e questi non possa prestare il
proprio consenso per impossibilità fisica,
incapacità d’agire o incapacità di intendere e di
volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo
congiunto, da un familiare, da un convivente o, in
loro assenza, dal responsabile della struttura
presso cui dimora l’interessato (art. 24 comma 1
lett. e).
66
Il consenso degli incapaci
Qualora l’assistito sia capace di intendere e di
volere, ma non in grado di firmare, il
consenso potrà essere espresso oralmente e
annotato dall’esercente la professione sanitaria.
Il consenso dovrà essere espresso mediante
firma di familiari, esercenti la potestà, prossimi
congiunti, conviventi o responsabile della struttura
solo se l’assistito sia incapace di intendere e
di volere.
Nella pratica si tende ad affidarsi il meno
possibile
a
questa
modalità
di
manifestazione del consenso in quanto è
impegnativo
dimostrare
in
giudizio
l’incapacità di intendere e volere qualora il
67
soggetto non sia interdetto o inabilitato.
L’emergenza sanitaria
• Le situazioni di emergenza sanitaria sono
regolamentate dall’art. 82 del Codice, che
prevede la possibilità per i titolari qualificati di
procedere al trattamento senza il consenso
dell’interessato o di terzi abilitati, salvo poi
l’obbligo di procurarselo una volta cessate le
ragioni di urgenza.
• Tale norma è stata introdotta in ragione del fatto che
in ambito sanitario ci si trova spesso nella necessità
di dover trattare dati sanitari senza che
materialmente o giuridicamente sia possibile
acquisire il consenso dell’interessato.
68
Comunicazioni sanitarie al
paziente
I dati personali idonei a rivelare lo stato di
salute possono essere resi noti
all’interessato da parte di esercenti le
professioni sanitarie o di organismi
sanitari solo per il tramite di un
medico designato dall’interessato o
dal titolare dei dati.
69
Comunicazioni sanitarie ai parenti
• Gli stessi dati possono essere comunicati a
soggetti diversi dall’interessato, quali
esercenti la potestà, prossimi congiunti,
familiari, convivente, responsabile della
struttura sanitaria solo se autorizzati
dall’interessato o se questi non possa
autorizzarli per impossibilità fisica,
incapacità d’agire, incapacità
d’intendere e di volere.
70
Comunicazioni a seguito di
autorizzazione
• I dati personali aventi contenuto sanitario
possono eccezionalmente essere comunicati
da soggetti che non sono il medico
designato dall’interessato o dal titolare solo
se il responsabile o il titolare dei dati
abbiano autorizzato per iscritto gli
esercenti le professioni sanitarie diversi
dai medici, che intrattengano rapporti
diretti con i pazienti, alla
comunicazione.
• Si ribadisce che l’atto di incarico deve avere la
forma scritta.
71
Il familiare di riferimento
In relazione agli aspetti privacy, è necessario
chiarire se per “familiare di riferimento” si
intenda:
- il familiare che ha espresso il consenso
al trattamento dei dati sanitari
dell’assistito in quanto questi è incapace
di intendere e volere etc;
- e/o il familiare che è abilitato a ricevere
le comunicazioni inerenti alla salute
dell’assistito a seguito di apposita
autorizzazione da parte dello stesso
assistito o per incapacità.
72
Informazioni relative ai familiari
di riferimento
In relazione ai familiari di riferimento o
più genericamente ai soggetti di
interesse è necessario che venga
rispettato il principio di pertinenza nel
trattamento!
73
Gli aspetti tecnici
74
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
Interconnessione e comunicazione
75
L’interconnessione delle banche dati
pubbliche
Ex art. 50 del Codice delle Amministrazioni Digitali:
"I dati delle Pubbliche Amministrazioni sono formati,
raccolti, conservati, resi disponibili e accessibili
con l'uso delle tecnologie dell'informazione e
della comunicazione che ne consentano la
fruizione e riutilizzazione, alle condizioni fissate
dall'ordinamento, da parte delle altre pubbliche
amministrazioni e dai privati; restano salvi i limiti
alla conoscibilità dei dati previsti dalle leggi e dai
regolamenti e le norme in materia di protezione dei
dati personali“.
76
L’interconnessione delle banche dati
pubbliche
Art. 50 del Codice delle Amministrazioni Digitali
"Qualunque
dato trattato da una pubblica
amministrazione, (…) nel rispetto della
normativa in materia di protezione dei dati
personali, e' reso accessibile e fruibile
alle altre amministrazioni quando
l'utilizzazione del dato sia necessaria
per lo svolgimento dei compiti
istituzionali dell'amministrazione"
77
Interconnessione banche dati
pubbliche
Il Testo Unico sulla documentazione amministrativa
(DPR 445/00) già stabiliva in materia di procedimenti
amministrativi:
Art. 43 comma 4: Al fine di agevolare l'acquisizione
d'ufficio di informazioni e dati relativi a stati, qualita'
personali e fatti, contenuti in albi, elenchi o pubblici
registri, le amministrazioni certificanti sono tenute a
consentire alle amministrazioni procedenti,
senza oneri, la consultazione per via
telematica dei loro archivi informatici, nel
rispetto della riservatezza dei dati personali
78
La comunicazione dei dati tra enti
secondo il Codice privacy
Cos’è la comunicazione dei dati secondo il
Codice privacy:
per “comunicazione” si intende “il dare
conoscenza dei dati personali a uno o più
soggetti determinati diversi dall'interessato,
dal rappresentante del titolare nel territorio
dello Stato, dal responsabile e dagli incaricati,
in qualunque forma, anche mediante la loro
messa a disposizione o consultazione”
79
La comunicazione dei dati tra enti
Ente pubblico
Ente pubblico
Ente pubblico
Ente pubblico
80
La comunicazione dei dati tra enti
Ex art. 19 Codice privacy: "La comunicazione da
parte di un soggetto pubblico ad altri soggetti
pubblici è ammessa quando è prevista da una
norma di legge o di regolamento.
In mancanza di tale norma (di legge o di
regolamento) la comunicazione è ammessa
quando è comunque necessaria per lo
svolgimento di funzioni istituzionali (...)"
81
La comunicazione dei dati tra enti
La comunicazione al Garante:
ai sensi dello stesso secondo comma dell’art. 19 “la
comunicazione (tra enti) può essere iniziata se e'
decorso il termine di cui all'articolo 39, comma 2”:
cioè se non c’è una norma di legge o di regolamento
che prevede la comunicazione, l’art. 39 stabilisce un
obbligo di comunicazione al Garante da parte
del titolare dei dati , tale per cui il successivo
trattamento non può essere iniziato se non
dopo quarantacinque giorni dal ricevimento
della comunicazione da parte del Garante.
82
La comunicazione dei dati sanitari
Per gli organismi sanitari pubblici c'è l’art. 76 che
prevede che il trattamento avviene "con il consenso
dell'interessato e anche senza l'autorizzazione del
Garante, se il trattamento riguarda dati e operazioni
indispensabili per perseguire una finalità di tutela
della salute o dell'incolumità fisica dell'interessato".
Per esempio se la ASL (organismo sanitario pubblico)
nel consenso specificamente acquisito dall'interessato
precisa che i dati sanitari possono essere comunicati
ad altro soggetto pubblico o anche privato (es. casa
di riposo privata), il trasferimento dei dati
sanitari è legittimo.
83
La comunicazione dei dati sensibili
Per quanto riguarda la comunicazione dei
dati sensibili una parte della dottrina
ritiene che la comunicazione al Garante
prevista per la comunicazione dei dati
comuni non sia necessaria, ma che la
comunicazione possa avvenire (previa
informativa all’interessato) qualora ci si
conformi agli artt. 20 e 21 (si veda
oltre).
84
L’interconnessione
L’ “interconnessione” ad avviso
dell’Autorità Garante si realizza quando
“vi sono due distinti database di due
diversi titolari e ciascuno dei titolari può
accedere, leggere e modificare i dati”
85
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
La questione dati anagrafici
86
Interconnessione banche dati
pubbliche
Legge 127/1997, art. 2 comma 5
In merito ai dati anagrafici
I comuni favoriscono, per mezzo di intese o
convenzioni, la trasmissione di dati o
documenti tra gli archivi anagrafici e dello
stato civile, le altre pubbliche amministrazioni,
nonchè i gestori o esercenti di pubblici servizi,
garantendo il diritto alla riservatezza delle persone.
La trasmissione di dati può avvenire anche
attraverso sistemi informatici e telematici.
87
La specialità della funzione
anagrafica
• Il Regolamento anagrafico della popolazione prevede
che l'ufficiale anagrafico sia il solo autorizzato ad
effettuare direttamente visure anagrafiche e
autorizza solamente quest’ultimo
all’estrazione di certificati anagrafici.
• Art. 37, Divieto di consultazione delle schede
anagrafiche: “E’ vietato alle persone estranee
all’ufficio di anagrafe l’accesso all’ufficio
stesso e quindi la consultazione diretta degli atti
anagrafici”.
88
La specialità della funzione
anagrafica
Il servizio implementato non potrà consentire al
cittadino nè ad altri operatori che non
siano l'ufficiale dell'anagrafe l’accesso e
la diretta visualizzazione dei dati
contenuti nella banca di dati anagrafica,
salvo modifica della norma o sua
interpretazione autentica da parte del
Ministero dell’Interno e del Garante per la
riservatezza dei dati personali.
89
La specialità della funzione
anagrafica
Art. 34 DPR 223/89: Rilascio di elenchi degli
iscritti nell'anagrafe della popolazione
residente e di dati anagrafici per fini statistici
e di ricerca.
1. Alle amministrazioni pubbliche che ne
facciano motivata richiesta, per esclusivo
uso di pubblica utilità, l'ufficiale di
anagrafe rilascia, anche
periodicamente, elenchi degli iscritti
nella anagrafe della popolazione
residente
90
La specialità della funzione
anagrafica
Newsletter Garante luglio 2000
Secondo il Garante privacy "in base alle norme statali
che regolano in modo uniforme la materia a livello
nazionale, la gestione delle banche dati
anagrafiche è riservata in via esclusiva ai
Comuni mentre le altre amministrazioni pur
potendo accedere nei casi previsti dalla legge a
determinate categorie di dati, non sono
certamente autorizzate a prelevare
indiscriminatamente le informazioni in esse
contenute e tanto meno a procedere alla
formazione di veri e propri archivi paralleli".
91
La specialità della funzione
anagrafica
Newsletter Garante luglio 2000
L'interscambio telematico, osserva l'Autorità, che
determini la creazione di un collegamento fra basi di
dati di tipo anagrafico che restano comunque nella
disponibilità dei Comuni interessati è invece ammesso.
Le altre amministrazioni connesse al sistema non
partecipano, infatti, alla diretta gestione degli archivi
ma vi possono accedere in tempo reale, pur sempre nel
rispetto delle disposizioni fissate dalla legislazione
anagrafica.
Ogni informatizzazione dei servizi demografici o connessione a
banche dati a contenuto anagrafico dovrà pertanto essere
configurata con particolare cura.
92
La specialità della funzione
anagrafica
Garante per la protezione dei dati personali
Roma, lì 22 marzo 2000
L’art. 2 legge 127 /1997 non consente connessioni
dirette di altre pubbliche amministrazioni, ma
permette piuttosto l’istituzione di collegamenti
informatici o telematici attraverso i quali possono
essere disponibili, su richiesta “la trasmissione o la
consultazione in rete di un documento o di un
certificato su supporto informatico, relativo ad
elenchi di iscritti all’anagrafe oppure a
specifiche attestazioni attinenti alla residenza
o allo stato di famiglia di singoli residenti”
93
La specialità della funzione
anagrafica
Garante per la protezione dei dati personali
Roma, lì 22 marzo 2000
La legge n. 127/1997 non ha innovato la
disciplina anagrafica, ma ha previsto la
possibilità che i flussi di comunicazioni
anagrafiche possano essere favoriti e
regolati per aspetti di dettaglio da uno
strumento flessibile quale quello delle
convenzioni, le quali, però, non possono
superare i limiti previsti dalla normativa
in materia.
94
La specialità della funzione
anagrafica
Garante, Comunicato stampa - 3 aprile
2000
Non paiono quindi idonee né una libera
consultazione diretta delle anagrafi (attraverso
interrogazioni individuali o di massa di ogni
qualsivoglia dato contenuto negli archivi) né,
tantomeno, una loro indifferenziata
interconnessione con le banche dati dei
soggetti convenzionati. Tali modalità si porrebbero
in netto contrasto con la vigente disciplina in materia
di anagrafi, dando vita ad una nuova forma di
gestione e di accesso agli atti anagrafici che potrebbe
essere invece introdotta solo da apposite norme
modificative.
95
La specialità della funzione
anagrafica
Circolare Ministero dell'Interno 21/1/1988
"Senza voler escludere una forma di collaborazione
tra amministrazioni pubbliche è intuitivo che la stessa
non può andare al di là di una fornitura,
ragionevolmente cadenzata, di dati ma non
oltre”.
Il che non nega comunque la possibilità di
effettuare tale fornitura e di consentirne
l'aggiornamento.
96
La comunicazione alle ASL
Garante per la protezione
dei dati personali
Comunicato stampa del 2.11.98
Non vi sono ostacoli alla trasmissione di dati anagrafici alle
Aziende Sanitarie Locali
Il Garante ha dato risposta pienamente positiva alla richiesta
di sapere se gli ufficiali delle anagrafi comunali possano
trasmettere alla locale azienda sanitaria gli elenchi anagrafici
per poter far svolgere ricerche epidemiologiche.
La legge sulla riservatezza, infatti, prevede che i soggetti pubblici
possano effettuare il trasferimento di dati ad altre amministrazioni
pubbliche quando ciò è previsto dalle norme vigenti. Tali norme sono
contenute nell' ordinamento anagrafico che prevede appunto la
possibilità per l' ufficiale dell' anagrafe di rilasciare, per l' esclusivo
uso di pubblica utilità, elenchi degli iscritti all' anagrafe alle
amministrazioni pubbliche che ne facciano motivata richiesta.
97
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
L’obbligo della cifratura
98
Perché è importante la qualificazione
giuridica del dato
Ai sensi dell’art. 22 comma 6 e 7:
“I dati sensibili e giudiziari contenuti in elenchi,
registri o banche di dati, tenuti con l'ausilio di
strumenti elettronici, sono trattati con
tecniche di cifratura o mediante l'utilizzazione
di codici identificativi o di altre soluzioni che,
considerato il numero e la natura dei dati trattati, li
rendono temporaneamente inintelligibili anche
a chi e' autorizzato ad accedervi e permettono
di identificare gli interessati solo in caso di
necessità”
99
Perché è importante la qualificazione
giuridica del dato
Comma 7
“I dati idonei a rivelare lo stato di salute e
la vita sessuale sono conservati
separatamente da altri dati personali
trattati per finalità che non richiedono il
loro utilizzo. I medesimi dati sono trattati
con le modalità di cui al comma 6 anche
quando sono tenuti in elenchi, registri o
banche di dati senza l'ausilio di
strumenti elettronici”.
100
Allegato B. Punto 24
24. Gli organismi sanitari e gli esercenti le
professioni sanitarie effettuano il
trattamento dei dati idonei a rivelare lo stato
di salute e la vita sessuale contenuti in
elenchi, registri o banche di dati con le
modalita' di cui all'articolo 22, comma 6, del
codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati
dagli altri dati personali che permettono
di identificare direttamente gli
interessati.
101
Una possibile soluzione: il Sistema MEDarchiver
102
Il Sistema MEDarchiver
Separazione fisica dei dati:
• i dati identificativi e i dati idonei a rivelare lo stato di
salute sono separati fisicamente a livello di database.
Ciò è implementato tramite la definizione di due
schemi differenti, uno per i dati identificativi, l’altro
per quelli clinici.
• Il matching tra i dati identificativi e quelli sensibili è
effettuato tramite il codice identificativo univoco del
paziente in modalità sicura.
Cifratura dei dati identificativi:
• I dati identificativi sono cifrati a livello di database
tramite tecniche avanzate di crittografia. Ciò consente
di mantenere anonimi i dati idonei a rilevare lo stato
di salute anche in caso di accessi non autorizzati al
database.
103
Il Sistema MEDarchiver
• Visualizzazione in forma inintelligibile
• L’interfaccia grafica del programma consente
la visualizzazione in forma anonima dei dati
idonei a rivelare lo stato di salute
dell’interessato al trattamento: i dati
identificativi sono visualizzati in forma cifrata
e risultano pertanto inintelligibili.
• In caso di necessità, l’applicazione consente
ai soli utenti autorizzati di visualizzare i dati
anagrafici in chiaro.
104
Il Sistema MEDarchiver
105
Il Sistema MEDarchiver
• Il primo di questi sistemi gestisce solamente dati identificativi
e fornisce ad ogni paziente un codice identificativo numerico
unico e non riutilizzabile per altri pazienti; il secondo ed il
terzo sistema attuano la gestione di dati sensibili anonimi, di
per sé non riconducibili al paziente se non tramite l’utilizzo del
codice identificativo numerico.
• Questi sistemi archiviano i file di dati su differenti porzioni del
Disk Array, separate fisicamente in quanto su dischi differenti.
• La struttura stessa della base di dati su cui si basa il sistema
prevede l’utilizzo della separazione fisica dei dati identificativi
da quelli sensibili. Ciò avviene tramite la definizione,
all’interno del database, di diversi schemi: uno schema per
l’anagrafica, uno schema per i dati HIS, uno schema per il
servizio Storage. I dati contenuti nei due schemi contenenti
dati clinici non hanno altro riferimento al paziente che il
codice identificativo, il quale funge da chiave di richiesta per
106
la riunificazione dei dati per la visualizzazione.
Il Sistema MEDarchiver
• La riunificazione dei dati clinici e di quelli
identificativi a formare il dato sensibile avviene
solamente sull’interfaccia dell’applicazione: il
matching tra i due tipi di dati è effettuato dal codice
identificativo del paziente (ID nel grafico).
• Per poter ricostruire i dati sensibili è necessario
sapere la posizione fisica dei dati ed accedervi
superando la procedura di accesso ai singoli schemi
tramite nome utente e password non noti agli
utenti: tale procedura è normalmente mascherata
dall’applicativo MEDarchiver che la effettua in
background una volta che l’utente ha superato la
procedura di autenticazione per l’accesso al
software.
107
Il Sistema MEDarchiver
108
Il Sistema MEDarchiver
• Noto che sia il codice identificativo del
paziente, l’applicativo effettua contemporanea
richiesta (frecce blu) allo schema di
anagrafica ed allo schema HIS o Storage per
ottenere, rispettivamente, i dati identificativi
ed i dati clinici del paziente (frecce verdi).
• L’applicativo poi, tramite il codice
identificativo del paziente, unisce i dati
solamente a livello visivo nell’interfaccia
grafica, rendendo i dati sensibili intelligibili
all’utente.
109
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
Le misure di sicurezza
110
Misure minime di sicurezza
•
•
•
•
•
CAPO II
MISURE MINIME DI SICUREZZA
Art. 33
(Misure minime)
1. Nel quadro dei piu' generali obblighi di sicurezza (…), i titolari del
trattamento sono comunque tenuti ad adottare le misure minime
individuate nel presente capo (…), volte ad assicurare un livello
minimo di protezione dei dati personali.
Art. 34
(Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti elettronici
e' consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici;
111
Misure minime di sicurezza
• e) protezione degli strumenti elettronici e dei
dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati
programmi informatici;
f) adozione di procedure per la custodia di
copie di sicurezza, il ripristino della
disponibilita' dei dati e dei sistemi;
g) tenuta di un aggiornato documento
programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita
sessuale effettuati da organismi sanitari.
112
Misure minime di sicurezza
Art. 35
(Trattamenti senza l'ausilio di strumenti elettronici)
1. Il trattamento di dati personali effettuato senza l'ausilio di
strumenti elettronici e' consentito solo se sono adottate, nei
modi previsti dal disciplinare tecnico contenuto nell'allegato B),
le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati o alle unita'
organizzative;
b) previsione di procedure per un'idonea custodia di atti e
documenti affidati agli incaricati per lo svolgimento dei relativi
compiti;
c) previsione di procedure per la conservazione di determinati
atti in archivi ad accesso selezionato e disciplina delle modalita'
di accesso finalizzata all'identificazione degli incaricati.
113
Misure minime di sicurezza
ALLEGATO B
DISCIPLINARE TECNICO IN MATERIA DI
MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalita' tecniche da adottare a cura del
titolare, del responsabile ove designato e
dell'incaricato, in caso di trattamento con
strumenti elettronici:
114
Misure minime di sicurezza
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici e'
consentito agli incaricati dotati di credenziali di
autenticazione che consentano il superamento di una
procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice
per l'identificazione dell'incaricato associato a una
parola chiave riservata conosciuta solamente dal medesimo
oppure in un dispositivo di autenticazione in possesso e uso
esclusivo dell'incaricato, eventualmente associato a un codice
identificativo o a una parola chiave, oppure in una caratteristica
biometrica dell'incaricato, eventualmente associata a un codice
identificativo o a una parola chiave.
115
Misure minime di sicurezza
3. Ad ogni incaricato sono assegnate o associate individualmente
una o piu' credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati e' prescritto di adottare
le necessarie cautele per assicurare la segretezza della
componente riservata della credenziale e la diligente custodia
dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando e' prevista dal sistema di
autenticazione, e' composta da almeno otto caratteri oppure,
nel caso in cui lo strumento elettronico non lo permetta, da un
numero di caratteri pari al massimo consentito; essa non
contiene riferimenti agevolmente riconducibili all'incaricato ed e'
modificata da quest'ultimo al primo utilizzo e, successivamente,
almeno ogni sei mesi. In caso di trattamento di dati sensibili e di
dati giudiziari la parola chiave e' modificata almeno ogni tre
mesi.
116
Misure minime di sicurezza
6. Il codice per l'identificazione, laddove
utilizzato, non puo' essere assegnato ad altri
incaricati, neppure in tempi diversi.
9. Sono impartite istruzioni agli incaricati per
non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di
trattamento.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati
profili di autorizzazione di ambito diverso e'
utilizzato un sistema di autorizzazione.
117
Misure minime di sicurezza
13. I profili di autorizzazione, per ciascun
incaricato o per classi omogenee di incaricati,
sono individuati e configurati anteriormente
all'inizio del trattamento, in modo da
limitare l'accesso ai soli dati necessari per
effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno
annualmente, e' verificata la
sussistenza delle condizioni per la
conservazione dei profili di
autorizzazione.
118
Misure minime di sicurezza
Altre misure di sicurezza
16. I dati personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale (software antivirus).
17. Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilita' di
strumenti elettronici e a correggerne difetti sono
effettuati almeno annualmente. In caso di trattamento
di dati sensibili o giudiziari l'aggiornamento e' almeno
semestrale.
18. Sono impartite istruzioni organizzative e tecniche che
prevedono il salvataggio dei dati con frequenza almeno
settimanale.
119
Il documento programmatico di
sicurezza
• Documento programmatico sulla sicurezza
(finora la sua adozione è stata prorogata)
• 19. Entro il 31 marzo di ogni anno, il titolare di un
trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato,
un documento programmatico sulla sicurezza
contenente idonee informazioni riguardo:
• 19.1. l'elenco dei trattamenti di dati personali;
• 19.2. la distribuzione dei compiti e delle
responsabilita' nell'ambito delle strutture preposte
al trattamento dei dati;
• 19.3. l'analisi dei rischi che incombono sui dati;
• 19.4. le misure da adottare per garantire l'integrita' e
la disponibilita' dei dati, nonche' la protezione delle 120
aree e dei locali, rilevanti ai fini della loro custodia e
Il documento programmatico di
sicurezza
• 19.5. la descrizione dei criteri e delle
modalita' per il ripristino della
disponibilita' dei dati in seguito a
distruzione o danneggiamento;
• 19.6. la previsione di interventi formativi
degli incaricati del trattamento, per
renderli edotti dei rischi che incombono sui
dati, delle misure disponibili per prevenire
eventi dannosi, dei profili della disciplina sulla
protezione dei dati personali piu' rilevanti (…).
121
Il documento programmatico di
sicurezza
• 19.7. la descrizione dei criteri da adottare per
garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati
personali affidati, in conformita' al codice,
all'esterno della struttura del titolare;
• 19.8. per i dati personali idonei a
rivelare lo stato di salute e la vita
sessuale, l'individuazione dei criteri da
adottare per la cifratura o per la
separazione di tali dati dagli altri dati
personali dell'interessato.
122
Misure per dati sensibili
• Ulteriori misure in caso di trattamento di dati sensibili o
giudiziari
• 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di
cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei
strumenti elettronici.
• 21. Sono impartite istruzioni organizzative e tecniche per la custodia e
l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di
evitare accessi non autorizzati e trattamenti non consentiti.
• 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere
riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi
dati, se le informazioni precedentemente in essi contenute non sono
intelligibili e tecnicamente in alcun modo ricostruibili.
• 23. Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o
degli strumenti elettronici, in tempi certi compatibili con i diritti
degli interessati e non superiori a sette giorni.
123
Misure per dati sensibili
• 24. Gli organismi sanitari e gli esercenti
le professioni sanitarie effettuano il
trattamento dei dati idonei a
rivelare lo stato di salute e la vita
sessuale contenuti in elenchi, registri o
banche di dati con le modalita' di cui
all'articolo 22, comma 6, del codice,
anche al fine di consentire il
trattamento disgiunto dei medesimi
dati dagli altri dati personali che
permettono di identificare
direttamente gli interessati.
124
Misure minime di sicurezza
• Sistema di autenticazione informatica
• 1. Il trattamento di dati personali con strumenti elettronici e'
consentito agli incaricati dotati di credenziali di
autenticazione che consentano il superamento di una
procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattamenti.
• 2. Le credenziali di autenticazione consistono in un
codice per l'identificazione dell'incaricato associato a
una parola chiave riservata conosciuta solamente dal
medesimo oppure in un dispositivo di autenticazione in possesso
e uso esclusivo dell'incaricato, eventualmente associato a un
codice identificativo o a una parola chiave, oppure in una
caratteristica biometrica dell'incaricato, eventualmente associata
a un codice identificativo o a una parola chiave.
125
Misure minime di sicurezza
• 3. Ad ogni incaricato sono assegnate o associate
individualmente una o piu' credenziali per l'autenticazione.
• 4. Con le istruzioni impartite agli incaricati e' prescritto di
adottare le necessarie cautele per assicurare la segretezza della
componente riservata della credenziale e la diligente custodia
dei dispositivi in possesso ed uso esclusivo dell'incaricato.
• 5. La parola chiave, quando e' prevista dal sistema di
autenticazione, e' composta da almeno otto caratteri oppure,
nel caso in cui lo strumento elettronico non lo permetta, da un
numero di caratteri pari al massimo consentito; essa non
contiene riferimenti agevolmente riconducibili all'incaricato ed e'
modificata da quest'ultimo al primo utilizzo e, successivamente,
almeno ogni sei mesi. In caso di trattamento di dati
sensibili e di dati giudiziari la parola chiave e' modificata
almeno ogni tre mesi.
126
Misure minime di sicurezza
• 6. Il codice per l'identificazione, laddove
utilizzato, non puo' essere assegnato ad altri
incaricati, neppure in tempi diversi.
• 9. Sono impartite istruzioni agli incaricati per
non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di
trattamento.
• Sistema di autorizzazione
• 12. Quando per gli incaricati sono individuati
profili di autorizzazione di ambito diverso e'
utilizzato un sistema di autorizzazione.
127
Misure minime di sicurezza
• 13. I profili di autorizzazione, per ciascun
incaricato o per classi omogenee di incaricati,
sono individuati e configurati
anteriormente all'inizio del trattamento,
in modo da limitare l'accesso ai soli dati
necessari per effettuare le operazioni di
trattamento.
• 14. Periodicamente, e comunque almeno
annualmente, e' verificata la sussistenza delle
condizioni per la conservazione dei profili di
autorizzazione.
128
Misure minime di sicurezza
• Altre misure di sicurezza
• 16. I dati personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale (software antivirus).
• 17. Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilita' di
strumenti elettronici e a correggerne difetti sono
effettuati almeno annualmente. In caso di trattamento
di dati sensibili o giudiziari l'aggiornamento e' almeno
semestrale.
• 18. Sono impartite istruzioni organizzative e tecniche che
prevedono il salvataggio dei dati con frequenza almeno
settimanale.
129
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
La questione delle cartelle
cliniche
130
Le cartelle cliniche
Le cartelle cliniche includono sia
informazioni sulle condizioni cliniche del
paziente connesse ai motivi del
ricovero, sia indicazioni sulle situazioni
pregresse, possono poi essere registrati
anche dati relativi ad altri soggetti, in
particolare nel caso delle anamnesi
familiari.
131
Le cartelle cliniche
Hanno valore probatorio di atto
pubblico (si veda, tra le altre, Cass.
Pen. Sezioni Unite 11 luglio 1992, n.
7958) in quanto “esplicazione di potere
certificativo e partecipi della natura
pubblica dell’attività sanitaria”
132
Le cartelle cliniche
Esse comportano la responsabilità del
pubblico ufficiale redigente, in particolare
le responsabilità penali di falsità
materiale e ideologica commessa da
pubblico ufficiale in atti pubblici.
133
Altri atti pubblici a contenuto medico
•
•
•
•
•
•
•
•
•
•
Hanno natura di atto pubblico anche:
a) referto clinico (Cass. Pen. 10609/82),
b) cartellini segnatempo ospedalieri (Cass. Pen. 9291/1996),
c) certificato sanitario medico USL (Cass. Pen. 2207/1995),
d) cartella clinica di casa di cura convenzionata (Cass. Pen.
7958/1992),
e) certificato di morte rilasciato dal sanitario delegato (Cass. Pen.
9073/1989),
f) certificato di sana e robusta costituzione (Cass. Pen. 9191/1982),
g) certificato di visita domiciliare redatto dal medico convenzionato
(Cass. Pen. 9417/1981),
h)certificato di gravidanza (Cass. Pen. 5118/1982),
i)atti redatti da una commissione medica incaricata di accertare lo stato
di invalidità civile (Cass. Pen. 1004/2000).
134
Le cartelle cliniche
Il nuovo Codice stabilisce che “nei casi in
cui gli organismi sanitari pubblici e
privati redigono e conservano una
cartella clinica (…) devono essere
adottati opportuni accorgimenti per
assicurare la comprensibilità dei dati
e per distinguere i dati concernenti
il paziente da quelli riguardanti
altri interessati (art. 92 comma 1)”.
135
Le cartelle cliniche
• L’obbligo che i dati del paziente siano distinti dagli
altri è evidentemente un tentativo del legislatore di
risolvere in via organizzativa il problema della
divulgazione delle informazioni non
riguardanti l’oggetto della richiesta.
• Tale necessità trova conferma in una pronuncia del
Garante secondo la quale l’amministrazione sanitaria,
una volta che abbia ritenuto sussistente il diritto
d’accesso alla documentazione contenente i dati
sanitari, dovrà effettuare un’accurata selezione
delle informazioni da rendere conoscibili ai
richiedenti.
136
Misure per il rispetto dei diritti
dell’interessato
137
Misure per il rispetto dei diritti
dell’interessato
• Art. 83
Altre misure per il rispetto dei diritti degli interessati
• 1.
I soggetti di cui agli articoli 78, 79 e 80 adottano
idonee misure per garantire, nell'organizzazione delle
prestazioni e dei servizi, il rispetto dei diritti, delle
libertà fondamentali e della dignità degli
interessati, nonché del segreto professionale,
fermo restando quanto previsto dalle leggi e dai
regolamenti in materia di modalità di trattamento dei
dati sensibili e di misure minime di sicurezza.
138
Art. 83
2. Le misure di cui al comma 1 comprendono, in particolare:
a. soluzioni volte a rispettare, in relazione a prestazioni sanitarie
o ad adempimenti amministrativi preceduti da un periodo di
attesa all'interno di strutture, un ordine di precedenza e di
chiamata
degli
interessati
prescindendo
dalla
loro
individuazione nominativa;
b. l'istituzione di appropriate distanze di cortesia, tenendo conto
dell'eventuale uso di apparati vocali o di barriere;
c. soluzioni tali da prevenire, durante colloqui, l'indebita conoscenza da
parte di terzi di informazioni idonee a rivelare lo stato di salute;
d. cautele volte ad evitare che le prestazioni sanitarie, ivi compresa
l'eventuale documentazione di anamnesi, avvenga in situazioni di
promiscuità derivanti dalle modalità o dai locali prescelti;
e. il rispetto della dignità dell'interessato in occasione della prestazione
medica e in ogni operazione di trattamento dei dati;
f. la previsione di opportuni accorgimenti volti ad assicurare che, ove
necessario, possa essere data correttamente notizia o conferma anche
telefonica, ai soli terzi legittimati, di una prestazione di pronto
soccorso;
139
Art. 83
g. la formale previsione, in conformità agli ordinamenti interni
delle strutture ospedaliere e territoriali, di adeguate modalità
per informare i terzi legittimati in occasione di visite sulla
dislocazione degli interessati nell'ambito dei reparti,
informandone previamente gli interessati e rispettando
eventuali loro contrarie manifestazioni legittime di volontà;
h. la messa in atto di procedure, anche di formazione del
personale, dirette a prevenire nei confronti di estranei
un'esplicita correlazione tra l'interessato e reparti o strutture,
indicativa dell'esistenza di un particolare stato di salute;
i. la sottoposizione degli incaricati che non sono tenuti per legge
al segreto professionale a regole di condotta analoghe al
segreto professionale.
140
Il provvedimento del Garante
• Al cittadino che entra in contatto con le strutture sanitarie per
diagnosi, cure, prestazioni mediche, operazioni amministrative
deve essere garantita la più assoluta riservatezza e il più ampio
rispetto dei suoi diritti fondamentali e della sua dignità.
Con un provvedimento generale adottato il 9 novembre 2005 il
Garante per la protezione dei dati personali ha prescritto ad
organismi sanitari pubblici e privati (aziende sanitarie
territoriali, aziende ospedaliere, case di cura, osservatori
epidemiologici regionali, servizi di prevenzione e sicurezza sul
lavoro) una serie di misure da adottare per adeguare il
funzionamento e l'organizzazione delle strutture sanitarie a
quanto stabilito nel Codice sulla privacy e per assicurare il
massimo livello di tutela delle persone.
141
Tutela della dignità
Tutela della dignità
La tutela della dignità della persona deve essere sempre
garantita. In particolare, riguardo a fasce deboli
(disabili, minori, anziani), ma anche a pazienti
sottoposti a trattamenti medici invasivi o per i quali è
doverosa una particolare attenzione (es. interruzione
della gravidanza). Nei reparti di rianimazione devono
essere adottati accorgimenti anche provvisori (es.
paraventi) per delimitare la visibilità dell'interessato,
durante l'orario di visita, ai soli familiari e conoscenti.
142
Riservatezza nei colloqui
Riservatezza nei colloqui
Quando prescrive medicine o rilascia certificati, il personale
sanitario deve evitare che le informazioni sulla salute
dell'interessato possano essere conosciute da terzi.
Stesso obbligo per la consegna di documentazione (analisi,
cartelle cliniche, prescrizioni etc.) quando questa
avvenga in situazioni di promiscuità (es.locali per più
prestazioni,
sportelli).
143
Distanze di cortesia
Ospedali e aziende sanitarie devono predisporre
distanze di cortesia per operazioni amministrative
allo sportello (prenotazioni) o al momento
dell'acquisizione di informazioni sullo stato di
salute, sensibilizzando anche gli utenti con
cartelli, segnali ed inviti.
144
Notizie al pronto soccorso
L'organismo sanitario può dare notizia,
anche per telefono, sul passaggio o sulla
presenza di una persona al pronto
soccorso, ma solo ai terzi legittimati,
come (parenti, familiari, conviventi).
L'interessato, se cosciente e capace, deve
essere
preventivamente
informato
(es.
all'accettazione) e poter decidere a quali
soggetti può essere comunicata la sua
presenza al pronto soccorso
145
Informazioni sullo stato di salute
Si possono dare informazioni sullo stato di salute a
soggetti diversi dall'interessato quando questi abbia
manifestato uno specifico consenso. Tale consenso può
essere dato da un familiare in caso di impossibilità
fisica o incapacità dell'interessato o, valutato il caso,
anche da altre persone legittimate a farlo, come
familiari, conviventi o persone in stretta relazione con
l'interessato stesso.
I soggetti terzi che hanno accesso alle strutture sanitarie (es.
associazioni di volontariato), per poter conoscere informazioni
sulle persone in relazione a prestazioni e cure devono
rispettare tutte le regole e le garanzie previste dalle
strutture sanitarie per il proprio personale, come ad
esempio vincoli di riservatezza, possibilità e modalità di
approccio
ai
degenti.
146
I codici di condotta
Art. 12 Codice privacy
Codici di deontologia e di buona condotta
1.
Il Garante promuove nell'ambito delle categorie
interessate,
nell'osservanza
del
principio
di
rappresentatività e tenendo conto dei criteri direttivi
delle raccomandazioni del Consiglio d'Europa sul
trattamento di dati personali, la sottoscrizione di
codici di deontologia e di buona condotta per
determinati settori, ne verifica la conformità alle
leggi e ai regolamenti anche attraverso l'esame di
osservazioni di soggetti interessati e contribuisce a
garantirne la diffusione e il rispetto.
147
Progetto
Integrated Care (I-Care)
Progetto di Ricerca e Sviluppo nell’ambito della
Iniziativa 1.1 del Piano Telematico
della Regione Emilia Romagna
(programma operativo 2002)
148
Obiettivi del Progetto
• Supportare le attività socio-assistenziali degli enti locali, in particolare
l’assistenza domiciliare;
• rafforzare ed integrare il sistema (sociale e sanitario) degli interventi
per sostenere i soggetti deboli :
– Anziani,
– pazienti dimessi dalle strutture ospedaliere con necessità di
assistenza,
– pazienti nella fase terminale,
– altri soggetti non autosufficienti.
• Tracciare le informazioni e i contenuti sensibili e non dell’area socio
assistenziale di riferimento al fine di migliorare:
– l’efficacia degli interventi degli operatori,
– la rendicontazione e il controllo delle attività.
• Realizzare una efficace rete di supporto ai servizi domiciliari,
• promuovere politiche di intervento per il miglioramento del benessere
dei cittadini,
• contribuire alla costituzione dell’ Osservatorio del Welfare Provinciale,
• rendere sinergiche Ospedalizzazione e Assistenza Domiciliare.
149
I partners
Cedaf (Gruppo Maggioli)
Gruppo Formula
Asl Forlì
Comune di Forlì
Provincia di Forlì/Cesena
Cirsfid Università Bologna
Polo scientifico didattico
Forlì Università Bologna
Direzione di progetto
Sviluppo Software
Supporto al Dispiegamento
Sviluppo Software
Supporto al Dispiegamento
Servizi Sanitari
Servizi Sociali
Osservatorio Welfare
Supporto progettuale e normativo
Supporto socio-organizzativo
150
Gli attori
Ospedale
Comune
Azienda USL
Assistito
Operatore
Provincia/Regione
Organizzazioni
Erogatrici
151
Architettura funzionale
S2I: sistema sociosanitario integrato
<<subsystem>>
Manager
<<subsystem>>
Integrator
<<system>>
Altri Sistemi
<<subsystem>>
Field
è realizzato mediante il
framework JUICE da cui deriva:
 indipendenza dal Sistema Operativo
(lato server)
 indipendenza dall’application server
scelto per il deploy dell’applicazione
(aderenza al 100% alle specifiche
J2ee)
 compatibilità con più piattaforme
RDBMS
 utilizzo di driver JDBC
 compatibilità con i browser più
diffusi (IE, Firefox, Netscape,
Mozilla)
vedi dettaglio
152
S2I - Manager
S2I Manager
Anagrafiche
Pratiche di
Assistenza
Data
WareHouse
Security
Manager
DSS
Information
Exchange
• Supporto alla gestione dei
servizi assistenziali sociosanitari (ricezione delle
richieste, valutazione,
concessione, consuntivazione
e verifica dei risultati);
• ricostruzione della storia
assistenziale dei cittadini;
• dataWareHouse e funzioni di
DSS (statistiche,
benchmarking, simulazioni,
ecc…);
• interoperabilità con le altre
applicazioni S2I e con i sistemi
esterni.
Sistemi Esterni
(S2I e non)
153
S2I - Field
S2I
•
<<subsystem>>
Manager
<<subsystem>>
Field
•
•
<<subsystem>>
Integrator
•
Programmazione e ottimizzazione
delle risorse e pianificazione degli
interventi di assistenza;
gestione degli eventi imprevisti
(alerts, escalation, etc.)
accesso on-call a informazioni
fornite da sistemi esterni relative
allo stato sociale e sanitario
dell’assistito;
utilizzo di tecnologie mobile quali
Tablet-PC, palmari, cellulari (avvisi
SMS).
<<system>>
Altri Sistemi
154
S2I - Integrator
S2I
<<subsystem>>
Manager
<<subsystem>>
Field
•
•
•
<<subsystem>>
Integrator
•
Integrator occupa delle
comunicazioni fra le applicazioni
Manager e Field e fra queste e le
applicazioni esterne integrabili;
risolve i problemi di security relativi
alle comunicazioni sopra citate;
utilizza i Web Services e
implementa le eventuali ulteriori
interfacce necessarie;
è basato sul MiddleWare di
integrazione Extend di Novell.
<<system>>
Altri Sistemi
155
Architettura funzionale: comunicazioni
CUP
Banca Dati Assistiti ASL
Dimissioni da Ospedale
Consuntivazione Assistenza Domiciliare
Anagrafica Comunale
Ricoveri e Pronto Soccorso
Manager
Integrator
Field
Referti
Quadro generale delle interconnessioni nella logica SOA
(Service Oriented Architecture) e di cooperazione applicativa
fra le componenti di S2I e fra esse e le applicazioni esterne.
156
1. Ambiti di intervento e loro tenuta alla
sperimentazione
2. Formazione privacy e sicurezza dei
dati
3. Profilazione
autorizzazioni
autenticazioni
e
4. Adempimenti normativi
5. Modulistica
157
Ambiti di intervento
• Le problematiche relative al trattamento dei dati
personali hanno permeato tutte le principali
relazioni individuate e affrontate nel progetto
• Relazioni Micro-micro
• Relazioni Micro-macro
• Relazioni Macro-macro
158
Relazioni micro-micro
•
•
•
•
•
•
•
•
Relazioni interpersonali (categoria micro-micro):
rapporti tra operatore sanitario e socio-assistenziale e paziente-assistito,
rapporti anziano - “caregivers” o altri parenti o conoscenti.
In quest’ambito si richiede una particolare sensibilità dell’operatore nel
trattamento dei dati personali dell’anziano,
il rispetto delle norme in materia,
la conformità a comportamenti deontologicamente corretti.
Si richiede anche, a seguito di apposita formazione, che l’operatore possa
“sorvegliare” che il trattamento delle informazioni dell’assistito avvenga in
maniera corretta e debitamente riservata anche nei rapporti con parenti e
conoscenti.
E’ INDISPENSABILE LA FASE FORMATIVA
159
Relazioni micro-macro
•
Relazioni fra persona ed Ente (categoria micro-macro):
•
Relazione cittadino-Ente: rapporti che il legislatore ha provveduto
•
Relazione operatore-Ente: la questione privacy ha principalmente informato
ampiamente a disciplinare, mediante la richiesta di una debita informazione
del cittadino interessato al trattamento dei suoi dati personali e della
raccolta del consenso del cittadino stesso in caso di trattamento di
particolari categorie di dati (i dati sanitari). Il legislatore ha prescritto la
predisposizione di apposita modulistica (modulo per l’informativa, modulo
per la raccolta del consenso).
tali rapporti con riguardo alla necessità di procedere ad una identificazione/
autenticazione informatica degli operatori e di effettuare le opportune
profilazioni autorizzatorie di accesso ai dati per i differenti operatori, in
rapporto alla loro funzione istituzionale.
160
Relazioni macro-macro
•
Relazioni fra Enti (categoria macro-macro):
•
l’aspetto di maggiore innovatività è consistito nella necessità di regolare in
conformità alle norme privacy lo scambio di flussi informativi tra Enti, nella
sua componente informatico-telematica.
Sia il legislatore che il Garante privacy sono sempre stati particolarmente
attenti al verificarsi di scambi informativi con modalità informatico
telematiche, in quanto più “pericolosi” in termini di privacy e maggiormente
suscettibili di abusi, errori, cattivi utilizzi dei dati, singolarmente trattati o a
seguito di trattamento incrociato.
•
161
Formazione privacy e sicurezza
•
La formazione in materia di privacy e di misure di sicurezza ha avuto grande
rilevanza ai fini della sperimentazione del sistema.
•
La formazione ha avuto quali principali scopi:
•
la sensibilizzazione degli operatori in relazione alle questioni attinenti alla
privacy, con particolare attenzione al trattamento dei dati sensibili e dei dati
sanitari;
la necessità di conformarsi ad adempimenti più specifici, con particolare
riguardo alle misure di sicurezza e alle fasi di autenticazione e
autorizzazione;
PIU’ SPECIFICAMENTE: le indicazioni legislative, giurisprudenziali e
dottrinarie a tutela della riservatezza e della privacy del paziente e
dell’assistito NEL CASO DELL’UTILIZZO dei nuovi e particolari strumenti
informatico-telematici consentiti dal sistema I-Care.
•
•
162
Formazione privacy e sicurezza
•
•
•
•
NORME GENERALI ED ASTRATTE: la disciplina codicistica attinente alla
materia (SPECIE CON RIFERIMENTO ALL’AMBITO SANITARIO) è
prevalentemente regolata mediante formule generali ed astratte,
e da indicazioni del legislatore e del Garante che possono essere usate per
dare contenuto più dettagliato alle prescrizioni deontologiche e di condotta.
OBIETTIVO PRIMARIO DELL’INSEGNAMENTO: apprendimento delle clausole
normative a contenuto generale ed astratto.
MA una formazione meramente generica sulla base del dettato normativo e
alcune indicazioni sulle modalità di autenticazione e sul rispetto delle
profilazioni autorizzatorie non sarebbero state sufficienti, mancando un
collegamento con la realtà fattuale (elemento indispensabile in questo
campo).
163
Formazione privacy e sicurezza
FUNZIONE INTEGRATIVA DELLA SPERIMENTAZIONE:
INTERAZIONE DOCENTE-DISCENTE (DOMANDE, ESEMPLIFICAZIONI, ANALISI
DI CASI PRATICI, ESAME DEL FUNZIONAMENTO IN CONCRETO DEL
SISTEMA I-CARE)
La sperimentazione ha costituito una fase di indispensabile
completamento della parte formativa:
- ha consentito di specificare con maggior dettaglio e attinenza ai
casi di specie il dettato normativo,
- di individuare alcune prescrizioni di carattere deontologico e di
condotta applicabili ad I-Care, desumibili dalla ratio legis ed
evincibili da una serie di indicazioni del legislatore e del Garante.
164
Formazione privacy e sicurezza
•
•
•
•
•
•
•
La formazione deve essere continua…
La sperimentazione e l’utilizzo a regime consentono:
una verifica dell’effettivo apprendimento da parte dei discenti di quanto
appreso in sede di formazione,
un completamento della stessa, mediante l’analisi e lo studio di casi
specifici,
il modellamento dei contenuti delle norme in relazione a quelle che sono le
situazioni più frequenti che gli operatori si trovano ad affrontare,
l’elaborazione di codici di condotta ad hoc,
l’esame delle principali difficoltà pratiche e la ricerca di soluzioni.
165
Profilazioni autenticazioni e
autorizzazioni
La sperimentazione ha consentito di verificare
l’efficacia delle modalità identificative e di
validare le scelte dei profili autorizzatori, nonché
le scelte tecniche effettuate in relazione alle
misure di sicurezza.
166
Profilazioni autenticazioni e autorizzazioni
AUTENTICAZIONE (in senso legislativo)
-username
-password,
-Operatore
AUTORIZZAZIONE (in senso legislativo)
L’autorizzazione è l’insieme dei RUOLI
Ciascun RUOLO comprende più AUTORIZZAZIONI (in senso tecnico)
Ciascuna AUTORIZZAZIONE (in senso tecnico) si configura in base a:
-FUNZIONI,
-AZIONI,
-DATI,
-DOMINIO.
Il DOMINIO può essere:
-operatore,
-unità operativa,
-servizio,
167
Relazioni Macro-Macro
Adempimenti normativi
• E’ stato preventivamente necessario verificare che
ciascun Ente avesse fatto fronte agli adempimenti
giuridici in materia
• Si sono introdotte le opportune menzioni del progetto ICare nel Regolamento dati sensibili del Comune di Forlì
• e nell’apposito allegato sulle AUSL (trattamento dati
personali a scopo non sanitario) del Regolamento dati
sensibili della Regione Emilia-Romagna.
• Si è provveduto a notiziare circa le scelte tecniche
effettuare i redattori dei Documenti Programmatici di
Sicurezza del Comune e dell’AUSL di Forlì, ai fini della
loro successiva redazione (annuale) comprensiva del
168
progetto I-Care.
Relazioni Macro-Macro
Flussi informativi tra Enti e Anagrafica
• Un aspetto di grande innovatività è consistito nella
necessità di regolare convenzionalmente lo scambio di
flussi informativi tra Enti, svolto in modalità informaticotelematiche.
• Sia il legislatore che il Garante privacy sono sempre stati
particolarmente attenti al verificarsi di scambi informativi
con modalità informatico telematiche, in quanto più
“pericolosi” in termini di privacy
169
Relazioni Macro-Macro
Flussi informativi tra Enti e Anagrafica
•
•
•
•
A questo fine:
Nomina reciproca a responsabili esterni Ausl/Comune,
Nomina di responsabili esterni legati convenzionalmente,
il flusso informativo è stato regolamentato mediante
apposito allegato tecnico all’Accordo di Programma.
• Si è inoltre provveduto a notiziare ed esplicare
debitamente alla Prefettura di Forlì le modalità di utilizzo
e di filtraggio dei dati anagrafici, secondo le indicazioni
via via fornite dal Ministero dell’Interno e dal Garante
privacy.
170
Modulistica e consenso
• Nell’ambito degli adempimenti giuridici richiesti dalla normativa privacy, un
ruolo di grande importanza riveste la raccolta del consenso informato
dell’interessato al trattamento dei suoi dati sanitari.
• L’obiettivo di reingegnerizzazione del procedimento, congiunto alla necessità
di osservare le indicazioni del legislatore in materia di privacy, hanno portato
alla indicazione di una particolare modalità di raccolta del consenso
informato, suggerita in via sperimentale
• Sulla base delle indicazioni normative, si è tenuto conto della natura
integrata (socio-assistenziale e sanitaria) di alcuni di tali servizi e della
necessità per il cittadino di rivolgersi alla Pubblica Amministrazione quale
unico referente, a prescindere dalle funzioni assistenziali (Comune) o
sanitarie (Ausl) svolte dal singolo ufficio.
171
Modulistica e consenso
• Si è pertanto ritenuto opportuno identificare un unico sportello di front
office cui il cittadino potesse rivolgersi ai fini della presentazione
dell’istanza.
• Tale sportello può essere individuato nell’ufficio Unità Anziani del
Comune di Forlì, al quale il cittadino potrà rivolgersi per la segnalazione
del bisogno e per la presentazione dell’istanza.
• L’operatore comunale potrà essere pertanto incaricato di fornire tanto il
modulo di informativa del trattamento dati sensibili di competenza del
Comune quanto il modulo per la raccolta del consenso informato al
trattamento dei dati sanitari, affinché tale consenso sia presente fin
dall’avvio del procedimento amministrativo per l’assistenza sanitaria.
• Ai fini di tale raccolta è stato messo appunto un apposito modulo
(contenente specifica indicazione delle modalità informatico-telematiche
del trattamento, come richiesto dal legislatore) che può essere allegato
all’istanza di erogazione del servizio.
172
Adempimenti normativi
Nel complesso può ritenersi, che salvo
necessità di periodici rinnovamenti, la base
normativa e convenzionale attinente agli
Enti predisposta per il progetto ha retto
alla sperimentazione, che, dal punto di
vista giuridico nulla ha di “sperimentale”,
ma attiene allo svolgimento delle funzioni
istituzionali a pieno regime.
173
Criticità esaminate
Si sono fatte oggetto di particolare attenzione le problematicità
relative a:
- regolamento dati sensibili,
- rilascio dell’informativa,
- raccolta del consenso al trattamento dei dati sanitari da parte
dell’assistito,
- situazioni di incapacità e di emergenza sanitaria,
- autorizzazione da parte dell’assistito circa gli altri soggetti che
potranno ricevere comunicazione dei suoi dati sanitari,
- autorizzazione a operatori non medici alla comunicazione
all’assistito di dati a contenuto sanitario,
- contenuto e collocazione della cartella integrata,
- contenuto e collocazione del data center.
174
C.I.R.S.F.I.D
Alma Mater Studiorum Università di Bologna
Research Centre of History of Law,
Philosophy and Sociology of Law,
Computer Science and Law
Il front office e il consenso
175
176
Ipotesi di raccolta del consenso
177
Il front office della PA
178
Adempimenti Ausl. Informativa
Circa l’informativa, questa dovrà
contenere specifica indicazione delle
modalità di trattamento dei dati
mediante uso di strumenti informatici e
telematici in un contesto di telemedicina
e di teleassistenza. Meglio se questa
specificazione includerà anche altri
progetti telematici in atto da parte
dell’Ausl (es. telesoccorso).
179
Adempimenti Ausl. Consenso
Circa il rilascio del consenso al trattamento dei
dati sanitari, il consenso dovrà per quanto
possibile essere rilasciato dallo stesso
anziano.
Sarà rilasciato da altri (es. familiari) solo in
caso di incapacità dell’anziano o (molto
raramente) di emergenza sanitaria.
In caso di emergenza sanitaria, cessata
l’urgenza dovrà essere raccolto il consenso
dell’anziano.
180
Adempimenti Ausl. Consenso
Il consenso al trattamento dei dati sarà
rilasciato non oltre la formalizzazione
dell’istanza di assistenza presentata
all’Ufficio Amministrativo dell’UVG
Il documento di rilascio del consenso
conterrà l’indicazione dei soggetti
diversi dall’interessato (es. familiari)
autorizzati a ricevere la comunicazione
di dati sanitari
181
Regolamento dati sensibili
Per il trattamento di dati a contenuto
sensibile e sanitario da parte di un ente
pubblico (non sanitario - es. Comune) in
relazione ai servizi integrati, risulterà
necessaria la specifica indicazione di
tale particolare trattamento nel
regolamento dei dati sensibili da
predisporsi, poiché essendo questo ente
non sanitario i dati a contenuto
sanitario sono per questo dati sensibili.
182
Comunicazione dati sanitari
• I dati personali aventi contenuto sanitario possono
eccezionalmente essere comunicati all’assistito da
soggetti che non sono il medico designato
dall’interessato o dal titolare solo se il responsabile o
il titolare dei dati abbiano autorizzato per iscritto gli
esercenti le professioni sanitarie diversi dai medici,
che intrattengano rapporti diretti con i pazienti, alla
comunicazione.
• L’atto di incarico deve avere la forma scritta.
• In relazione ad I Care si è ritenuto che per ora non
sia necessario, in quanto la comunicazione dei dati
sanitari viene fatta solo dal medico
183
Cartella integrata
• Si è ritenuta al momento non
eliminabile la cartella integrata
cartacea presente al domicilio
dell’assistito, che affiancherà quella
digitale di I Care.
184
Data center. Contenuto
Il data center conterrà i dati personali e
anagrafici degli assistiti e parzialmente
dei familiari di riferimento, i dati sulla
condizione sociale degli assistiti (in
parte sensibili) e i dati sanitari degli
assistiti.
I dati sensibili e sanitari saranno cifrati.
185
Data center. Soluzioni tecniche
• Circa le soluzioni tecnologiche, fermo
restando l’invio di elenchi periodici di dati
anagrafici da parte del Comune, il data center
potrà essere realizzato mediante un unico
server collocato presso l’Ausl ovvero mediante
l’interconnessione dei server dell’Ausl e del
Comune, con rispetto delle misure di
sicurezza e dei filtri contenutistici e
tecnologici che si renderanno opportuni per il
rispetto della privacy e delle misure di
sicurezza.
• Nel caso di interconnessione la
comunicazione dei dati sarà cifrata.
186
Data center. Convenzioni
• Qualunque sia la soluzione tecnologica
prescelta questa dovrà essere
preferibilmente regolata e dettagliata da
un apposito quadro convenzionale (una
o più convenzioni), in virtù delle quali
ogni ente potrà accedere ai dati
posseduti dagli altri soggetti pubblici
limitatamente alle esigenze connesse
allo svolgimento delle proprie attività
istituzionali.
187
La convenzione tra gli enti
Cosa deve contenere:
- l’impegno delle parti firmatarie a che il trattamento dei
dati avvenga in conformità della legge privacy,
- in particolare i dati oggetto di scambio dovranno essere
quelli necessari, non eccedenti e pertinenti rispetto alle
finalità da perseguire,
- le parti firmatarie saranno reciprocamente responsabili
delle informazioni assunte,
- le parti avranno cura che i dati non vengano divulgati,
diffusi, ristrasmessi, mostrati, comunicati o ceduti a terzi,
né in alcun modo riprodotti,
- ove sia previsto lo scambio di dati sensibili, questi
dovranno rivestire carattere di assoluta essenzialità,
- sarà opportuno che i dati sensibili che dovranno essere
oggetto di scambio siano espressamente individuati dalla
188
convenzione.
Adempimenti protocollo
• Eventuali adempimenti legati al
protocollo informatico:
- manuale operativo,
- manuale flusso documentale
(eventuale),
- nomine responsabili,
- identificazione Aree Organizzative
Omogenee.
189