Privacy in sanità Relatore: dott. Sergio Ferri, Beamat srl Regolamento europeo protezione dei dati personali e sicurezza dei dati Roma, 6 Aprile 2016 Privacy in sanità Relatore: dott. Sergio Ferri, Beamat srl
dott. Sergio Ferri - Federprivacy Contenuti Innovazione e Processi in ambito sanitario Privacy nella Sanità Impatti del Regolamento Europeo dott. Sergio Ferri - Federprivacy
Innovazioni digitali in Sanità [1] Ambiti Cartella Clinica elettronica Dossier sanitario e FSE Sistemi di gestione documentale e conservazione a norma Disaster Recovery e Business Continuity [1] Innovazioni digitali in sanità (05/2015) - Politecnico di Milano dott. Sergio Ferri - Federprivacy
Innovazioni digitali in Sanità [1] Drivers Consapevolezza della Direzione aziendale sull’importanza dell’ICT Necessità di revisione dei processi aziendali Accesso ai finanziamenti regionali e/o europei Definizione di standard Formazione in materia di innovazione digitale Comunicazione e informazione interna all’azienda Confronto e collaborazione fra i diversi decisori aziendali Creazione di tavoli di lavoro tra i diversi attori aziendali Assunzione di nuove risorse umane dott. Sergio Ferri - Federprivacy
Innovazioni digitali in Sanità [1] Barriere Limitate risorse economiche disponibili Elevati impatti organizzativi e/o resistenza al cambiamento Scarsa cultura digitale degli operatori sanitari Difficoltà nel valutare i benefici e giustificare l’investimento Limitate risorse umane disponibili Mancanza di linee guida di sviluppo omogenee Scarsa conoscenza delle potenzialità degli strumenti ICT Assenza di ruoli dedicati all’innovazione Mancanza di competenze interne Timore del personale sanitario di essere controllato dott. Sergio Ferri - Federprivacy
dott. Sergio Ferri - Federprivacy
Sanità digitale Strategia crescita digitale 2016 Completamento della sostituzione delle ricette cartacee con quelle digitali Dematerializzazione dei referti e delle cartelle cliniche Interconnessione Sistemi Informativi 2017 Diffusione dei servizi d prenotazione on line Conclusione della realizzazione del FSE dott. Sergio Ferri - Federprivacy
Digitalizzazione dei documenti Strumenti vs Requisiti Paternità: Firma digitale o altri sistemi di identificazione Integrità: Firma Digitale/Firma elettronica Qualificata e Firma Elettronica Avanzata Trasmissione informatica: PEC, SPC, SdI, EDI Corretta gestione: Archiviazione elettronica Memorizzazione digitale, validità temporale: Firma digitale, Marca temporale e procedure di sicurezza. dott. Sergio Ferri - Federprivacy
Alcuni numeri del settore sanitario Dimissioni annue (2013): Lazio: 1,0 milioni Lombardia: 1,5 milioni Italia: 9,3 milioni dott. Sergio Ferri - Federprivacy
Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario Garante della Privacy
Ambito di applicazione Dossier sanitario: strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti. Fse formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale. I dossier sanitari possono anche costituire, ad esempio, l'insieme di informazioni sanitarie detenute dai singoli titolari coinvolti in una iniziativa di Fse regionale. dott. Sergio Ferri - Federprivacy
Sanità digitale FSE- Fascicolo Sanitario Elettronico dott. Sergio Ferri - Federprivacy
Diritto alla costituzione di un FSE o di un dossier sanitario In base alle disposizioni contenute nel Codice dell‘Amministrazione Digitale (CAD), deve essere assicurata la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale utilizzando le tecnologie dell'informazione e della comunicazione nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice dell'amministrazione digitale (d.lg. 82/05). dott. Sergio Ferri - Federprivacy
Consenso dell’interessato Oscuramento L'"oscuramento" dell'evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali da garantire che tutti (o alcuni) soggetti abilitati all'accesso non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che l'interessato ha effettuato tale scelta, cioè l’oscuramento dell'oscuramento). Alcuni progetti di Fse garantiscono l'esercizio della "facoltà di oscuramento“ mediante una "busta elettronica sigillata" non visibile, apribile di volta in volta solo con la collaborazione dell'interessato, ovvero utilizzando codici casuali relativi a singoli eventi che non consentono di collegare tra loro alcune informazioni contrassegnate. dott. Sergio Ferri - Federprivacy
Comunicazione al Garante Il Fse, costituendo un insieme logico di informazioni e documenti sanitari volto a documentare la storia clinica di un individuo condiviso da più titolari del trattamento, deve essere improntato a criteri di massima trasparenza nella sua strutturazione e nel suo funzionamento. A garanzia di tale evidenza i trattamenti di dati personali effettuati attraverso il Fse devono essere resi noti al Garante mediante una apposta comunicazione da effettuarsi secondo uno specifico modello. dott. Sergio Ferri - Federprivacy
dott. Sergio Ferri - Federprivacy Misure di sicurezza Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere utilizzati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi: es. applicazione anche parziale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati). dott. Sergio Ferri - Federprivacy
dott. Sergio Ferri - Federprivacy Misure di sicurezza Devono essere, inoltre, assicurati: idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento: procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati; individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; tracciabilità degli accessi e delle operazioni effettuate; sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie. dott. Sergio Ferri - Federprivacy
Dossier Sanitario Elettronico Garante della Privacy
IL DOSSIER SANITARIO ELETTRONICO E’ lo strumento costituito presso un'unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura) che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l'intera storia clinica di una persona generata da più strutture sanitarie. dott. Sergio Ferri - Federprivacy
IL DOSSIER SANITARIO ELETTRONICO TUTELA DEI PAZIENTI ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario in assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste dott. Sergio Ferri - Federprivacy
IL DOSSIER SANITARIO ELETTRONICO TUTELA DEI PAZIENTI per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico per consentire al paziente di scegliere in maniera libera e consapevole, la struttura sanitaria dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. dott. Sergio Ferri - Federprivacy
IL DOSSIER SANITARIO ELETTRONICO I TITOLARI DEL TRATTAMENTO (1/2) La struttura sanitaria deve: garantire al paziente l'esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la possibilità di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier; garantire al paziente la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier; dott. Sergio Ferri - Federprivacy
IL DOSSIER SANITARIO ELETTRONICO I TITOLARI DEL TRATTAMENTO (2/2) adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi. comunicare al Garante eventuali violazioni di dati o incidenti informatici (data breach) entro 48 ore dalla conoscenza del fatto. dott. Sergio Ferri - Federprivacy
dott. Sergio Ferri - Federprivacy Data Breach (Violazione dati personali) MODELLO DI COMUNICAZIONE AL GARANTE Secondo quanto prescritto dal Provvedimento del 2 luglio 2015, le amministrazioni pubbliche sono tenute a comunicare al Garante all'indirizzo: databreach.pa@pec.gpdp.it le violazioni dei dati personali (data breach) che si verificano nell’ambito delle banche dati (qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti, art. 4, comma 1, lett. p del Codice) di cui sono titolari. dott. Sergio Ferri - Federprivacy
Scambio dei dati personali tra PA Adempimenti Privacy (1/2) Le pubbliche amministrazioni che intendono rendere fruibili diverse tipologie di dati da altre pubbliche amministrazioni devono effettuare le seguenti attività: effettuare verifiche preliminari a cura dell'erogatore; selezionare i dati; tenere aggiornato l’elenco delle banche dati accessibili; controllare annualmente il numero di utenze attive, inibendo gli accessi (autorizzazioni o singole utenze) non conformi a quanto stabilito nelle convenzioni designare responsabili e incaricati; . dott. Sergio Ferri - Federprivacy
Scambio dei dati personali tra PA Adempimenti Privacy (2/2) predisporre procedure di autenticazione e autorizzazione degli utenti; predisporre idonee misure di sicurezza; l'erogatore e il fruitore devono predisporre idonee procedure di audit sugli accessi alle banche dati, i cui esiti devono essere documentati secondo le modalità definite nelle convenzioni, inoltre devono essere introdotte attività di audit basate sul monitoraggio statistico delle transazioni e su meccanismi di alert che individuino comportamenti anomali o a rischio. dott. Sergio Ferri - Federprivacy
Scambio dei dati personali tra PA Il fruitore deve utilizzare le informazioni acquisite esclusivamente per le finalità dichiarate in convenzione, nel rispetto dei principi di pertinenza e non eccedenza, nonché di indispensabilità, per i dati sensibili e giudiziari; garantire che l'accesso ai dati verrà consentito esclusivamente al personale dipendente o a soggetti ad esso assimilati ovvero ad altri soggetti che siano stati parimenti designati dal fruitore quali incaricati o responsabili del trattamento dei dati. dott. Sergio Ferri - Federprivacy
Attività ispettiva – Piano I/2016 accertamenti in riferimento a profili di interesse generale per categorie di interessati nell'ambito: dei trattamenti effettuati da organismi sanitari in relazione all'istituzione del dossier sanitario; alla verifica della corretta adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili; a controlli sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell'obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee. dott. Sergio Ferri - Federprivacy
Regolamento Europeo Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)
dott. Sergio Ferri - Federprivacy Principali novità Principi (Art.5) Dati genetici e dati relativi alla salute (Art.4) Stabilimento principale (Art.4) Diritto all’oblio (Art.17) Diritto alla portabilità dei dati (art.18) Registri delle attività di trattamento (Art.28) Sicurezza dei dati (Artt.30-32) PIA – Privacy Impact Analysis (Artt. 33-34) Responsabile della protezione dei dati (Artt.35-37), DPO Codici di condotta e Certificazione (Artt.38-39bis) Trasferimento dati personali (Art.40-45) Ricorsi, Responsabilità e Sanzioni (Artt. 73-79 ter) dott. Sergio Ferri - Federprivacy
Dati genetici e dati relativi alla salute (art.4) Dati genetici: …. informazioni uniche sulla fisiologia o sulla salute di una persona fisica; Dati relativi alla salute: ….compresa la prestazione di servizi di assistenza sanitaria, che rilevano informazioni relative allo stato di salute; dott. Sergio Ferri - Federprivacy
Diritto alla portabilità dei dati (art.18) L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile a macchina i dati personali che lo riguardano …. Portabilità dei dati tra responsabili del trattamento, se tecnicamente fattibile; dott. Sergio Ferri - Federprivacy
Responsabile e Incaricato del trattamento (Artt.22-29) Mette in atto misure ed è in grado di dimostrare che il trattamento è effettuato in modo conforme al Regolamento; Privacy by Design o by Default; Corresponsabilità dei Responsabili; Trattamenti su commissione (esterni); Registri attività di trattamento (DPS ampliato) di ogni Responsabile e ogni Incaricato. dott. Sergio Ferri - Federprivacy
Sicurezza dei dati (Artt.30-32) Misure di sicurezza,capacità di: Resilienza, Disaster recovery Risk analysis; Procedura di V&V per l’efficacia misure adottate Notifica violazione (data breach): Autorità di controllo entro 72 ore Interessato/i dott. Sergio Ferri - Federprivacy
Private Impact analysis (Artt.33-34) Applicabilità e non-applicabilità per tipologie di trattamenti; PIA contenuti minimi; Consultazione preventiva dell’autorità di controllo. dott. Sergio Ferri - Federprivacy
dott. Sergio Ferri - Federprivacy DPO (Artt.35.37) Requisiti possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti. dott. Sergio Ferri - Federprivacy
DPO: quando è obbligatorio amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Un titolare del trattamento o un responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati personali anche in casi diversi da quelli sopra indicati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. dott. Sergio Ferri - Federprivacy
dott. Sergio Ferri - Federprivacy DPO: compiti (1/2) Informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi. dott. Sergio Ferri - Federprivacy
dott. Sergio Ferri - Federprivacy DPO: compiti (2/2) Fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti; fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente consultare il Garante di propria iniziativa. dott. Sergio Ferri - Federprivacy
Codici di condotta e Certificazione (Artt.38-39bis) Codici di condotta: elaborabili da associazioni e rappresentanti di categorie, controllabili da organismi competenti; Certificazione volontaria mediante: meccanismi, sigilli o marchi approvati; Organismi di certificazione accreditato; dott. Sergio Ferri - Federprivacy