La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 PRIVACY E PROTEZIONE DEI DATI PERSONALI. 2 Riferimenti legislativi Decreto Legislativo 30 giugno 2003, n. 196 (pubblicato sulla G.U. del 29 luglio 2003,

Presentazioni simili


Presentazione sul tema: "1 PRIVACY E PROTEZIONE DEI DATI PERSONALI. 2 Riferimenti legislativi Decreto Legislativo 30 giugno 2003, n. 196 (pubblicato sulla G.U. del 29 luglio 2003,"— Transcript della presentazione:

1 1 PRIVACY E PROTEZIONE DEI DATI PERSONALI

2 2 Riferimenti legislativi Decreto Legislativo 30 giugno 2003, n. 196 (pubblicato sulla G.U. del 29 luglio 2003, n. 174) Codice in materia di protezione dei dati personali In vigore dal 1° gennaio 2004 Sono abrogate: la legge 31 dicembre 1996, n. 675 e leggi/decreti emanati successivamente

3 3 jj dd

4 4 IL PASSAGGIO DAL CONCETTO AL DIRITTO DI PRIVACY Quali sono i punti fondamentali relativi alla tutela della privacy che debbono necessariamente essere tradotti negli strumenti legislativi? la privacy si impone come diritto fondamentale, quindi rientrante nella sfera dei diritti inviolabili della persona; la privacy si specifica come diritto allautodeterminazione informativa e, più precisamente, come diritto a determinare le modalità di costruzione della sfera privata nella loro totalità; la privacy è lelemento costitutivo della cittadinanza delletà elettronica e quindi la sua definizione, per lungo tempo legata unicamente al diritto di essere lasciato solo, si dilata e si volge verso lidea di una tutela globale delle scelte di vita contro ogni forma di controllo pubblico e di stigmatizzazione sociale, in un quadro caratterizzato dalla libertà delle scelte esistenziali e politiche (Rodotà)

5 5 Quali sono le strategie di tutela che devono trovare spazio nella normativa relativa alla privacy? il diritto di accesso a tutte le informazioni che ci riguardano; il diritto di opposizione a determinate forme di raccolta e di circolazione delle informazioni; il diritto di non sapere, specificazione del diritto di opposizione; il principio di finalità, che condiziona la legittimità della raccolta delle informazioni personali alla preventiva comunicazione allinteressato dei modi in cui verranno utilizzate le informazioni raccolte; per categorie di dati particolarmente sensibili, il principio stabilisce che lunica finalità ammissibile sia quella dellinteresse della persona considerata; il diritto alloblio, prevedendo che talune categorie di informazioni debbano essere distrutte, o conservate solo in forma aggregata e anonima, una volta che sia raggiunta la finalità per la quale erano state raccolte o dopo che sia trascorso un determinato periodo di tempo.

6 6

7 7 Lo statuto dei lavoratori, 1970 Lart. 4, pur risultando obsoleto nellindividuazione delle tecnologie (E vietato luso di impianti audiovisivi per finalità di controllo a distanza dellattività dei lavoratori), sancisce il principio che la vigilanza, ancorché necessaria nellorganizzazione produttiva, va mantenuta in una dimensione umana e cioè non esasperata dalluso di tecnologie che possono rendere la vigilanza stessa continua ed elastica, eliminando ogni zona di riservatezza e di autonomia nello svolgimento del lavoro.

8 8 Lo statuto dei lavoratori, 1970 Lart. 5 dello statuto vieta espressamente al datore di effettuare accertamenti sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente. Gli accertamenti sanitari per i dipendenti sono regolati da apposita legislazione (es: prevenzione delle malattie trasmissibili per via ematica, idoneità allassunzione, controlli periodici per lavoratori a rischio). E ribadito il principio che la raccolta di dati sensibili, cioè di natura sanitaria, può essere effettuata solo in base a finalità definite dalla legge, da parte di personale apposito (medico fiscale, medico competente, medico curante).

9 9 Lo statuto dei lavoratori, 1970 Lart. 6 vieta le visite personali di controllo sul lavoratore da parte del datore, fuorché siano indispensabili ai fini della tutela del patrimonio aziendale. Lindispensabilità delle visite deve essere intesa quale assoluta necessità, vale a dire come estrema ratio in relazione alla qualità dei beni da tutelare e alla impraticabilità di mezzi alternativi di controllo o di sistemi preventivi, anche indiretti, mediante incentivazioni o disincentivazioni collettive. Il limite della salvaguardia della dignità e della riservatezza del lavoratore in occasione delle visite personali si intende violato allorché il controllo si svolga con inferenza nellintimità fisica del lavoratore, come nel caso di perquisizioni o ispezioni anche semplicemente oculari, tali da creare particolare disagio o degradazione psicologica. (Corte di Cassazione, sentenza del 19 novembre 1984, n. 5902).

10 10 Lo statuto dei lavoratori, 1970 Allart. 8 è fatto divieto al datore di lavoro, ai fini dellassunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche per mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dellattitudine professionale del lavoratore.

11 11 AIDS ed infezione da HIV, 1990 La normativa in oggetto, nata nel 1990 per fronteggiare lemergenza dellesplosione di patologie correlate allinfezione da HIV, impone alloperatore sanitario di non diffondere informazioni che possano permettere lidentificazione della persona infetta, con o senza manifestazioni patologiche (art. 5, comma 1: Loperatore sanitario e ogni altro soggetto che viene a conoscenza di un caso di AIDS, ovvero di un caso di infezione da HIV, anche non accompagnato da stato morboso, è tenuto a prestare la necessaria assistenza e ad adottare ogni misura o accorgimento occorrente per la tutela dei diritti e delle libertà fondamentali dellinteressato, nonché della relativa dignità)

12 12 AIDS ed infezione da HIV, 1990 Se non per motivi di necessità clinica, nellinteresse del paziente, nessuno può essere sottoposto senza il suo consenso ad analisi tendenti ad accertare linfezione da HIV. La legge consente tali analisi nellambito di programmi epidemiologici, solo se i campioni vengano resi anonimi con assoluta impossibilità di pervenire allidentificazione delle persone interessate (art. 5, comma 3).

13 13 AIDS ed infezione da HIV, 1990 Art. 5, comma 4: stabilisce che la comunicazione dei risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV può essere data esclusivamente alla persona cui tali esami siano riferiti; nessuna terza persona, anche della cerchia familiare, è tenuta ad essere informata, se non per scelta dellinteressato.

14 14 AIDS ed infezione da HIV, 1990 La legge vieta inoltre ai datori di lavoro, pubblici o privati, lo svolgimento di indagini volte ad accertare nei dipendenti o in persone prese in considerazione per linstaurazione di un rapporto di lavoro lesistenza di uno stato di sieropositività. Viene ribadito che il diritto alla riservatezza del lavoratore non deve essere violato sulla base di accertamenti che non hanno una finalità per lattività lavorativa ma possono costituire motivo di discriminazione per laccesso a posti di lavoro o per il mantenimento di essi.

15 15 Codice in materia di protezione dei dati personali Principi generali Chiunque ha diritto alla protezione dei dati personali che lo riguardano Art. 1

16 16 Codice in materia di protezione dei dati personali Finalità Il Codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dellinteressato, con particolare riferimento alla riservatezza, allidentità personale e al diritto di protezione dei dati personali Art. 2

17 17 Codice in materia di protezione dei dati personali Finalità Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1, nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento. Art. 2

18 18 Codice in materia di protezione dei dati personali Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Art. 3

19 19

20

21 21 I dati Dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale Sono esempi di dati personali: nome, cognome, indirizzo, professione, cittadinanza, immagini, suoni, codici alfanumerici quali il codice fiscale, il codice Bancomat, le impronte digitali (ossia tutto ciò che, direttamente o indirettamente, può essere associato ad una persona )

22 22 I dati Dati sensibili Sono i dati personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale Sono esempi di dati sensibili: le informazioni relative alla diagnosi, prognosi, esito di una malattia; la descrizione di un intervento chirurgico; i referti degli esami diagnostici (es. glicemia) e radiologici; il peso e la lunghezza del neonato; lappartenenza ad un sindacato o partito politico; il credo religioso; la condizione di omosessualità; lallergia a farmaci

23 23 I dati Dato anonimo E il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile Dati giudiziari I dati personali idonei a rivelare provvedimenti … in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale Banca di dati Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti

24 INDIVIDUAZIONE DEL TITOLARE, DEI RESPONSABILI E DEGLI INCARICATI ALLINTERNO DELLE STRUTTURE SOCIO-SANITARIE

25 FIGURE AZIENDALI: Titolare Funzione privacy Responsabile responsabile responsabile Incaricatoincaricatoincaricatoincaricato Incaricato incaricato interessato interessatointeressato interessatointeressato

26 Soggetti di trattamento sono: a) il Titolare : è la pubblica amministrazione nel suo complesso (art. 29); b) il Responsabile : persona designata dal Titolare che agisce sulla base delle istruzioni e dei compiti analiticamente specificati (art. 30); c) gli Incaricati : persona fisica che effettua operazioni di trattamento sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite (art. 31).

27 TITOLARE: chi decide sulle finalità e sulle modalità duso dei dati ONERI: - nomine - notifica - censimento - informativa - acquisisce il consenso - garantisce il diritto di accesso - predispone quanto è necessario per la sicurezza

28 può delegare al RESPONSABILE : è il gestore di attività aziendali con contratti, convenzioni, appalti, gare - ha una sua sfera di autonomia mentre lincaricato esegue gli ordini del Resp. ONERI: - nomina gli incaricati - coordina luso dei dati - controlla il rispetto delle disposizioni NB: può essere interno o esterno (che collabora con lASS nelluso dei dati es. Farmacie, Associazioni di Volontariato, cioè tutti coloro che hanno avuto un incarico dal Titolare)

29 Requisiti responsabili del trattamento: Art. 29 codice privacy Soggetti che per idonea garanzia del rispetto: -Esperienza - disposizioni in materia di trattamento -Capacità - misure di sicurezza -affidabilità Culpa in eligendo e culpa in vigilando

30 Compiti dei responsabili: Individuazione ambito del trattamento e incaricati Adozione misure minime di sicurezza Adozione e segnalazione misure idonee sicurezza Monitoraggio del processo di trattamento (dalla raccolta, elaborazione e comunicazione-diffusione dei dati) Controlli sul processo di trattamento Trasparenza (informativa agli interessati) Gestione diritti di accesso e richieste interessati

31 INCARICATO Ha unautorizzazione formale e specifica - che contiene istruzioni duso dei dati (NO nomina generica ma come linformativa deve essere specifica e dettagliata) La nomina legittima luso dei dati Deve essere consapevole – occorre responsabilizzare i soggetti che accedono e/o utilizzano dati personali / sensibili dellutente (con la formazione continua e aggiornata diventa consapevole delle proprie azioni e responsabilità) Può essere interno o esterno (solamente persona fisica)

32 Occorre un aggiornamento continuo della lista degli incaricati oppure…. Si possono individuare due modi: 1) Designazione per iscritto – individuando puntualmente ambito di trattamento; 2) preposizione documentata vale come incarico – è automatica (senza atto formale): Viene individuato lambito di trattamento per unità: per finalità omogenee (per classi - es. per reparti, distretti, dipartimento, uffici U.O.), natura dei dati trattati, modalità di trattamento, strumenti trattamento Il medico preposto in quel reparto è automaticamente incaricato (anche se per trasferimento da altre unità). Quando il medico svolge mansioni non presso il reparto ma in altre Commissioni è automaticamente incaricato per quelle Commissioni.

33 AMBITO DI TRATTAMENTO L'ambito del trattamento non è oggetto di specifica definizione da parte del legislatore. È rimessa al titolare la scelta e la discrezionalità sulla portata e la estensione di questo concetto, che consiste nel determinare per ogni unità di trattamento : a) le finalità del trattamento; b) la natura dei dati, con particolare riferimento ai dati sensibili che possono essere trattati solo ove ciò sia indispensabile per il raggiungimento delle finalità; c) le banche dati da istituire o che sono detenute o alle quali si può lecitamente accedere; d) modalità di trattamento consentite (da intendersi con riferimento alla tipologia di strumenti che sono utilizzati - elettronici e non ); e) le categorie di incaricati preposti allo svolgimento delle operazioni di trattamento, anche per c1assi omogenee.

34 ASPETTI DI RESPONSABILITA CIVILE ART C.C. Il trattamento dei dati è qualificato come attività pericolosa Inversione dellonere della prova: spetta alloperatore sanitario fornire la prova di avere applicato le misure di sicurezza più idonee a garantire la sicurezza dei dati detenuti (…misure idonee a evitare il danno) Sempre culpa in vigilando per i Responsabili

35 Misure di sicurezza si distinguono in: - minime: quelle che rappresentano il livello minimo di protezione imposto dalla legge (per evitare le sanzioni penali previste); - idonee: non sono codificate, sono scelte e sviluppate dal Titolare in base alla valutazione del rischio. Il concetto di idoneità è ancorato anche allevoluzione tecnologica: pertanto tali misure devono essere periodicamente verificate e aggiornate ( se tali misure vengono valutate – ex post – non idonee, lAzienda è comunque civilmente responsabile dei danni causati allinteressato per il trattamento dei suoi dati personali in modo non idoneo).

36 RESPONSABILITA CIVILE ART. 22, comma 6, codice privacy (dati sensibili e giudiziari) I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con lausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante lutilizzazione di codici identificativi o di altre soluzioni che li rendono temporaneamente inintellegibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità

37 RESPONSABILITA PENALE p. 24 all. B. del codice privacy per i dati di salute e vita sessuale le modalità di cui allart. 22, comma 6, rientrano tra le misure minime di sicurezza - art. 22 comma 7: I dati di salute e la vita sessuale devono essere conservati separatamente dagli altri dati personali - I dati genetici trattati allinterno dei locali protetti e accessibili agli incaricati autorizzati; il trasporto allesterno solo con contenitori muniti di serratura o dispositivi equipollenti

38 OTTENIMENTO DEL CONSENSO DELLINTERESSATO AL TRATTAMENTO DEI DATI PERSONALI E DEI DATI SENSIBILI

39 INFORMAZIONE E CONSENSO: Attraverso lINFORMATIVA (art. 13), linteressato può esercitare un controllo diretto sulloperato del soggetto (incaricato) che effettua il trattamento dei suoi dati. Linformativa deve essere rilasciata (preferibilmente per iscritto) al momento della raccolta dei dati personali e costituisce, nel caso di dati idonei a rivelare lo stato di salute, una condizione di validità del consenso successivamente prestato dallinteressato

40 il consenso senza cognizione dellinformativa non è valido – è come non apposto. Linformativa è comunque una condizione necessaria per lesercizio da parte di questultimo dei diritti di cui allart.7 del Codice privacy.

41 INFORMATIVA (art. 13)– elementi essenziali : deve contenere in modo chiaro, comprensibile e leggibile i diritti dellinteressato - perché e in che modo vengono usati i dati - se i dati richiesti sono obbligatori o facoltativi - a chi vengono diffusi o comunicati (NB: indicare solo figure allesterno dellASS – per quelli interni cè il censimento ossia le schede di rilevazione) – - chi è il Titolare - Chi è il responsabile del trattamento dei dati

42 Art. 76 Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, trattano i dati personali idonei a rivelare lo stato di salute : a) con il consenso dellinteressato e anche senza lautorizzazione del Garante se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dellincolumità fisica dellinteressato; b) anche senza il consenso dellinteressato e previa autorizzazione del Garante se la finalità di cui alla lett. a) riguarda un terzo o la collettività.

43 - Prescrizione - Prenotazione - Accettazione - Erogazione della prestazione vera e propria (legata alla finalità di tutela della salute) - Refertazione e certificazione ( è attività amm. correlata) Occorre analizzare sempre lo scopo per il quale si tratta quel dato (es. la prenotazione di un ECG è un dato sensibile ma è attività amm. correlata) Se la finalità principale del trattamento non è la tutela della salute ma una attività correlata (es. per assistenza sociale) non occorre il consenso ma basta il regolamento regionale

44 Legittimazione del trattamento (con/senza il consenso) : art. 76 – consenso solo se si intende perseguire con il trattamento una finalità di tutela della salute o dellincolumità fisica dellinteressato Art Il consenso copre solo il trattamento per scopi di tutela della salute e non le attività amministrative correlate (per le quali basta la legge o il regolamento regionale)

45 Art ) NO consenso : - per dati sanitari per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico se ricerca prevista per legge - o rientrante in un programma di ricerca biomedica o sanitaria di cui allart. 12 bis del D.Lgs. 502/92 ( ossia a tutela della collettività) - In tali casi, per tutte le ricerche non obbligatorie per legge rientranti nel programma di ricerca suddetto occorre autorizzazione preventiva del Garante 2) Se la ricerca è a tutela dellinteressato ( SI CONSENSO)

46 Art. 81 Codice privacy Il consenso al trattamento dei dati sanitari può essere manifestato con ununica dichiarazione anche oralmente (in tal caso occorre documentarlo con annotazione dellorganismo sanitario pubblico)

47 Art In caso di emergenze, di seguito riportate, linformativa e il consenso possono essere dati anche dopo la prestazione : 1.impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dellinteressato (se non è possibile acquisirlo da chi esercita la potestà, dal congiunto, familiare, convivente; 2.rischio grave, imminente e irreparabile per lla salute dellinteressato 3.se la prestazione può essere pregiudicata dallacquisizione preventiva del consenso, in termini di tempestività o efficacia 4.dopo i 18 anni, linformativa è fornita per acquisire una nuova manifestazione di consenso quando questo è necessario

48 consenso informato è diverso dal consenso privacy Il requisito minimo indispensabile deve essere la doppia firma del paziente, una da apporre in una sezione specifica per il consenso informato, laltra in una diversa sezione relativa al trattamento dei dati sanitari. Non si ritiene obbligatorio luso di moduli separati, ferma restando la chiarezza e completezza dellinformazione in tutti i casi.

49 CONSENSO INFORMATO Obbligo sancito dallart. 32 Cost., dal codice deontologico medico e dalla Carta dei diritti fondamentali dellUnione Europea. - deve esser dato prima dellinizio del trattamento terapeutico - è revocabile in ogni momento (sempre che il soggetto sia capace di intendere e di volere, e salvo - in tale ipotesi - i casi di stato di necessità, quando ad esempio linterruzione repentina del trattamento possa provocare gravissimi rischi per il paziente)

50 - Il consenso informato dovrebbe essere sempre scritto, non in quanto la formulazione orale sia incompatibile con i principi su esposti, ma poiché in tal modo il sanitario è in grado di dimostrare agevolmente la sussistenza del consenso stesso. Ne discende lopportunità della sua formulazione scritta e del suo sistematico inserimento nella cartella clinica.

51 Principi generali del codice privacy PRINCIPIO DI NECESSITA NEL TRATTAMENTO ART. 3 - configurazione sistemi informativi e programmi informatici - riduzione al minimo dellutilizzazione dei dati personali - - correlato anche con la previsione - dellart. 22, comma 6 e 7

52 PRINCIPIO DI INDISPENSABILITA per il trattamento dati sensibili e giudiziari riguarda: - i dati che possono essere trattati - le operazioni che possono essere eseguite DA VALUTARSI IN CONCRETO v. art. 22, comma 5 e 9 / art. 68, comma 3

53 PRINCIPIO DI FINALITA per ogni trattamento occorre uno scopo determinato, esplicito, legittimo PRINCIPIO DI PROPORZIONALITA E ADEGUATEZZA: i dati oggetto di trattamento devono essere pertinenti, completi e non eccedenti rispetto alle finalità

54 PRINCIPIO DI QUALITA DEL DATO - i dati devono essere esatti - se necessario, devono essere aggiornati DIRITTO ALLOBLIO – art. 11, lettera e) - centralità dello scopo del trattamento - - conservazione in forma identificativa non oltre lo scopo - inutilizzabilità dei dati trattati in violazione disciplina privacy -

55 DATI NECESSARI non eccedenza nelluso del dato ESSENZIALI (INDISPENSABILI se sono dati sensibili) PERTINENTI (consapevolezza delloperatore ) necessità delluso del dato: problema art. 3 MODIFICA DEL SOFTWARE es. centralino che vede tutta lanagrafe sanitaria mentre doveva solo esaminare lelenco dei ricoverati della giornata la cartella clinica informatizzata dovrebbe essere apribile a step successivi (filtri – che riducono la visibilità)

56 Art. 18 / 19 - principi generali applicabili a tutti i trattamenti effettuati dai soggetti pubblici - consentito soltanto per lo svolgimento delle funzioni istituzionali IN CASO DI DATI PERSONALI: - anche in mancanza di una legge che lo preveda espressamente -senza il consenso dellinteressato

57 DATI PERSONALI - NO consenso (comunque censiti ma non pubblicati per linteressato) - trattamento consentito solo per lo svolgimento delle funzioni istituzionali - SI informativa generica

58 Art. 20 / 21- Principi per il Trattamento DATI SENSIBILI e GIUDIZIARI - solo se autorizzato da legge (che specifica tipi di dati trattati e finalità ) - se legge indica solo le finalità : occorre un regolamento (schemi-tipo) che ne specifica i tipi di dati e operazioni eseguibili - per i soli dati sensibili - se la legge non prevede neanche le finalità : occorre autorizzazione del Garante (dopo 45 gg. silenzio-rigetto), mentre i tipi di dati devono essere identificati con regolamento -non serve il consenso (salvo per i dati di salute)

59 DATI SENSIBILI genetici – vita sessuale – iscrizione sindacato ecc. ) DATI GIUDIZIARI NO consenso - SI Informativa dettagliata - specifica –avviso art censimento dati (regolamento regionale) - che vanno pubblicati per linteressato

60 DATI SANITARI (idonei a rivelare lo stato di salute) SI consenso al trattamento + Informativa dettagliata (indicare normativa) + censimento dati No diffusione

61 I CONFLITTI CON LA NORMATIVA SULLA TRASPARENZA DEGLI ATTI PUBBLICI: APPLICAZIONE PRATICA NEL RISPETTO DELLA PRIVACY

62 Far conoscere i dati a persone diverse dellinteressato, nel rispetto della privacy comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dallinteressato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione I DATI SANITARI NON POSSONO ESSERE DIFFUSI

63 art. 19 – 39 -Comunicazione dati comuni 1) da ente pubblico a ente pubblico (comunque necessaria per lo svolgimento delle funzioni istituzionali) - se prevista da legge o da regolamento - In mancanza di legge: autorizzazione preventiva Garante (45 gg. – silenzio assenso) 2) da ente pubblico a privato: solo per legge o regolamento - diffusione dati comuni (solo se prevista da una norma di legge o regolamento)

64 Accessibilità ai dati da parte di soggetti interni Incaricati del trattamento : - identificazione - autenticazione Determinazione - autorizzazione ambito trattamento: -Criteri di abilitazione (art. 58 DPR 445/2000) -Scopo – necessità – proporzionalità dati -Indispensabilità dati e operazioni (dati di salute e vita sessuale) conservazione separata da altri dati ( cifratura, codici identificativi, altre soluzioni )

65 Applicazione pratica – processo di adozione di una determinazione/deliberazione Istruttoria: raccolta e valutazione degli elementi di fatto (dati comuni, sensibili, salute) Adozione atto: inserimento nel corpo dellatto dei soli dati proporzionali – indispensabili per scopo istituzionale perseguito Pubblicazione atto: Atto da pubblicare con i soli dati pertinenti e indispensabili - scopo trasparenza divieto di pubblicazione dati salute

66 Applicazione pratica – pubblicazione atti Pubblicazione atti: 1) verifica scopo della pubblicità 2) trasparenza: - dati identificativi indispensabili - dati oggettivi indispensabili Es. – omissis - M. R. (dati cifrati) - codice identificativo - Es. busta paga : non dovrebbe risultare lappartenenza a un sindacato ecc. Si potrebbe ovviare mettendo un foglio sopra rimuovibile solo dal dipendente

67 art. 7 codice privacy DIRITTO DI ACCESSO AI DATI da parte dellinteressato Ha diritto di chiedere la procedura di accesso ai dati (senza motivazione) Termine per rispondere: 15 giorni (o 30 gg. per giustificate ragioni comunicate allinteressato) - Prima di 90 giorni non può ripresentare la stessa istanza NB: non sono documenti (v. L.241/90 e ss.)

68 I DIRITTI DI ACCESSO – QUADRO SINOTTICO Legge 241/90 Codice Privacy Soggetto SOGGETTI DIVERSI INTERESSATO Destinatario AUTORITA COMPETENTE RESP. DEL TRATTAMENTO A FORMARE LATTO O A DETENERLO STABILMENTE Oggetto DOCUMENTO AMMINISTRATIVO INFORMAZIONI PERSONALI Legittimazione INTERESSE QUALIFICATO E DIRITTO PIENO ED DIFFERENZIATO ESCLUSIVO ModalitàISTANZA MOTIVATANON OCCORRE MOTIVAZIONE

69 DIRITTO DI ACCESSO AI DOCUMENTI AMMINISTRATIVI – ART. 22 L.241/90 ISTANZA VERIFICA MOTIVAZIONE COMPLETA VERIFICA INTEGRAZIONE VERIFICA INTERESSE NECESSITA INTEGRAZIONE DIRETTO, ATTUALE, CONCRETO (NO) RIGETTO oppure (SI) ACCOGLIMENTO

70 ART. 60 – ACCESSO AI DOCUM. CONTENTENTI DATI DI SALUTE E LA VITA SESSUALE da parte di soggetti diversi dallinteressato In tal caso, laccesso è consentito, solo se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, desumibile dalla relativa motivazione: - 1) è di rango almeno pari ai diritti dell'interessato (cioè del soggetto al quale si riferiscono i dati idonei a rivelare lo stato di salute o la vita sessuale) - 2) ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. Al di fuori di tale caso, laccesso ai documenti amministrativi resta disciplinato dalla citata legge 241/90 e dai regolamenti di attuazione della stessa (art. 59).

71 Art. 92 ACCESSO ALLE CARTELLE CLINICHE ………………… [ 2] Eventuali richieste di presa visione o di rilascio di copia della cartella clinica e dellacclusa scheda di dimissione ospedaliera da parte di soggetti diversi dallinteressato, possono essere accolte in tutto o in parte solo se la richiesta è giustificata dalla documentata necessità: a) di far valere o difendere un diritto in sede giudiziaria di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; b) di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile

72 DIRITTO DI ACCESSO AI DOCUMENTI AMM.VI CONTENENTI DATI DI SALUTE E VITA SESSUALE ART. 60 D.Lgs.196/03 ISTANZA MOTIVATA ACCESSO DATI DI TERZI NECESSITA CURA O DIFESA VERIFICA NATURA DEI DATI VARIFICA PARITA DI RANGO SALUTE O VITA SESSUALE PARITA DI RANGO (NO) RIGETTO oppure (SI) ACCOGLIMENTO

73 i documenti che contengono informazioni sullo stato di salute in possesso di amministrazione pubblica, possono essere accessibili da parte di persone diverse dal paziente solo se « il diritto che si intende far valere in giudizio è di pari rango, ossia dello stesso livello, di quello della persona cui si riferiscono i dati ».

74 art. 9, comma 3, del codice privacy: I diritti di cui allart. 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dellinteressato o per ragioni familiari meritevoli di protezione

75 75 Il trattamento dei dati personali in ambito sanitario Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico (es: compiti istituzionali del SSN), trattano i dati personali idonei a rivelare lo stato di salute: a)con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato; b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.

76 76 Altre misure per il rispetto dei diritti delle persone assistite Art. 83 Gli operatori e gli organismi sanitari adottano idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza. (cfr: Codici deontologici delle professioni sanitarie)

77 77 Altre misure per il rispetto dei diritti delle persone assistite Modalità operative soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad adempimenti amministrativi preceduti da un periodo di attesa all'interno di strutture, un ordine di precedenza e di chiamata degli interessati prescindendo dalla loro individuazione nominativa; l'istituzione di appropriate distanze di cortesia, tenendo conto dell'eventuale uso di apparati vocali o di barriere; soluzioni tali da prevenire, durante colloqui, l'indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute; cautele volte ad evitare che le prestazioni sanitarie, ivi compresa l'eventuale documentazione di anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti;

78 78 Altre misure per il rispetto dei diritti delle persone assistite Modalità operative il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati; la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa essere data correttamente notizia o conferma anche telefonica, ai soli terzi legittimati, di una prestazione di pronto soccorso; la formale previsione, in conformità agli ordinamenti interni delle strutture ospedaliere e territoriali, di adeguate modalità per informare i terzi legittimati in occasione di visite sulla dislocazione degli interessati nell'ambito dei reparti, informandone previamente gli interessati e rispettando eventuali loro contrarie manifestazioni legittime di volontà; la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute; la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

79 79 La comunicazione dei dati sanitari allinteressato I dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato dall'interessato o dal titolare. Il presente comma non si applica in riferimento ai dati personali forniti in precedenza dal medesimo interessato

80 80 La comunicazione dei dati sanitari allinteressato Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici, che nell'esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all'interessato. L'atto di incarico individua appropriate modalità e cautele rapportate al contesto nel quale è effettuato il trattamento di dati.

81 81 Certificato di assistenza al parto Ai fini della dichiarazione di nascita il certificato di assistenza al parto è sempre sostituito da una semplice attestazione contenente i soli dati richiesti nei registri di nascita. Il certificato di assistenza al parto o la cartella clinica, ove comprensivi dei dati personali che rendono identificabile la madre che abbia dichiarato di non voler essere nominata possono essere rilasciati in copia integrale a chi vi abbia interesse, in conformità alla legge, decorsi cento anni dalla formazione del documento.. Durante il periodo di cui al comma precedente la richiesta di accesso al certificato o alla cartella può essere accolta relativamente ai dati relativi alla madre che abbia dichiarato di non voler essere nominata, osservando le opportune cautele per evitare che quest'ultima sia identificabile.

82 82 Misure di sicurezza dei dati Artt Disciplinare tecnico in allegato B I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

83 83 Misure minime Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

84 84 Misure minime Trattamenti senza lausilio di strumenti elettronici Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime: a)aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

85 85 Il Garante per la protezione dei dati personali Piazza di Monte Citorio n ROMA Fax: (+39) Centralino telefonico: (+39) Presidente Francesco Pizzetti

86 86 Il Garante per la protezione dei dati personali è unautorità indipendente istituita dalla legge sulla privacy (L. 675/96) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. E un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile. Lattuale collegio si è insediato il 19 marzo LUfficio del Garante, al quale sovrintende il Segretario generale, è articolato, oltre che in alcune unità temporanee, in dipartimenti e servizi: Segreteria generale Ufficio di segreteria Ufficio per le relazioni con il pubblico Ufficio archivio e protocollo Segreteria di sicurezza Dipartimenti Dipartimento realtà economiche e produttive Dipartimento libertà pubbliche e sanità Dipartimento comunicazioni e reti telematiche Dipartimento risorse umane Dipartimento amministrazione e contabilità Dipartimento contratti e risorse finanziarie Dipartimento vigilanza e controllo Dipartimento registro dei trattamenti Dipartimento risorse tecnologiche Servizi Servizio di segreteria del collegio Servizio relazioni istituzionali Servizio relazioni comunitarie e internazionali Servizio relazioni con i mezzi di informazione Servizio studi e documentazione

87 87 I compiti del Garante il controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità; lesame delle segnalazioni e dei reclami degli interessati, nonché dei ricorsi presentati; ladozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili; la promozione, nellambito delle categorie interessate, della sottoscrizione dei codici di deontologia e di buona condotta; il divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per linteressato; la segnalazione al Governo dei provvedimenti normativi di settore, la cui adozione si manifesti opportuna, e la formulazione dei pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine ai regolamenti ed agli atti amministrativi inerenti alla materia della protezione dei dati personali; la predisposizione di una relazione annuale sullattività svolta e sullo stato di attuazione della legge e la sua trasmissione al Parlamento e al Governo; la partecipazione alle attività comunitarie ed internazionali di settore, quale componente delle autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale); il controllo, anche a richiesta degli interessati, sui trattamenti dei dati personali effettuati da forze di polizia e dai servizi di informazione e di sicurezza;


Scaricare ppt "1 PRIVACY E PROTEZIONE DEI DATI PERSONALI. 2 Riferimenti legislativi Decreto Legislativo 30 giugno 2003, n. 196 (pubblicato sulla G.U. del 29 luglio 2003,"

Presentazioni simili


Annunci Google