Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità Cortina D’Ampezzo 28 gennaio 2016
Superare due approcci alla protezione dei dati: burocratico-difensivo-formalistico rinunciatario
Approccio equilibrato Accompagnando l’innovazione tentando di governare il cambiamento con le regole e gli strumenti a disposizione
non c’è contraddizione tra: Tutela della Privacy = Tutela della Salute
Sistemi complessi in medicina FSE/dossier sanitario Interconnessione dei sistemi informativi sanitari fini di governo e di sanità pubblica (es. NSIS, sistemi di sorveglianza e registri di patologia) Mobile Health Telemedicina Trasmissione e consultazione telematica di referti e certificati medici prenotazione e ritiro analisi in farmacia, pagamento on line prestazioni sanitarie Prestazione di servizi sanitari trasfrontalieri
Aspetti da tenere in considerazione: allocazione chiara dei ruoli e delle responsabilità certezza dell’origine dei dati minimizzazione, qualità e accessibilità dei dati trasparenza del trattamento e diritti dell’interessato accessi selettivi (soggetti coinvolti nel percorso di cura) sicurezza adeguata ai rischi (accesso non autorizzato, distruzione, perdita, trattamento non consentito, ecc.)
Valorizzare gli strumenti e le regole a disposizione: Valutazione impatto privacy Privacy by design, privacy by default Data Protection Officer Certificazioni, codici di condotta Data breach Informativa chiara e consenso granulare Tecniche di pseudoanonimizzazione/anonimizzazione Strumenti di log analysis Rafforzamento cooperazione tra DPA Iniziative di formazione e informazione per operatori/pubblico
Regolamento (UE) n. 2016/679 applicabile dal 25 maggio 2018
Valutazione Impatto Privacy ⏎ determinare origine, natura e gravità dei rischi per gli interessati E’ richiesta in particolare quando: trattamenti di dati sensibili su larga scala che utilizzano nuove tecnologie che prevedono una valutazione sistematica e globale di aspetti personali, basati sulla profilazione deve indicare le misure previste per affrontare i rischi
Se il rischio : è elevato e non attenuabile mediante misure opportune in base alla tecnologia disponibile e ai costi di attuazione in caso di dubbi il titolare consulta l'autorità di controllo che deve pronunciarsi entro un termine prestabilito
Privacy incorporata nella progettazione Privacy come impostazione di default approccio proattivo che considera la persona al centro di ogni sistema che tratta dati personali nello sviluppo, progettazione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali va tenuto conto della protezione dei dati personali Misure tecniche e organizzative fin dalla progettazione (by design) per prevenire possibili problematiche Misure tecniche e organizzative per garantire che siano trattati (by default) solo i dati necessari
DPO per i trattamenti in ambito pubblico e quelli che comportano monitoraggio sistematico degli interessati e quelli su larga scala di dati sensibili una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati riferisce direttamente al vertice gerarchico e non riceve istruzioni
DPO a livello interno svolge compiti di controllo del rispetto delle regole di protezione dei dati e di consulenza e funge da punto di contatto per l’Autorità di controllo (DPA)
Codici di condotta Certificazioni semplificazioni per i soggetti che offrono garanzie e aderiscono a sistemi di autoregolamentazione elementi di cui la DPA deve tener conto nell’applicare sanzioni e nell’analizzare la valutazione d’impatto
Data breach Obbligo di comunicare eventuali violazioni dei dati personali alla DPA e in casi gravi (es. frode, furto di identità, danno di immagine, ecc.) anche gli interessati per offrire indicazioni su come limitare le possibili conseguenze negative
Data breach A meno che la violazione non comporti un rischio elevato per gli interessati e il titolare dimostri di avere adottato misure di sicurezza a tutela dei dati violati oppure uno sforzo sproporzionato (es. il numero delle persone coinvolte è elevato). In tal caso, è comunque richiesta una comunicazione pubblica o adatta a raggiungere più interessati possibile (es. un’inserzione su un quotidiano o una comunicazione sul sito web).
Formazione e consapevolezza