20 Mar 2016

Il Garante Privacy interviene nuovamente sull’uso indiscriminato dei dati sanitari, ribadendo che solo i professionisti sanitari che hanno in cura il paziente possono accedere ai dati e per il tempo necessario di cura.

L’intervento del Garante si è reso necessario a seguito di una segnalazione nella quale si lamentava una presunta violazione della disciplina in materia di protezione dei dati personali relativamente alle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall’Azienda USL 11 di Empoli. In questo caso, l’Autorità ha riscontrato gravi violazioni nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Ricordiamo che il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare, l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda. Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier. Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

Più precisamente, gli applicativi in uso presso i diversi reparti dell’Azienda sarebbero stati configurati in modo tale da consentire a ogni medico di accedere non solo ai dati personali dei propri pazienti, ma anche a quelli di qualsiasi altra persona che sia stata in cura presso la struttura sanitaria.

A questo si aggiunge che il dossier sanitario aziendale era utilizzato anche per perseguire finalità amministrative correlate alla cura relative alla possibilità di fornire notizie sui ricoveri o sull’ubicazione del paziente nella struttura a terzi nel rispetto della manifestazione di volontà espressa al riguardo dal paziente, alla gestione dei reclami, segnalazioni o esposti dei pazienti, nonché alla trattazione delle pratiche di richiesta della cartella clinica (“profilo URP” – “profilo portineria”).

Nelle Linee guida del 2015 il Garante ha meglio evidenziato rispetto alle Linee guida del 2009 che qualora il titolare del trattamento intenda utilizzare lo strumento del dossier sanitario anche per svolgere delle funzioni amministrative strettamente connesse con il percorso di cura del paziente (ad es., prenotazione di esami clinici; richiesta di copia delle cartelle cliniche; indicazione a terzi legittimati della presenza in reparto di un degente; gestione dei posti letto), deve prevedere delle limitazioni alla “profondità di accesso” al dossier da parte del personale preposto a tali funzioni, consentendo allo stesso di accedere ai soli dati indispensabili per svolgere i compiti ad essi demandati (cfr. punto 6 delle Linee guida del 2015 e punto 4 delle Linee guida del 2009).

Devono essere, pertanto, preferite soluzioni che consentano un’organizzazione modulare del dossier, in modo tale da limitare l’accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili al raggiungimento dello scopo amministrativo per il quale è stata consentita l’accessibilità al dossier.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica). Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli sulla costituzione del dossier, sui documenti sanitari da far inserire o escludere e sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

(Fonte Garante Privacy)

25 Gen 2016
29 Nov 2015

Domenica 29 Novembre 2015 ore 15.00

Darfo Boario Terme (BS)

Click! Ti scatto uno foto. Incontro con Patrizia Meo

I grandi decidono per i bambini, scattano foto senza pensare troppo e poi le pubblicano. Ma se i bambini non fossero d’accordo?
Abbiamo chiesto loro il consenso?
I bambini sono il bene più prezioso e vorremmo condividerlo con tutti. Attimi, sorrisi, momenti indimenticabili: pappa, bagnetto,
dormono, cantano, ridono. Veramente vogliamo condividere questi attimi oppure è eccesso di esibizionismo? Giusto o sbagliato,
il rischio sui social network è sempre maggiore. Se un genitore
ha buone intenzioni altri potrebbero non averle. Garantire la loro privacy, la loro immagine è un atto di responsabilità. In fondo il compito dei genitori è quello di proteggerli.

15 Ott 2015

Jobs Act e Privacy. Questo il tema principale affrontato durante il corso di formazione che si è svolto ieri, 14 ottobre, a Desenzano del Garda (Brescia).

Potere del datore di lavoro e limiti dei lavoratori, questi i punti da cui si è partiti per analizzare il testo del nuovo art.4 dello Statuto dei Lavoratori. Ma quali sono gli strumenti da cui può attuarsi un controllo sui lavoratori?

In primo piano il sistema di Videosorveglianza. Sistemi di monitoraggio internet (basti pensare a proxy , websebse), GPS, Geolocalizzazione, Impronte Digitali. Quanti non utilizzano il PC? il Badge? Quasi tutte le aziende oggi sono dotate di questi sistemi. Ma quanti sono a norma?

Tra i partecipanti al corso, la Direzione Provinciale del Lavoro che ha sottolineato come questi sistemi siano installati in azienda senza conoscerne gli obblighi imposti dalla legge. O meglio senza sapere cosa hanno installato esattamente. Basti pensare alla Videosorveglianza con attivo l’audio (vietato).

Obblighi non solo relativi al Diritto sul Lavoro, Codice Civile, ma la mancanza degli obblighi previsti dal D.lgs. 196/03 (Codice Privacy), ha sottolineato il Dott. Colombo. Confronto tra Lavoro e Privacy.

Il docente, Dott. Matteo Colombo, si è soffermato, spiegando nei dettagli, quando è necessaria la concertazione sindacale e quando possono essere utilizzati strumenti di controllo:

  1. a) Esigenze organizzative e produttive;
  2. b) Sicurezza del lavoro;
  3. c) Tutela del patrimonio aziendale.

Resta comunque il divieto di utilizzo degli strumenti audiovisivi che abbiano quale finalità unica ed esclusiva il controllo a distanza del lavoratore.

Novità nel testo all’art. 4 punto 3 dello Statuto dei Lavoratori:

  1. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.”.

Comma maggiormente contestato. Comma su cui ci si dovrà soffermare, in quanto stabilisce che le informazioni raccolte dall’azienda tramite questi strumenti di controllo potranno essere utilizzati per tutti i fini connessi al rapporto di lavoro, compresi i fini disciplinari. Ma realmente sarà così?

L’Autorità Garante Privacy ha più volte richiamato l’attenzione sul testo del Jobs Act ed è interessante leggere il suo intervento dell’ 8 settembre (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4235378,:

… “Ovviamente, la necessaria conformità del trattamento dei dati dei lavoratori al Codice privacy (prevista ma discendente dalla primazia del diritto europeo), consentirà l’applicazione di alcuni fondamentali principi (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione), utili a impedire la sorveglianza massiva e totale del lavoratore. Tuttavia, una così rilevante estensione delle finalità per le quali utilizzare i dati dei lavoratori è un dato sul quale ci siamo sentiti in dovere di far riflettere le Camere e il governo”….

Ancora la Raccomandazione del Consiglio d’Europa del 1 aprile 2015: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4224268

Ultimo baluardo del lavoratore è l’applicazione dei principi fondamentali Privacy: pertinenza, correttezza, non eccedenza del trattamento, divieto di Profilazione (Art. 3 e 11 del Codice Privacy).

Adesso, non ci rimane che aspettare l’intervento del Garante Privacy in materia di videosorveglianza, con un nuovo provvedimento.

Dal tema della videosorveglianza e geolocalizzazione a quello sull’uso dei Personal Computer, della rete aziendale, della posta elettronica, della biometria ed infine RFID. In sintesi, risulta necessario e fondamentale per le aziende che utilizzano queste strumentazioni, prendere in considerazione tutti gli aspetti legati e gli obblighi che ne derivano dalla loro installazione.

Per Saperne Di Più

20 Lug 2015

Il Garante Privacy, il 4 Giugno 2015, ha adottato le nuove Linee Guida sul Dossier Sanitario Elettronico alle quali dovranno attenersi tutte le Strutture Sanitarie, pubbliche e private, che utilizzano o che intendono istituire il Dossier Sanitario elettronico.

Sul tema il Garante era già intervenuto nel 2009 con le “Linee guida in tema di Fascicolo Sanitario Elettronico (Fse) e di Dossier Sanitario“(provv. del 16 luglio 2009), in cui aveva dato una definizione di FSE (Fascicolo Sanitario Elettronico) e Dossier Sanitario.

Attraverso le Nuove Linee Guida, il Garante Privacy fornisce un quadro di riferimento unitario, che i titolari del trattamento dovranno seguire per conformarsi ai principi stabiliti dal Codice Privacy, visto il crescente utilizzo di questi strumenti in ambito sanitario.

Allo scopo di agevolare la lettura del documento, nell’allegato C vengono riportate le definizioni dei principali vocaboli utilizzati nelle Linee Guida.

Vediamo in dettaglio quali sono le principal novità che vengono introdotte:

  •  Libera scelta al paziente, che dovrà poter decidere in piena libertà se far costituire o meno il dossier sanitario, quindi un trattamento Specifico e Facoltativo;
  • Consenso L’interessato dovrà scegliere in piena libertà, se adottare il Dossier Sanitario o meno (Facoltatività del Consenso). In assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista;
  • Consenso specifico, per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia);
  •  Informativa chiara in cui andrà indicato chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. L’informativa dovrà seguire tutti gli elementi previsti dall’art. 13 del Codice.
  • Esercizio dei diritti al paziente (art.7 e ss. del Codice), tra cui il diritto di accesso ai dati, di integrazione, di rettifica, di oscuramento di alcuni dati o documenti sanitari che non intende far confluire nel dossier, di conoscere il reparto, la data e l’orario in cui è avvenuta la consultazione del suo Dossier Sanitario;
  • Elevate misure di sicurezza, tra cui la separazione dei dati sanitari dai dati personali, la cifratura dei dati sensibili, l’accesso al Dossier Sanitario solo al personale sanitario coinvolto nella cura, la tracciatura automatica (da conservare per almeno 24 mesi) di ogni operazione (inclusa la mera visualizzazione) sul Dossier Sanitario;
  • Data Breach, segnalazione al Garante Privacy entro 48 ore di eventuali violazioni di dati o incidenti informatici, attraverso un modulo predisposto ad hoc.

Possiamo notare come nelle Linee Guida il Garante sottolinei l’importanza dell’adozione di Misure di Sicurezza specifiche, cioè: Sistemi di Autenticazione e di Autorizzazione; Tracciabilità degli accessi e delle operazioni effettuate ; Sistemi di Audit Log; Separazione e cifratura dei dati.

Inoltre, novità che anticipa il Nuovo Regolamento Europeo, il Data Breach. La comunicazione obbligatoria da inviare al Garante Privacy, in caso di incidenti informatici (accessi abusivi, azione di malware, etc.), oppure nel caso di violazione. La comunicazione andrà fatta entro 48 ore attraverso uno schema che troviamo nell’ allegato B delle Linee Guida sul Dossier Sanitario. A ciò si aggiunge, o meglio come auspica il Garante, di individuare una figura come responsabile del trattamento dei dati, il Data Protection Officer (DPO). Questi sarà il referente con il Garante e dovrà relazione nei casi di data breach.

19 Giu 2015
20 Mar 2015

Con la sentenza n. 3122 depositata il 17 febbraio 2015, la Cassazione è nuovamente intervenuta sull’utilizzo in giudizio delle prove acquisite mediante strumenti di controllo a distanza diretti a verificare le condotte illecite dei dipendenti.

La vicenda trae origine dal licenziamento intimato per giusta causa a tre lavoratori di una raffineria che erano stati scoperti nell’atto di compiere un’operazione fraudolenta ai danni della propria azienda. In particolare, gli stessi erano stati sorpresi mentre, insieme ad alcuni autisti, alteravano il carico effettivo delle autobotti, sottraendo carburante.

L’azienda datrice di lavoro aveva avuto conoscenza di tale fatto grazie ad un filmato effettuato dalla Guardia Di Finanza.

Nel caso in esame la ripresa era idonea a provare un fatto costituente reato e successivamente la Corte ha affermato che, in tema di controllo a distanza  del lavoratore, “le garanzie procedurali imposte dalla Legge n. 300 del 1970, articolo 4, comma 2, per l’installazione di impianti e apparecchiature di controllo richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, dai quali derivi la possibilità di verifica a distanza dell’attività dei lavoratori, trovano applicazione ai controlli, c.d. difensivi, diretti ad accertare comportamenti illeciti dei lavoratori”,  purché “tali comportamenti riguardino l’esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, e non, invece, quando riguardino la tutela di beni estranei a rapporto stesso”.

Pertanto, devono ritenersi legittimi i controlli, anche se “occulti”, diretti ad accertare comportamenti del prestatore illeciti e lesivi del patrimonio e dell’immagine aziendale.

La Corte ha inoltre ribadito che «al fine di dimostrare l’illecito posto in essere da propri dipendenti, di utilizzare le risultanze di registrazioni video operate fuori dall’azienda da un soggetto terzo, del tutto estraneo all’impresa e ai lavoratori dipendenti della stessa, per esclusive finalità “difensive” del proprio ufficio e della documentazione in esso custodita, con la conseguenza che tali risultanze sono legittimamente utilizzabili nel processo dal datore di lavoro».

Quindi, si debbano ritenere legittimi i controlli, anche se nascosti, volti ad accertare comportamenti illeciti del lavoratore e lesivi del patrimonio e dell’immagine aziendale.

11 Dic 2014
Come mettere in regola con la privacy un sito eCommerce? Perché è importante per un’azienda la tutela della privacy?
Ponendosi nell’ottica dell’azienda che promuove o vende su internet i propri prodotti, l’intervento analizzerà le problematiche connesse al trattamento dei dati personali fornendo i necessari orientamenti sugli adempimenti richiesti dalla normativa in vigore, evitando gli errori più comuni.
L’intervento intende fornire un quadro chiaro sulla gestione dei dati, analizzare con un approccio pratico i contenuti minimi di una Privacy Policy e consentire un utilizzo dei cookies che rispetti il provvedimento generale del Garante Privacy.
7 Nov 2014
6 Ott 2014

Mio articolo pubblicato in essecome n. 6/2014, pag. 53

Si possono installare le telecamere private per la salvaguardia della propria abitazione a condizione che non venga ripresa la strada pubblica. Il rischio è quello di violare la privacy! In questo caso, infatti, l’attività viene classificata come trattamento dati e va applicata la direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati, recepita in Italia con Dlgs n. 196/2003 (“Codice in materia di protezione dei dati personali”). Quindi, “vista” limitata alle telecamere.

La recente sentenza della Corte di Giustizia Europea (C 212/13) sull’installazione della videosorveglianza sulla propria abitazione, riaccende il dibattito in merito alle riprese ai fini personali e, più in particolare, ponendo il dubbio se le medesime rientrano o meno nel campo d’applicazione della Direttiva Europea sulla Privacy (95/46/CE), recepita in Italia con il D.lgs. 196/03 (Codice Privacy).

L’art. 3 paragrafo 2 della Direttiva prevede che questa non si applica al trattamento di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere “esclusivamente personale o domestico”.

Nel caso in esame, la Corte di Giustizia è stata chiamata a pronunciarsi su un episodio accaduto nella Repubblica Ceca, in cui un cittadino privato aveva installato un sistema di videosorveglianza a seguito di alcuni eventi di vandalismo contro la sua abitazione. Le immagini registrate sono servite ad individuare gli autori, i quali hanno contestato la legittimità delle registrazioni e l’Ufficio per la tutela dei dati personali ha dato ragione ai ricorrenti. Il proprietario del sistema avverso questa decisione presenta ricorso alla Corte Suprema Amministrativa della Repubblica Ceca che, prima di pronunciarsi, sottopone la questione interpretativa ai giudici di Lussemburgo, chiedendo «se il fatto di tenere in funzione un sistema di videocamera installato su un’abitazione familiare allo scopo di proteggere la proprietà, la salute e la vita dei proprietari possa rientrare nell’ambito della direttiva europea sulla privacy oppure se l’attività è lecita e, quindi, consentita al privato senza particolari obblighi (informativa e consenso).

http://www.securindex.com/news/leggi/911/videosorveglianza-in-casa-quando-si-applica-la-normativa-privacy