Decreto legislativo 196/2003
ed il MEDICO DEL LAVORO
Adempimenti correlati al Decreto
Legislativo 196/2003 nella nostra
attività professionale quotidiana
OGGETTO: TUTTI COLORO
CHE SVOLGONO
TRATTAMENTI DI DATI
PERSONALI IN UNA ATTIVITA’
NON PERSONALE
VEDI ARTICOLO 4, COMMA 1,
LETTERA A
ART 4, COMMA 1, LETTERA A
• ”trattamento”, qualunque operazione o complesso
di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione,
la consultazione, l'elaborazione, la modificazione,
la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati
PRINCIPI GENERALI ED
AMBITO DI APPLICAZIONE
NUOVO DIRITTO SOGGETTIVO:
• Protezione dei dati personali
• Diritto alla riservatezza
• Diritto all’identità personale
3 SOGGETTI: interessato, titolare e
garante della privacy
• Obblighi e adempimenti a carico del titolare
• Diritti a carico dell’interessato
• Istituzione del Garante della Privacy, organo
pubblico terzo che vigila sull’osservanza
degli obblighi da parte del titolare e sulla
possibilità di esercizio dei diritti da parte
dell’interessato
TITOLARI DEL TRATTAMENTO
• Chiunque abbia un’attività che comporti
trattamento di dati personali ed ha capacità
decisionali sulla modalità e sulla finalità del
trattamento è individuato come titolare del
trattamento e dovrà adempiere agli
obblighi previsti dal decreto per tutelare gli
interessati (soggetti cui le informazioni si
riferiscono)
PRINCIPALI OBBLIGHI DEL
TITOLARE
a) Obbligo di notificare il
trattamento dei dati al garante
• Nella 675/96 vi era obbligo generalizzato di
notifica ad eccezione di alcuni casi specifici
• Con la legge in vigore nessuno deve
notificare tranne alcuni casi specifici
N.B. in questi casi specifici la notifica deve
avvenire direttamente in forma digitale con
spedizione via e-mail
Lett. a e b del comma 1 dell’art. 37
• Sembrano applicabili all’attività in esame
l’attività di trattamento che riguardi “dati
genetici, biometrici o dati che indicano la
posizione geografica di persone od oggetti”
b) OBBLIGO DI RICHIEDERE
AUTORIZZAZIONE PER
TRATTAMENTO DEI DATI
SENSIBILI AL GARANTE
• Per dati sensibili si intende il nucleo della
riservatezza “dati personali idonei a rivelare
origine razziale ed etnica, convinzioni religiose,
filosofiche, le opinioni politiche, l’adesione a
partiti, sindacati, associazioni etc, e dati personali
idonei a rilevare stato di salute e la vita sessuale
• Art. 26 prevede:
RICHIESTA DI
AUTORIZZAZIONE
• Diverso da obbligo di notifica: questa
richiesta di autorizzazione è un elemento di
procedibilità; se l’autorità non si pronuncia
entro 45 gg c’è il silenzio-rigetto
• La notifica è da fare una sola volta prima
del trattamento e si può iniziare a trattare
subito i dati (art. 38, comma 1)
AUTORIZZAZIONE GENERALE
art. 26, comma 3
• Possibilità studiata in via preliminare per i
soggetti che si trovano nelle condizioni di
avere il consenso preventivo dell’Autorità al
trattamento dei dati sensibili
• Vedremo le autorizzazioni generali che si
possono applicare per evitare di adempiere
all’obbligo citato
c) OBBLIGO DI FORNIRE
L’INFORMATIVA
ALL’INTERESSATO
• Doppio controllo sull’attività del titolare:
uno pubblico da parte del garante ed uno
privato da parte dell’interessato che deve
ricevere informativa relativa all’attività di
trattamento
• Adempimento per via orale o scritta
ECCEZIONI art 13, comma 5
• Trattamento avente ad oggetto dati raccolti
non in prima persona dal titolare, ma da
soggetti terzi
• Che avvenga per obbligo previsto dalla
legge
• Investigazioni difensive
• In caso di impiego di mezzi spropositato per
fornire informativa ad interessato
Art. 13
• Art. 13 - Informativa
1. L'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel
territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il
titolare ha designato più responsabili è indicato almeno uno di essi,
indicando il sito della rete di comunicazione o le modalità attraverso le
quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro all'interessato in
caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti
da specifiche disposizioni del presente codice e può non comprendere
gli elementi già noti alla persona che fornisce i dati o la cui conoscenza
può ostacolare in concreto l'espletamento, da parte di un soggetto
pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa
o sicurezza dello Stato oppure di prevenzione, accertamento o
repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità
semplificate per l'informativa fornita in particolare da servizi telefonici
di assistenza e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato,
l'informativa di cui al comma 1, comprensiva delle categorie di dati
trattati, è data al medesimo interessato all'atto della registrazione dei
dati o, quando è prevista la loro comunicazione, non oltre la prima
comunicazione.
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria, sempre che i dati siano
trattati esclusivamente per tali finalità e per il periodo strettamente
necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il
Garante, prescrivendo eventuali misure appropriate, dichiari
manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli,
a giudizio del Garante, impossibile
d) OBBLIGO DI RICHIEDERE
CONSENSO DELL’INTERESSATO
PER IL TRATTAMENTO
• Il consenso è previsto dall’art. 23 e deve essere
espresso liberamente e specificatamente in
riferimento a determinato trattamento
chiaramente individuato
• Il consenso deve essere documentato per
iscritto (se per dati sensibili, il consenso deve
essere specifico ed esclusivo)
ECCEZIONI
• Art. 24 - Casi nei quali può essere effettuato il
trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi
previsti nella Parte II, quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla
legge, da un regolamento o dalla normativa
comunitaria;
Art.26
•
Art. 26 - Garanzie per i dati sensibili
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso
scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei
presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai
regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione
entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a
rigetto. Con il provvedimento di autorizzazione, ovvero successivamente,
anche sulla base di eventuali verifiche, il Garante può prescrivere misure e
accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto
ad adottare.
3. Il comma 1 non si applica al trattamento:
d) quando è necessario per adempiere a specifici obblighi o compiti previsti
dalla legge, da un regolamento o dalla normativa comunitaria per la gestione
del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della
popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione
e ferme restando le disposizioni del codice di deontologia e di buona condotta
di cui all'articolo 111.
CONSENSO
• PER IL MEDICO DEL LAVORO LA
RICHIESTA DI CONSENSO E
L’INFORMATIVA E’ INUTILE E
RIDONDANTE (ma se i dati vengono
utilizzati per uno scopo ulteriore l’eccezione
viene a cadere)
e) Obbligo di consentire l’esercizio
dei diritti da parte dell’interessato
•
Art. 7 - Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora registrati, e la loro
comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di
strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di rappresentante
designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione
dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si
rivela impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale.
OBBLIGO DI ADOTTARE
MISURE DI SICUREZZA
• Disciplinate da Titolo V, parte I
• Dettagliate negli aspetti tecnici all’allegato
B denominato “Disciplinare tecnico in
materia di misure di sicurezza”
Cercare di pensare agli adempimenti per la
196 come ad un modo per migliorare la
qualità del proprio lavoro
2 LIVELLI: MISURE IDONEE E
MISURE MINIME
• Le misure idonee esonerano da qualsiasi
responsabilità (civile e penale) il titolare
(art. 31)
• Le misure minime (art. 33 e ss ed allegato
B) eliminano esclusivamente la
responsabilità penale ma non quella civile
MISURE IDONEE: FINALITA’
• Evitare distruzione o perdita di dati trattati:
programmi antivirus, procedure di back-up e
disaster recovery
• Evitare l’accesso non autorizzato ai dati personali
trattati: firewall
• Necessità di avere identificazione di chi accede al
sistema informatico attraverso parola chiave
password (otto caratteri alfanumerici) associata
a codice identificativo (userid)
DIFFERENZA MISURE IDONEE
MISURE MINIME
• Per legge gli antivirus devono essere
aggiornati ogni 6 mesi; se aggiornati ogni 5
mesi ho adottato misure minime che mi
tutelano da procedimenti penali ma non
civili, se aggiorno quotidianamente
risultano essere misure idonee che mi
tutelano anche in sede civile
AUTENTICAZIONE INFORMATICA
• Credenziali di autenticazioni
a) Password riservata (otto caratteri)
conosciuta solo dal titolare, senza
riferimenti al titolare, modificata al primo
utilizzo ed ogni 6 mesi (se dati sensibili
ogni 3 mesi)
b) dispositivo di autenticazione ad uso
esclusivo dell’incaricato (badge, pass..)
c) Caratteristica biometrica dell’incaricato
SISTEMI DI AUTORIZZAZIONE
•
Oltre ad essere autenticati, gli individui
che svolgono operazioni di trattamento
devono essere autorizzati
Es. assistente dello studio
a) Ogni incaricato o classe omogenea deve
avere un profilo di autorizzazione
individuato e configurato anteriormente
all’inizio del trattamento per limitare
l’accesso ai soli dati necessari
AUTORIZZAZIONE II
b) Periodicamente, almeno ogni 6 mesi, deve
essere verificata la sussistenza delle
condizioni necessarie a conservare i profili
citati
c) Nell’aggiornamento periodico possono
essere individuati gruppi omogenei e
relativi profili di autorizzazione
PROTEZIONE STRUMENTI
INFORMATICI E DATI
•
Il codice richiede protezione del sistema
informatico:
1) Antivirus
2) Patch di sistema
3) Firewall (per dati sensibili e giudiziari)
BACK UP E RIPRISTINO DATI E
SISTEMI
• Salvataggio dei dati con frequenza
settimanale
• Procedure per ripristino del sistema (per
dati sensibili e giudiziari): disaster recovery
es. disco di ripristino del sistema
DOCUMENTO PROGRAMMATICO
DELLA SICUREZZA
• La normativa prevede l’obbligo di
procedere alla redazione del DPS solo per i
titolari che operano un trattamento di dati
sensibili o di dati giudiziari in forma
elettronica (parere garante del 22 marzo
2004).
DPS
• Il documento doveva essere redatto entro il
30 giugno 2004 (poi prorogato più volte) ed
aggiornato il entro il 31 marzo di ogni anno
(occasione per controllo annuale degli
accorgimenti volti a garantire l’efficacia
delle misure attuate)
Contenuti del DPS
•
•
•
•
Elenco dei trattamenti effettuati
Distribuzione compiti e responsabilità
Analisi dei rischi che incombono sui dati
Misure da adottare per garantire l’integrità dei
dati, nonché la protezione delle aree e dei locali
• Descrizione delle modalità per ripristino dati
• Previsione di incontri informativi per gli incaricati
• Descrizione dei criteri adottati per l’affidamento di
dati a terzi
DPS uno dei tanti...
• Il DPS è uno dei vari accorgimenti tecnici
previsti
• Predisporlo senza avere le misure minime è
inopportuno ed è una forma di autodenuncia
• Dichiarare il falso è punibile PENALMENTE
• Vedi linee guida sul sito www.garanteprivacy.it
ALTRE MISURE art. 25 e 26 ed
allegato B
• Impartite istruzioni organizzative e tecniche per
custodia e uso di supporti rimovibili che
contengono dati sensibili e giudiziari
• Obblighi ulteriori per esercenti professioni
sanitarie: cifratura informazione e protezione
dei locali contenenti i dati
• Il titolare che adotta le misure minime avvalendosi
di consulenti esterni deve ricevere dall’installatore
descrizione scritta dell’intervento che ne attesti la
conformità (vedi all. B)
MISURE MINIME PER
TRATTAMENTI EFFETTUATI
SENZA L’AUSILIO DI MEZZI
ELETTRONICI
• Agli incaricati sono impartite istruzioni scritte finalizzate
al controllo e custodia degli atti, delle operazioni di
trattamento e dei documenti con dati personali
• Aggiornamento periodico, con cadenza almeno annuale,
per individuare le operazioni di trattamento consentite ai
singoli o a classi omogenee e relativi profili di
autorizzazione
• Gli atti e documenti contenenti dati personali
sensibili o giudiziari, affidati agli incaricati,
dovranno essere controllati e custoditi da
questi sino alla restituzione
• L’accesso ad archivi contenenti dati sensibili o
giudiziari deve essere controllato ad es.
armadio chiuso a chiave (chiave in possesso
delle persone autorizzate)
• Le persone ammesse dopo l’orario di
chiusura, sono identificate e registrate
TITOLO V art. 75 al 94
Trattamento di dati personali in
ambito sanitario
• Art 76 Gli esercenti le professioni sanitarie e gli organismi
sanitari pubblici,trattano i dati personali idonei a rivelare lo
stato di salute:
• a) con il consenso dell'interessato e anche senza
l'autorizzazione del Garante, se il trattamento riguarda dati e
operazioni indispensabili per perseguire una finalità di tutela
della salute o dell'incolumità fisica dell'interessato;
• b) anche senza il consenso dell'interessato e previa
autorizzazione del Garante, se la finalità di cui alla lettera a)
riguarda un terzo o la collettività.
Sintesi art 76
• Se soggetto di riferimento è l’interessato, si
chiede consenso ma non autorizzazione
• Se soggetto di riferimento è un terzo o
collettività si chiede autorizzazione garante
ma non consenso dell’interessato
Art 83, altre misure per rispetto
privacy
• 1. I soggetti di cui agli articoli 78, 79 e 80 adottano idonee misure per
garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto
dei diritti, delle libertà fondamentali e della dignità degli interessati,
nonché del segreto professionale, fermo restando quanto previsto dalle
leggi e dai regolamenti in materia di modalità di trattamento dei dati
sensibili e di misure minime di sicurezza.
2. Le misure di cui al comma 1 comprendono, in particolare:
• a) soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad
adempimenti amministrativi preceduti da un periodo di attesa
all'interno di strutture, un ordine di precedenza e di chiamata degli
interessati prescindendo dalla loro individuazione nominativa;
b) l'istituzione di appropriate distanze di cortesia,
tenendo conto dell'eventuale uso di apparati vocali
o di barriere;
c) soluzioni tali da prevenire, durante colloqui,
l'indebita conoscenza da parte di terzi di
informazioni idonee a rivelare lo stato di salute;
d) cautele volte ad evitare che le prestazioni
sanitarie, ivi compresa l'eventuale documentazione
di anamnesi, avvenga in situazioni di promiscuità
derivanti dalle modalità o dai locali prescelti;
e) il rispetto della dignità dell'interessato in occasione della prestazione
medica e in ogni operazione di trattamento dei dati;
f) la previsione di opportuni accorgimenti volti ad assicurare che, ove
necessario, possa essere data correttamente notizia o conferma anche
telefonica, ai soli terzi legittimati, di una prestazione di pronto
soccorso;
g) la formale previsione, in conformità agli ordinamenti interni delle
strutture ospedaliere e territoriali, di adeguate modalità per informare i
terzi legittimati in occasione di visite sulla dislocazione degli
interessati nell'ambito dei reparti, informandone previamente gli
interessati e rispettando eventuali loro contrarie manifestazioni
legittime di volontà;
h) la messa in atto di procedure, anche di formazione del personale,
dirette a prevenire nei confronti di estranei un'esplicita correlazione tra
l'interessato e reparti o strutture, indicativa dell'esistenza di un
particolare stato di salute;
i) la sottoposizione degli incaricati che non sono tenuti per legge al
segreto professionale a regole di condotta analoghe al segreto
professionale.
OBBLIGO DI NOTIFICA
• Provvedimento n. 1/2004 del 31 marzo
2004 in GU del 6 aprile 2004, n 81
”Provvedimento relativo ai casi da sottrarre
all’obbligo di notifica”
Ulteriore provvedimento il 26 aprile 2004 con
riferimento esplicito all’igiene ed alla
sicurezza sul lavoro
IL MEDICO NON NOTIFICA AL
GARANTE
• Il medico non ha obbligo di notifica anche
se era stata effettuata nel periodo di vigenza
della 675 del 1996
OBBLIGO DI AUTORIZZAZIONE
PER TRATTARE DATI SENSIBILI
• Vi è una autorizzazione generale
• In particolare AG numero 2:
“autorizzazione al trattamento dei dati
idonei a rivelare lo stato di salute e la vita
sessuale” che espressamente autorizza una
serie di soggetti a trattare tali dati (medici,
odontoiatri, farmacisti, psicologi, infermieri
etc.)
OBBLIGO DI FORNIRE
INFORMATIVA
• L’informativa (art. 13) rende edotto il soggetto
attraverso la comunicazione di informazioni sul
titolare e la sua attività: estremi identificativi di
tale soggetto, finalità e modalità del trattamento
cui sono destinati i dati, diritti dell’interessato etc.
• Eccezioni: se i dati sono trattati in base ad obbligo
di legge, regolamento o norma comunitaria
SCADENZE ED ADEMPIMENTI
PERIODICI
• 31 dicembre 2005 DPS, misure di sicurezza
art. 33-35
• 31 marzo di ogni anno
Aggiornamento DPS, verifica caratteristiche
responsabili, verifica mantenimento
incaricati, programmazione formazione,
verifica misure di sicurezza
• Ogni anno:
Verifica ambito di trattamento consentito ai
singoli incaricati
Verifica autorizzazioni per gli incaricati
Verifica operazioni di back up settimanale
Formazione incaricati
Aggiornamento patch
• Ogni sei mesi:
aggiornamento antivirus
aggiornamento patch (in caso di dati
sensibili)
cambiamento password (se dati comumi)
• Ogni 3 mesi:
Cambiamento password se dati sensibili
• Ogni settimana:
back-up
• Dopo 7 gg:
ripristino dell’accesso ai dati sensibili in
caso di danneggiamento
Sanzioni per misure di sicurezza
• Se non sono adottate quelle minime: arresto
sino a 2 anni e ammenda da 10000 a 50000
euro