Date post: | 01-May-2015 |
Category: |
Documents |
Upload: | imelda-falco |
View: | 214 times |
Download: | 0 times |
Corso di Formazione in Medicina GeneraleCorso di Formazione in Medicina Generale
Bari 29 maggio 2007Bari 29 maggio 2007
La privacy nella medicina generaleLa privacy nella medicina generale
Dott. Erasmo BitettiMedico di famiglia
MATERA
Un argomento ostico o Un argomento ostico o ostile ?ostile ?
Storia della legislazioneStoria della legislazione
in tema di privacyin tema di privacy
28 gennaio 198128 gennaio 1981Convenzione di Strasburgo n. 108Convenzione di Strasburgo n. 108
Protezione delle persone rispetto al Protezione delle persone rispetto al trattamento trattamento automatizzato automatizzato
di dati di carattere personaledi dati di carattere personale
21 febbraio 198921 febbraio 1989Legge n. 98/89 Legge n. 98/89
Ratifica della Convenzione di StrasburgoRatifica della Convenzione di Strasburgo
1995 1995 Il concetto di trattamento dei dati personaliIl concetto di trattamento dei dati personali
nella Direttiva CE 95/46 del 24.10.95nella Direttiva CE 95/46 del 24.10.95
relativa alla "tutela delle persone fisiche con riguardo al relativa alla "tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera trattamento dei dati personali, nonché alla libera circolazione di tali dati"circolazione di tali dati"..
Si inizia a precisare che il trattamento dei dati personali è Si inizia a precisare che il trattamento dei dati personali è qualsiasi operazione o insieme di operazioni qualsiasi operazione o insieme di operazioni compiute compiute con o senza l'ausilio di processi con o senza l'ausilio di processi automatizzatiautomatizzati ..
Viene istituito ilViene istituito il Gruppo di lavoroGruppo di lavoro per la tutela dei per la tutela dei
dati personali.dati personali.
1996 1996 Tutela delle persone e di altri soggetti Tutela delle persone e di altri soggetti
rispetto al trattamento dei dati rispetto al trattamento dei dati personalipersonali
Legge 31 dicembre 1996 n.675Legge 31 dicembre 1996 n.675
E’ la prima cosiddetta “legge di tutela della privacy” in Italia .E’ la prima cosiddetta “legge di tutela della privacy” in Italia .
Viene istituito l’ufficio del Viene istituito l’ufficio del Garante per la protezione dei dati personaliGarante per la protezione dei dati personali
organo collegiale costituito da quattro membri (due organo collegiale costituito da quattro membri (due eletti dalla Camera dei deputati e due dal Senato eletti dalla Camera dei deputati e due dal Senato della Repubblica) che opera in piena autonomia e della Repubblica) che opera in piena autonomia e con indipendenza di giudizio e di valutazione. Dura con indipendenza di giudizio e di valutazione. Dura in carica quattro anni e i suoi membri possono in carica quattro anni e i suoi membri possono essere riconfermati solo una volta nell’incarico.essere riconfermati solo una volta nell’incarico.
1996 1996
La legge vieta l’uso delle agende La legge vieta l’uso delle agende personali ?personali ?
Trattamento di dati per fini esclusivamente Trattamento di dati per fini esclusivamente personalipersonali
Il trattamento di dati personali effettuato da Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali persone fisiche per fini esclusivamente personali
non è soggetto all'applicazione della presente non è soggetto all'applicazione della presente legge, legge, sempreché i dati non siano destinati ad sempreché i dati non siano destinati ad
una comunicazione sistematica o alla diffusione.una comunicazione sistematica o alla diffusione.
20002000 Progetto di Carta dei diritti fondamentali Progetto di Carta dei diritti fondamentali
dell’Unione Europeadell’Unione Europea
Articolo 7Articolo 7Rispetto della vita privata e della vita familiareRispetto della vita privata e della vita familiare
Ogni individuo ha diritto al rispetto della propria vita Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue privata e familiare, del proprio domicilio e delle sue comunicazioni.comunicazioni.
Articolo 8Articolo 8Protezione dei dati di carattere personaleProtezione dei dati di carattere personale
1. Ogni individuo ha diritto alla protezione dei dati di 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.carattere personale che lo riguardano.
20002000 Progetto di Carta dei diritti Progetto di Carta dei diritti
fondamentali fondamentali dell’Unione Europeadell’Unione Europea
Articolo 8Articolo 8Protezione dei dati di carattere personaleProtezione dei dati di carattere personale
2. 2. Tali dati devono essere trattati secondo ilTali dati devono essere trattati secondo il principio di lealtàprincipio di lealtà, , perper finalità determinatefinalità determinate e in e in base al base al consensoconsenso della persona interessata o a un della persona interessata o a un altro fondamento legittimo previsto dalla legge. altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.raccolti che lo riguardano e di ottenerne la rettifica.
3. 3. Il rispetto di tali regole è soggetto al controllo di Il rispetto di tali regole è soggetto al controllo di unun''autoritàautorità indipendenteindipendente. .
20032003Codice in materia di protezione dei dati Codice in materia di protezione dei dati
personalipersonaliDECRETO LEGISLATIVO 30 giugno 2003 n. 196DECRETO LEGISLATIVO 30 giugno 2003 n. 196
Si tratta di una sorta di testo unico Si tratta di una sorta di testo unico che riprende, con alcune innovazioni che riprende, con alcune innovazioni e integrazioni, tutte le precedenti e integrazioni, tutte le precedenti disposizioni di legge, ivi comprese disposizioni di legge, ivi comprese quelle relative alla misure minime di quelle relative alla misure minime di sicurezza. sicurezza.
20032003Codice in materia di protezione dei dati Codice in materia di protezione dei dati
personalipersonaliDECRETO LEGISLATIVO 30 giugno 2003 n. 196DECRETO LEGISLATIVO 30 giugno 2003 n. 196
Art. 1Art. 1Diritto alla protezione dei dati personaliDiritto alla protezione dei dati personali
1. Chiunque ha diritto alla protezione dei dati personali che lo 1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.riguardano.
Art. 3Art. 3Principio di necessità nel trattamento dei datiPrincipio di necessità nel trattamento dei dati
1. I sistemi informativi e i programmi informatici sono 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato opportune modalità che permettano di identificare l'interessato solo in caso di necessità.solo in caso di necessità.
Quali sono i datiQuali sono i dati oggetto di tutela ? oggetto di tutela ?
DATI PERSONALIDATI PERSONALI
qualunque informazione relativa a persona fisica, persona qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di altra informazione, ivi compreso un numero di identificazione personaleidentificazione personale
DATI SENSIBILIDATI SENSIBILI
i dati personali idonei a rivelare l'origine razziale ed i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i filosofico, politico o sindacale, nonché i dati personali dati personali idonei a rivelare lo stato di salute e la vita sessualeidonei a rivelare lo stato di salute e la vita sessuale
Come ci comportiamoCome ci comportiamo con questi dati ? con questi dati ?
DATI IDENTIFICATIVIDATI IDENTIFICATIVI
i dati personali che permettono l'identificazione diretta del soggettoi dati personali che permettono l'identificazione diretta del soggetto
DATI ANONIMIDATI ANONIMI
i dati personali che in origine, o a seguito di trattamento, non i dati personali che in origine, o a seguito di trattamento, non possono essere associati ad un soggetto identificato o identificabilepossono essere associati ad un soggetto identificato o identificabile
Cosa si intende per Cosa si intende per “trattamento” dei dati?“trattamento” dei dati?
Qualunque operazione o complesso di operazioni, Qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti effettuate anche senza l'ausilio di strumenti elettronici, concernenti laelettronici, concernenti la
raccolta selezioneraccolta selezione
registrazione estrazioneregistrazione estrazione
organizzazione raffronto organizzazione raffronto
conservazione utilizzoconservazione utilizzo
consultazione interconnessione consultazione interconnessione
elaborazione bloccoelaborazione blocco
modificazione cancellazione e modificazione cancellazione e distruzionedistruzione
comunicazione diffusione comunicazione diffusione
di dati ,anche se non registrati in una banca di dati.di dati ,anche se non registrati in una banca di dati.
Alcune tipologie particolari di Alcune tipologie particolari di “trattamento” dei dati“trattamento” dei dati
comunicazionecomunicazione
il dare conoscenza dei dati personali a uno o più il dare conoscenza dei dati personali a uno o più soggetti determinati soggetti determinati diversi dall'interessato, dal responsabile e dagli incaricati, in qualunque diversi dall'interessato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazioneforma, anche mediante la loro messa a disposizione o consultazione
diffusionediffusione
il dare conoscenza dei dati personali a il dare conoscenza dei dati personali a soggetti indeterminatisoggetti indeterminati, in , in qualunque forma, anche mediante la loro messa a disposizione o qualunque forma, anche mediante la loro messa a disposizione o consultazioneconsultazione
bloccoblocco
la la conservazioneconservazione di dati personali con di dati personali con sospensionesospensione temporanea di ogni temporanea di ogni altra operazione di trattamentoaltra operazione di trattamento
Quali sono i soggetti coinvolti?Quali sono i soggetti coinvolti?
TITOLARE TITOLARE
INTERESSATOINTERESSATO
RESPONSABILERESPONSABILE
INCARICATOINCARICATO
Quali sono i soggetti coinvolti?Quali sono i soggetti coinvolti?
TITOLARETITOLARE
il soggetto il soggetto cui competono le decisioni in ordine alle cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezzaprofilo della sicurezza
ININTERESSATOTERESSATO
RESPONSABILERESPONSABILE
INCARICATOINCARICATO
Quali sono i soggetti coinvolti?Quali sono i soggetti coinvolti?
TITOLARE TITOLARE
INTERESSATOINTERESSATO
il soggetto a cui si riferiscono i dati personaliil soggetto a cui si riferiscono i dati personali
RESPONSABILERESPONSABILE
INCARICATOINCARICATO
Quali sono i soggetti coinvolti?Quali sono i soggetti coinvolti?
TITOLARE TITOLARE
INTERESSATOINTERESSATO
RESPONSABILERESPONSABILE
il soggetto preposto dal titolare al trattamento il soggetto preposto dal titolare al trattamento di dati personalidi dati personali
INCARICATOINCARICATO
Quali sono i soggetti coinvolti?Quali sono i soggetti coinvolti?
TITOLARE TITOLARE
INTERESSATOINTERESSATO
RESPONSABILERESPONSABILE
INCARICATOINCARICATO
il soggetto autorizzato a compiere operazioni di il soggetto autorizzato a compiere operazioni di trattamento dal titolare o dal responsabiletrattamento dal titolare o dal responsabile
DIZIONARIO MEDICO DELLA PRIVACY DIZIONARIO MEDICO DELLA PRIVACY (1)(1)
Il Il PazientePaziente, unico proprietario dei dati che lo , unico proprietario dei dati che lo riguardano e quindi ”interessato” al loro utilizzo, è per riguardano e quindi ”interessato” al loro utilizzo, è per la legge l‘ la legge l‘ InteressatoInteressato. .
Il Il Medico curanteMedico curante che, per concessione del paziente, che, per concessione del paziente, ha facoltà e ”titolo” ad utilizzare i dati personali del ha facoltà e ”titolo” ad utilizzare i dati personali del paziente per scopi di prevenzione, diagnosi, cura e paziente per scopi di prevenzione, diagnosi, cura e riabilitazione delle malattie, è per la legge il riabilitazione delle malattie, è per la legge il Titolare Titolare del trattamentodel trattamento. .
I I Collaboratori di studio del medico curanteCollaboratori di studio del medico curante, , “incaricati” di aiutarlo a svolgere una parte del suo “incaricati” di aiutarlo a svolgere una parte del suo lavoro (segretaria, infermiera ecc.) sono per la legge lavoro (segretaria, infermiera ecc.) sono per la legge Incaricati del trattamentoIncaricati del trattamento. .
DIZIONARIO MEDICO DELLA PRIVACY DIZIONARIO MEDICO DELLA PRIVACY (2)(2)
I I medici sostituti medici sostituti che hanno la “responsabilità che hanno la “responsabilità professionale” di fare le veci del medico curante (in professionale” di fare le veci del medico curante (in modo integrale ed autonomo) sono considerati dalla modo integrale ed autonomo) sono considerati dalla legge legge Responsabili del trattamentoResponsabili del trattamento. .
Anche il Anche il personale specializzatopersonale specializzato cui il medico cui il medico titolare affida la ”responsabilità” della titolare affida la ”responsabilità” della
- manutenzione, assistenza, amministrazione - manutenzione, assistenza, amministrazione custodia degli strumenti per la raccolta dei dati custodia degli strumenti per la raccolta dei dati (personal computer, server di rete, apparecchiature (personal computer, server di rete, apparecchiature di trasmissione telematica ecc.) o di trasmissione telematica ecc.) o
- la gestione dei dati fiscali e contributivi può - la gestione dei dati fiscali e contributivi può assumere il ruolo di assumere il ruolo di Responsabile del trattamentoResponsabile del trattamento. .
DIZIONARIO MEDICO DELLA PRIVACY DIZIONARIO MEDICO DELLA PRIVACY (3)(3)
I I medici associatimedici associati (associazione semplice, (associazione semplice, medicina in rete o di gruppo) sono considerati medicina in rete o di gruppo) sono considerati Responsabili del trattamentoResponsabili del trattamento, dovendosi , dovendosi escludere che essi debbano soggiacere, come escludere che essi debbano soggiacere, come semplici incaricati, alla“diretta autorità del semplici incaricati, alla“diretta autorità del titolare”. Tali vanno anche considerati eventuali titolare”. Tali vanno anche considerati eventuali consulenti specialisticonsulenti specialisti nell’espletamento della nell’espletamento della consulenza loro affidata dal medico titolare del consulenza loro affidata dal medico titolare del trattamento. trattamento.
I I medici in formazionemedici in formazione ed i ed i tirocinantitirocinanti, dovendo , dovendo
invece soggiacere alla “diretta autorità del titolare”, invece soggiacere alla “diretta autorità del titolare”, sono considerati sono considerati Incaricati del trattamentoIncaricati del trattamento. .
MA NON BASTAVA IL CODICE MA NON BASTAVA IL CODICE DEONTOLOGICO ?DEONTOLOGICO ?
Art. 10Art. 10
Segreto professionaleSegreto professionale Il medico deve Il medico deve mantenere il segretomantenere il segreto su tutto ciò su tutto ciò
che gli è confidato o di cui venga a conoscenza che gli è confidato o di cui venga a conoscenza nell’esercizio della professione. nell’esercizio della professione.
Il medico deve informare i suoi Il medico deve informare i suoi collaboratoricollaboratori dell’obbligo del segreto professionale. dell’obbligo del segreto professionale.
La La rivelazionerivelazione è ammessa ove motivata da una è ammessa ove motivata da una giusta causagiusta causa, rappresentata dall’adempimento di , rappresentata dall’adempimento di un obbligo previsto dalla legge (denuncia e referto un obbligo previsto dalla legge (denuncia e referto all’Autorità Giudiziaria, denunce sanitarie, all’Autorità Giudiziaria, denunce sanitarie, notifiche di malattie infettive, certificazioni notifiche di malattie infettive, certificazioni obbligatorie).obbligatorie).
Art. 11Art. 11
Riservatezza dei dati personaliRiservatezza dei dati personali
Il medico è tenuto al rispetto della riservatezza nel Il medico è tenuto al rispetto della riservatezza nel trattamento dei dati personali del paziente e trattamento dei dati personali del paziente e particolarmente dei dati sensibili. Il medico particolarmente dei dati sensibili. Il medico acquisisce la titolarità del trattamento dei dati acquisisce la titolarità del trattamento dei dati sensibili previo sensibili previo consensoconsenso del paziente o di chi ne del paziente o di chi ne esercita la tutela. esercita la tutela.
Nelle pubblicazioni scientifiche di dati clinici o di Nelle pubblicazioni scientifiche di dati clinici o di osservazioni relative a singole persone, il medico osservazioni relative a singole persone, il medico deve assicurare la deve assicurare la non identificabilitànon identificabilità delle stesse. delle stesse.
Il medico non può collaborare alla costituzione di Il medico non può collaborare alla costituzione di banche di dati sanitaribanche di dati sanitari, ove non esistano garanzie , ove non esistano garanzie di tutela della riservatezza, della di tutela della riservatezza, della sicurezzasicurezza e della e della vita privata della persona. vita privata della persona.
Art. 12Art. 12
Trattamento dei dati sensibiliTrattamento dei dati sensibili
Al medico, è consentito il trattamento dei dati Al medico, è consentito il trattamento dei dati personali idonei a rivelare lo stato di salute del personali idonei a rivelare lo stato di salute del paziente previa richiesta o autorizzazione da parte di paziente previa richiesta o autorizzazione da parte di quest’ultimo, subordinatamente ad una quest’ultimo, subordinatamente ad una preventiva preventiva informazioneinformazione sulle conseguenze e sull’opportunità sulle conseguenze e sull’opportunità della rivelazione stessa. della rivelazione stessa.
Al medico peraltro è consentito il trattamento dei dati Al medico peraltro è consentito il trattamento dei dati personali del paziente personali del paziente in assenza del consensoin assenza del consenso dell’interessato solo quando vi sia la necessità di dell’interessato solo quando vi sia la necessità di
- - salvaguardare la vita o la salute del salvaguardare la vita o la salute del paziente o di terzi paziente o di terzi
- il paziente non sia in grado di prestare il proprio - il paziente non sia in grado di prestare il proprio consenso per impossibilità fisica, per incapacità di consenso per impossibilità fisica, per incapacità di agire e/o di intendere e di volere. agire e/o di intendere e di volere.
Codice in materia di protezione dei dati personali
Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?
Informativa Informativa
Il medico di MG è tenuto ad informare i pazienti, Il medico di MG è tenuto ad informare i pazienti, oralmente o per iscrittooralmente o per iscritto ( (manifesto in sala d’attesamanifesto in sala d’attesa) ) , circa il trattamento dei dati personali in forma , circa il trattamento dei dati personali in forma chiara ed agevolmente comprensibile, senza chiara ed agevolmente comprensibile, senza trascurare di fornire informazioni circa le trascurare di fornire informazioni circa le modalitàmodalità del trattamento e la del trattamento e la sedesede in cui i dati sono raccolti in cui i dati sono raccolti ((archivio cartaceo, computer di studio , server della archivio cartaceo, computer di studio , server della medicina di retemedicina di rete); l’informativa dovrà anche ); l’informativa dovrà anche indicare gli eventuali indicare gli eventuali incaricatiincaricati del trattamento del trattamento ((segretaria, infermierasegretaria, infermiera) ed i soggetti cui i dati ) ed i soggetti cui i dati potranno essere comunicati (potranno essere comunicati (medici associati o medici associati o sostitutosostituto) (art. 78). ) (art. 78).
Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?
InformativaInformativa L’informativa dovrà essere particolarmente analitica nei L’informativa dovrà essere particolarmente analitica nei
casi checasi che “presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato” in in particolare in caso di trattamenti effettuati (art. 78 comma particolare in caso di trattamenti effettuati (art. 78 comma 5) 5)
a) a) per scopi scientificiper scopi scientifici, anche di ricerca scientifica e di , anche di ricerca scientifica e di
sperimentazione clinica controllata di medicinali, in sperimentazione clinica controllata di medicinali, in
conformità alle leggi e ai regolamenti; conformità alle leggi e ai regolamenti;
b) nell’ambito della b) nell’ambito della teleassistenza o telemedicinateleassistenza o telemedicina; ;
c) per fornire altri beni o servizi all’interessato c) per fornire altri beni o servizi all’interessato attraverso una attraverso una
rete di comunicazione elettronicarete di comunicazione elettronica. .
Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?
Consenso Consenso Per trattare i dati personali il medico deve ottenere il Per trattare i dati personali il medico deve ottenere il
consenso del paziente, anche se il trattamento è consenso del paziente, anche se il trattamento è effettuato nell’interesse esclusivo della salute del effettuato nell’interesse esclusivo della salute del paziente (art. 75). paziente (art. 75).
Il consenso al trattamento dei dati Il consenso al trattamento dei dati può essere può essere manifestatomanifestato con un'unica dichiarazione, con un'unica dichiarazione, anche anche oralmenteoralmente. In tal caso il consenso è documentato, . In tal caso il consenso è documentato, anziché con atto scritto dell’interessato, con anziché con atto scritto dell’interessato, con annotazione annotazione del medico del medico (art. 81). (art. 81).
Quando il medico fornisce l’informativa per conto di più Quando il medico fornisce l’informativa per conto di più professionisti (professionisti (non è per fortuna obbligatorionon è per fortuna obbligatorio!) il !) il consenso “è reso conoscibile ai medesimi professionisti consenso “è reso conoscibile ai medesimi professionisti con adeguate modalità”. con adeguate modalità”.
Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?
Misure di sicurezzaMisure di sicurezza
I dati personali sono custoditi e controllati in I dati personali sono custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale dei distruzione o perdita, anche accidentale dei datidati
accesso non autorizzatoaccesso non autorizzato
trattamento non consentito o non conforme trattamento non consentito o non conforme alla finalità della raccoltaalla finalità della raccolta
Vietato dunque lasciare ricette mediche nelle Vietato dunque lasciare ricette mediche nelle cassettine in sala d’attesa, cartelle cliniche e CD cassettine in sala d’attesa, cartelle cliniche e CD con i backup dell’archivio pazienti sulla scrivania! con i backup dell’archivio pazienti sulla scrivania!
Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?
Adozione delle misure minime di sicurezzaAdozione delle misure minime di sicurezza
Secondo quanto previsto dal Disciplinare tecnico (Secondo quanto previsto dal Disciplinare tecnico (Allegato Allegato BB))
Le prime 26 misure riguardano i trattamenti Le prime 26 misure riguardano i trattamenti con con strumenti elettronicistrumenti elettronici (vi rientra la redazione del (vi rientra la redazione del DPS).DPS).
Le ultime 3 misure riguardano i trattamenti Le ultime 3 misure riguardano i trattamenti senza senza strumenti elettronicistrumenti elettronici: chi tratta i dati solo su : chi tratta i dati solo su supporto cartaceo non è tenuto a redigere il DPS ma supporto cartaceo non è tenuto a redigere il DPS ma nomina, nomina, ove necessario,ove necessario, gli Incaricati e i gli Incaricati e i ResponsabiliResponsabili..
Documento programmatico sulla sicurezzaDocumento programmatico sulla sicurezza obbligatorio per chi tratta dati sensibili e giudiziariobbligatorio per chi tratta dati sensibili e giudiziari va compilato ogni anno entro il 31 marzova compilato ogni anno entro il 31 marzo
non va inviato al Garante ma custodito in studionon va inviato al Garante ma custodito in studio
Come mettere in sicurezza il Come mettere in sicurezza il PCPC
ai sensi del Codice della ai sensi del Codice della privacy?privacy?
Rendere operativa la password di sistemaRendere operativa la password di sistemaImpostare la password in maniera alfanumerica, di lunghezza Impostare la password in maniera alfanumerica, di lunghezza non inferiore agli otto caratteri (esempio: fimmgba,23). non inferiore agli otto caratteri (esempio: fimmgba,23).
Non lasciare mai foglietti in vista recanti la password. Non lasciare mai foglietti in vista recanti la password.
Scegliere una password facile da memorizzare ma che non Scegliere una password facile da memorizzare ma che non contenga il proprio nome o cognome. contenga il proprio nome o cognome.
Rendere operativa la password del programma Rendere operativa la password del programma gestionale gestionale che contiene i dati degli assistiti.che contiene i dati degli assistiti.
Modificare le password ogni tre mesi Modificare le password ogni tre mesi secondo le modalità secondo le modalità sopra indicate.sopra indicate.
Come mettere in sicurezza il Come mettere in sicurezza il PCPC
ai sensi del Codice della ai sensi del Codice della privacy?privacy?
Aggiornare frequentemente il sistema operativo Aggiornare frequentemente il sistema operativo preferibilmente in modalità automatica mediante “live preferibilmente in modalità automatica mediante “live update”.update”.
Dotare il PC di un firewall Dotare il PC di un firewall Il firewall è un software che identifica e blocca tentativi Il firewall è un software che identifica e blocca tentativi di intrusione nel sistema attraverso internet o di intrusione nel sistema attraverso internet o collegamenti in rete.collegamenti in rete.
Dotare il PC di un software antivirusDotare il PC di un software antivirus
Eseguire un backup dei dati almeno settimanale Eseguire un backup dei dati almeno settimanale
da custodire in luogo sicuro.da custodire in luogo sicuro.
Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?
Nomina dei responsabili e degli incaricatiNomina dei responsabili e degli incaricati
Possono prestare la propria opera professionale Possono prestare la propria opera professionale solo se hanno ottenuto la preventiva solo se hanno ottenuto la preventiva nomina nomina scrittascritta da parte del titolare del trattamento da parte del titolare del trattamento ..
Responsabile della sicurezzaResponsabile della sicurezza
Ogni Ogni titolare del trattamentotitolare del trattamento, se non delega , se non delega espressamente un altro soggetto quale espressamente un altro soggetto quale responsabile della sicurezza, è esso stesso responsabile della sicurezza, è esso stesso considerato “responsabile” del trattamento (pur considerato “responsabile” del trattamento (pur se non espressamente individuato come tale), in se non espressamente individuato come tale), in relazione alla particolare natura dei dati trattati relazione alla particolare natura dei dati trattati ed ai conseguenti obblighi relativi alla sicurezza.ed ai conseguenti obblighi relativi alla sicurezza.
Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?
Limiti alla comunicazione dei datiLimiti alla comunicazione dei dati
La La comunicazione all’interessatocomunicazione all’interessato (paziente) di dati (paziente) di dati sanitari può avvenire solo per il tramite di un medico sanitari può avvenire solo per il tramite di un medico o di altro personale sanitario che abbia rapporti o di altro personale sanitario che abbia rapporti diretti con il paziente e che sia stato designato dal diretti con il paziente e che sia stato designato dal titolare o dal responsabile del trattamento. Art. 84titolare o dal responsabile del trattamento. Art. 84
Il medico curante potrà dare comunicazione ad altri Il medico curante potrà dare comunicazione ad altri soggetti di dati personali dei propri assistiti solo soggetti di dati personali dei propri assistiti solo
- per adempiere ad - per adempiere ad obblighi di Leggeobblighi di Legge
- per rispettare - per rispettare norme o regolamenti di tipo norme o regolamenti di tipo comunitariocomunitario
- su disposizione della - su disposizione della MagistraturaMagistratura
La tutela dei dati personali in Ospedale
Provvedimento del Garante del 9/11/2005Provvedimento del Garante del 9/11/2005
Tutela della dignità Chiamate in sala d’attesa
Riservatezza nei colloqui Liste di pazienti
Distanze di cortesia Informazioni stato di salute
Notizie su reparti e PS Ritiro delle analisi
Il problema della prescrizione dei medicinali in Ospedale
Le forme associative Le forme associative
dell'assistenza primariadell'assistenza primaria
Problemi in relazione alla tutela dei Problemi in relazione alla tutela dei dati dati
• • medicina in retemedicina in rete
• • medicina di gruppomedicina di gruppo
• • UMGUMG
Dalle carte sanitarie al fascicolo elettronicoDalle carte sanitarie al fascicolo elettronico
Le sanzioni della privacyLe sanzioni della privacy
SANZIONISANZIONI
Art. 161Art. 161
Omessa o inidonea informativa per trattamenti Omessa o inidonea informativa per trattamenti che contengono dati sensibiliche contengono dati sensibili
Sanzione amministrativa pecuniaria da € 5.000 a Sanzione amministrativa pecuniaria da € 5.000 a € 30.000€ 30.000 ..
La somma può essere La somma può essere aumentata sino al triploaumentata sino al triplo quando risulta inefficace, in ragione delle condizioni quando risulta inefficace, in ragione delle condizioni economiche dei contrav-ventori.economiche dei contrav-ventori.
Può essere applicata anche la sanzione Può essere applicata anche la sanzione amministrativa accessoria della amministrativa accessoria della pubblicazione pubblicazione dell'ordinanza - ingiunzionedell'ordinanza - ingiunzione, per intero o per , per intero o per estratto, in uno o più giornali indicati nel estratto, in uno o più giornali indicati nel provvedimento del Garante che la applica.provvedimento del Garante che la applica.
SANZIONISANZIONI
Art. 167Art. 167
Trattamento di dati senza il prescritto Trattamento di dati senza il prescritto consensoconsenso
Reclusione da 6 a 18 mesi Reclusione da 6 a 18 mesi se dal fatto deriva se dal fatto deriva un un danno. danno.
Reclusione da 6 a 24 mesiReclusione da 6 a 24 mesi se il trattamento se il trattamento è effettuato in violazione delle regole sulla è effettuato in violazione delle regole sulla comunicazionecomunicazione e sulla e sulla diffusionediffusione di dati. di dati.
SANZIONISANZIONI
Art. 169Art. 169
Omessa adozione delle misure di sicurezzaOmessa adozione delle misure di sicurezza
Costituisce Costituisce illecito penaleillecito penale anche se non si determina anche se non si determina un danno per gli interessati!un danno per gli interessati!
Arresto sino a 2 anniArresto sino a 2 anni o o ammenda da € 10.000 a € ammenda da € 10.000 a € 50.00050.000..
All'autore del reato è impartita una prescrizione All'autore del reato è impartita una prescrizione fissando un termine per la regolarizzazione non fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente eccedente il periodo di tempo tecnicamente necessario (non superiore a 6 mesi). necessario (non superiore a 6 mesi). L'adempimento L'adempimento e il pagamento estinguono il reato.e il pagamento estinguono il reato.
SANZIONISANZIONI
Art. 162Art. 162
Violazione delle prescrizioni in ordine alla Violazione delle prescrizioni in ordine alla comunicazione di dati in ambito sanitariocomunicazione di dati in ambito sanitario
Sanzione amministrativa pecuniaria da € 500 a € Sanzione amministrativa pecuniaria da € 500 a € 3.0003.000 nel caso in cui i dati personali, idonei a rivelare nel caso in cui i dati personali, idonei a rivelare lo stato di salute, siano resi noti all'interessato, da lo stato di salute, siano resi noti all'interessato, da parte degli esercenti le professioni sanitarie ed parte degli esercenti le professioni sanitarie ed organismi sanitari, tramite persona diversa dal organismi sanitari, tramite persona diversa dal medico designato dall'interessato o dal titolare.medico designato dall'interessato o dal titolare.
Può essere applicata anche la sanzione Può essere applicata anche la sanzione amministrativa accessoria della amministrativa accessoria della pubblicazione pubblicazione dell'ordinanza - ingiunzionedell'ordinanza - ingiunzione, per intero o per , per intero o per estratto, in uno o più giornali indicati nel estratto, in uno o più giornali indicati nel provvedimento del Garante che la applica.provvedimento del Garante che la applica.
Spero di non avervi ……Spero di non avervi ……
Spero di non avervi ……Spero di non avervi ……
stancato: stancato: graziegrazie per per l’attenzione!l’attenzione!