AZIENDA S.CAMILLO FORLANINI DI ROMA
ISTRUZIONI AI RESPONSABILI E AGLI INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI AI
SENSI DEL D. LGS. 196/2003 E S.M.I.
Il Codice in materia di protezione dei dati personali, cd. Codice Privacy, è stato adottato con il D.
Lgs. 196/2003 e s.m.i. , che ha raccolto le disposizioni di cui alla Legge 675/1996 e tutti gli
interventi normativi susseguitisi fino al 2002.
Considerando che la Privacy deve essere rispettata in modo sostanziale in quanto finalizzata al
rispetto della dignità della persona attraverso la riservatezza dei dati personali, risulta evidente
che attenersi adeguatamente alle prescrizioni di cui al D. Lgs. 196/2003 e s.m.i. impone un
rilevante impegno organizzativo all'interno di ogni struttura aziendale.
Lo scopo delle presenti istruzioni è quello di fornire un supporto pratico/informativo ai
responsabili e agli incaricati del trattamento per ridurre al minimo i rischi di danneggiamento o
dispersione dei dati in ragione di un trattamento non corretto.
Pertanto, le presenti istruzioni intendono supportare l'azione dirigenziale senza limitare
l'autonomia dirigenziale fondamentale per individuare ulteriori modalità operative che rafforzino
la sicurezza dei trattamenti dei dati e delle informazioni detenute dagli uffici e dalle strutture
dell'Azienda Ospedaliera S. Camillo Forlanini di Roma.
Tali prescrizioni devono intendersi come istruzioni impartite dal TITOLARE del trattamento che, ai
sensi dell'art. 28 del D. Lgs. 196/2003, è l' Azienda Ospedaliera S. Camillo Forlanini di Roma nella
figura del Direttore Generale.
Il Titolare del trattamento dei dati personali risponde, in sede penale e civile, degli effetti
sanzionatori per mancata ottemperanza alle disposizioni normative sulla tutela della privacy e della
riservatezza dei dati.
Al Titolare del trattamento competono le decisioni in ordine alle finalità, alle modalità del
trattamento dei dati personali ed alle misure organizzative utilizzate, in materia di privacy, ivi
compreso il profilo della sicurezza, nonchè il compito di diffondere la cultura della privacy in
Azienda, mediante:
–
la predisposizione della modulistica necessaria per adempiere alle disposizioni del Codice
Privacy in materia di informativa e di manifestazione del consenso ;
–
la gestione della pagina Privacy pubblicata sulla Home Page del sito aziendale
–
la pubblicazione sul sito Privacy aziendale dell'elenco dei Responsabili aggiornato
annualmente, delle Istruzioni per i responsabili, delle circolari informative, dei
provvedimenti del Garante attinenti l'attività sanitaria, della modulistica , etc.
– la programmazione di interventi formativi per i Responsabili e gli Incaricati del trattamento
Il Titolare provvede, tra l'altro:
• ad adottare, per quanto di competenza, le misure atte a garantire la sicurezza nel
trattamento dei dati personali;
• a redigere ed aggiornare annualmente l'elenco dei responsabili del trattamento dei dati
personali in Azienda;
• ad impartire ai Responsabili e agli Incaricati del trattamento le necessarie istruzioni per
una corretta gestione dei dati personali, ivi compresa la salvaguardia della loro integrità e
sicurezza.
Il Titolare, nell'esercizio delle funzioni di cui sopra, è coadiuvato dalla P.O. Privacy/Supporto alle
Relazioni Sindacali, incardinata presso la UOC Affari Generali, sotto il profilo, di carattere
esclusivamente funzionale, di studio, consulenza e supporto amministrativo .
L'attività di vigilanza sul rispetto della normativa di cui al D. Lgs. 196/2003 da parte dei responsabili
del trattamento è svolta dal Titolare, ai sensi dell'art. 29 comma 5 del D. Lgs. 196/2003 e s.m.i.
Per dato personale si intende qualunque informazione relativa a persona fisica identificata o
identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale (definizione così modificata dal cd. Decreto
Salva Italia convertito in legge 22 dicembre 2011 n. 214)
I dati personali sono considerati dati sensibili quando sono idonei a rivelare lo stato di salute e la
vita sessuale, l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti o sindacati, ad associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale.
Per trattamento dei dati personali si intende qualunque operazione o complesso di operazioni
effettuati anche senza l'ausilio di strumenti elettronici : raccolta, registrazione, organizzazione,
conservazione,consultazione, elaborazione, modificazione, selezione, estrazione,raffronto,
utilizzo,interconnessione,blocco, comunicazione, diffusione, cancellazione o distruzione dei dati,
anche se non registrati in una banca dati (per l'esatta definizione delle singole operazioni si
rimanda all' art. 4, comma 1, lett. a) D.Lgs. 196/03)1.
Per interessato si intende "la persona fisica cui si riferiscono i dati personali (definizione così
modificata dal cd. Decreto Salva Italia convertito in legge 22 dicembre 2011 n. 214)
Ai sensi dell'art. 11 del D. Lgs. 196/2003 e s.m.i., i dati personali oggetto di trattamento devono
essere:
a) trattati in modo lecito e secondo correttezza, nel rispetto del principio di riservatezza;
1
art. 4, comma 1, lett. a) D.Lgs. 196/03 -
Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero
di identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchŽ i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale,
di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualitˆ di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in
ordine alle finalitˆ, alle modalitˆ del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
i) "interessato", la persona fisica cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o pi• soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non pu˜ essere associato ad un interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o pi• unitˆ dislocate in uno o pi• siti;
q) "Garante", l'autoritˆ di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675.
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in termini compatibili
con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o
successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo
non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente
trattati;
f) nel rispetto delle misure minime di sicurezza, custodendo e controllando i dati oggetto di
trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non
autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Nello specifico, deve intendersi per tutela della riservatezza l’attivazione di procedure di
conoscenza delle informazioni detenute, a qualsiasi titolo, dall’Azienda, tali da consentire l’accesso
solo a soggetti identificati e dotati di un adeguato grado di autorizzazione.
Misure di sicurezza
Per misure di sicurezza deve intendersi l’insieme delle prescrizioni di carattere tecnologico,
procedurale ed organizzativo finalizzate all’implementazione di un adeguato livello di sicurezza nel
trattamento dei dati.
Ai sensi dell'art. 4, comma 3, lett. a) del Codice Privacy, per misure minime di sicurezza si intende
"il complesso delle misure tecniche, informatiche, organizzative e procedurali di sicurezza che
configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31".
La prima misura di sicurezza è di carattere organizzativo e coinvolge l’esatta definizione dei ruoli e
delle responsabilità. A tal fine l’Azienda, quale titolare del trattamento dei dati personali, con le
deliberazioni n. 1358/2008, n. 2357/2008, n. 463/2010 ha individuato i responsabili del
trattamento dei dati, ai sensi D. Lgs. 196/2003 e s.m.i., nelle figure dei Direttori delle Unità
Operative Complesse e dei responsabili delle Unità Operative Semplici Dipartimentali.
Il decreto Legislativo n. 196/2003e smi richiede misure di sicurezza volte ad assicurare un livello
minimo di protezione dei dati personali, come succintamente descritte nei paragrafi successivi.
Trattamenti senza l’ausilio di strumenti elettronici.
Nel caso di trattamento dei dati senza l’ausilio di strumenti elettronici, sono previste le seguenti
regole:
- agli incaricati sono impartite istruzioni scritte finalizzate al controllo e alla custodia, per
l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei
documenti contenenti dati personali;
- in sede di individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista
degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi
profili; quando gli atti e i documenti contenenti dati personali, sensibili o giudiziari, sono
affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti
e documenti sono controllati e custoditi dagli incaricati fino alla restituzione, in maniera che
ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle
operazioni affidate;
- l’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone
ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate .
Il trattamento di dati senza strumenti elettronici coinvolge i dati contenuti in tutti i supporti
cartacei o simili che, comunque, non richiedano l’uso di elaboratori elettronici. Ove esistano copie
o riproduzioni di documenti che contengono dati personali, le medesime devono essere protette
con le stesse misure di sicurezza applicate agli originali.
I documenti contenenti dati personali devono essere custoditi in modo da non essere accessibili
alle persone non incaricate del trattamento, mediante localizzazione presso spazi con accesso
riservato (es. armadi o cassetti chiusi a chiave, archivi chiusi a chiave, etc.), e non devono rimanere
incustoditi su scrivanie o tavoli di lavoro.
Criteri tecnici ed organizzativi per la protezione delle aree e dei locali.
I dati e le informazioni di carattere sensibile e/o giudiziario devono essere trattati in aree protette,
anche fisicamente, dall’accesso da parte di persone non autorizzate.
Un livello di protezione più elevato deve attivarsi per gli ambiti di trattamento e/o conservazione
dei dati sensibili e giudiziari e ove sono ubicati i server di residenza dei dati e delle informazioni. Le
barriere fisiche, ove necessario, devono essere configurate in modo tale da impedire l’accesso alle
persone non autorizzate. Le aree di sicurezza, quando rimangono vuote, devono restare chiuse e
con strumenti di controllo atti ad impedire accessi abusivi.
Il personale in servizio presso l’Azienda ha accesso ai locali esclusivamente per l’adempimento
della prestazione lavorativa.
Il personale che espleta servizi strumentali (es.: pulizia dei locali) o si occupa della manutenzione e
dei servizi accessori, deve essere espressamente autorizzato ad accedere alle aree di sicurezza.
L’assegnazione degli spazi di lavoro deve avvenire secondo criteri tali da impedire la promiscuità di
permanenza e di utilizzazione tra:
- personale incaricato del trattamento di dati personali;
- personale non incaricato del trattamento di dati personali;
- soggetti estranei all’azienda
Il personale dipendente incaricato del trattamento ha accesso ai dati esclusivamente sulla base
delle esigenze di servizio, conformemente ai seguenti principi:
- la necessità del trattamento;
- il minimo livello di conoscenza dei dati per l'espletamento della propria attività.
I Responsabili del trattamento devono vigilare affinché venga disciplinato e controllato l'accesso, il
transito, la permanenza di persone estranee all'attività lavorativa nelle aree e nei locali adibiti a
luoghi di lavoro, con particolare attenzione agli spazi in cui vengono custodite banche di dati o ove
vengono trattati dati sensibili o giudiziari. E' altresì compito del Responsabile vigilare
sull’introduzione in tali aree di oggetti, apparecchiature, sostanze o materiali che possono favorire
il sorgere di rischi per la conservazione e l'integrità dei dati.
Archivi cartacei
- temporanei
La gestione degli archivi cartacei temporanei si ascrive alla competenza del Responsabile del
trattamento. Il Responsabile dovrà assicurare che la documentazione venga custodita in armadi o
cassetti dotati di serratura o in stanze adibite ad archivio chidibili con serratura.
I documenti contenenti dati sensibili o giudiziari devono essere conservati secondo modalità che
ne precludano la visione nel caso di consultazione di documenti di altro genere, mediante
creazione di sottofascicoli in busta chiusa. Il Responsabile ne deve garantire l’integrità .
- di deposito
L’archivio cartaceo di deposito deve essere controllato in considerazione della circostanza che
l’accesso a siffatta documentazione non è pubblico.
La consultazione potrà avvenire esclusivamente da parte del personale autorizzato o da parte di
estranei autorizzati dal Responsabile. Il Responsabile dell’archivio cartaceo deve annotare su
apposito registro gli estremi di ogni consultazione, precisando la data, la struttura richiedente,
l’identità del soggetto che procede alla consultazione, l’oggetto della consultazione, le operazioni
effettuate.
I documenti contenenti dati sensibili o giudiziari devono essere conservati secondo modalità che
ne precludano la visione nel caso di consultazione di documenti di altro genere, mediante
creazione di sottofascicoli in busta chiusa. Il Responsabile deve garantire l’integrità dei
sottofascicoli in occasione dell’accesso da parte di soggetti non legittimati alla consultazione dei
dati sensibili o giudiziari.
I dati devono essere conservati in una forma che consenta l'identificazione dell'interessato per un
periodo non superiore agli scopi della raccolta; superato tale termine, il responsabile deve
provvedere alla cancellazione del dato ovvero alla trasformazione del dato in forma anomina.
La selezione e lo scarto della documentazione deve avvenire nel rispetto delle prescrizioni
normative vigenti.
Altre misure per il rispetto dei diritti degli interessati in ambito sanitario
Si rimanda all'opuscolo "La protezione dei dati personali da parte del paziente: Più Privacy in
corsia" predisposto a cura del Garante e pubblicato, in italiano, inglese e francese, sul sito
aziendale alla pagina Internet – Privacy – Atti e Provvedimenti del Garante.
Responsabili del trattamento dei dati
I responsabili del trattamento devono:
attenersi alle disposizioni contenute nel Codice, di cui le presenti istruzioni rappresentano un
elaborato , alle disposizioni del Garante, nonchè alla normativa nazionale e regionale vigente che
disciplina specifici trattamenti di dati (es. art. 5 L. 135/1990 - tutela della riservatezza di persona
affetta da HIV, Legge 194/1978 sulle interruzioni di gravidanza, Legge 94/1998 - sperimentazioni
cliniche in campo oncologico, etc.);
- segnalare al Titolare eventuali carenze nelle misure minime di sicurezza;
- segnalare al Titolare ogni notizia rilevante ai fini della tutela della sicurezza e della riservatezza
dei dati personali;
- ottemperare ad ogni altro adempimento stabilito dal Titolare in relazione al trattamento dei dati.
La funzione di responsabile non è delegabile, in caso di assenza o impedimento le ralative
attribuzioni sono esercitate da chi lo sostituisce per le attività istituzionali.
Ogni modifica di responsabilità o di titolarità nelle strutture operative dell'Azienda deve essere
comunicata alla PO Privacy/Supporto alle Relazioni Sindacali che adotterà gli adempimenti di
competenza.
Incaricati del trattamento
Ai sensi dell'art. 30 del Codice:
- Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la
diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
- La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento
consentito (secondo lo schema scaricabile dal sito aziendale alla pagina Internet – Privacy –
Normativa e Modulistica). La copia della lettera di designazione dell'Incaricato dovrà essere
conservata dal Responsabile ed, eventualmente, inviata alla UOC Affari Generali - P.O.
Privacy/Supporto alle Relazioni Sindacali a seguito di richiesta.
I responsabili devono:
-conservare le eventuali lettere di incarico e trasmetterle, in caso di eventuale richiesta, alla PO
Privacy/Supporto alle Relazioni Sindacali.
- comunicare alla PO Privacy/Supporto alle Relazioni Sindacali eventuali variazioni relative ai
nominativi degli incaricati.
Il Responsabile del trattamento dei dati è tenuto ad effettuare controlli sulle attività degli incaricati
del trattamento, al fine di garantire la puntuale applicazione delle disposizioni contenute nel
Codice.
I responsabili dettano le istruzioni per il corretto trattamento dei dati, preferibilmente, in forma
scritta, ma è sempre ammessa anche la diffusione di istruzioni in forma orale.
I Responsabili devono garantire che le attività degli incaricati non vengano espletate alla presenza
o secondo modalità che consentano ad estranei di acquisire dati e/o informazioni detenute
dall’azienda.
In caso di allontanamento dalla postazione di lavoro, l’incaricato deve adottare le misure minime
di sicurezza per impedire la visione di documenti in lavorazione o di dati personali da parte di
persone non autorizzate, quindi ad es. deve attivare la procedura c.d. “salvaschermo”, e chiudere
le procedure informatiche in uso.
Comunicazione
La diffusione dei dati personali deve avvenire in base al principio dello “stretto indispensabile”, nel
senso che essi non devono essere condivisi, comunicati, inviati a soggetti o Istituzioni che non ne
abbiano bisogno per lo svolgimento delle funzioni lavorative, a prescindere dall’eventuale qualifica
di responsabili o incaricati di altra struttura. I dati non devono essere comunicati all’esterno della
struttura e a soggetti terzi, se non previa autorizzazione.
Distruzione
Qualora sia necessario distruggere i documenti contenenti dati personali, questi devono essere
soppressi mediante apparecchi “distruggi documenti” o, in assenza, attraverso modalità che
impediscano qualsiasi ricomposizione.
Cartelle Cliniche
Si riporta il testo dell'art. 92 del D. Lgs. 196/2003 e smi:
1. Nei casi in cui organismi sanitari pubblici e privati redigono e conservano una cartella clinica in
conformità alla disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la
comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente
riguardanti altri interessati, ivi comprese informazioni relative a nascituri.
2. Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa scheda di
dimissione ospedaliera da parte di soggetti diversi dall'interessato possono essere accolte, in tutto
o in parte, solo se la richiesta è giustificata dalla documentata necessità:
a) di far valere o difendere un diritto in sede giudiziaria ai sensi dell'articolo 26, comma 4, lettera
c), di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un
altro diritto o libertà fondamentale e inviolabile;
b) di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione
giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto
della personalità o in un altro diritto o libertà fondamentale e inviolabile.
Altre misure per il rispetto dei diritti degli interessati
Si rimanda all'art. 83 del D. Lgs. 196/2003 il cui contenuto è sintetizzato nell'Allegato A,
consultabile anche sul sito Internet – Privacy – Normativa e Modulistica.
Dati sensibili o giudiziari 2
Ai sensi dell'art. 22, comma 3 , del D. Lgs. n. 196/2003 e s.m.i. i soggetti pubblici possono trattare
solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono
essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di
natura diversa.
In applicazione dell'articolo 11, comma 1, lettere c), d) e), i soggetti pubblici verificano
periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonchè la loro
pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei
singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di
assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro
attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati
che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non
possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del
documento che li contiene. Specifica attenzione va prestata per la verifica dell'indispensabilità dei
dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni o gli adempimenti.
I dati sensibili o giudiziari richiedono ulteriori misure di sicurezza, in particolare:
- i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati devono essere
distrutti o resi inutilizzabili;i supporti magnetici od ottici contenenti dati personali devono
essere cancellati prima di essere riutilizzati. Se ciò non è possibile, essi devono essere
distrutti secondo modalità che ne impediscano la ricomposizione;
- il trattamento dei dati sanitari deve essere effettuato con particolari tecniche (cifratura,
codici identificativi) così come dettagliatamente descritto nell' art. 22, comma 6 , del D. Lgs.
n. 196/2003 e s.m.i.al quale si rimanda3
I documenti contenenti dati sensibili e/o giudiziari devono essere sottoposti al controllo dei
responsabili i quali, a loro volta, potranno avvalersi degli incaricati per la custodia e/o il
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari - Allegato B al D. Lgs. 196/2003
2
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all' art. 615- ter del codice penale, mediante l'utilizzo di idonei strumenti
elettronici.
21. 1. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare
accessi non autorizzati e trattamenti non consentiti.
1.bis: il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d'intesa per la prevenzione e il contrasto dei
fenomeni di criminalità organizzata stipulati con il Ministero dell'Interno o con i suoi uffici perifierici di cui all'art. 15, c. 2, del D. Lgs. 300/1999,
previo parere del garante Privacy, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da
altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in
tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
contenuti in elenchi, registri o banche di dati con le modalitˆ di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento
disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica
sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad
accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi
equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
3
Art. 22, comma 6 , del D. Lgs. n. 196/2003 - I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici,
sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono
temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
trattamento. Il Responsabile deve impedire l’accesso a persone prive di autorizzazione nei luoghi e
nei momenti in cui si trattano dati sensibili e/o giudiziari. Conseguentemente, il trattamento di dati
sensibili e/o giudiziari contenuti in documenti cartacei deve avvenire per il tempo strettamente
necessario al trattamento, con successiva immediata archiviazione dei dati.
L’archiviazione dei documenti cartacei contenenti dati sensibili e/o giudiziari deve avvenire in locali
ad accesso controllato, utilizzando stanze, armadi o cassetti chiusi a chiave.
Per accedere agli archivi contenenti dati sensibili e/o giudiziari fuori orario di lavoro è necessario
ottenere una preventiva autorizzazione da parte del Responsabile oppure procedere
all’identificazione su un apposito registro.
I dati anagrafici devono essere conservati separatamente da quelli sanitari che, invece, se
contenuti in elenchi, registri o banche dati devono essere trattati con “tecniche di cifratura o codici
identificativi che consentano di identificare gli interessati solo in caso di necessità”.
Istruzioni per la regolarizzazione dei rapporti con i fornitori: Informativa
Ogni struttura Aziendale dovrà regolarizzare i rapporti con ogni fornitore dell’Azienda mediante
l’invio dell’informativa prevista dall’art. 13 del D.Lgs 196/03 tramite raccomandata A/R o fax.
La ricevuta dell’avvenuto invio deve essere conservata presso la struttura.
Designazione dei Responsabili esterni del trattamento
I Responsabili del trattamento dovranno comunicare alla P.O. Privacy/Supporto alle Relazioni
Sindacali i dati relativi ai soggetti esterni (denominazione, sede e descrizione attività) che trattano
dati per conto della propria struttura in virtù di un contratto in essere, affinchè il Titolare possa
definire le modalità di designazione degli stessi quali Responsabili esterni del trattamento (es.
gestione cartelle cliniche, dignostica in convenzione ecc. ), secondo il fac -simile pubblicato sul sito
Internet – Privacy – Normativa e Modulistica.
Istruzioni per regolarizzare il trattamento dei dati dei dipendenti/collaboratori
L'Area del Personale dovrà farsi carico di informare il dipendente/collaboratore mediante la
consegna dell'Informativa che dovrà essere allegata al contratto di assunzione, di collaborazione, di
consulenza ecc. di nuova adozione (fac -simile pubblicato sul sito Internet – Privacy – Normativa e
Modulistica) .
Informativa Utenti
Sul sito Internet – Privacy – Atti e Provvedimenti dell'Azienda è pubblicato lo schema di Informativa
e Consenso da utilizzare al momento della raccolta dei dati dell’Interessato. I Responsabili del
trattamento dovranno curare la diffusione tramite spiegazioni accurate dell’Informativa, che potrà
avvenire anche solo verbalmente, e la conservazione del relativo consenso, ai sensi dell'art. 81 del
D. Lgs. 196/2003 e s.m.i. L'informativa è stata redatta anche in formato POSTER e distribuita
presso tutte le Unità Operative aziendali.
Trattamento con strumenti elettronici
Nel caso in cui il trattamento dei dati personali avvenga utilizzando strumenti elettronici sono
necessari degli adempimenti che:
1. garantiscano l’accesso ai dati solo agli incaricati autorizzati e con il profilo di autorizzazione
previsto;
2. non permettano un trattamento dei dati non conforme alle finalità della raccolta;
3. riducano al minimo i rischi di distruzione o perdita anche accidentali.
I dati personali sono protetti contro il rischio di intrusione mediante l’attivazione di idonei
strumenti elettronici (anti-virus) aggiornati con cadenza almeno semestrale.
Gli aggiornamenti periodici dei programmi per elaboratore, volti a prevenire la vulnerabilità di
strumenti elettronici e a correggerne difetti, sono effettuati almeno annualmente dalla struttura
competente per materia. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è
almeno semestrale.
Per trattare i dati mediante dispositivi informatici, deve seguirsi una procedura di autenticazione
che consenta l’identificazione del Responsabile o dell’Incaricato, mediante “credenziali di
autenticazione”. Le “credenziali di autenticazione” consistono in un user-ID, associato ad una
parola chiave segreta cd. "password" conosciuta esclusivamente dall'interessato.
Le user-ID e le password individuali per l’accesso alle applicazioni non devono essere mai condivise
con altri soggetti, anche se incaricati del trattamento. Nel caso sia necessario permettere l’accesso
da parte di altri utenti, dovrà essere richiesta la generazione di una nuova password.Le credenziali
di autenticazione non utilizzate da almeno sei mesi devono essere disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione tecnica.
Le credenziali di autenticazione devono essere disattivate anche in caso di perdita della qualità che
consente all’incaricato l’accesso ai dati personali.
Per i PC collegati in rete, i Responsabili e gli Incaricati devono superare le procedure di
identificazione, quali formalità preliminari per accedere alle risorse presenti nella rete aziendale;
nel caso di utilizzo di applicazioni centralizzate, i responsabili e gli incaricati devono provvedere
anche alla propria identificazione sul sistema applicativo centrale, secondo le modalità e le regole
previste dall’applicativo stesso.
Tutti i Responsabili e gli Incaricati che utilizzano un personal computer per il trattamento di dati
personali non collegato in rete, sono tenuti a proteggere l’accesso alla propria postazione di lavoro
attivando una password (BIOS del PC e/o del sistema operativo).
Per eventuali spiegazioni, chiarimenti o approfondimenti rivolgersi alla U.O.S. Innovazione
Informatica.
Gestione delle password
La password è assegnata ai Responsabili e agli Incaricati mediante sistemi meccanici che
consentano l’enucleazione di password conformi alle prescrizioni contenute nell’Allegato B del
D.Lgs. n. 196 del 2003 (almeno 8 caratteri) e la periodica disattivazione/sostituzione.
I Responsabili devono garantire l’esclusività dell’uso della password, in particolare impedendo che
incaricati, o altri, si avvalgano di credenziali di autenticazione a qualunque titolo percepite.
La parola chiave (password) deve essere composta da almeno otto caratteri, non deve contenere
riferimenti agevolmente riconducibili all’incaricato, deve essere modificata al primo utilizzo e,
successivamente, ogni sei mesi.
Nessuno deve annotare la propria password su supporti facilmente rintracciabili e, soprattutto, in
prossimità della postazione di lavoro utilizzata.
I Responsabili devono altresì accertarsi che gli incaricati cambino la password almeno ogni sei
mesi, ovvero, se trattano dati sensibili e/o giudiziari, ogni tre mesi.
In caso di assenza od impedimento dell’incaricato e contestuale esigenza di accedere ai dati
detenuti presso banche dati o p.c. in uso all’incaricato, i responsabili devono attivare procedure di
accesso temporaneo, mediante generazione di nuove credenziali di autenticazione. Le nuove
credenziali di autenticazione devono essere disattivate al termine della sessione straordinaria di
lavoro. Conformemente a quanto previsto nel punto 10 dell’all. “B - Disciplinare Tecnico” del
Codice, il responsabile deve accertarsi che sia fornita adeguata comunicazione all’incaricato del
sopravvenuto accesso al p.c. o alla banca dati da parte di altro incaricato.
Sicurezza del software e dell’hardware
Le norme riportate in questa sezione sono finalizzate ad aumentare la sicurezza dei singoli sistemi
informatici utilizzati per il trattamento dei dati. Il rispetto di tali norme garantisce anche che non
vengano compromesse le misure di sicurezza del sistema informativo ad opera di un utente
regolarmente autorizzato, che, inconsapevolmente, adotti comportamenti in grado di violare
l’integrità del sistema (installazione inconsapevole di virus o di “trojan horse”).
I Responsabili devono assicurare che gli incaricati non installino sulla postazione di lavoro
programmi non attinenti alle attività di ufficio, ovvero programmi senza la preventiva
autorizzazione. I Responsabili, qualora non siano in grado di apprezzare l’impatto dei programmi
per i quali si è chiesta l’installazione, si coordinano con il titolare del trattamento per concordare la
linea di condotta. Gli incaricati non devono modificare le configurazioni hardware e software,
senza l’autorizzazione del Responsabile del trattamento.
Protezione da virus informatici
I virus informatici rappresentano una delle minacce principali per la sicurezza dei sistemi
informativi e dei dati in esso presenti. Un virus informatico, come è noto, può modificare e/o
cancellare i dati in esso contenuti, compromettere la sicurezza e la riservatezza di un intero sistema
informativo, rendere indisponibile tutto o parte del sistema, compresa la rete di trasmissione dati.
Al fine di non aumentare il livello di rischio di contaminazione da virus sarebbe opportuno che
Responsabili ed Incaricati provvedessero a:
1. accertarsi che sul computer sia sempre operativo il programma antivirus aggiornato e con la
funzione di monitoraggio attiva;
2. sottoporre a controllo con il programma installato sul proprio p.c., tutti i supporti di provenienza
esterna prima di eseguire files in esso contenuti;
3. accertarsi sempre della provenienza dei messaggi di posta elettronica contenenti allegati; nel
caso che il mittente dia origine a dubbi, cancellare direttamente il messaggio senza aprire gli
allegati
4. non condividere con altri computer il proprio disco rigido o una cartella di files senza password
di protezione in lettura/scrittura;
5. proteggere in scrittura i propri floppy disk contenenti programmi eseguibili e/o file di dati;
6. limitare la trasmissione tra computer in rete di file eseguibili e di sistema;
7. non scaricare da Internet programmi o file non inerenti all’attività lavorativa o comunque
sospetti.
8. I Responsabili vigilano affinchè gli incaricati utilizzino la connessione Internet esclusivamente per
lo svolgimento dei propri compiti istituzionali, non diffondano messaggi di posta elettronica di
provenienza dubbia, non utilizzino la casella postale assegnata per fini privati e personali, non si
avvalgano di servizi di comunicazione e condivisione di files (condivisione P2P “peer-to-peer” 4).
Backup dei dati
Gli incaricati che trattano i dati sui propri p.c. non collegati in rete, o per i quali non sono previsti
back-up centralizzati, devono provvedere al back-up cioè al salvataggio dei dati di interesse in
copie di sicurezza da effettuarsi periodicamente su CD o altri supporti rimovibili (settimanalmente
o mensilmente) . I supporti di back-up devono essere custoditi in luogo sicuro e ad accesso
controllato. In occasione di ogni back-up, deve preliminarmente accertarsi l’esito positivo della
4
Due computer effettuano una “condivisione peer to peer” quando scambiano file tra di loro senza ricorrere ad un server
centrale che ne traccia il percorso.
procedura .
Utilizzo della rete Internet
Il Responsabile è tenuto a ricordare a tutto il personale addetto alla propria struttura il divieto di
violare le prescrizioni di cui agli articoli 615 ter –“Accesso abusivo ad un sistema informatico e
telematico”5, 615 quater – “Detenzione e diffusione abusiva di codici di accesso a sistemi
informatici e telematica”6, 615 quinquies – “Diffusione di programmi diretti a danneggiare ed
interrompere un sistema informatico” 7 del codice penale, nonché del Decreto Legge 22 Marzo
2004 n. 72, convertito in legge con modificazioni, dalla Legge 21 Maggio 2004 n. 128 (c.d. “Legge
Urbani”) diretta a sanzionare la condivisione e/o fruizione di file relativi ad un’opera
cinematografica, od assimilata, protetta da diritti d’autore.
È pertanto vietato effettuare il download 8 e l’installazione di programmi dalla rete Internet, a
meno che non si abbia l’esplicita autorizzazione da parte del Responsabile del trattamento.
Sanzioni per inosservanza delle norme
Le presenti istruzioni integrano elementi di valutazione della condotta del lavoratore.
La violazione delle prescrizioni contenute può generare, oltre che responsabilità penali e civili,
l’irrogazione di sanzioni disciplinari, in considerazione della gravità della condotta.
Norma finale
Per tutto quanto non espressamente previsto dalle presenti Istruzioni si rinvia alle disposizioni di
cui al D. Lgs. 196/2003 e s.m.i. e alla normativa vigente in materia di trattamento dei dati personali.
a cura della PO Privacy/Supporto alle Relazioni Sindacali
10/10/2013
5
L’art. 615 ter c.p., rubricato "accesso abusivo ad un sistema informatico o telematico", punisce chiunque si introduca senza
autorizzazione in un sistema informatico o telematico protetto da misure di sicurezza o vi si mantenga contro la volontà esplicita o
tacita
di
chi
ha
il
diritto
di
escluderlo.
La norma recita testualmente : “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di
sicurezza ovvero si mantiene contro la volontà di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”
6
L’art. 615 quater Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde,
comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure
di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con
la
multa
sino
a
lire
10
milioni.
La pena è della reclusione da uno a due anni e della multa da lire 10 milioni a 20 milioni se ricorre taluna delle circostanze di cui ai
nn. 1) e 2) del quarto comma dell`art. 617 quater.
7
art. 615 quinquies Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico
Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il
danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero
l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, e' punito con la reclusione sino a due anni e con la multa sino a
lire
venti
milioni(1).
(1)Articolo aggiunto dall'art. 4, L. 23 dicembre 1993, n. 547.
8
Il “download” è l’azione di scaricare o prelevare dalla rete (ad esempio da un sito web) un file (audio, mp3, video, materiale
pornografico, ecc.), trasferendolo sul proprio disco rigido
Allegato “A” – Garante per la protezione dei dati
personali.
Comunicato stampa - 22 novembre 2005
Le strutture sanitarie rispettino la dignità delle
persone.
Il Garante prescrive le regole di condotta per la
sanità.
Al cittadino che entra in contatto con le strutture
sanitarie per diagnosi, cure, prestazioni mediche,
operazioni amministrative deve essere garantita la
più assoluta riservatezza e il più ampio rispetto
dei suoi diritti fondamentali e della sua dignità.
Con un provvedimento generale, adottato il 9
novembre scorso e di cui è stato relatore il
Presidente Francesco Pizzetti, il Garante per la
protezione dei dati personali ha prescritto ad
organismi sanitari pubblici e privati (aziende
sanitarie territoriali, aziende ospedaliere, case di
cura, osservatori epidemiologici regionali, servizi
di prevenzione e sicurezza sul lavoro) una serie di
misure da adottare per adeguare il
funzionamento e l'organizzazione delle strutture
sanitarie a quanto stabilito nel Codice sulla
privacy e per assicurare il massimo livello di tutela
delle persone.
Tutela della dignità
La tutela della dignità della persona deve essere
sempre garantita. In particolare, riguardo a fasce
deboli (disabili, minori, anziani), ma anche a
pazienti sottoposti a trattamenti medici invasivi o
per i quali è doverosa una particolare attenzione
(es. interruzione della gravidanza). Nei reparti di
rianimazione devono essere adottati accorgimenti
anche provvisori (es. paraventi) per delimitare la
visibilità dell'interessato, durante l'orario di visita,
ai soli familiari e conoscenti.
Riservatezza nei colloqui
Quando prescrive medicine o rilascia certificati, il
personale sanitario deve evitare che le
informazioni sulla salute dell'interessato possano
essere conosciute da terzi. Stesso obbligo per la
consegna di documentazione (analisi, cartelle
cliniche, prescrizioni etc.) quando questa
avvenga in situazioni di promiscuità (es.locali
per più prestazioni, sportelli).
Distanze di cortesia
Ospedali e aziende sanitarie devono
predisporre distanze di cortesia per operazioni
amministrative allo sportello (prenotazioni) o al
momento dell'acquisizione di informazioni sullo
stato di salute, sensibilizzando anche gli utenti
con cartelli, segnali ed inviti.
Notizie al pronto soccorso
L'organismo sanitario può dare notizia, anche
per telefono, sul passaggio o sulla presenza di
una persona al pronto soccorso, ma solo ai terzi
legittimati, come (parenti, familiari, conviventi).
L'interessato, se cosciente e capace, deve
essere
preventivamente
informato (es.
all'accettazione) e poter decidere a quali
soggetti può essere comunicata la sua presenza
al pronto soccorso.
Notizie sui reparti
Le strutture sanitarie possono dare informazioni
sulla presenza dei degenti nei reparti, ma solo a
terzi legittimati (familiari, conoscenti, personale
volontario). Anche qui l'interessato, se
cosciente e capace, deve essere informato al
momento del ricovero e poter decidere quali
soggetti possono venire a conoscenza del
ricovero e del reparto di degenza.
Chiamate in sale d'attesa
Nei locali di grandi strutture sanitarie i pazienti,
in attesa di una prestazione o di
documentazione (es. analisi cliniche), non
devono essere chiamati per nome. Occorre
adottare soluzioni alternative, per esempio
attribuendo un codice numerico al momento
della prenotazione o dell'accettazione.
Liste di pazienti
Non è giustificata l'affissione di liste di pazienti
in attesa di intervento in locali aperti al
pubblico, con o senza la descrizione della
patologia sofferta. Non devono essere resi
visibili ad estranei documenti sulle condizioni
cliniche dell'interessato, come le cartelle
infermieristiche poste vicino al letto di degenza.
Informazioni sullo stato di salute
Si possono dare informazioni sullo stato di salute
a soggetti diversi dall'interessato quando questi
abbia manifestato uno specifico consenso. Tale
consenso può essere dato da un familiare in caso
di impossibilità fisica o incapacità dell'interessato
o, valutato il caso, anche da altre persone
legittimate a farlo, come familiari, conviventi o
persone in stretta relazione con l'interessato
stesso.
I soggetti terzi che hanno accesso alle strutture
sanitarie (es. associazioni di volontariato), per
poter conoscere informazioni sulle persone in
relazione a prestazioni e cure devono rispettare
tutte le regole e le garanzie previste dalle
strutture sanitarie per il proprio personale, come
ad esempio vincoli di riservatezza, possibilità e
modalità di approccio ai degenti.
Ritiro delle analisi
I referti diagnostici, i risultati delle analisi e i
certificati rilasciati dai laboratori di analisi o
dagli altri organismi sanitari possono essere
ritirati anche da persone diverse dai diretti
interessati purché munite di delega scritta e con
consegna in busta chiusa.
I medici di base, gli studi medici privati e i
medici specialistici non rientrano nell'obbligo di
adottare queste misure, ma sono comunque
tenuti a garantire il rispetto della dignità degli
interessati nonché del segreto professionale.
Sulle modalità di applicazione delle norme sulla
privacy al settore sanitario il Garante ha avviato
una consultazione con organismi sanitari,
associazioni e comitati interessati.
Roma, 22 novembre 2005