La privacy nella Pubblica Amministrazione Un caso pratico: il progetto I-Care Avv. Chiara Rabbito.

La privacy nella Pubblica Amministrazione Un caso pratico: il progetto I-Care
Avv. Chiara Rabbito

I PRINCIPI GENERALI

Il quadro normativo Convenzione del Consiglio d’Europa n. 108 del 1981
Direttiva 95/46/CE Legge 675 del 1996 Decreto legislativo 282/1999 Decreto legislativo 196 del 2003

Il Codice della privacy
Il Codice della privacy (d.lgs. 196/2003) si occupa della tutela del cittadino in relazione al trattamento dei suoi dati personali E’ pertanto escluso dalle problematiche sulla privacy il trattamento di dati statistici e di dati aggregati.

Il trattamento Che cos’è un trattamento? Per trattamento si intende:
qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. …quindi anche annotare un dato personale su un post-it è un trattamento!

Come deve avvenire un trattamento
Il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle liberta' fondamentali, nonche' della dignita' dell'interessato, con particolare riferimento alla riservatezza, all'identita' personale e al diritto alla protezione dei dati personali.

I dati personali Che cos’è un dato personale?
Per “dato personale” si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

I dati sensibili Nell’ambito dei dati personali esiste una particolare categoria di cosiddetti “dati sensibili”

Definizione di dato sensibile
Sono "dati sensibili" i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale

I soggetti della privacy
Sono coinvolti una molteplicità di soggetti….

L’interessato L’interessato è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;

Il titolare dei dati Chi è il titolare dei dati?
Per titolare si intende la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare (il cosiddetto co-titolare), le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

Il responsabile dei dati
Chi è il responsabile? la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

Il responsabile esterno
Frequentemente risulta necessaria la nomina di un cosiddetto “responsabile esterno” …per esempio il nostro commercialista… Può trattarsi di una persona fisica o di un ente Come avviene la nomina?

La nomina a responsabile esterno
Atto di nomina di responsabile esterno del trattamento ex art. 29 del d.lgs. 196/2003 Il/La…………………(nome Ente), nella Sua qualità di titolare del trattamento ai sensi dell'art. 29 del d.lgs.196/2003, PREMESSO CHE il d.lgs.196/2003 ha espressamente previsto la possibilità che il titolare preponga al trattamento dei dati personali uno o più responsabili, scelti tra soggetti che, per la loro capacità, esperienza e affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di tutela dei dati personali, ivi compresa la sicurezza degli stessi; CHE il responsabile deve procedere al trattamento con la dovuta diligenza, nonché attenendosi alle istruzioni ricevute dal titolare, il quale deve vigilare sulla puntuale osservanza delle disposizioni vigenti; L’ENTE intende procedere alla nomina di ………………………………… responsabile del trattamento, per ciò che attiene ai dati personali e sensibili di cui è titolare e il cui trattamento è necessario per …... Il titolare dichiara che i dati trasmessi al responsabile sono: 1. esatti e aggiornati; 2. pertinenti, completi e non eccedenti la finalità della raccolta; 3. raccolti e trasmessi al responsabile in modo lecito.

I doveri del responsabile esterno
Il responsabile deve: a) operare nel rispetto dei principi generali fissati dall'art. 11 del d.lgs.196/2003; b) impartire ai propri incaricati le istruzioni fornite dal titolare del trattamento, nonché imporre le precauzioni generali dettate dal d.lgs.196/2003; c) adottare e rispettare le misure di sicurezza indicate e predisposte dal titolare; d) vigilare sul rispetto delle misure di sicurezza da parte dei soggetti incaricati, e) tenere la lista degli incaricati con l’indicazione dell’ambito di trattamento consentito mediante strumenti elettronici e quella del trattamento mediante strumenti non elettronici, f) effettuare esclusivamente i trattamenti indicati dal titolare

Gli incaricati Chi sono gli incaricati?
le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

L’autorizzazione Come avviene l’autorizzazione dell’incaricato?
Mediante lettera di incarico o Mediante lettera di riservatezza

La lettera di incarico Atto di nomina di incaricato del trattamento di dati personali e sensibili ai fini di….. Il/La…………………(nome Ente), nella Sua qualità di titolare – ovvero – responsabile del trattamento dei dati in relazione a…., ai sensi dell’art. 30 del d. lgs. n. 196/2003, designa quale incaricato al trattamento dei dati personali e sensibili il Sig./la Sig.ra (nome e cognome), nato/a a …………………., il ………………………….., in servizio presso …………………………..(inserire ufficio/area/funzione). Tale nomina riguarda il trattamento di dati personali e sensibili ai quali il soggetto sopracitato abbia accesso in relazione a………………………………nell'espletamento della funzione che gli è propria, nelle mansioni e/o per gli incarichi che gli/le sono stati affidati. Art. 30 (Incaricati del trattamento): 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima.

I doveri dell’incaricato
il Sig./la Sig.ra ……………………………….. dovrà trattare i dati personali e sensibili attenendosi alle seguenti modalità: in modo lecito e secondo correttezza; raccogliendoli e registrandoli per gli scopi inerenti l'attività svolta; verificando, ove possibile, che siano esatti e, se necessario, aggiornarli; verificando che siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati, secondo le indicazioni ricevute dal responsabile/titolare;

I criteri fondamentali

Art. 7 (Diritto di accesso ai dati personali ed altri diritti)
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalita' e modalita' del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Art. 7 (Diritto di accesso ai dati personali ed altri diritti)
3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Art. 11 (Modalita' del trattamento e requisiti dei dati)
1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Le modalità del trattamento
I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Adempimenti privacy per gli enti pubblici

Regolamento dati sensibili
Art (Principi applicabili al trattamento di dati sensibili) 1. Il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di' dati che possono essere trattati e di operazioni eseguibili e le finalita' di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.

3. Se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attivita', tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalita' di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento e' consentito solo se il soggetto pubblico provvede altresi' a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.

Il regolamento dei dati sensibili
CASO A Ai sensi dell’art. 20 il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.

CASO B Nei casi in cui la disposizione di legge specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili trattati e le operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici dai soggetti che effettuano il trattamento in relazione alle specifiche finalità perseguite nei singoli casi con atto di natura regolamentare.

CASO C Tuttavia, se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili (art. 20 comma 3).

Adempimenti Ente non sanitario
Il Regolamento per i dati sensibili è già stato elaborato sulla base della legge 675/96, ma era da aggiornare in base al nuovo Codice entro il 31 dicembre 2004 Si tratta anche di mettere a punto un Documento Programmatico di Sicurezza entro il 31 marzo di ogni anno.

Trattamento dei dati sensibili nella pubblica amministrazione (G.U. n. 170 del 23 luglio 2005) Il Garante segnala che non sono state ancora introdotte le garanzie previste in ordine al trattamento di alcune informazioni che riguardano profili particolarmente delicati della sfera privata delle persone, ovvero dei c.d. dati "sensibili".

Il Garante: se non interverranno entro il 31 dicembre prossimo (2004) i necessari atti di natura regolamentare il trattamento dei dati sensibili e giudiziari dovrà essere infatti interrotto a decorrere dal 1° gennaio prossimo. La prosecuzione del trattamento di dati sensibili e giudiziari dopo tale data concretizzerebbe un illecito, con conseguenti responsabilità di diverso ordine, anche contabile e per danno erariale; potrebbe inoltre comportare l'inutilizzabilità dei dati trattati indebitamente, nonché il possibile intervento di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e 2, del Codice).

IL MODELLO DI REGOLAMENTO FORNITO DAL GARANTE Art. ... 1. Il presente regolamento, in attuazione del Codice in materia di protezione dei dati personali (artt. 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196), identifica le tipologie di dati sensibili e di operazioni indispensabili a ... per perseguire le finalità di rilevante interesse pubblico espressamente individuate da apposita previsione di legge. 1. Ai sensi dell'art. 1, ... , per le finalità di ... tratta le seguenti tipologie di dati sensibili e giudiziari mediante i tipi di operazioni di seguito indicati. INDICAZIONE DEL TRATTAMENTO E DESCRIZIONE RIASSUNTIVA DEL CONTESTO Indicare sinteticamente il contesto in cui il trattamento è effettuato, descrivendo anche, con linguaggio chiaro e comunicativo, le caratteristiche principali del trattamento e del flusso informativo

FINALITÁ DI RILEVANTE INTERESSE PUBBLICO PERSEGUITE Indicare le finalità di rilevante interesse pubblico specificamente indicate dal Codice o da una norma di legge e il relativo riferimento normativo. FONTE NORMATIVA Indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato.

TIPI DI DATI TRATTATI (barrare le caselle corrispondenti) origine □ razziale □ etnica convinzioni □ religiose □ filosofiche □ d'altro genere convinzioni □ politiche □ sindacali stato di salute □ patologie attuali □ patologie pregresse □ terapie in corso □ anamnesi familiare vita sessuale □ dati di carattere giudiziario (art. 4, comma1, lett. e), del Codice)□

OPERAZIONI ESEGUITE (barrare le caselle corrispondenti) Particolari forme di trattamento Interconnessioni e raffronti di dati: con altre informazioni o banche dati dello stesso soggetto pubblico (specificare quali ed indicarne i motivi): con altri soggetti pubblici o privati (specificare quali ed indicare la base normativa): Trattamento automatizzato volto a definire il profilo o la personalità dell'interessato ai fini dell'adozione di un provvedimento amministrativo o giudiziario (specificare quali ed indicarne i motivi o la base normativa): Comunicazione ai seguenti soggetti per le seguenti finalità (indicare l'eventuale base normativa): Diffusione (specificare l'ambito ed indicare l'eventuale base normativa): Altre operazioni (indicare eventuali altre operazioni effettuate sui dati, diverse da quelle sopra indicate):

Altre tipologie più ricorrenti di trattamento Raccolta: □ presso gli interessati □ presso terzi Elaborazione: □ in forma cartacea □ con modalità informatizzate Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare):

Nomina del coordinatore per il diritto di accesso ai dati
Art. 13. Legge 675/1996 (Diritti dell'interessato). 1. In relazione al trattamento di dati personali l'interessato ha diritto: a) di conoscere, mediante accesso gratuito al registro di cui all'articolo 31, comma 1, lettera a), l'esistenza di trattamenti di dati che possono riguardarlo. Al Coordinatore del diritto di accesso sono attribuite le seguenti funzioni: a) promuovere la sensibilizzazione dei Responsabili e gli incaricati del trattamento dei dati, sia in via generale e preventiva sia su singola richiesta, sui diritti di cui all’art. 13 della legge n.675/96; b) collaborare con i singoli interessati alla redazione e compilazione delle istanze per l’esercizio dei diritti medesimi; c) smistare le singole istanze verso i Responsabili del trattamento dei dati competenti ad ottemperare alle medesime; d) individuare le singole misure ritenute opportune per agevolare l’accesso ai dati personali da parte dell’interessato, coordinandosi con i Responsabili del trattamento dei dati e il Responsabile della sicurezza; e) individuare e proporre le misure opportune per semplificare le modalità di accesso e per ridurre i tempi di attesa, indicandole, laddove necessario, ai Responsabile del trattamento dei dati e al Responsabile della sicurezza (delibera RER)

La particolarità dei dati sanitari

I dati sanitari Il Codice privacy fa oggetto di disciplina il trattamento dei dati sanitari nel caso in cui sia finalizzato alla tutela della salute e solo se effettuato da specifici titolari qualificati, i quali istituzionalmente svolgono funzioni di tutela della salute, ossia gli esercenti delle professioni sanitarie e degli organismi sanitari pubblici.

I dati sanitari, definizione normativa:
devono considerarsi dati sanitari ai fini del Codice tutti quei dati dai quali possa desumersi o presumersi uno stato patologico, sintomatico o cronico in capo ad un determinato soggetto. Definizione MOLTO AMPIA. L’art. 76 disciplina il trattamento dei dati idonei a rivelare lo stato di salute, specificando che tale trattamento deve avvenire per finalità di tutela della salute dell’interessato, di terzi e della collettività.

I dati sanitari Ne consegue che:
se il trattamento non è a fini di tutela della salute, ma per esempio a fini di ricerca o scientifici non si applicano in toto le norme sui dati sanitari. Se il trattamento viene effettuato NON da esercenti professioni sanitarie o NON da organismi sanitari non si applica la disciplina ad hoc.

L’ambito applicativo

Esercenti professioni sanitarie
Si ritiene che debbano qualificarsi come “esercenti professioni sanitarie” coloro che svolgono la loro attività a stretto contatto con il paziente e che la esercitano sulla base di un titolo, in qualsiasi forma rilasciato dalla pubblica autorità a fini abilitativi, quali: medici chirurgi, odontoiatri, farmacisti, ostetrici, assistenti sanitari, infermieri professionali, vigilatori d’infanzia, terapisti della rianimazione, tecnici sanitari di radiologia medica, tecnici di immunologia e trasfusione, tecnici di igiene ambientale, igienisti dentali, podologi, audiometristi, massofisioterapisti, tecnici della riabilitazione funzionale, tecnici di laboratorio, dietisti.

Organismi sanitari pubblici
Per quanto concerne gli “organismi sanitari pubblici” deve ritenersi che rientrino in tale definizione le strutture sanitarie individuate dalla legge 23 dicembre 1978 n. 833 e successive modifiche. Si tratta di: Aziende Sanitarie Locali, Aziende ospedaliere, istituti di ricerca e cura a carattere scientifico, farmacie pubbliche, ambulatori destinati a fornire prestazioni sanitarie mediche e chirurgiche, enti di ricerca e sperimentazione, residenze sanitarie e assistenziali.

Gli OSSS Legge Regionale 16 agosto 2001, n. 20. B.U.R. n. 75/2001.
Art. 1 - Figura professionale e profilo. È individuata la figura professionale dell’operatore socio-sanitario. L’operatore socio-sanitario è l’operatore che, a seguito dell’attestato di qualifica conseguito al termine di specifica formazione professionale, svolge attività indirizzata a: soddisfare i bisogni primari della persona, nell’ambito delle proprie aree di competenza, in un contesto sia sociale che sanitario; favorire il benessere e l’autonomia dell’utente.

Gli OSSS In sostituzione e appoggio dei familiari e su indicazione del personale preposto è in grado di: aiutare per la corretta assunzione dei farmaci prescritti e per il corretto utilizzo di apparecchi medicali di semplice uso; aiutare nella preparazione alle prestazioni sanitarie; osservare, riconoscere e riferire alcuni dei più comuni sintomi di allarme che l’utente può presentare (pallore, sudorazione, ecc…); attuare interventi di primo soccorso; effettuare piccole medicazioni o cambio delle stesse ed effettuare iniezioni intramuscolari; controllare e assistere la somministrazione delle diete; aiutare nelle attività di animazione e che favoriscono la socializzazione, il recupero e il mantenimento di capacità cognitive e manuali; collaborare a educare al movimento e favorire movimenti di mobilizzazione semplici su singoli e gruppi; provvedere al trasporto di utenti, anche allettati, in barella-carrozzella; collaborare alla composizione della salma e provvedere al suo trasferimento; utilizzare specifici protocolli per mantenere la sicurezza dell’utente, riducendo al massimo il rischio; svolgere attività di informazione sui servizi del territorio e curare il disbrigo di pratiche burocratiche; accompagnare l’utente per l’accesso ai servizi.

I dati sanitari Ne consegue che:
L’art. 76 disciplina il trattamento dei dati idonei a rivelare lo stato di salute, specificando che tale trattamento deve avvenire per finalità di tutela della salute dell’interessato, di terzi e della collettività. Ne consegue che: se il trattamento non è a fini di tutela della salute, ma per esempio a fini di ricerca o scientifici non si applicano in toto le norme sui dati sanitari.

Il consenso Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attivita' di rilevante interesse pubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute: a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalita' di tutela della salute o dell'incolumita' fisica dell'interessato; b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalita' di cui alla lettera a) riguarda un terzo o la collettivita'.

Il consenso deve essere un consenso informato
Il consenso informato Il consenso deve essere un consenso informato

Art. 13 Informativa 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalita' e le modalita' del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e' conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e' indicato tale responsabile.

Art. 13 Informativa 3. Il Garante puo' individuare con proprio provvedimento modalita' semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, e' data al medesimo interessato all'atto della registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima comunicazione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate. dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.

L’informativa in ambito sanitario
L’informativa dovrà essere resa in forma chiara, evidenziando gli elementi di cui all’art. 13. Essa dovrà essere resa preferibilmente per iscritto, anche con carte tascabili con eventuali pieghevoli. L’informativa dovrà contenere l’analitica indicazione dei trattamenti effettuabili per scopi scientifici, ovvero mediante l’uso delle moderne tecnologie, ivi comprese telemedicina e teleassistenza, nonché per fornire beni o servizi mediante rete telematica, al fine di notiziare l’interessato dei trattamenti che più di altri presentano rischi per i diritti e le libertà fondamentali.

La comunicazione dei dati sanitari
Per gli organismi sanitari pubblici l’art. 76 prevede che il trattamento avviene "con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato". Per esempio se la ASL (organismo sanitario pubblico) nel consenso specificamente acquisito dall'interessato precisa che i dati sanitari possono essere comunicati ad altro soggetto pubblico o anche privato (es. casa di riposo privata), il trasferimento dei dati sanitari è legittimo.

Le modalità semplificate

Le modalità semplificate
Per i dati sanitari sono previste modalità semplificate di rilascio dell’informativa e del consenso. L’informativa del medico di medicina generale o del pediatra può riferirsi: a) al complessivo trattamento di dati personali necessario per l’attività di prevenzione, diagnosi, cura e riabilitazione svolte dal medico o dal pediatra, b) al trattamento di dati correlato a quello effettuato dal medico di medicina generale o dal pediatra di libera scelta, effettuato da un professionista o da un altro soggetto che: sostituisce temporaneamente il medico o il pediatra, fornisce una prestazione specialistica su richiesta del medico o del pediatra, tratta i dati nell’ambito di un’attività professionale prestata in forma associata, fornisce i farmaci prescritti.

Unicità dell’informativa
In tal modo il cittadino che richieda le prestazioni del Servizio Sanitario Nazionale, rivolgendosi al MMG o al pediatra di libera scelta riceve un’unica informativa che copre anche tutti i trattamenti correlati, eliminando così la necessità di fornire ogni volta una nuova informativa.

L’informativa resa da organismi sanitari
Per quanto concerne l’informativa resa da organismi sanitari essa può essere resa in forma unica per: a) una pluralità di trattamenti effettuati anche il luoghi territorialmente differenti oltre che in settori, reparti ed altre articolazioni operative di una stessa struttura sanitaria, ma queste andranno specificamente indicate nell’informativa; b) avere ad oggetto una pluralità di trattamenti effettuati anche a fini amministrativi e addirittura in tempi diversi. A questo fine, l’informativa e il consenso dovranno essere annotati dall’organismo o dalle strutture con modalità omogenee e coordinate e tali da permetterne la verifica da parte degli altri reparti o unità che trattano i dati dell’interessato anche in tempi diversi.

Consenso semplificato
Per quanto concerne le modalità semplificate di raccolta del consenso dell’interessato, il consenso può essere prestato un’unica volta anche per più trattamenti. Il consenso può essere manifestato in un’unica dichiarazione e può essere reso oralmente, con deroga espressa alla regola generale che, per i dati sensibili, richiede la forma scritta ad substantiam. L’art. 81 infatti consente l’espressione orale del consenso purché venga annotato dall’esercente la professione sanitaria o dall’organismo sanitario.

Trattamento dati sensibili non sanitari
Laddove l’organismo sanitario debba procedere al trattamento di dati sensibili diversi dai dati sanitari, è tenuto al rispetto delle condizioni di cui all’art. 20 del Codice. Ai sensi dell’art. 20 il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.

Trattamento di dati sensibili non sanitari
Nei casi in cui la disposizione di legge specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili trattati e le operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici dai soggetti che effettuano il trattamento in relazione alle specifiche finalità perseguite nei singoli casi con atto di natura regolamentare.

Adempimenti AUSL Le Ausl provvedono mediante inserimento di apposite schede nel Regolamento dei dati sensibili della Regione

Trattamento di dati sensibili non sanitari
Tuttavia, se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili (art. 20 comma 3).

Il consenso degli incapaci
Per quanto concerne il consenso degli incapaci e i casi di emergenza sanitaria, con il nuovo Codice il consenso diventa un atto che, seppure in particolari circostanze, può essere prestato da terzi. Infatti, se il trattamento sia necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato e questi non possa prestare il proprio consenso per impossibilità fisica, incapacità d’agire o incapacità di intendere e di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato (art. 24 comma 1 lett. e).

Il consenso degli incapaci
Qualora l’assistito sia capace di intendere e di volere, ma non in grado di firmare, il consenso potrà essere espresso oralmente e annotato dall’esercente la professione sanitaria. Il consenso dovrà essere espresso mediante firma di familiari, esercenti la potestà, prossimi congiunti, conviventi o responsabile della struttura solo se l’assistito sia incapace di intendere e di volere. Nella pratica si tende ad affidarsi il meno possibile a questa modalità di manifestazione del consenso in quanto è impegnativo dimostrare in giudizio l’incapacità di intendere e volere qualora il soggetto non sia interdetto o inabilitato.

L’emergenza sanitaria
Le situazioni di emergenza sanitaria sono regolamentate dall’art. 82 del Codice, che prevede la possibilità per i titolari qualificati di procedere al trattamento senza il consenso dell’interessato o di terzi abilitati, salvo poi l’obbligo di procurarselo una volta cessate le ragioni di urgenza. Tale norma è stata introdotta in ragione del fatto che in ambito sanitario ci si trova spesso nella necessità di dover trattare dati sanitari senza che materialmente o giuridicamente sia possibile acquisire il consenso dell’interessato.

Comunicazioni sanitarie al paziente
I dati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato da parte di esercenti le professioni sanitarie o di organismi sanitari solo per il tramite di un medico designato dall’interessato o dal titolare dei dati.

Comunicazioni sanitarie ai parenti
Gli stessi dati possono essere comunicati a soggetti diversi dall’interessato, quali esercenti la potestà, prossimi congiunti, familiari, convivente, responsabile della struttura sanitaria solo se autorizzati dall’interessato o se questi non possa autorizzarli per impossibilità fisica, incapacità d’agire, incapacità d’intendere e di volere.

Comunicazioni a seguito di autorizzazione
I dati personali aventi contenuto sanitario possono eccezionalmente essere comunicati da soggetti che non sono il medico designato dall’interessato o dal titolare solo se il responsabile o il titolare dei dati abbiano autorizzato per iscritto gli esercenti le professioni sanitarie diversi dai medici, che intrattengano rapporti diretti con i pazienti, alla comunicazione. Si ribadisce che l’atto di incarico deve avere la forma scritta.

Il familiare di riferimento
In relazione agli aspetti privacy, è necessario chiarire se per “familiare di riferimento” si intenda: - il familiare che ha espresso il consenso al trattamento dei dati sanitari dell’assistito in quanto questi è incapace di intendere e volere etc; - e/o il familiare che è abilitato a ricevere le comunicazioni inerenti alla salute dell’assistito a seguito di apposita autorizzazione da parte dello stesso assistito o per incapacità.

Informazioni relative ai familiari di riferimento
In relazione ai familiari di riferimento o più genericamente ai soggetti di interesse è necessario che venga rispettato il principio di pertinenza nel trattamento!

Gli aspetti tecnici

Interconnessione e comunicazione

L’interconnessione delle banche dati pubbliche
Ex art. 50 del Codice delle Amministrazioni Digitali: "I dati delle Pubbliche Amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con l'uso delle tecnologie dell'informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall'ordinamento, da parte delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti e le norme in materia di protezione dei dati personali“.

L’interconnessione delle banche dati pubbliche
Art. 50 del Codice delle Amministrazioni Digitali "Qualunque dato trattato da una pubblica amministrazione, (…) nel rispetto della normativa in materia di protezione dei dati personali, e' reso accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione"

Interconnessione banche dati pubbliche
Il Testo Unico sulla documentazione amministrativa (DPR 445/00) già stabiliva in materia di procedimenti amministrativi: Art. 43 comma 4: Al fine di agevolare l'acquisizione d'ufficio di informazioni e dati relativi a stati, qualita' personali e fatti, contenuti in albi, elenchi o pubblici registri, le amministrazioni certificanti sono tenute a consentire alle amministrazioni procedenti, senza oneri, la consultazione per via telematica dei loro archivi informatici, nel rispetto della riservatezza dei dati personali

La comunicazione dei dati tra enti secondo il Codice privacy
Cos’è la comunicazione dei dati secondo il Codice privacy: per “comunicazione” si intende “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”

La comunicazione dei dati tra enti
Ente pubblico Ente pubblico comunicazione comunicazione Ente pubblico comunicazione Ente pubblico

Ex art. 19 Codice privacy: "La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma (di legge o di regolamento) la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali (...)"

La comunicazione al Garante: ai sensi dello stesso secondo comma dell’art. 19 “la comunicazione (tra enti) può essere iniziata se e' decorso il termine di cui all'articolo 39, comma 2”: cioè se non c’è una norma di legge o di regolamento che prevede la comunicazione, l’art. 39 stabilisce un obbligo di comunicazione al Garante da parte del titolare dei dati , tale per cui il successivo trattamento non può essere iniziato se non dopo quarantacinque giorni dal ricevimento della comunicazione da parte del Garante.

La comunicazione dei dati sanitari
Per gli organismi sanitari pubblici c'è l’art. 76 che prevede che il trattamento avviene "con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato". Per esempio se la ASL (organismo sanitario pubblico) nel consenso specificamente acquisito dall'interessato precisa che i dati sanitari possono essere comunicati ad altro soggetto pubblico o anche privato (es. casa di riposo privata), il trasferimento dei dati sanitari è legittimo.

La comunicazione dei dati sensibili
Per quanto riguarda la comunicazione dei dati sensibili una parte della dottrina ritiene che la comunicazione al Garante prevista per la comunicazione dei dati comuni non sia necessaria, ma che la comunicazione possa avvenire (previa informativa all’interessato) qualora ci si conformi agli artt. 20 e 21 (si veda oltre).

L’interconnessione L’ “interconnessione” ad avviso dell’Autorità Garante si realizza quando “vi sono due distinti database di due diversi titolari e ciascuno dei titolari può accedere, leggere e modificare i dati”

La questione dati anagrafici

Interconnessione banche dati pubbliche
Legge 127/1997, art. 2 comma 5 In merito ai dati anagrafici I comuni favoriscono, per mezzo di intese o convenzioni, la trasmissione di dati o documenti tra gli archivi anagrafici e dello stato civile, le altre pubbliche amministrazioni, nonchè i gestori o esercenti di pubblici servizi, garantendo il diritto alla riservatezza delle persone. La trasmissione di dati può avvenire anche attraverso sistemi informatici e telematici.

La specialità della funzione anagrafica
Il Regolamento anagrafico della popolazione prevede che l'ufficiale anagrafico sia il solo autorizzato ad effettuare direttamente visure anagrafiche e autorizza solamente quest’ultimo all’estrazione di certificati anagrafici. Art. 37, Divieto di consultazione delle schede anagrafiche: “E’ vietato alle persone estranee all’ufficio di anagrafe l’accesso all’ufficio stesso e quindi la consultazione diretta degli atti anagrafici”.

Il servizio implementato non potrà consentire al cittadino nè ad altri operatori che non siano l'ufficiale dell'anagrafe l’accesso e la diretta visualizzazione dei dati contenuti nella banca di dati anagrafica, salvo modifica della norma o sua interpretazione autentica da parte del Ministero dell’Interno e del Garante per la riservatezza dei dati personali.

Art. 34 DPR 223/89: Rilascio di elenchi degli iscritti nell'anagrafe della popolazione residente e di dati anagrafici per fini statistici e di ricerca. 1. Alle amministrazioni pubbliche che ne facciano motivata richiesta, per esclusivo uso di pubblica utilità, l'ufficiale di anagrafe rilascia, anche periodicamente, elenchi degli iscritti nella anagrafe della popolazione residente

Newsletter Garante luglio 2000 Secondo il Garante privacy "in base alle norme statali che regolano in modo uniforme la materia a livello nazionale, la gestione delle banche dati anagrafiche è riservata in via esclusiva ai Comuni mentre le altre amministrazioni pur potendo accedere nei casi previsti dalla legge a determinate categorie di dati, non sono certamente autorizzate a prelevare indiscriminatamente le informazioni in esse contenute e tanto meno a procedere alla formazione di veri e propri archivi paralleli".

Newsletter Garante luglio 2000 L'interscambio telematico, osserva l'Autorità, che determini la creazione di un collegamento fra basi di dati di tipo anagrafico che restano comunque nella disponibilità dei Comuni interessati è invece ammesso. Le altre amministrazioni connesse al sistema non partecipano, infatti, alla diretta gestione degli archivi ma vi possono accedere in tempo reale, pur sempre nel rispetto delle disposizioni fissate dalla legislazione anagrafica. Ogni informatizzazione dei servizi demografici o connessione a banche dati a contenuto anagrafico dovrà pertanto essere configurata con particolare cura.

Garante per la protezione dei dati personali Roma, lì 22 marzo 2000 L’art. 2 legge 127 /1997 non consente connessioni dirette di altre pubbliche amministrazioni, ma permette piuttosto l’istituzione di collegamenti informatici o telematici attraverso i quali possono essere disponibili, su richiesta “la trasmissione o la consultazione in rete di un documento o di un certificato su supporto informatico, relativo ad elenchi di iscritti all’anagrafe oppure a specifiche attestazioni attinenti alla residenza o allo stato di famiglia di singoli residenti”

Garante per la protezione dei dati personali Roma, lì 22 marzo 2000 La legge n. 127/1997 non ha innovato la disciplina anagrafica, ma ha previsto la possibilità che i flussi di comunicazioni anagrafiche possano essere favoriti e regolati per aspetti di dettaglio da uno strumento flessibile quale quello delle convenzioni, le quali, però, non possono superare i limiti previsti dalla normativa in materia.

Garante, Comunicato stampa - 3 aprile 2000 Non paiono quindi idonee né una libera consultazione diretta delle anagrafi (attraverso interrogazioni individuali o di massa di ogni qualsivoglia dato contenuto negli archivi) né, tantomeno, una loro indifferenziata interconnessione con le banche dati dei soggetti convenzionati. Tali modalità si porrebbero in netto contrasto con la vigente disciplina in materia di anagrafi, dando vita ad una nuova forma di gestione e di accesso agli atti anagrafici che potrebbe essere invece introdotta solo da apposite norme modificative.

Circolare Ministero dell'Interno 21/1/1988 "Senza voler escludere una forma di collaborazione tra amministrazioni pubbliche è intuitivo che la stessa non può andare al di là di una fornitura, ragionevolmente cadenzata, di dati ma non oltre”. Il che non nega comunque la possibilità di effettuare tale fornitura e di consentirne l'aggiornamento.

La comunicazione alle ASL
Garante per la protezione dei dati personali Comunicato stampa del Non vi sono ostacoli alla trasmissione di dati anagrafici alle Aziende Sanitarie Locali Il Garante ha dato risposta pienamente positiva alla richiesta di sapere se gli ufficiali delle anagrafi comunali possano trasmettere alla locale azienda sanitaria gli elenchi anagrafici per poter far svolgere ricerche epidemiologiche. La legge sulla riservatezza, infatti, prevede che i soggetti pubblici possano effettuare il trasferimento di dati ad altre amministrazioni pubbliche quando ciò è previsto dalle norme vigenti. Tali norme sono contenute nell' ordinamento anagrafico che prevede appunto la possibilità per l' ufficiale dell' anagrafe di rilasciare, per l' esclusivo uso di pubblica utilità, elenchi degli iscritti all' anagrafe alle amministrazioni pubbliche che ne facciano motivata richiesta.

L’obbligo della cifratura

Perché è importante la qualificazione giuridica del dato
Ai sensi dell’art. 22 comma 6 e 7: “I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità”

Perché è importante la qualificazione giuridica del dato
Comma 7 “I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici”.

Allegato B. Punto 24 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita' di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati.

Una possibile soluzione: il Sistema MEDarchiver

Il Sistema MEDarchiver
Separazione fisica dei dati: i dati identificativi e i dati idonei a rivelare lo stato di salute sono separati fisicamente a livello di database. Ciò è implementato tramite la definizione di due schemi differenti, uno per i dati identificativi, l’altro per quelli clinici. Il matching tra i dati identificativi e quelli sensibili è effettuato tramite il codice identificativo univoco del paziente in modalità sicura. Cifratura dei dati identificativi: I dati identificativi sono cifrati a livello di database tramite tecniche avanzate di crittografia. Ciò consente di mantenere anonimi i dati idonei a rilevare lo stato di salute anche in caso di accessi non autorizzati al database.

Visualizzazione in forma inintelligibile L’interfaccia grafica del programma consente la visualizzazione in forma anonima dei dati idonei a rivelare lo stato di salute dell’interessato al trattamento: i dati identificativi sono visualizzati in forma cifrata e risultano pertanto inintelligibili. In caso di necessità, l’applicazione consente ai soli utenti autorizzati di visualizzare i dati anagrafici in chiaro.

Il primo di questi sistemi gestisce solamente dati identificativi e fornisce ad ogni paziente un codice identificativo numerico unico e non riutilizzabile per altri pazienti; il secondo ed il terzo sistema attuano la gestione di dati sensibili anonimi, di per sé non riconducibili al paziente se non tramite l’utilizzo del codice identificativo numerico. Questi sistemi archiviano i file di dati su differenti porzioni del Disk Array, separate fisicamente in quanto su dischi differenti. La struttura stessa della base di dati su cui si basa il sistema prevede l’utilizzo della separazione fisica dei dati identificativi da quelli sensibili. Ciò avviene tramite la definizione, all’interno del database, di diversi schemi: uno schema per l’anagrafica, uno schema per i dati HIS, uno schema per il servizio Storage. I dati contenuti nei due schemi contenenti dati clinici non hanno altro riferimento al paziente che il codice identificativo, il quale funge da chiave di richiesta per la riunificazione dei dati per la visualizzazione.

La riunificazione dei dati clinici e di quelli identificativi a formare il dato sensibile avviene solamente sull’interfaccia dell’applicazione: il matching tra i due tipi di dati è effettuato dal codice identificativo del paziente (ID nel grafico). Per poter ricostruire i dati sensibili è necessario sapere la posizione fisica dei dati ed accedervi superando la procedura di accesso ai singoli schemi tramite nome utente e password non noti agli utenti: tale procedura è normalmente mascherata dall’applicativo MEDarchiver che la effettua in background una volta che l’utente ha superato la procedura di autenticazione per l’accesso al software.

Noto che sia il codice identificativo del paziente, l’applicativo effettua contemporanea richiesta (frecce blu) allo schema di anagrafica ed allo schema HIS o Storage per ottenere, rispettivamente, i dati identificativi ed i dati clinici del paziente (frecce verdi). L’applicativo poi, tramite il codice identificativo del paziente, unisce i dati solamente a livello visivo nell’interfaccia grafica, rendendo i dati sensibili intelligibili all’utente.

Le misure di sicurezza

Misure minime di sicurezza
CAPO II MISURE MINIME DI SICUREZZA Art. 33 (Misure minime) 1. Nel quadro dei piu' generali obblighi di sicurezza (…), i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo (…), volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici) 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita' organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita' di accesso finalizzata all'identificazione degli incaricati.

ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Artt. da 33 a 36 del codice) Trattamenti con strumenti elettronici Modalita' tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici:

Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.

6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale (software anti-virus). 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Il documento programmatico di sicurezza
Documento programmatico sulla sicurezza (finora la sua adozione è stata prorogata) 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l'elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilita' nell'ambito delle strutture preposte al trattamento dei dati; 19.3. l'analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l'integrita' e la disponibilita' dei dati, nonche' la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita';

19.5. la descrizione dei criteri e delle modalita' per il ripristino della disponibilita' dei dati in seguito a distruzione o danneggiamento; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu' rilevanti (…).

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita' al codice, all'esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Misure per dati sensibili
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

Misure per dati sensibili
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita' di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati.

Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.

6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale (software anti-virus). 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

La questione delle cartelle cliniche

Le cartelle cliniche Le cartelle cliniche includono sia informazioni sulle condizioni cliniche del paziente connesse ai motivi del ricovero, sia indicazioni sulle situazioni pregresse, possono poi essere registrati anche dati relativi ad altri soggetti, in particolare nel caso delle anamnesi familiari.

Le cartelle cliniche Hanno valore probatorio di atto pubblico (si veda, tra le altre, Cass. Pen. Sezioni Unite 11 luglio 1992, n. 7958) in quanto “esplicazione di potere certificativo e partecipi della natura pubblica dell’attività sanitaria”

Le cartelle cliniche Esse comportano la responsabilità del pubblico ufficiale redigente, in particolare le responsabilità penali di falsità materiale e ideologica commessa da pubblico ufficiale in atti pubblici.

Altri atti pubblici a contenuto medico
Hanno natura di atto pubblico anche: a) referto clinico (Cass. Pen /82), b) cartellini segnatempo ospedalieri (Cass. Pen. 9291/1996), c) certificato sanitario medico USL (Cass. Pen. 2207/1995), d) cartella clinica di casa di cura convenzionata (Cass. Pen. 7958/1992), e) certificato di morte rilasciato dal sanitario delegato (Cass. Pen. 9073/1989), f) certificato di sana e robusta costituzione (Cass. Pen. 9191/1982), g) certificato di visita domiciliare redatto dal medico convenzionato (Cass. Pen. 9417/1981), h)certificato di gravidanza (Cass. Pen. 5118/1982), i)atti redatti da una commissione medica incaricata di accertare lo stato di invalidità civile (Cass. Pen. 1004/2000).

Le cartelle cliniche Il nuovo Codice stabilisce che “nei casi in cui gli organismi sanitari pubblici e privati redigono e conservano una cartella clinica (…) devono essere adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati concernenti il paziente da quelli riguardanti altri interessati (art. 92 comma 1)”.

Le cartelle cliniche L’obbligo che i dati del paziente siano distinti dagli altri è evidentemente un tentativo del legislatore di risolvere in via organizzativa il problema della divulgazione delle informazioni non riguardanti l’oggetto della richiesta. Tale necessità trova conferma in una pronuncia del Garante secondo la quale l’amministrazione sanitaria, una volta che abbia ritenuto sussistente il diritto d’accesso alla documentazione contenente i dati sanitari, dovrà effettuare un’accurata selezione delle informazioni da rendere conoscibili ai richiedenti.

Misure per il rispetto dei diritti dell’interessato

Misure per il rispetto dei diritti dell’interessato
Art. 83 Altre misure per il rispetto dei diritti degli interessati 1. I soggetti di cui agli articoli 78, 79 e 80 adottano idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza.

Art. 83 2. Le misure di cui al comma 1 comprendono, in particolare:
a. soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad adempimenti amministrativi preceduti da un periodo di attesa all'interno di strutture, un ordine di precedenza e di chiamata degli interessati prescindendo dalla loro individuazione nominativa; b. l'istituzione di appropriate distanze di cortesia, tenendo conto dell'eventuale uso di apparati vocali o di barriere; c. soluzioni tali da prevenire, durante colloqui, l'indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute; d. cautele volte ad evitare che le prestazioni sanitarie, ivi compresa l'eventuale documentazione di anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti; e. il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati; f. la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa essere data correttamente notizia o conferma anche telefonica, ai soli terzi legittimati, di una prestazione di pronto soccorso;

Art. 83 g. la formale previsione, in conformità agli ordinamenti interni delle strutture ospedaliere e territoriali, di adeguate modalità per informare i terzi legittimati in occasione di visite sulla dislocazione degli interessati nell'ambito dei reparti, informandone previamente gli interessati e rispettando eventuali loro contrarie manifestazioni legittime di volontà; h. la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute; i. la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

Il provvedimento del Garante
Al cittadino che entra in contatto con le strutture sanitarie per diagnosi, cure, prestazioni mediche, operazioni amministrative deve essere garantita la più assoluta riservatezza e il più ampio rispetto dei suoi diritti fondamentali e della sua dignità. Con un provvedimento generale adottato il 9 novembre 2005 il Garante per la protezione dei dati personali ha prescritto ad organismi sanitari pubblici e privati (aziende sanitarie territoriali, aziende ospedaliere, case di cura, osservatori epidemiologici regionali, servizi di prevenzione e sicurezza sul lavoro) una serie di misure da adottare per adeguare il funzionamento e l'organizzazione delle strutture sanitarie a quanto stabilito nel Codice sulla privacy e per assicurare il massimo livello di tutela delle persone.

Tutela della dignità Tutela della dignità
La tutela della dignità della persona deve essere sempre garantita. In particolare, riguardo a fasce deboli (disabili, minori, anziani), ma anche a pazienti sottoposti a trattamenti medici invasivi o per i quali è doverosa una particolare attenzione (es. interruzione della gravidanza). Nei reparti di rianimazione devono essere adottati accorgimenti anche provvisori (es. paraventi) per delimitare la visibilità dell'interessato, durante l'orario di visita, ai soli familiari e conoscenti.

Riservatezza nei colloqui
Quando prescrive medicine o rilascia certificati, il personale sanitario deve evitare che le informazioni sulla salute dell'interessato possano essere conosciute da terzi. Stesso obbligo per la consegna di documentazione (analisi, cartelle cliniche, prescrizioni etc.) quando questa avvenga in situazioni di promiscuità (es.locali per più prestazioni, sportelli).

Distanze di cortesia Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dell'acquisizione di informazioni sullo stato di salute, sensibilizzando anche gli utenti con cartelli, segnali ed inviti.

Notizie al pronto soccorso
L'organismo sanitario può dare notizia, anche per telefono, sul passaggio o sulla presenza di una persona al pronto soccorso, ma solo ai terzi legittimati, come (parenti, familiari, conviventi). L'interessato, se cosciente e capace, deve essere preventivamente informato (es. all'accettazione) e poter decidere a quali soggetti può essere comunicata la sua presenza al pronto soccorso

Informazioni sullo stato di salute
Si possono dare informazioni sullo stato di salute a soggetti diversi dall'interessato quando questi abbia manifestato uno specifico consenso. Tale consenso può essere dato da un familiare in caso di impossibilità fisica o incapacità dell'interessato o, valutato il caso, anche da altre persone legittimate a farlo, come familiari, conviventi o persone in stretta relazione con l'interessato stesso. I soggetti terzi che hanno accesso alle strutture sanitarie (es. associazioni di volontariato), per poter conoscere informazioni sulle persone in relazione a prestazioni e cure devono rispettare tutte le regole e le garanzie previste dalle strutture sanitarie per il proprio personale, come ad esempio vincoli di riservatezza, possibilità e modalità di approccio ai degenti.

Codici di deontologia e di buona condotta
I codici di condotta Art. 12 Codice privacy Codici di deontologia e di buona condotta 1. Il Garante promuove nell'ambito delle categorie interessate, nell'osservanza del principio di rappresentatività e tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d'Europa sul trattamento di dati personali, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, ne verifica la conformità alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto.

Progetto Integrated Care (I-Care)
Progetto di Ricerca e Sviluppo nell’ambito della Iniziativa 1.1 del Piano Telematico della Regione Emilia Romagna (programma operativo 2002)

Obiettivi del Progetto
Supportare le attività socio-assistenziali degli enti locali, in particolare l’assistenza domiciliare; rafforzare ed integrare il sistema (sociale e sanitario) degli interventi per sostenere i soggetti deboli : Anziani, pazienti dimessi dalle strutture ospedaliere con necessità di assistenza, pazienti nella fase terminale, altri soggetti non autosufficienti. Tracciare le informazioni e i contenuti sensibili e non dell’area socio assistenziale di riferimento al fine di migliorare: l’efficacia degli interventi degli operatori, la rendicontazione e il controllo delle attività. Realizzare una efficace rete di supporto ai servizi domiciliari, promuovere politiche di intervento per il miglioramento del benessere dei cittadini, contribuire alla costituzione dell’ Osservatorio del Welfare Provinciale, rendere sinergiche Ospedalizzazione e Assistenza Domiciliare.

I partners industriali sperimentazione ricerca
Cedaf (Gruppo Maggioli) Direzione di progetto Sviluppo Software Supporto al Dispiegamento Gruppo Formula Sviluppo Software Supporto al Dispiegamento sperimentazione Asl Forlì Servizi Sanitari Comune di Forlì Servizi Sociali Provincia di Forlì/Cesena Osservatorio Welfare ricerca Cirsfid Università Bologna Supporto progettuale e normativo Polo scientifico didattico Supporto socio-organizzativo Forlì Università Bologna

Organizzazioni Erogatrici
Gli attori Ospedale Comune Azienda USL Assistito Operatore Provincia/Regione Organizzazioni Erogatrici

Architettura funzionale
S2I: sistema sociosanitario integrato <<subsystem>> Manager <<subsystem>> Field è realizzato mediante il framework JUICE da cui deriva: indipendenza dal Sistema Operativo (lato server) indipendenza dall’application server scelto per il deploy dell’applicazione (aderenza al 100% alle specifiche J2ee) compatibilità con più piattaforme RDBMS utilizzo di driver JDBC compatibilità con i browser più diffusi (IE, Firefox, Netscape, Mozilla) <<subsystem>> Integrator <<system>> Altri Sistemi vedi dettaglio

Sistemi Esterni (S2I e non)
S2I - Manager S2I Manager Anagrafiche Supporto alla gestione dei servizi assistenziali socio-sanitari (ricezione delle richieste, valutazione, concessione, consuntivazione e verifica dei risultati); ricostruzione della storia assistenziale dei cittadini; dataWareHouse e funzioni di DSS (statistiche, benchmarking, simulazioni, ecc…); interoperabilità con le altre applicazioni S2I e con i sistemi esterni. Pratiche di Assistenza Data WareHouse Security Manager DSS Information Exchange Sistemi Esterni (S2I e non)

S2I - Field S2I <<subsystem>> Manager <<subsystem>> Field Programmazione e ottimizzazione delle risorse e pianificazione degli interventi di assistenza; gestione degli eventi imprevisti (alerts, escalation, etc.) accesso on-call a informazioni fornite da sistemi esterni relative allo stato sociale e sanitario dell’assistito; utilizzo di tecnologie mobile quali Tablet-PC, palmari, cellulari (avvisi SMS). <<subsystem>> Integrator <<system>> Altri Sistemi

S2I - Integrator S2I <<subsystem>> Manager <<subsystem>> Field Integrator occupa delle comunicazioni fra le applicazioni Manager e Field e fra queste e le applicazioni esterne integrabili; risolve i problemi di security relativi alle comunicazioni sopra citate; utilizza i Web Services e implementa le eventuali ulteriori interfacce necessarie; è basato sul MiddleWare di integrazione Extend di Novell. <<subsystem>> Integrator <<system>> Altri Sistemi

Architettura funzionale: comunicazioni
CUP Anagrafica Comunale Dimissioni da Ospedale Banca Dati Assistiti ASL Consuntivazione Assistenza Domiciliare Ricoveri e Pronto Soccorso Manager Integrator Field Referti Quadro generale delle interconnessioni nella logica SOA (Service Oriented Architecture) e di cooperazione applicativa fra le componenti di S2I e fra esse e le applicazioni esterne.

Ambiti di intervento e loro tenuta alla sperimentazione
Formazione privacy e sicurezza dei dati Profilazione autenticazioni e autorizzazioni Adempimenti normativi Modulistica

Ambiti di intervento Le problematiche relative al trattamento dei dati personali hanno permeato tutte le principali relazioni individuate e affrontate nel progetto Relazioni Micro-micro Relazioni Micro-macro Relazioni Macro-macro

Relazioni micro-micro
Relazioni interpersonali (categoria micro-micro): rapporti tra operatore sanitario e socio-assistenziale e paziente-assistito, rapporti anziano - “caregivers” o altri parenti o conoscenti. In quest’ambito si richiede una particolare sensibilità dell’operatore nel trattamento dei dati personali dell’anziano, il rispetto delle norme in materia, la conformità a comportamenti deontologicamente corretti. Si richiede anche, a seguito di apposita formazione, che l’operatore possa “sorvegliare” che il trattamento delle informazioni dell’assistito avvenga in maniera corretta e debitamente riservata anche nei rapporti con parenti e conoscenti. E’ INDISPENSABILE LA FASE FORMATIVA

Relazioni micro-macro
Relazioni fra persona ed Ente (categoria micro-macro): Relazione cittadino-Ente: rapporti che il legislatore ha provveduto ampiamente a disciplinare, mediante la richiesta di una debita informazione del cittadino interessato al trattamento dei suoi dati personali e della raccolta del consenso del cittadino stesso in caso di trattamento di particolari categorie di dati (i dati sanitari). Il legislatore ha prescritto la predisposizione di apposita modulistica (modulo per l’informativa, modulo per la raccolta del consenso). Relazione operatore-Ente: la questione privacy ha principalmente informato tali rapporti con riguardo alla necessità di procedere ad una identificazione/ autenticazione informatica degli operatori e di effettuare le opportune profilazioni autorizzatorie di accesso ai dati per i differenti operatori, in rapporto alla loro funzione istituzionale.

Relazioni macro-macro
Relazioni fra Enti (categoria macro-macro): l’aspetto di maggiore innovatività è consistito nella necessità di regolare in conformità alle norme privacy lo scambio di flussi informativi tra Enti, nella sua componente informatico-telematica. Sia il legislatore che il Garante privacy sono sempre stati particolarmente attenti al verificarsi di scambi informativi con modalità informatico telematiche, in quanto più “pericolosi” in termini di privacy e maggiormente suscettibili di abusi, errori, cattivi utilizzi dei dati, singolarmente trattati o a seguito di trattamento incrociato.

Formazione privacy e sicurezza
La formazione in materia di privacy e di misure di sicurezza ha avuto grande rilevanza ai fini della sperimentazione del sistema. La formazione ha avuto quali principali scopi: la sensibilizzazione degli operatori in relazione alle questioni attinenti alla privacy, con particolare attenzione al trattamento dei dati sensibili e dei dati sanitari; la necessità di conformarsi ad adempimenti più specifici, con particolare riguardo alle misure di sicurezza e alle fasi di autenticazione e autorizzazione; PIU’ SPECIFICAMENTE: le indicazioni legislative, giurisprudenziali e dottrinarie a tutela della riservatezza e della privacy del paziente e dell’assistito NEL CASO DELL’UTILIZZO dei nuovi e particolari strumenti informatico-telematici consentiti dal sistema I-Care.

NORME GENERALI ED ASTRATTE: la disciplina codicistica attinente alla materia (SPECIE CON RIFERIMENTO ALL’AMBITO SANITARIO) è prevalentemente regolata mediante formule generali ed astratte, e da indicazioni del legislatore e del Garante che possono essere usate per dare contenuto più dettagliato alle prescrizioni deontologiche e di condotta. OBIETTIVO PRIMARIO DELL’INSEGNAMENTO: apprendimento delle clausole normative a contenuto generale ed astratto. MA una formazione meramente generica sulla base del dettato normativo e alcune indicazioni sulle modalità di autenticazione e sul rispetto delle profilazioni autorizzatorie non sarebbero state sufficienti, mancando un collegamento con la realtà fattuale (elemento indispensabile in questo campo).

FUNZIONE INTEGRATIVA DELLA SPERIMENTAZIONE: INTERAZIONE DOCENTE-DISCENTE (DOMANDE, ESEMPLIFICAZIONI, ANALISI DI CASI PRATICI, ESAME DEL FUNZIONAMENTO IN CONCRETO DEL SISTEMA I-CARE) La sperimentazione ha costituito una fase di indispensabile completamento della parte formativa: - ha consentito di specificare con maggior dettaglio e attinenza ai casi di specie il dettato normativo, - di individuare alcune prescrizioni di carattere deontologico e di condotta applicabili ad I-Care, desumibili dalla ratio legis ed evincibili da una serie di indicazioni del legislatore e del Garante.

La formazione deve essere continua… La sperimentazione e l’utilizzo a regime consentono: una verifica dell’effettivo apprendimento da parte dei discenti di quanto appreso in sede di formazione, un completamento della stessa, mediante l’analisi e lo studio di casi specifici, il modellamento dei contenuti delle norme in relazione a quelle che sono le situazioni più frequenti che gli operatori si trovano ad affrontare, l’elaborazione di codici di condotta ad hoc, l’esame delle principali difficoltà pratiche e la ricerca di soluzioni.

Profilazioni autenticazioni e autorizzazioni
La sperimentazione ha consentito di verificare l’efficacia delle modalità identificative e di validare le scelte dei profili autorizzatori, nonché le scelte tecniche effettuate in relazione alle misure di sicurezza.

Profilazioni autenticazioni e autorizzazioni
AUTENTICAZIONE (in senso legislativo) username password, Operatore AUTORIZZAZIONE (in senso legislativo) L’autorizzazione è l’insieme dei RUOLI Ciascun RUOLO comprende più AUTORIZZAZIONI (in senso tecnico) Ciascuna AUTORIZZAZIONE (in senso tecnico) si configura in base a: FUNZIONI, AZIONI, DATI, DOMINIO. Il DOMINIO può essere: operatore, unità operativa, servizio,

Relazioni Macro-Macro Adempimenti normativi
E’ stato preventivamente necessario verificare che ciascun Ente avesse fatto fronte agli adempimenti giuridici in materia Si sono introdotte le opportune menzioni del progetto I-Care nel Regolamento dati sensibili del Comune di Forlì e nell’apposito allegato sulle AUSL (trattamento dati personali a scopo non sanitario) del Regolamento dati sensibili della Regione Emilia-Romagna. Si è provveduto a notiziare circa le scelte tecniche effettuare i redattori dei Documenti Programmatici di Sicurezza del Comune e dell’AUSL di Forlì, ai fini della loro successiva redazione (annuale) comprensiva del progetto I-Care.

Relazioni Macro-Macro Flussi informativi tra Enti e Anagrafica
Un aspetto di grande innovatività è consistito nella necessità di regolare convenzionalmente lo scambio di flussi informativi tra Enti, svolto in modalità informatico-telematiche. Sia il legislatore che il Garante privacy sono sempre stati particolarmente attenti al verificarsi di scambi informativi con modalità informatico telematiche, in quanto più “pericolosi” in termini di privacy

Relazioni Macro-Macro Flussi informativi tra Enti e Anagrafica
A questo fine: Nomina reciproca a responsabili esterni Ausl/Comune, Nomina di responsabili esterni legati convenzionalmente, il flusso informativo è stato regolamentato mediante apposito allegato tecnico all’Accordo di Programma. Si è inoltre provveduto a notiziare ed esplicare debitamente alla Prefettura di Forlì le modalità di utilizzo e di filtraggio dei dati anagrafici, secondo le indicazioni via via fornite dal Ministero dell’Interno e dal Garante privacy.

Modulistica e consenso
Nell’ambito degli adempimenti giuridici richiesti dalla normativa privacy, un ruolo di grande importanza riveste la raccolta del consenso informato dell’interessato al trattamento dei suoi dati sanitari. L’obiettivo di reingegnerizzazione del procedimento, congiunto alla necessità di osservare le indicazioni del legislatore in materia di privacy, hanno portato alla indicazione di una particolare modalità di raccolta del consenso informato, suggerita in via sperimentale Sulla base delle indicazioni normative, si è tenuto conto della natura integrata (socio-assistenziale e sanitaria) di alcuni di tali servizi e della necessità per il cittadino di rivolgersi alla Pubblica Amministrazione quale unico referente, a prescindere dalle funzioni assistenziali (Comune) o sanitarie (Ausl) svolte dal singolo ufficio.

Modulistica e consenso
Si è pertanto ritenuto opportuno identificare un unico sportello di front office cui il cittadino potesse rivolgersi ai fini della presentazione dell’istanza. Tale sportello può essere individuato nell’ufficio Unità Anziani del Comune di Forlì, al quale il cittadino potrà rivolgersi per la segnalazione del bisogno e per la presentazione dell’istanza. L’operatore comunale potrà essere pertanto incaricato di fornire tanto il modulo di informativa del trattamento dati sensibili di competenza del Comune quanto il modulo per la raccolta del consenso informato al trattamento dei dati sanitari, affinché tale consenso sia presente fin dall’avvio del procedimento amministrativo per l’assistenza sanitaria. Ai fini di tale raccolta è stato messo appunto un apposito modulo (contenente specifica indicazione delle modalità informatico-telematiche del trattamento, come richiesto dal legislatore) che può essere allegato all’istanza di erogazione del servizio.

Adempimenti normativi
Nel complesso può ritenersi, che salvo necessità di periodici rinnovamenti, la base normativa e convenzionale attinente agli Enti predisposta per il progetto ha retto alla sperimentazione, che, dal punto di vista giuridico nulla ha di “sperimentale”, ma attiene allo svolgimento delle funzioni istituzionali a pieno regime.

Criticità esaminate Si sono fatte oggetto di particolare attenzione le problematicità relative a: - regolamento dati sensibili, - rilascio dell’informativa, - raccolta del consenso al trattamento dei dati sanitari da parte dell’assistito, - situazioni di incapacità e di emergenza sanitaria, - autorizzazione da parte dell’assistito circa gli altri soggetti che potranno ricevere comunicazione dei suoi dati sanitari, - autorizzazione a operatori non medici alla comunicazione all’assistito di dati a contenuto sanitario, - contenuto e collocazione della cartella integrata, - contenuto e collocazione del data center.

Il front office e il consenso

Ipotesi di raccolta del consenso

Il front office della PA

Adempimenti Ausl. Informativa
Circa l’informativa, questa dovrà contenere specifica indicazione delle modalità di trattamento dei dati mediante uso di strumenti informatici e telematici in un contesto di telemedicina e di teleassistenza. Meglio se questa specificazione includerà anche altri progetti telematici in atto da parte dell’Ausl (es. telesoccorso).

Adempimenti Ausl. Consenso
Circa il rilascio del consenso al trattamento dei dati sanitari, il consenso dovrà per quanto possibile essere rilasciato dallo stesso anziano. Sarà rilasciato da altri (es. familiari) solo in caso di incapacità dell’anziano o (molto raramente) di emergenza sanitaria. In caso di emergenza sanitaria, cessata l’urgenza dovrà essere raccolto il consenso dell’anziano.

Adempimenti Ausl. Consenso
Il consenso al trattamento dei dati sarà rilasciato non oltre la formalizzazione dell’istanza di assistenza presentata all’Ufficio Amministrativo dell’UVG Il documento di rilascio del consenso conterrà l’indicazione dei soggetti diversi dall’interessato (es. familiari) autorizzati a ricevere la comunicazione di dati sanitari

Per il trattamento di dati a contenuto sensibile e sanitario da parte di un ente pubblico (non sanitario - es. Comune) in relazione ai servizi integrati, risulterà necessaria la specifica indicazione di tale particolare trattamento nel regolamento dei dati sensibili da predisporsi, poiché essendo questo ente non sanitario i dati a contenuto sanitario sono per questo dati sensibili.

Comunicazione dati sanitari
I dati personali aventi contenuto sanitario possono eccezionalmente essere comunicati all’assistito da soggetti che non sono il medico designato dall’interessato o dal titolare solo se il responsabile o il titolare dei dati abbiano autorizzato per iscritto gli esercenti le professioni sanitarie diversi dai medici, che intrattengano rapporti diretti con i pazienti, alla comunicazione. L’atto di incarico deve avere la forma scritta. In relazione ad I Care si è ritenuto che per ora non sia necessario, in quanto la comunicazione dei dati sanitari viene fatta solo dal medico

Cartella integrata Si è ritenuta al momento non eliminabile la cartella integrata cartacea presente al domicilio dell’assistito, che affiancherà quella digitale di I Care.

Data center. Contenuto Il data center conterrà i dati personali e anagrafici degli assistiti e parzialmente dei familiari di riferimento, i dati sulla condizione sociale degli assistiti (in parte sensibili) e i dati sanitari degli assistiti. I dati sensibili e sanitari saranno cifrati.

Data center. Soluzioni tecniche
Circa le soluzioni tecnologiche, fermo restando l’invio di elenchi periodici di dati anagrafici da parte del Comune, il data center potrà essere realizzato mediante un unico server collocato presso l’Ausl ovvero mediante l’interconnessione dei server dell’Ausl e del Comune, con rispetto delle misure di sicurezza e dei filtri contenutistici e tecnologici che si renderanno opportuni per il rispetto della privacy e delle misure di sicurezza. Nel caso di interconnessione la comunicazione dei dati sarà cifrata.

Data center. Convenzioni
Qualunque sia la soluzione tecnologica prescelta questa dovrà essere preferibilmente regolata e dettagliata da un apposito quadro convenzionale (una o più convenzioni), in virtù delle quali ogni ente potrà accedere ai dati posseduti dagli altri soggetti pubblici limitatamente alle esigenze connesse allo svolgimento delle proprie attività istituzionali.

La convenzione tra gli enti
Cosa deve contenere: l’impegno delle parti firmatarie a che il trattamento dei dati avvenga in conformità della legge privacy, in particolare i dati oggetto di scambio dovranno essere quelli necessari, non eccedenti e pertinenti rispetto alle finalità da perseguire, le parti firmatarie saranno reciprocamente responsabili delle informazioni assunte, le parti avranno cura che i dati non vengano divulgati, diffusi, ristrasmessi, mostrati, comunicati o ceduti a terzi, né in alcun modo riprodotti, ove sia previsto lo scambio di dati sensibili, questi dovranno rivestire carattere di assoluta essenzialità, sarà opportuno che i dati sensibili che dovranno essere oggetto di scambio siano espressamente individuati dalla convenzione.

Adempimenti protocollo
Eventuali adempimenti legati al protocollo informatico: - manuale operativo, - manuale flusso documentale (eventuale), - nomine responsabili, - identificazione Aree Organizzative Omogenee.

La privacy nella Pubblica Amministrazione Un caso pratico: il progetto I-Care Avv. Chiara Rabbito.

Presentazioni simili

Presentazione sul tema: "La privacy nella Pubblica Amministrazione Un caso pratico: il progetto I-Care Avv. Chiara Rabbito."— Transcript della presentazione:

Presentazioni simili

Sul progetto

Feed-back

Entrare

Autorizzarsi attraverso i social network:

La privacy nella Pubblica Amministrazione Un caso pratico: il progetto I-Care Avv. Chiara Rabbito.

Presentazioni simili

Presentazione sul tema: "La privacy nella Pubblica Amministrazione Un caso pratico: il progetto I-Care Avv. Chiara Rabbito."— Transcript della presentazione:

Presentazioni simili

Sul progetto

Feed-back