Corso di Formazione in Medicina Generale
Bari 29 maggio 2007
La privacy nella medicina generale
Dott. Erasmo Bitetti
Medico di famiglia
MATERA
Un argomento ostico o ostile ?
Storia della legislazione
in tema di privacy
28 gennaio 1981
Convenzione di Strasburgo n. 108
Protezione delle persone rispetto al trattamento automatizzato
di dati di carattere personale
21 febbraio 1989
Legge n. 98/89
Ratifica della Convenzione di Strasburgo
1995
Il concetto di trattamento dei dati personali
nella Direttiva CE 95/46 del 24.10.95
relativa alla "tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di
tali dati".
Si inizia a precisare che il trattamento dei dati personali è
qualsiasi operazione o insieme di operazioni compiute
con o senza l'ausilio di processi automatizzati .
Viene istituito il Gruppo di lavoro per la tutela dei dati personali.
1996
Tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali
Legge 31 dicembre 1996 n.675
E’ la prima cosiddetta “legge di tutela della privacy” in Italia .
Viene istituito l’ufficio del
Garante per la protezione dei dati personali
organo collegiale costituito da quattro membri (due eletti dalla
Camera dei deputati e due dal Senato della Repubblica) che
opera in piena autonomia e con indipendenza di giudizio e di
valutazione. Dura in carica quattro anni e i suoi membri
possono essere riconfermati solo una volta nell’incarico.
1996
La legge vieta l’uso delle agende personali ?
Trattamento di dati per fini esclusivamente personali
Il trattamento di dati personali effettuato da persone fisiche
per fini esclusivamente personali
non è soggetto all'applicazione della presente legge,
sempreché i dati non siano destinati ad una comunicazione
sistematica o alla diffusione.
2000
Progetto di Carta dei diritti fondamentali
dell’Unione Europea


Articolo 7
Rispetto della vita privata e della vita familiare
Ogni individuo ha diritto al rispetto della propria vita privata e
familiare, del proprio domicilio e delle sue comunicazioni.
Articolo 8
Protezione dei dati di carattere personale
1. Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano.
2000
Progetto di Carta dei diritti fondamentali
dell’Unione Europea
Articolo 8
Protezione dei dati di carattere personale

2. Tali dati devono essere trattati secondo il principio di lealtà,
per finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla legge.
Ogni individuo ha il diritto di accedere ai dati raccolti che lo
riguardano e di ottenerne la rettifica.

3. Il rispetto di tali regole è soggetto al controllo di un'autorità
indipendente.
2003
Codice in materia di protezione dei dati personali
DECRETO LEGISLATIVO 30 giugno 2003 n. 196
Si tratta di una sorta di testo unico che riprende,
con alcune innovazioni e integrazioni, tutte le
precedenti disposizioni di legge, ivi comprese
quelle relative alla misure minime di sicurezza.
2003
Codice in materia di protezione dei dati personali
DECRETO LEGISLATIVO 30 giugno 2003 n. 196
Art. 1
Diritto alla protezione dei dati personali
1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.
Art. 3
Principio di necessità nel trattamento dei dati
1. I sistemi informativi e i programmi informatici sono configurati riducendo
al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalità perseguite nei singoli casi possono
essere realizzate mediante, rispettivamente, dati anonimi od opportune
modalità che permettano di identificare l'interessato solo in caso di necessità.
Quali sono i dati
oggetto di tutela ?

DATI PERSONALI
qualunque informazione relativa a persona fisica, persona giuridica,
ente od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale

DATI SENSIBILI
i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale
Come ci comportiamo
con questi dati ?

DATI IDENTIFICATIVI
i dati personali che permettono l'identificazione diretta del soggetto

DATI ANONIMI
i dati personali che in origine, o a seguito di trattamento, non possono
essere associati ad un soggetto identificato o identificabile
Cosa si intende per
“trattamento” dei dati?
Qualunque operazione o complesso di operazioni, effettuate
anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta
selezione
registrazione
estrazione
organizzazione
raffronto
conservazione
utilizzo
consultazione
interconnessione
elaborazione
blocco
modificazione
cancellazione e distruzione
comunicazione
diffusione
di dati ,anche se non registrati in una banca di dati.
Alcune tipologie particolari di
“trattamento” dei dati

comunicazione
il dare conoscenza dei dati personali a uno o più soggetti determinati
diversi dall'interessato, dal responsabile e dagli incaricati, in qualunque
forma, anche mediante la loro messa a disposizione o consultazione

diffusione
il dare conoscenza dei dati personali a soggetti indeterminati, in
qualunque forma, anche mediante la loro messa a disposizione o
consultazione

blocco
la conservazione di dati personali con sospensione temporanea di ogni
altra operazione di trattamento
Quali sono i soggetti coinvolti?
TITOLARE
INTERESSATO
RESPONSABILE
INCARICATO
Quali sono i soggetti coinvolti?
TITOLARE
il soggetto cui competono le decisioni in ordine alle finalità, alle
modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza
INTERESSATO
RESPONSABILE
INCARICATO
Quali sono i soggetti coinvolti?
TITOLARE
INTERESSATO
il soggetto a cui si riferiscono i dati personali
RESPONSABILE
INCARICATO
Quali sono i soggetti coinvolti?
TITOLARE
INTERESSATO
RESPONSABILE
il soggetto preposto dal titolare al trattamento di dati personali
INCARICATO
Quali sono i soggetti coinvolti?
TITOLARE
INTERESSATO
RESPONSABILE
INCARICATO
il soggetto autorizzato a compiere operazioni di trattamento dal
titolare o dal responsabile
DIZIONARIO MEDICO DELLA PRIVACY (1)

Il Paziente, unico proprietario dei dati che lo riguardano e
quindi ”interessato” al loro utilizzo, è per la legge l‘ Interessato.

Il Medico curante che, per concessione del paziente, ha facoltà
e ”titolo” ad utilizzare i dati personali del paziente per scopi di
prevenzione, diagnosi, cura e riabilitazione delle malattie, è per la
legge il Titolare del trattamento.

I Collaboratori di studio del medico curante, “incaricati” di
aiutarlo a svolgere una parte del suo lavoro (segretaria, infermiera
ecc.) sono per la legge Incaricati del trattamento.
DIZIONARIO MEDICO DELLA PRIVACY (2)

I medici sostituti che hanno la “responsabilità professionale” di
fare le veci del medico curante (in modo integrale ed autonomo)
sono considerati dalla legge Responsabili del trattamento.

Anche il personale specializzato cui il medico titolare affida la
”responsabilità” della
- manutenzione, assistenza, amministrazione custodia degli
strumenti per la raccolta dei dati (personal computer, server di
rete, apparecchiature di trasmissione telematica ecc.) o
- la gestione dei dati fiscali e contributivi può assumere il
ruolo di Responsabile del trattamento.
DIZIONARIO MEDICO DELLA PRIVACY (3)

I medici associati (associazione semplice, medicina in rete o di
gruppo) sono considerati Responsabili del trattamento,
dovendosi escludere che essi debbano soggiacere, come semplici
incaricati, alla“diretta autorità del titolare”. Tali vanno anche
considerati eventuali consulenti specialisti nell’espletamento
della consulenza loro affidata dal medico titolare del trattamento.

I medici in formazione ed i tirocinanti, dovendo invece
soggiacere alla “diretta autorità del titolare”, sono considerati
Incaricati del trattamento.
MA NON BASTAVA IL CODICE DEONTOLOGICO ?

Art. 10
Segreto professionale
Il medico deve mantenere il segreto su tutto ciò che gli è
confidato o di cui venga a conoscenza nell’esercizio della
professione.

Il medico deve informare i suoi collaboratori dell’obbligo del
segreto professionale.

La rivelazione è ammessa ove motivata da una giusta causa,
rappresentata dall’adempimento di un obbligo previsto dalla
legge (denuncia e referto all’Autorità Giudiziaria, denunce
sanitarie, notifiche di malattie infettive, certificazioni
obbligatorie).
Art. 11
Riservatezza dei dati personali

Il medico è tenuto al rispetto della riservatezza nel trattamento
dei dati personali del paziente e particolarmente dei dati sensibili.
Il medico acquisisce la titolarità del trattamento dei dati sensibili
previo consenso del paziente o di chi ne esercita la tutela.

Nelle pubblicazioni scientifiche di dati clinici o di osservazioni
relative a singole persone, il medico deve assicurare la non
identificabilità delle stesse.

Il medico non può collaborare alla costituzione di banche di
dati sanitari, ove non esistano garanzie di tutela della
riservatezza, della sicurezza e della vita privata della persona.
Art. 12
Trattamento dei dati sensibili

Al medico, è consentito il trattamento dei dati personali idonei a
rivelare lo stato di salute del paziente previa richiesta o
autorizzazione da parte di quest’ultimo, subordinatamente ad una
preventiva informazione sulle conseguenze e sull’opportunità
della rivelazione stessa.

Al medico peraltro è consentito il trattamento dei dati personali
del paziente in assenza del consenso dell’interessato solo
quando vi sia la necessità di
- salvaguardare la vita o la salute del paziente o di terzi
- il paziente non sia in grado di prestare il proprio consenso
per impossibilità fisica, per incapacità di agire e/o di intendere e
di volere.
Codice in materia di protezione dei dati personali
Quali sono gli obblighi del medico?
Informativa

Il medico di MG è tenuto ad informare i pazienti, oralmente o
per iscritto (manifesto in sala d’attesa) , circa il trattamento dei dati
personali in forma chiara ed agevolmente comprensibile, senza
trascurare di fornire informazioni circa le modalità del
trattamento e la sede in cui i dati sono raccolti (archivio cartaceo,
computer di studio , server della medicina di rete); l’informativa dovrà
anche indicare gli eventuali incaricati del trattamento (segretaria,
infermiera) ed i soggetti cui i dati potranno essere comunicati
(medici associati o sostituto) (art. 78).
Quali sono gli obblighi del medico?
Informativa

L’informativa dovrà essere particolarmente analitica nei casi che
“presentano rischi specifici per i diritti e le libertà fondamentali, nonché per
la dignità dell’interessato” in particolare in caso di trattamenti
effettuati (art. 78 comma 5)
a) per scopi scientifici, anche di ricerca scientifica e di
sperimentazione clinica controllata di medicinali, in
conformità alle leggi e ai regolamenti;
b) nell’ambito della teleassistenza o telemedicina;
c) per fornire altri beni o servizi all’interessato attraverso una
rete di comunicazione elettronica.
Quali sono gli obblighi del medico?
Consenso

Per trattare i dati personali il medico deve ottenere il consenso
del paziente, anche se il trattamento è effettuato nell’interesse
esclusivo della salute del paziente (art. 75).

Il consenso al trattamento dei dati può essere manifestato con
un'unica dichiarazione, anche oralmente. In tal caso il consenso
è documentato, anziché con atto scritto dell’interessato, con
annotazione del medico (art. 81).

Quando il medico fornisce l’informativa per conto di più
professionisti (non è per fortuna obbligatorio!) il consenso “è reso
conoscibile ai medesimi professionisti con adeguate modalità”.
Quali sono gli obblighi del medico?
Misure di sicurezza
I dati personali sono custoditi e controllati in modo da ridurre al
minimo, mediante l’adozione di idonee e preventive misure di
sicurezza, i rischi di

distruzione o perdita, anche accidentale dei dati

accesso non autorizzato

trattamento non consentito o non conforme alla finalità
della raccolta
Vietato dunque lasciare ricette mediche nelle cassettine in sala d’attesa,
cartelle cliniche e CD con i backup dell’archivio pazienti sulla scrivania!
Quali sono gli obblighi del medico?
Adozione delle misure minime di sicurezza


Secondo quanto previsto dal Disciplinare tecnico (Allegato B)
Le prime 26 misure riguardano i trattamenti con strumenti
elettronici (vi rientra la redazione del DPS).
Le ultime 3 misure riguardano i trattamenti senza
strumenti elettronici: chi tratta i dati solo su supporto
cartaceo non è tenuto a redigere il DPS ma nomina, ove
necessario, gli Incaricati e i Responsabili.
Documento programmatico sulla sicurezza

obbligatorio per chi tratta dati sensibili e giudiziari

va compilato ogni anno entro il 31 marzo

non va inviato al Garante ma custodito in studio
Come mettere in sicurezza il PC
ai sensi del Codice della privacy?

Rendere operativa la password di sistema
Impostare la password in maniera alfanumerica, di lunghezza
non inferiore agli otto caratteri (esempio: fimmgba,23).
Non lasciare mai foglietti in vista recanti la password.
Scegliere una password facile da memorizzare ma che non
contenga il proprio nome o cognome.

Rendere operativa la password del programma gestionale
che contiene i dati degli assistiti.

Modificare le password ogni tre mesi secondo le modalità
sopra indicate.
Come mettere in sicurezza il PC
ai sensi del Codice della privacy?

Aggiornare frequentemente il sistema operativo
preferibilmente in modalità automatica mediante “live update”.

Dotare il PC di un firewall
Il firewall è un software che identifica e blocca tentativi di
intrusione nel sistema attraverso internet o collegamenti in rete.

Dotare il PC di un software antivirus

Eseguire un backup dei dati almeno settimanale
da custodire in luogo sicuro.
Quali sono gli obblighi del medico?
Nomina dei responsabili e degli incaricati

Possono prestare la propria opera professionale solo se hanno
ottenuto la preventiva nomina scritta da parte del titolare del
trattamento .
Responsabile della sicurezza

Ogni titolare del trattamento, se non delega espressamente un
altro soggetto quale responsabile della sicurezza, è esso stesso
considerato “responsabile” del trattamento (pur se non
espressamente individuato come tale), in relazione alla particolare
natura dei dati trattati ed ai conseguenti obblighi relativi alla
sicurezza.
Quali sono gli obblighi del medico?
Limiti alla comunicazione dei dati

La comunicazione all’interessato (paziente) di dati sanitari può
avvenire solo per il tramite di un medico o di altro personale sanitario
che abbia rapporti diretti con il paziente e che sia stato designato dal
titolare o dal responsabile del trattamento. Art. 84

Il medico curante potrà dare comunicazione ad altri soggetti di dati
personali dei propri assistiti solo
- per adempiere ad obblighi di Legge
- per rispettare norme o regolamenti di tipo comunitario
- su disposizione della Magistratura
La tutela dei dati personali in Ospedale
Provvedimento del Garante del 9/11/2005
Tutela della dignità
Chiamate in sala d’attesa
Riservatezza nei colloqui
Liste di pazienti
Distanze di cortesia
Informazioni stato di salute
Notizie su reparti e PS
Ritiro delle analisi
Il problema della prescrizione dei medicinali in Ospedale
Le forme associative
dell'assistenza primaria
Problemi in relazione alla tutela dei dati
• medicina in rete
• medicina di gruppo
• UMG
Dalle carte sanitarie al fascicolo elettronico
Le sanzioni della privacy
SANZIONI
Art. 161
Omessa o inidonea informativa per trattamenti che
contengono dati sensibili

Sanzione amministrativa pecuniaria da € 5.000 a € 30.000 .

La somma può essere aumentata sino al triplo quando risulta
inefficace, in ragione delle condizioni economiche dei contravventori.

Può essere applicata anche la sanzione amministrativa accessoria
della pubblicazione dell'ordinanza - ingiunzione, per intero o
per estratto, in uno o più giornali indicati nel provvedimento del
Garante che la applica.
SANZIONI
Art. 167
Trattamento di dati senza il prescritto consenso

Reclusione da 6 a 18 mesi se dal fatto deriva un danno.

Reclusione da 6 a 24 mesi se il trattamento è effettuato in
violazione delle regole sulla comunicazione e sulla
diffusione di dati.
SANZIONI
Art. 169
Omessa adozione delle misure di sicurezza

Costituisce illecito penale anche se non si determina un danno
per gli interessati!

Arresto sino a 2 anni o ammenda da € 10.000 a € 50.000.

All'autore del reato è impartita una prescrizione fissando un
termine per la regolarizzazione non eccedente il periodo di
tempo tecnicamente necessario (non superiore a 6 mesi).
L'adempimento e il pagamento estinguono il reato.
SANZIONI
Art. 162
Violazione delle prescrizioni in ordine alla
comunicazione di dati in ambito sanitario

Sanzione amministrativa pecuniaria da € 500 a € 3.000 nel
caso in cui i dati personali, idonei a rivelare lo stato di salute,
siano resi noti all'interessato, da parte degli esercenti le
professioni sanitarie ed organismi sanitari, tramite persona
diversa dal medico designato dall'interessato o dal titolare.

Può essere applicata anche la sanzione amministrativa accessoria
della pubblicazione dell'ordinanza - ingiunzione, per intero o
per estratto, in uno o più giornali indicati nel provvedimento del
Garante che la applica.
Spero di non avervi ……
Spero di non avervi ……
stancato: grazie per l’attenzione!