Archivio

Sanità

1 Mag 2019

Sanzione di 16 mila euro al medico che ha utilizzato circa 3.500 indirizzi di ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo. L’Autorità Garante Privacy aveva avviato un’istruttoria a seguito di alcuni articoli di stampa che segnalavano la vicenda. Il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto. Con l’occasione, aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, già assessore alla Sanità e al Welfare, e aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla mail.

Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.

In primo luogo, il medico non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex pazienti per finalità diverse da quelle di cura, per le quali erano stati raccolti, senza aver acquisito uno specifico e autonomo consenso.

…… Nel caso di specie, risulta accertato che la parte ha acquisito xxx la mailing list contenente i nominativi e gli indirizzi e-mail dei propri pazienti, al momento della cessazione del proprio rapporto di lavoro; tuttavia, non risulta provato né documentato in atti che sia stata resa l’informativa agli interessati, al momento dell’acquisizione da parte del dott. XX dei suddetti dati, così come previsto dall’art. 13, comma 4, del Codice. Per quanto riguarda, invece, la violazione di cui all’art. 162, comma 2-bis, del Codice, si rappresenta che la condotta illecita contestata alla parte si riferisce all’utilizzo dei dati personali per finalità differenti da quelli di cura (che avevano giustificato l’originario trattamento), senza che gli interessati avessero espresso il proprio specifico e autonomo consenso. Infatti, la missiva oggetto dell’istruttoria, non si limitava a rendere noto ai pazienti gli spostamenti del professionista, ma indicava chiaramente il sostegno a un candidato nell’ambito delle consultazioni elettorali che si sarebbero svolte di lì a poco in Lombardia. Aspetto senz’altro censurabile sotto il profilo della protezione dei dati personali, posto che si tratta di una finalità perseguita dal dott. XX senza che gli interessati avessero espresso alcuna manifestazione di consenso al riguardo; ….

Come chiarito dal Garante nel Provvedimento generale in materia di propaganda elettorale del 6 marzo 2014, “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti“.

Nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel provvedimento dell’Autorità del 7 marzo 2019.

(Fonte Garante Privacy)

Potrebbe interessarti: Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019
(In corso di pubblicazione sulla Gazzetta Ufficiale)
28 Feb 2018

Una fondazione che si occupa anche di assistenza geriatrica potrà attivare all’interno della sua struttura un sistema di sorveglianza mediante dispositivi indossabili per consentire al personale sanitario di controllare, anche a distanza, i pazienti totalmente non autosufficienti.

Il sistema, che prevede l’uso di un bracciale o una cavigliera dotati di un localizzatore e di un misuratore di frequenza cardiaca, è stato ritenuto adeguato dal Garante privacy [doc. web n. 7810766] in considerazione delle provate e giustificate esigenze di tutela della salute e di incolumità dei pazienti, nonché delle misure di sicurezza  previste dalla fondazione. L’impiego del dispositivo sarà limitato a un esiguo numero di casi e sarà applicato solo con il consenso scritto dei malati, revocabile in ogni momento. La localizzazione del paziente non sarà sistematica, ma avverrà soltanto all’interno della struttura e al verificarsi di determinati eventi che possono esporre l’ospite a pericoli: l’allontanamento dal reparto, l’accesso ad aree precluse, come la farmacia della struttura, o la rilevazione di un’alterazione della frequenza cardiaca. In quest’ultimo caso, oltre alla localizzazione, si attiverà la telecamera più vicina al paziente, con registrazione delle immagini per 30 minuti e l’invio di un messaggio di allerta al personale. Le immagini registrate non saranno conservate per più di 72 ore, tranne i casi in cui sia necessario prolungare la conservazione per esigenze di prova.

L’Autorità considerata la peculiarità del sistema e l’estrema delicatezza dei dati ha ritenuto opportuno prescrivere ulteriori misure, oltre a quelle già previste dalla fondazione, per innalzare il livello di tutela della riservatezza e della dignità dei pazienti. Il bracciale o la cavigliera dovranno essere applicati con le modalità che risultino più accettabili per il paziente, al quale, qualora le condizioni lo consentano, dovrà essere fornita una informativa sul trattamento dei dati personali adeguata alle sue capacità di comprensione. Il giudizio della commissione interna, istituita per stabilire la necessità di una sorveglianza continua attraverso un dispositivo indossabile, dovrà essere oggetto di valutazione periodica. Almeno ogni settimana, infine, dovrà essere verificata la regolarità del funzionamento e la corretta attribuzione del bracciale o della cavigliera al singolo paziente per accertare che non si siano verificati scambi o altri comportamenti che possano alterarne la funzionalità. Le prescrizioni del Garante si aggiungono alle misure  già contemplate dalla fondazione che si è impegnata ad assicurare elevate misure di sicurezza a protezione dei dati e dei sistemi, oltre a una periodica attività di formazione del personale e di informazione di ospiti, familiari e lavoratori.

(Fonte Garante Privacy)

18 Dic 2017

1. Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell’art. 37, par. 1, lett. a), del RGPD?

2. Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

3. Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?

4. Con quale atto formale deve essere designato il RPD?

5. La designazione di un RPD interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?

6. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?

7. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?

 

1. Quali sono i soggetti tenuti alla designazione del RPD, ai sensi dell’art. 37, par. 1, lett. a), del RGPD?

L’art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».

Il RGPD non fornisce la definizione di “autorità pubblica” o “organismo pubblico” e, come chiarito anche nelle Linee guida adottate in materia dal Gruppo Art. 29 (di seguito Linee guida), ne rimette l’individuazione al diritto nazionale applicabile.

Allo stato, in ambito pubblico, devono ritenersi tenuti alla designazione di un RPD i soggetti che oggi ricadono nell’ambito di applicazione degli artt. 18 – 22 del Codice, che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.).

Occorre, comunque, considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD. In ogni caso, qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i RPD designati in via obbligatoria.

2. Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

Il RGPD non fornisce specifiche indicazioni al riguardo. È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al RPD – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l’art. 38, par. 3, del RGPD fissa alcune garanzie essenziali per consentire ai RPD di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il RPD “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti“. Il considerando 97 aggiunge che i RPD “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente“. Ciò significa, come chiarito nelle Linee guida, che «il RPD, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati».

Inoltre, sempre ai sensi dell’art. 38, par. 3, del RGPD, il RPD «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità,  che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

3. Quali certificazioni risultano idonee a legittimare il RPD nell’esercizio delle sue funzioni, ai sensi degli artt. 42 e 43 del RGPD?

Come accade nei settori delle cosiddette “professioni non regolamentate”, si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del RGPD) sono rilasciate anche all’esito della partecipazione ad attività formative e al controllo dell’apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una “abilitazione” allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti dall’art. 39 del RGPD

4. Con quale atto formale deve essere designato il RPD?

Il RGPD prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento designino il RPD; da ciò deriva, quindi, che l’atto di designazione è parte costitutiva dell’adempimento.

Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD (per agevolare gli enti, in allegato alle Faq, è riportato uno schema di atto di designazione).

Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti (eventualmente anche ulteriori a quelli previsti dall’art. 39 del RGPD) e le funzioni che questi sarà chiamato a svolgere in ausilio al titolare/responsabile del trattamento, in conformità a quanto previsto dal quadro normativo di riferimento.

L’eventuale assegnazione di compiti aggiuntivi, rispetto a quelli originariamente previsti nell’atto di designazione, dovrà comportare la modifica e/o l’integrazione dello stesso o delle clausole contrattuali.

Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD, al fine di consentire la verifica del rispetto dei requisiti previsti dall’art. 37, par. 5 del RGPD, anche mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella valutazione compiuta dall’ente nella scelta di tale figura, oltre a essere indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del rispetto del principio di «responsabilizzazione».

Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante (art. 37, par. 7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente.

Come chiarito nelle Linee guida, in base all’art. 37, par. 7, non è necessario -anche se potrebbe costituire una buona prassi, in ambito pubblico- pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l’Autorità (anche in questo caso, in allegato alle Faq, è riportato un modello di comunicazione al Garante). Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali (art. 33, par. 3, lett. b).

5. La designazione di un RPD interno all’autorità pubblica o all’organismo pubblico richiede necessariamente anche la costituzione di un apposito ufficio?

Il RGPD prevede, all’art. 38, par. 2, che «il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica».

Ne discende che, in relazione alla complessità (amministrativa e tecnologica) dei trattamenti e dell’organizzazione, occorrerà valutare attentamente se una sola persona possa essere sufficiente a svolgere il complesso dei compiti affidati al RPD. Come riportato anche nelle Linee guida, «in linea di principio, quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD. La funzione “protezione dati” deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto».

All’esito di questa analisi si potrà valutare quindi l’opportunità/necessità di istituire un apposito ufficio al quale destinare le risorse necessarie allo svolgimento dei compiti stabiliti. Ad ogni modo, ove sia costituito un apposito ufficio, è comunque necessario che venga sempre individuata la persona fisica che riveste il ruolo di RPD (mediante l’atto di designazione di cui sopra).

 6. È ammissibile che uno stesso titolare/responsabile del trattamento abbia più di un RPD?

Alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più RPD.

Al riguardo, si rileva che l’unicità della figura del RPD è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.

Nulla osta, invece, all‘individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un RPD interno, sia che questa ricada su un RPD esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del RPD che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del RPD, anche, se del caso, operando quali componenti del suo gruppo di lavoro.

 7. Quali sono gli ulteriori compiti e funzioni che possono essere assegnati a un RPD?

Il RGPD consente l’assegnazione al RPD di ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi (art. 38, par. 6e che consentano al RPD di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal RGPD (art. 38, par. 2).

A seconda della natura dei trattamenti e delle attività e dimensioni della struttura del titolare o del responsabile, le eventuali ulteriori incombenze attribuite al RPD non dovrebbero pertanto sottrarre allo stesso il tempo necessario per adempiere alle relative responsabilità.

In linea di principio, è quindi ragionevole che negli enti pubblici di grandi dimensioni, con trattamenti di dati personali di particolare complessità e sensibilità, non vengano assegnate al RPD ulteriori responsabilità (si pensi, ad esempio, alle amministrazioni centrali, alle agenzie, agli istituti previdenziali, nonché alle regioni e alle asl). In tale quadro, ad esempio, avuto riguardo, caso per caso, alla specifica struttura organizzativa, alla dimensione e alle attività del singolo titolare o responsabile, l’attribuzione delle funzioni di RPD  al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull’effettività dello svolgimento dei compiti  che il RGPD attribuisce al RPD.

Rispetto all’assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie), ovvero quello dell’Ufficio di statistica (deputato a definire le caratteristiche e le metodologie del trattamento dei dati personali utilizzati a fini statistici).

Riguardo agli ulteriori compiti e funzioni in capo al RPD, particolare attenzione andrebbe infine prestata nei casi di unico RPD tra molteplici autorità pubbliche e organismi pubblici, nonché nei casi di RPD esterno, in quanto questi potrebbe svolgere ulteriori compiti che comportano situazioni di conflitto di interesse oppure non essere in grado di adempiere in modo efficiente alle sue funzioni. In questi casi, nell’atto di designazione o nel contratto di servizio il RPD dovrà fornire opportune garanzie per favorire efficienza e correttezza e prevenire conflitti di interesse.

(Fonte Garante Privacy)

6 Nov 2017

Le Autorità  di protezione dati europee riunite nel Gruppo di lavoro ex art.29 hanno adottato le Linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

Il GDPR, all’art. 35 introduce per la prima volta l’istituto della valutazione d’impatto, in precedenza non previsto dalla Direttiva 95/46/CE dal nostro Codice per la protezione dei dati personali (d.lgs. 196/2003).

La DPIA consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità  e  facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche. La DPIA è uno strumento importante:  aiuta il titolare non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l’adozione di misure idonee a garantirne il rispetto. In altri termini, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme.  Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche“. È possibile utilizzare un’unica DPIA per valutare più trattamenti che presentino delle analogie (ad es. un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza). E una analisi  di impatto privacy può essere utile anche per valutare l’effetto di un nuovo dispositivo tecnologico. In ogni caso, a prescindere dalla sua obbligatorietà, la DPIA rappresenta sempre una buona prassi per Pa e imprese.

Per assicurare un’interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri  in vista dell’elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).

L’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell’analisi (quando il trattamento è soggetto a tale valutazione),  lo svolgimento non corretto o la mancata consultazione dell’Autorità di controllo competente ove ciò sia necessario, possono comportare l’applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro  e, se si tratta di un’impresa, fino al 2% del fatturato globale annuo.

(Fonte Garante Privacy)

Vai alle FAQ sul Regolamento Europeo

18 Set 2017

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

 

Potrebbe Interessarti: http://www.patriziameo.it/privacy/il-nuovo-regolamento-europeo/

 

26 Mag 2017

Parere favorevole del Garante privacy sullo schema di regolamento del Ministero della Sanità che disciplina gli obiettivi, le funzioni e la struttura del SIT, il sistema informativo di supporto all’informatizzazione delle attività della Rete nazionale dei trapianti [doc. web n. 6407524].

Lo schema di decreto stabilisce: sistema informativo di supporto all’informatizzazione delle attività della Rete nazionale dei trapianti volto a garantire la tracciabilità e la trasparenza in ogni fase dell’intero processo di donazione, prelievo, trapianto e post trapianto di organi, tessuti e cellule, ivi comprese le segnalazioni di reazioni ed eventi avversi gravi. A tale scopo, il SIT consente  al Centro Nazionale Trapianti, alle strutture sanitarie, ai coordinamenti regionali ed interregionali, ai centri trapianto ed agli istituti dei tessuti di acquisire telematicamente le informazioni relative alle attività sopra menzionate, per gli ambiti di rispettiva competenza, e di cooperare per lo scambio di queste, cosicché i dati, resi disponibili a livello nazionale, regionale e locale, tramite l’implementazione di una banca dati dedicata, possano essere memorizzati, consultati ed analizzati in interconnessione.

Nel sistema, volto a garantire la tracciabilità e la trasparenza in ogni fase dell’intero processo di donazione, prelievo, trapianto e post trapianto di organi, tessuti e cellule, sono registrati anche i dati dei donatori di cellule riproduttive per la procreazione medicalmente assistita di tipo eterologo.

Per la protezione dei donatori viventi e per garantire la qualità e la sicurezza degli organi destinati al trapianto è istituito un registro dei donatori viventi di organi.

Il Garante riconnette particolare importanza alla materia in esame in quanto lo schema di decreto, attraverso i flussi informativi del SIT, consente la raccolta “centralizzata” di una notevole quantità di informazioni personali, particolarmente delicate, trattandosi di dati sensibili idonei specialmente a rivelare, anche nel dettaglio, il loro stato di salute e le scelte più intime della persona. L’Autorità, pertanto, richiama l’attenzione di tutte le amministrazioni interessate sull’esigenza che sia data applicazione alle disposizioni del decreto nel pieno rispetto delle garanzie previste, per gli assistiti, in materia di protezione dei dati personali, sia dal decreto stesso, sia, più in generale, dal Codice.

La tracciabilità nell’ambito dei processi di donazione viene garantita tramite apposite procedure di generazione del numero identificativo nazionale della donazione, del donatore e del ricevente, nonché con specifico riferimento alla donazione di cellule e tessuti, del codice unico europeo d’identificazione della donazione.

Sulla base dei suggerimenti del Garante, formulati all’esito di numerose riunioni con l’Amministrazione, il Ministero ha chiarito i ruoli e le funzioni svolte da ciascuno dei soggetti coinvolti, indicando i dati sensibili ai quali tali soggetti possono accedere e specificando compiti, funzioni e finalità di rilevante interesse pubblico perseguite.

L’Autorità, individuando una criticità nelle misure di sicurezza predisposte, ha chiesto, oltre ad un innalzamento generale delle misure a tutela dei dati personali e sensibili – come ad esempio una procedura di autenticazione informatica a più fattori e l’uso di strumenti di crittografia – che le regioni possano consultare i dati del SIT solo in forma anonima e aggregata.

Sono state introdotte specifiche previsioni in ordine al periodo di conservazione dei dati memorizzati nel SIT e nel Registro nazionale informatizzato dei donatori di cellule riproduttive

Il Garante ha ritenuto inoltre necessario che si disciplini, in caso di cessazione delle attività dei centri di Procreazione medicalmente assistita, la destinazione e la conservazione dei dati e della documentazione sanitaria detenuti dai centri, soprattutto se privati.

(Fonte Garante Privacy)

25 Gen 2017

La Corte di Cassazione con sentenza n. 188 del 9 gennaio 2017, ha accolto il ricorso presentato dal Garante per la protezione dei dati personali, nei confronti di una sentenza che annullava la sanzione erogata per omessa notifica (pagamento di una somma di euro 40.000).

L’Autorità, a seguito di alcuni controlli, aveva appurato che una clinica sanitaria privata aveva omesso di notificare il trattamento di dati sensibili prescritto dall’art. 37, lett. b), d.lgs. n. 196/2003 (Codice Privacy). Tale articolo, prevede che “Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda (…) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria..

Quest’ultima, però aveva impugnato l’ordinanza ingiunzione ed il Tribunale, in primo grado, accogliendone le doglianze, l’aveva annullata. La clinica, in particolare, sosteneva di dover essere esonerata dall’obbligo di notificazione in quanto l’attività di “rilevazione” di malattie non veniva svolta in via principale, bensì soltanto in via accessoria. La sanzione, pertanto, era frutto di un’interpretazione estensiva che, in maniera indebita, allargava l’onere di notificazione.
A quel punto il Garante si era rivolto ai Giudici di legittimità, che, attraverso la sentenza in commento, hanno cassato la pronuncia di primo grado, sostenendo che l’interpretazione del termine “rilevazione” presente nell’articolo 37 non potesse essere utilizzata, contrariamente a quanto affermato dalla clinica, per limitare l’obbligo di notificazione.

Nella sentenza, viene spiegato che fulcro della decisione è, senza dubbio, la corretta interpretazione del citato art. 37.

La semplice lettura del testo ora riportato rende palese che la corretta interpretazione della norma, giustamente invocata dalla parte ricorrente, ma disattesa dalla impugnata sentenza, giustifica – nella fattispecie – la dovuta giustifica [recte: notifica – n.d.r.] del trattamento dei dati.

In altre parole ed a differenza di quanto sostenuto con la gravata decisione la doverosità, nell’ipotesi, della dovuta notifica del trattamento dei dati non può ritenersi onere conseguente ad una interpretazione estensiva, ma, al contrario, ad una corretta interpretazione letterale, fondata, come prescritto dall’art. 12 delle preleggi, sul significato proprio delle parole e, precisamente, della parola “rilevazione“, ossia atto (e risultato dell’atto) del rilevare.

L’obbligo prescritto dall’articolo 37, quindi, grava su tutte le strutture sanitarie, anche quando la rilevazione sia funzionale alla sola erogazione di prestazioni sanitarie. La clinica, peraltro, secondo la Cassazione, non avrebbe potuto neppure giovarsi dell’esonero disposto dal Garante con la delibera n. 1 del 31.3.04, in relazione ai trattamenti di dati effettuati da esercenti le professioni sanitarie; ciò in quanto l’espressione “esercenti le professioni sanitarie” non poteva che riferirsi a persone fisiche e non a strutture sanitarie, pubbliche o private.

 

Vedi: Corte di cassazione Sezione II civile

Sentenza 9 gennaio 2017, n. 188

26 Ott 2016

L’Autorità Garante privacy ha avviato un’istruttoria in merito al trattamento dei dati personali effettuati tramite dossier sanitario ad un’Azienda Ospedaliera a seguito di una segnalazione sul sistema di refutazione delle prestazione sanitarie. Più precisamente sugli applicativi in uso nei vari reparti e sulle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie, che sarebbero state configurate in modo tale da consentire a ogni medico di accedere, non solo ai dati personali dei propri pazienti, ma anche a quelli di qualsiasi altra persona in cura presso la struttura sanitaria. Nella segnalazione risulta assente l’informativa e la richiesta di consenso per il trattamento dei dati personali.

In base a quanto emerso nel corso dell’ispezione sono risultate violate alcune delle specifiche garanzie previste dal Codice privacy e dalle Linee guida in materia di dossier sanitario del 4 giugno 2015.

Profili di criticità.

  1. Informativa e consenso sull’utilizzo del Dossier Sanitario.

“Il trattamento dei dati personali effettuato mediante il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice).”, Da quanto emerge in sede ispettiva, l’Azienda Ospedaliera ha iniziato a raccogliere il consenso informato degli interessati in merito al trattamento dei dati personali, effettuato mediante il dossier sanitario, solo dal mese di ottobre 2014, sebbene tale strumento fosse in uso presso la stessa già dal 2001. A ciò si aggiunge che nel modello dell’informativa attualmente in uso, che tale strumento “può essere consultato anche senza aver raccolto preventivamente il consenso dell’utente” e ciò sulla base di un erroneo riferimento normativo (quanto previsto per le emergenze a tutela della salute e dell’incolumità fisica di cui all’art. 82 del Codice privacy) non applicabile alla fattispecie de qua.

Per di più nel modello di informativa in questione, emergono anche numerose omissioni rispetto agli elementi richiesti dall’art. 13 del Codice come obbligatori: non vengono indicate correttamente tutte le finalità perseguite, non vi sono indicati i responsabili del trattamento o le modalità attraverso le quali è possibile conoscerli e, soprattutto, non vengono fornite indicazioni in merito al diritto dell’interessato alla visione degli accessi al proprio dossier sanitario da parte del personale“. Ciò, nonostante il punto 3 del citato Provvedimento del 4 giugno 2015 abbia espressamente previsto, quale misura prescrittiva rivolta al titolare del trattamento e a garanzia dell’interessato, il diritto alla visione degli accessi che sono stati effettuati al dossier sanitario, e il punto 5 delle allegate Linee guida abbia inoltre previsto che nell’informativa devono essere illustrate le modalità attraverso le quali l’interessato possa esercitare tale diritto”.

Ulteriore criticità si ravvisa con riferimento agli elementi dell’informativa riguardanti i trattamenti di dati personali effettuati per finalità di ricerca.

Al riguardo, è necessario che siano ben distinti i trattamenti effettuati a fini di ricerca medica, biomedica ed epidemiologica relativi anche alla sperimentazione clinica (art. 110 del Codice) da quelli effettuati per fini di cura (art. 78, comma 5 del Codice). Ciò, con particolare riferimento alle indicazioni relative alla facoltatività del conferimento dei dati personali a fini di ricerca e a quelle relative alle conseguenze in ordine al mancato conferimento dei dati personali.

  1. Accesso al dossier sanitario da parte del personale che svolge funzioni amministrative correlate alla cura.

Per quanto riguarda la sicurezza dei dati trattati con il dossier, durante gli accertamenti ispettivi è, anzitutto, emerso che al personale della Direzione sanitaria erano stati attribuiti profili di acceso ai dati più ampi, che consentivano loro di consultare, per lo svolgimento di finalità amministrative proprie di tali uffici, anche i dossier sanitari dei pazienti dimessi senza alcuna limitazione temporale e restrizione in ordine alla profondità dell’accesso. Sul punto, il Garante ha prescritto all’Azienda di mettere in atto di specifici accorgimenti che consentano al personale amministrativo di accedere alle sole informazioni indispensabili per assolvere alle funzioni amministrative cui sono preposti e per il tempo strettamente necessario per perseguire l’attività cui è preposto il soggetto che effettua l’accesso.

  1. Sistemi di autenticazione e di autorizzazione e di audit log

Ricordato che nelle Linee guida del 2015 si è ribadita la necessità che il titolare del trattamento metta in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori (c.d. alert) utili per orientare successivi interventi di audit, il Provvedimento rappresenta la necessità che sia effettuata una verifica periodica circa la sussistenza dei presupposti che hanno originato l’abilitazione degli incaricati ad accedere ai dati dei dossier e che questa sia posta in essere -in ogni caso- a fronte di cambiamenti organizzativi e/o di eventi anomali. Ove dalle predette verifiche emergessero delle criticità, si afferma necessario prevedere un’immediata analisi, seguita da provvedimenti volti alla revisione/disabilitazione delle credenziali di accesso o del profilo di autorizzazione.

  1. Tracciabilità degli accessi e delle operazioni effettuate.

Il Provvedimento ricorda che “Pur in assenza di disposizioni normative recanti obblighi in materia di tracciabilità delle operazioni con riguardo sia all’an sia al quantum, le strutture sanitarie, nell’ambito della discrezionalità riconosciuta nell’organizzare la funzione di compliance, devono realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute.

Nelle citate Linee guida del 2015 il Garante ha previsto che i file di log debbano registrare per ogni operazione di accesso al dossier effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati. In ragione della particolare delicatezza del trattamento dei dati personali effettuato mediante il dossier è necessario che siano tracciate anche le operazioni di semplice consultazione (inquiry)”.

Nel corso delle verifiche, però, è emerso che nel software in dotazione al’Azienda ospedaliera non erano registrate le operazioni di consultazione dei dati trattati mediante il dossier. Anche rispetto a questo tema, dunque, si renderà indispensabile un intervento correttivo.

Infine, si rende necessario che nei manuali adottati dal titolare su tali procedure siano meglio indicate le informazioni registrate nei file di log quali l’identificativo della postazione di lavoro utilizzata e quello del paziente il cui dossier è interessato dall’operazione di accesso.

(Fonte Garante Privacy)

20 Giu 2016

La Regione Lazio, nella persona del Direttore della Direzione regionale salute e integrazione sociosanitaria, ha chiesto un parere sul documento denominato “Schema tipo di Regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura”, che è stato elaborato a seguito dell’adozione da parte di questa Autorità delle Linee guida in tema di dossier sanitario del 4 giugno 2015.

Lo schema tipo nasce da uno studio svolto dal Policlinico Umberto I di Roma nell’adempiere alle prescrizioni dettate dall’Autorità per rendere conforme al Codice privacy i trattamenti di dati effettuati attraverso il dossier sanitario aziendale. Esso evidenzia come l’analisi delle finalità, dei processi e degli strumenti è il primo passo per individuare gli adempimenti necessari in materia di protezione dei dati in ambito sanitario e indicare soluzioni operative rispettose dei diritti alla cura e alla riservatezza dei pazienti.

Tale approccio, messo in atto dalla Regione Lazio, si muove nella direzione sempre auspicata dal Garante privacy.  E’ questo, in sintesi, il giudizio espresso dall’Autorità su uno “Schema tipo di regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura“, elaborato dalla Regione Lazio a seguito dell’adozione delle Linee guida in tema di Dossier sanitario, varate nel 2015 dal Garante [doc. web. n. 5177496].

Lo schema prevede:

  • il censimento di tutti i trattamenti di dati personali svolti all’interno della struttura compresi quelli per fini di ricerca e amministrativi;
  • l’individuazione delle diverse figure (medici, personale sanitario, dottorandi) responsabili a vario titolo dei trattamenti,
  • la designazione e protocolli di vigilanza sull’operato degli incaricati;
  • l’analisi degli strumenti informatici utilizzati e i relativi obblighi di sicurezza.

Per la gestione dei servizi informatici attraverso il cloud computing – attesa la particolare delicatezza dei dati oggetto di trattamento e delle operazioni su di essi eseguibili, nonché la vastità della platea di interessati e di titolari che dovrebbero adottare tale schema – si richiede l’attuazione di specifiche misure al fine di tutelare le informazioni trattate. Pertanto, si richiamano al riguardo le indicazioni fornite in proposito da questa Autorità con la scheda di documentazione su “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi” (disponibile in www.gpdp.it, doc. web n. 1819933), nonché le cautele individuate dal Gruppo art. 29 dei Garanti europei nel “Parere 05/2012 sul cloud computing”, WP 196 del 1° luglio 2012 (doc. web n. 2133003).

Il documento “fotografa” anche i numerosi processi di diagnosi e cura presenti in una struttura sanitaria (ad es., accesso al pronto soccorso, ricovero ordinario, ricovero in day surgery), anche in riferimento alle forme di assistenza previste per particolari patologie (ad es., le cronicità, le prestazioni peculiari come la consegna diretta dei farmaci).

Lo schema sarà sottoposto all’approvazione della Giunta regionale affinché possa essere utilizzato dalle aziende sanitarie del servizio sanitario regionale come riferimento per la stesura del proprio regolamento aziendale.

(Fonte Garante Privacy)

20 Mar 2016

Durante l’audizione, 8 marzo 2016, presso la Commissione Affari Sociali della Camera dei Deputati, il Garante della Privacy, Antonello Soro, sottolinea l’importanza della digitalizzazione nel campo della sanità e come questa vada incoraggiata, per migliorare l’efficienza della sanità.

Il Garante ha spigato che questo processo deve essere governato con molta attenzione, in quanto coinvolge categorie di dati personali (c.d. ipersensibili) tra le più delicate e, per questo, meritevoli di quella tutela rafforzata. I dati sanitari, se illecitamente trattati sono infatti suscettibili di esporre l’interessato a forme di discriminazione rese possibili soltanto dalla conoscenza di aspetti così intimi, quali quelli “idonei a rivelare lo stato di salute dell’interessato“.

La perdita, la sottrazione, l’alterazione, l’abuso di un dato sanitario rende vulnerabili banche dati essenziali e, insieme, viola quanto di più intimo e privato vi è nella persona: ne tocca la dignità.

Per Soro, nella digitalizzazione della sanità la frammentazione, l’assenza di un piano organico di sicurezza sono più pericolose che in ogni altro settore. La carente sicurezza dei dati può rappresentare, in altri termini, una causa di malasanità.

Invece, la protezione dei dati personali deve rappresentare un fattore determinante di efficienza sanitaria.

(Fonte Garante Privacy)

  • 1
  • 2