IL TRATTAMENTO DEI DATI SENSIBILI A LIVELLO DI AZIENDA: ASPETTI NORMATIVI E DI SICUREZZA DECRETO LEGISLATIVO N. 196/2003 LA NOZIONE DI PRIVACY NEL TEMPO • NEL MEDIOEVO LA RISERVATEZZA ERA POSSIBILE SOLO PER I MONACI O PER I BANDITI • NEL 1700 IN GRAN BRETAGNA LA PRIVACY VIENE DEFINITA COME CAPACITA’ DELLA PERSONA DI OPPORSI ALLA CORONA LA NOZIONE DI PRIVACY NEL TEMPO • NEL 1890 A BOSTON VIENE PUBBLICATO IL SAGGIO THE RIGHT TO PRIVACY • NEL 1950 LA PRIVACY ACQUISTA UN RISVOLTO SOCIALE • NEGLI ANNI ’60 LA PRIVACY VIENE UTILIZZATA COME LIMITE ALLA LIBERTA’ DI STAMPA LA NOZIONE DI PRIVACY NEL TEMPO • NEGLI ANNI 90 IL CORPO INFORMATICO VIENE DEFINITO COME IL “SECONDO CORPO” DELLA PERSONA. • L’INDIVIDUO E’ RIVESTITO DALLA RETE DI INFORMAZIONI ANNODATA DALLE NOSTRE TRACCE INFORMATICHE. DEFINIZIONE DI PRIVACY THE RIGHT OF PRIVACY DIRITTO DI ESSERE LASCIATI TRANQUILLI THE RIGHT TO BE LET ALONE DIRITTO DI NON SUBIRE INTERFERENZE NELLA PROPRIA VITA PRIVATA DEFINIZIONE DI PRIVACY LA PAROLA PRIVACY NELLA LINGUA ITALIANA COMPRENDE PIU’ DEFINIZIONI: • • • • SEGRETEZZA RISERBO VITA PRIVATA INTIMITA’, ECC. GLI INTERESSI CONTRAPPOSTI • PRIVACY E TUTELA • V/S ESIGENZE DI SICUREZZA INTERNAZIONALI • DIRITTO ALL’ANONIMATO V/S CONTROLLO DEI FLUSSI DEI DATI • Chi è pronto a rinunciare alle proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza non merita né la libertà né la sicurezza. Beniamin Franklin ORIGINE ED EVOLUZIONE DEL CONCETTO DI PRIVACY IN ITALIA LEGGE 675/1996 MIRA A CHE IL CITTADINO NON PERDA IL CONTROLLO SULLE INFORMAZIONI CHE LO RIGUARDANO DECRETO LEGISLATIVO 30 GIUGNO 2003 n. 196 • CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI LE PRINCIPALI NOVITA’ LA ORGANIZZAZIONE AL TITOLARE E’ FATTO OBBLIGO DI ORGANIZZARSI ANCHE SOTTO IL PROFILO TECNOLOGICO, AL FINE DI CONSENTIRE UN’ADEGUATA ATTUAZIONE DELLA NORMATIVA. LE PRINCIPALI NOVITA’ IL DIRITTO DI ACCESSO IL DIRITTO DI ACCESSO DELL’INTERESSATO NON RIGUARDA I DATI PERSONALI DI TERZI CONTENUTI NELLO STESSO DOCUMENTO LE PRINCIPALI NOVITA’ I TEMPI L’AMPLIAMENTO DEL PERIODO A DISPOSIZIONE DEL TITOLARE DEL TRATTAMENTO PER SODDISFARE LE ISTANZE DI ACCESSO. IL TERMINE DI 5 GIORNI E’ STATO AMPLIATO A 15 E IN ALCUNI CASI A 30 GIORNI. LE PRINCIPALI NOVITA’ MISURE MINIME DI SICUREZZA LA PREVISIONE DELLE NUOVE MISURE MINIME DI SICUREZZA NELL’ALL. B) DEL CODICE CHE CONTIENE IL DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA LE PRINCIPALI NOVITA’ REGOLE PER IL SETTORE PUBBLICO FINALITA’ ISTITUZIONALI IL TRATTAMENTO DI DATI PERSONALI COMUNI E’ CONSENTITO NELL’AMBITO DELLE FINALITA’ ISTITUZIONALI DELL’ENTE CHE ESEGUE IL TRATTAMENTO. FINALITA’ DI CARATTERE SANITARIO • Registrazione pazienti e gestione amministrativa • Diagnosi, cura e terapia dei pazienti • Monitoraggio dei gruppi a rischio • Registrazione dei donatori • Interventi in caso di calamità, epidemie, ecc. FINALITA’ DI NATURA AMMINISTRATIVO - CONTABILE • • • • • • gestione del patrimonio Adempimenti di obblighi fiscali e contabili Gestione del personale Gestione del contenzioso Formazione professionale Igiene e sicurezza sul lavoro, ecc FINALITA’ DI ALTRO GENERE • Relazioni con il pubblico • Analisi statistiche • Ricerche epidemiologiche, sociologiche, ecc. LE PRINCIPALI NOVITA’ REGOLE PER SETTORI SPECIFICI I DATI SULLA SALUTE E’ PREVISTA UNA PARTICOLARE DISCIPLINA PER IL TRATTAMENTO DI DATI SULLA SALUTE PER FINALITA’ SANITARIE LE PRINCIPALI NOVITA’ REGOLE PER SETTORI SPECIFICI TRATTAMENTO DATI DA PARTE DEL DATORE DI LAVORO NON E’ PIU’ NECESSARIO RICHIEDERE IL CONSENSO SCRITTO DEI DIPENDENTI PER L’USO DEI RELATIVI DATI SENSIBILI DA PARTE DEL DATORE DI LAVORO PER FINALITA’ DI GESTIONE DEL RAPP. DI LAVORO, IN ADEMPIMENTO DI UN OBBLIGO DI LEGGE. PRINCIPI GENERALI ART. 1 • Chiunque ha diritto alla protezione dei dati personali che lo riguardano. PRINCIPIO DI NECESSITA’ NEL TRATTAMENTO DEI DATI ART. 3 • Ci si riferisce ai trattamenti dei dati svolti con sistemi automatizzati che devono essere configurati in modo da minimizzare il ricorso a dati personali e identificativi, sostituendone il trattamento con l’uso di dati anonimi e prevedendo l’identificazione dell’interessato solo in caso di necessità. DEFINIZIONI ART. 4 B) “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi informazione, ivi compreso un numero di identificazione personale; DEFINIZIONI ART. 4 c) “dati identificativi”, i dati personali che permettono l’identificazione diretta dell’interessato; DEFINIZIONI ART. 4 d) “dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; DEFINIZIONI ART. 4 f) “titolare”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; DEFINIZIONI ART. 4 g) “responsabile”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; DEFINIZIONI ART. 4 h) “incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) “interessato”, la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali; DEFINIZIONI ART. 4 l) “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; DEFINIZIONI ART. 4 m) “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; n) “dato anonimo”, il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; DEFINIZIONI ART. 4 o) “blocco”, la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; p) “banca dati”, qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; DEFINIZIONI ART. 4 q) “Garante”, l’autorità di cui all’art. 153, istituita dalla legge 31 dicembre 1996, n. 675. TITOLO III REGOLE GENERALI PER IL TRATTAMENTO DEI DATI CAPO I Regole per tutti i trattamenti MODALITA’ DEL TRATTAMENTO ART 11 Si richiede che i dati personali siano trattati in modo lecito e secondo correttezza, siano raccolti per finalità esplicite, legittime e determinate e che il trattamento non ecceda le finalità per le quali i dati sono raccolti o successivamente trattati e che sia temporalmente limitato. INFORMATIVA ART. 13 Il trattamento dei dati personali passa attraverso l’informativa. Si tratta della dichiarazione che il titolare e/o il responsabile fa all’interessato, in forma scritta od orale, delle maggiori caratteristiche relative all’utilizzo delle informazioni che lo riguardano. INFORMATIVA ART. 13 Il rilascio dell’informativa costituisce sia una condizione di validità del consenso successivamente prestato dall’interessato al trattamento dei suoi dati che una condizione essenziale per potere esercitare i diritti di accesso e di opposizione al trattamento dei suoi dati. INFORMATIVA ART. 13 L’informativa va rilasciata, prima della raccolta dei dati, al soggetto interessato o ai soggetti terzi presso i quali siano stati raccolti i dati dell’interessato. Il legislatore ha previsto modalità semplificate per il rilascio dell’informativa nel caso di trattamenti per finalità sanitarie. DANNI CAGIONATI PER EFFETTO DEL TRATTAMENTO ART. 15 Il trattamento dei dati personali è considerato dal Legislatore attività pericolosa ed è disciplinato dall’art. 2050 del c.c. Chi ritenga di essere stato leso a seguito dell’attività di trattamento dei dati personali che lo riguardano può ottenere il risarcimento dei danni senza dovere provare la colpa del titolare. PRINCIPI APPLICABILI A TUTTI I TRATTAMENTI EFFETTUATI DA SOGGETTI PUBBLICI ART. 18 In linea generale, per i trattamenti di dati personali svolti dalla P.A. il consenso dell’interessato non costituisce una condizione di liceità. Unica eccezione riguarda l’uso dei dati sulla salute da parte di professionisti sanitari o di organismi sanitari pubblici a fini di tutela della salute. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI DIVERSI DA QUELLI SENSIBILI E GIUDIZIARI ART. 19 I soggetti pubblici possono trattare i dati personali comuni solo per lo svolgimento delle proprie finalità istituzionali e, a tale fine, non devono chiedere il consenso degli interessati. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI ART. 20 Il trattamento di dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI ART. 22 1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti delle libertà fondamentali e della dignità dell’interessato. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI ART. 22 3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa. 4. I dati sensibili e giudiziari sono raccolti, di regola, presso l’interessato. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI ART. 22 7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6, anche quando sono tenuti in elenchi, registri o banche di dati senza l’ausilio di strumenti elettronici. 8. I dati idonei a rivelare lo stato di salute non possono essere diffusi. TITOLO V SICUREZZA DEI DATI E DEI SISTEMI “L’UOMO E LA SICUREZZA DEVONO COSTITUIRE LA PRIMA PREOCCUPAZIONE DI OGNI AVVENTURA TECNOLOGICA” Albert Einstein LA SICUREZZA INFORMATICA NON E’ UN PROBLEMA DI NATURA TECNOLOGICA!!! GLI ASPETTI DA CONSIDERARE NELL’AMBITO DELLA SICUREZZA • TECNICI ( sicurezza fisica e logica ) • STRATEGICI (obiettivi e budget az.li) • ORGANIZZATIVI ( definizione dei ruoli, formazione, procedure ) • ECONOMICI (analisi dei costi, valutazione dei rischi e dei relativi impatti ) • LEGALI ( Raccomandazioni, leggi, norme internazionali ) TIPOLOGIA DEI DANNI • Danni diretti, di tipo economico patrimoniale che scaturiscono dall’incidente • Danni indiretti, di natura prevalentemente economica derivanti dall’incidente stesso (blocco delle attività, costo del ripristino) • Danni consequenziali, si manifestano dopo il ripristino dell’attività. MISURE POSTE IN ESSERE PER REALIZZARE UN PIANO DI SICUREZZA • MISURE DI PREVENZIONE, hanno l’obiettivo di minimizzare i costi legati al verificarsi di un evento dannoso. • MISURE DI CONTROLLO, hanno l’obiettivo di verificare costantemente l’efficacia delle misure di protezione e prevenzione. LA SECURITY • ATTIENE ALLA MESSA IN SICUREZZA DEGLI ARCHIVI E DEI CIRCUITI INFORMATICI, UTILIZZATI PER OSPITARE O TRASMETTERE I DATI PERSONALI. COSA SI INTENDE PER “MESSA IN SICUREZZA” • I dati devono essere trattati solo da personale o procedure legittimati a farlo; • I dati devono essere mantenuti all’interno di supporti adeguati alla protezione contro intrusioni tecnologiche; • I dati devono essere trattati ed archiviati su supporti che permettano il loro mantenimento in stato di efficienza COSA SI INTENDE PER “MESSA IN SICUREZZA” • La security è uno strumento indispensabile sia per garantire la privacy sia per garantire la sopravvivenza e l’efficienza delle organizzazioni (come l’AUSL) che devono assicurare il diritto alla privacy. Le operazioni per garantire la privacy in un quadro di sicurezza devono essere pianificate e monitorate comprendendo non solo i costi di investimento ma anche i costi operativi OBBLIGHI DI SICUREZZA ARTT. 31, 32 e 33 Sono enunciati gli obblighi di sicurezza cui sono tenuti i titolari. Sono introdotte le misure minime di sicurezza, espressamente indicate dal legislatore, la cui violazione comporta l’applicazione di sanzioni penali. OBBLIGHI DI SICUREZZA ARTT. 31, 32 e 33 Le misure minime sono il complesso delle misure: tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti. OBBLIGHI DI SICUREZZA ARTT. 31, 32 e 33 Misure idonee di sicurezza attengono all’insieme delle misure che il Codice considera fondamentali per una diligente e idonea protezione delle informazioni personali. Non è precisato come devono essere realizzate ma sono indicate le finalità per cui devono essere adottate. La non adozione comporta l’applicazione di sanzioni civili. MISURE MINIME DI SICUREZZA GLI ADEMPIMENTI • I software vanno aggiornati almeno annualmente. Se sono trattati dati sensibili l’aggiornamento è semestrale • Vanno programmate annualmente le attività di formazione per gli incaricati al trattamento dei dati • Vanni aggiornati, almeno semestralmente, gli strumenti elettronici destinati alla prevenzione delle intrusioni MISURE MINIME DI SICUREZZA GLI ADEMPIMENTI • Vanno fornite norme procedurali e tecniche per l’effettuazione settimanale del salvataggio dei dati • Vanno fornite norme procedurali e tecniche per l’aggiornamento semestrale ( dati personali) o trimestrale (dati sensibili o giudiziari) delle password TRATTAMENTI CON STRUMENTI INFORMATICI ART. 34 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure: a) Autenticazione informatica; b) Adozione di procedure di gestione delle credenziali di autenticazione; TRATTAMENTI CON STRUMENTI INFORMATICI ART. 34 c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; TRATTAMENTI CON STRUMENTI INFORMATICI ART. 34 f) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità di dati e dei sistemi; g)Tenuta di un aggiornato documento programmatico sulla sicurezza; h) Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI ART. 35 1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; QUALI PROSPETTIVE La normativa sulla riservatezza sarà applicata se la privacy verrà intesa come una opportunità per il miglioramento qualitativo delle prestazioni e dell’offerta stessa della Azienda Sanitaria. riferimenti • Commento breve al D.Lgs.vo n. 196/2003. Codice in materia di protezione dei dati personali, • Su • WWW.dirittosuweb.com , e su www.diritto.it/articoli/dir_privacy/diritto_priv acy.html; Grazie dell’attenzione Dott. Giovanni Modesti