PRIVACY e SANITA FSE, DSE e Ultime novità normative · 2015. 12. 3. · Agli incaricati sono

Corso Responsabili Privacy nella Sanità - Copyright © 1999-2015, Sistemi Uno S.r.l.

tel.: 011.40.49.111 - e-mail: [email protected] www.unolegal.it

www.unolearning.it

Dr. Luca Leone

Unolegal Consulting

“Consulente della Privacy e Privacy Officer” Schema TUV Italia 003_CDP - n° 022

PRIVACY e SANITA’

FSE, DSE e Ultime novità normative

Certif. N.° 50 100 13172 Certif. N.° 50 100 13173


Codice in materia di protezione dei dati personali

(Codice Privacy)

D.lgs. 30 giugno 2003, n. 196

G.U. 29 luglio 2003, n. 174 S.O.


Principali aggiornamenti di legge

• D.lgs. n. 69/12, recepimento «Direttiva 2009/136/CE» in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche

(E-privacy)

• D.L. n. 5/12, «Decreto Cresci Italia»

• D.L. n. 201/11, «Decreto Salva Italia»

• D.L. n. 70/11, «Decreto Sviluppo»


Struttura del Codice

Parte I – Disposizioni generali Parte II – Disposizioni relative a specifici settori Parte III – Tutela dell’interessato e sanzioni

Allegati

Allegato A: Codici deontologici Allegato B: Disciplinare tecnico in materia di misure minime di sicurezza Allegato C: Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia


I principi generali


Art. 4: Tipologie di dati

• Dato personale

• Dato identificativo

• Dato anonimo

• Dato sensibile

• Dato giudiziario


Dato personale

Art. 4 c.1 lett. b)

Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

(Comma così modificato dal D.L. n. 201/2011)


Per le persone giuridiche…?

Le modifiche descritte riguardano le persone giuridiche, enti e associazioni, nella loro qualità di soggetti passivi del trattamento, e non implica alcuna loro esclusione dal rispetto degli obblighi e dei divieti che il Codice Privacy detta quando trattano i dati personali altrui in veste di soggetti attivi, cioè come “titolari” o “responsabili” del trattamento.


Interessato

Art. 4 c.1 lett. i)

La persona fisica, cui si riferiscono i dati personali Le persone giuridiche escono dall’ambito di applicazione

del Codice Privacy come entità da proteggere. Non sarà più possibile considerarle “interessati” ai fini del trattamento e cioè soggetti passivi meritevoli di tutela da parte dell’ordinamento privacy italiano.



Contraente (ex abbonato)

Art.4 c.2 lett. f)

Qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate

(Il D.lgs. n. 69/2012 ha sostituito la parola

“abbonato” con la parola “contraente”)


Utente

Art. 4 c.2 lett. g)

Qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata


Art. 4: Apparato definitorio

• Banca dati

• Trattamento

• Comunicazione

• Diffusione


L’organigramma Privacy • Titolare del trattamento (Art. 28)

• Responsabile del trattamento (Art. 29)

• Incaricato del trattamento (Art. 30)


Titolare del trattamento

• è l’azienda nel suo complesso • il consiglio di amministrazione incarica una

persona a rappresentare il titolare (es. l’Amministratore delegato)


Responsabile

• nomina facoltativa • interni ed esterni • nomina necessaria in aziende con organizzazioni complesse • più nomine a seconda della complessità aziendale • la nomina del responsabile è una garanzia di tutela per il titolare • la nomina non è un esonero di responsabilità per il titolare: ne

costituisce un’attenuazione (soprattutto in tema di responsabilità penale)

• il responsabile deve ricevere dal titolare precise istruzioni • il responsabile deve essere controllato periodicamente dal titolare • culpa in vigilando e culpa in eligendo per il titolare


Incaricati • persona fisica autorizzata, dal titolare o dal responsabile, a

compiere operazioni di trattamento • dipendente o collaboratore • deve attenersi alle istruzioni impartite • designazione effettuata per iscritto, individuando

puntualmente l’ambito del trattamento consentito • facoltà per l’azienda di documentare la preposizione della

persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima (es: mansionari; job description)


Regole generali per il trattamento dei dati personali


Art. 11: Modalità di trattamento e requisiti dei dati personali

Rispetto dei principi di:

• liceità e correttezza • conformità alle finalità • pertinenza e non eccedenza • aggiornamento • completezza ed esattezza


Codici di deontologia e buona condotta

• Promossi dal Garante

• Nuove forme di diritto destinate a normare settori o

trattamenti particolari. Entrano all’interno del Codice dopo la loro pubblicazione sulla Gazzetta Ufficiale

• Il rispetto delle disposizioni contenute nei codici costituisce

condizione essenziale per la liceità e correttezza del trattamento dei dati


Art 15: Danni cagionati per effetto del trattamento

• Chiunque cagiona danno ad altri per effetto del trattamento di dati è tenuto al risarcimento ai sensi dell’art. 2050 c.c.

• Il 2050 c.c. comporta l’inversione dell’onere della prova • Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11 del Codice


Gli adempimenti per i Titolari dei trattamenti


Art. 13: L’ Informativa

• L’interessato o le persone presso la quale sono raccolti i dati personali sono preventivamente informati oralmente o per iscritto

• Contenuti dell’informativa:

• Finalità e modalità di trattamento • Natura obbligatoria o facoltativa del conferimento dei dati • Le conseguenze di un eventuale rifiuto di rispondere • I soggetti o le categorie di soggetti ai quali i dati personali possono

essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione

• I diritti di cui all’art. 7 del Codice • Gli estremi identificativi del titolare e, se designato, del

responsabile


Art. 13 c.5-bis)

La “ricezione di curricula spontaneamente trasmessi dagli interessati” è esentata dall’obbligo dell'informativa ai sensi dell'art.13 del Codice

(comma aggiunto dal D. L. n. 70/11)

Informativa (segue)


Art. 23: Il Consenso

• Consenso espresso (e documentato per iscritto)

• Consenso in forma scritta per dati sensibili

• Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso

• Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se è stata resa all’interessato l’informativa di cui all’art. 13 del Codice


Art. 24: Casi di esclusione del consenso

Quando il trattamento:

• È necessario per adempiere ad un obbligo di legge

• E’ necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato

• Riguarda dati relativi allo svolgimento di attività economiche

• È necessario per la salvaguardia della vita


Casi di esclusione del consenso (segue)

Quando riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate,(…) nonchè tra consorzi, reti di imprese e raggruppamenti (…), per:

• finalità amministrativo contabili, come definite all'art. 34, comma 1-ter;

• purchè queste finalità siano previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa di cui all'articolo 13.



Finalità amministrativo-contabili

Trattamenti connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.

In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro. (Videosorveglianza, Gps, Biometria, Marketing…?)


Le autorizzazioni al trattamento dei dati sensibili

• Autorizzazioni n. 1,2,3,4,5,6,7,8,9 del 2015

• Validità: dal 01/01/2015 al 31/12/2016

(Non esiste autorizzazione al trattamento dei dati sensibili per fini di marketing)


Art. 26: Garanzie per dati sensibili e giudiziari

I dati sensibili possono essere trattati solo con il consenso scritto dell’interessato e previa autorizzazione del Garante.

I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante «…quando è necessario per adempiere ai specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro».

Il trattamento dei dati giudiziari è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante.


D.lgs. 69/2012: le modifiche introdotte

1. Il marketing elettronico 2. La gestione dei c.d. Cookies e della profilazione on

line 3. La violazione di dati personali


1. Marketing elettronico

Permane la tutela per le persone giuridiche rispetto al marketing: telefonico da elenchi con operatore (Registro Opposizioni) con posta cartacea (Registro Opposizioni) con strumenti automatizzati (art. 130 c.1) I termini di tutela sono mutati proprio dal D.lgs. 69/12 che ha sostituito la nozione di «abbonato» con quella di «utente» e «contraente» e non più al solo «interessato» Necessario consenso preventivo per le persone giuridiche (regime opt-in) per comunicazioni a fini commerciali/promozionali (art.130 c.1)


2. I cookie

La nuova disciplina dei cookies e della pubblicità su internet prevede che gli operatori di internet richiedano il consenso preventivo dell’utente prima di poter usare cookie per:

pubblicità comportamentale finalità diverse del quelle strettamente legate al servizio richiesto

dall’interessato Derogano al principio quei cookies necessari per il funzionamento

del sito internet e quelli necessari a fornire il servizio esplicitamente richiesto dall’utente o dal contraente (es: “carrello” sui siti di e-commerce)


3. La violazione di dati personali

Novità in caso di violazioni di dati personali, le cosiddette data breaches, cioè le perdite e i furti di dati: nuovi obblighi di informazione a carico dei fornitori di servizi di comunicazione elettronica accessibili al pubblico, e dei soggetti a cui l’erogazione dei servizi sia eventualmente affidata, e nuove sanzioni.


Art. 37: Notificazione

• Generale assenza dell’obbligo

• Alcuni trattamenti oggetto di notifica:

dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo;

dati sensibili registrati in banche di dati a fine di selezione del personale per conto terzi, nonché dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

• Invio telematico con firma digitale


Regole per i soggetti pubblici (Parte I – Capo II)


Regole per i soggetti pubblici • Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici:

• il trattamento di dati personali è consentito soltanto per lo svolgimento delle funzioni istituzionali • l’ente pubblico osserva i limiti stabiliti dal Codice, dalla legge e dai regolamenti • i soggetti pubblici non devono richiedere il consenso (tranne che per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici) • si osserva l’art. 25 in materia di comunicazione e diffusione


Regole per i soggetti pubblici

• Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari:

•il trattamento è consentito anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente • la comunicazione tra soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali (può essere iniziata 45 giorni dal ricevimento, da parte del Garante della comunicazione) • la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione sono ammesse unicamente quando sono previste da una norma di legge


Regole per i soggetti pubblici • Principi applicabili al trattamento di dati sensibili:

• il trattamento è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite • se la legge identifica solo la finalità di rilevante interesse pubblico -> adozione di un atto di natura regolamentare adottato in conformità al parere espresso dal Garante, anche su schemi tipo • in mancanza della legge i soggetti pubblici possono richiedere al Garante l’individuazione delle attività che perseguono finalità di rilevante interesse pubblico • l’identificazione dei tipi di dati e di operazioni è aggiornata e integrata periodicamente


Regole per i soggetti pubblici • Principi applicabili al trattamento di dati giudiziari:

• il trattamento è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante


Regole per i soggetti pubblici • Principi applicabili al trattamento di dati sensibili e giudiziari:

• nel fornire l’informativa di cui all’art. 13 i soggetti pubblici fanno espresso riferimento alla normativa • i dati sensibili e giudiziari sono raccolti, di regola, presso l’interessato • verifica periodica dell’esattezza e aggiornamento dei dati sensibili e giudiziari • i dati sensibili e giudiziari tenuti con l’ausilio di strumenti elettronici sono trattati con tecniche di cifratura o mediante l’adozione di codici identificativi •I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedano il loro utilizzo. Adozione di codici identificativi anche quando sono tenuti in elenchi senza l’ausilio di strumenti elettronici.


SANITA’ • Trattamento dei dati personali idonei a rivelare lo stato di salute:

• Con il consenso dell’interessato e anche senza l’autorizzazione

del Garante (-> tutela della salute o dell’incolumità fisica dell’interessato)

• Anche senza il consenso dell’interessato e previa autorizzazione del Garante se la finalità sopra indicata riguarda un terzo o la collettività.


SANITA’

• Semplificazione informativa e consenso:

• Art.13 c. 3: il Garante può individuare con proprio provvedimento modalità semplificate per l’informativa

• Il consenso può essere manifestato con un’unica dichiarazione, anche oralmente (-> il consenso viene documentato con annotazione dell’esercente la professione sanitaria o dell’organismo sanitario pubblico)


SANITA’ • Informativa organismi sanitari:

• Riferita ad una pluralità di prestazioni erogate anche da distinti reparti ed unità dello stesso organismo o di più strutture ospedaliere o territoriali specificamente identificati

• Annotazione dell’avvenuta informativa e consenso con modalità uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità

• Informativa da parte di soggetti pubblici (trattamenti di dati effettuati a fini amministrativi): unica informativa integrata con appositi e idonei cartelli ed avvisi agevolmente visibili al pubblico, affissi e diffusi anche nell’ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica.


SANITA’ • Emergenze:

• L’informativa e il consenso possono intervenire senza ritardo: •successivamente alla prestazione, nel caso di emergenza sanitaria; •In caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato •Rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato

• Dopo il raggiungimento della maggiore età l’informativa è fornita all’interessato anche ai fini dell’acquisizione di una nuova manifestazione del consenso quando questo è necessario


SANITA’ • Altre misure per il rispetto degli interessati:

• Chiamata non nominativa

• Istituzione di appropriate distanze di cortesia

• Durante i colloqui prevenire l’indebita conoscenza da parte di terzi di

informazioni idonee a rivelare lo stato di salute

• Rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento

• Procedure idonee per la comunicazione anche telefonica, ai soli terzi legittimati, di una prestazione di pronto soccorso


SANITA’

• Previsione formale di adeguate modalità per informare i terzi legittimati in occasione di visite sulla dislocazione degli interessati nell’ambito dei reparti, informandone previamente gli interessati e rispettando eventuali loro contrarie manifestazioni legittime di volontà

• Procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e i reparti o strutture, indicativa dell’esistenza di un particolare stato di salute


Art. 7: La tutela dell’interessato

• Diritti di Accesso

• Diritti di Intervento

• Diritti di Opposizione


Diritto di accesso

L’interessato ha diritto di ottenere: • La conferma dell’esistenza o meno di dati personali che lo

riguardano, anche se non ancora registrati • La loro comunicazione in forma intelligibile • L’indicazione:

- dell’origine dei dati personali - delle finalità e modalità del trattamento - della logica applicata in caso di trattamento effettuato

con l’ausilio di strumenti elettronici - degli estremi identificativi del titolare e dei responsabili - dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati


Diritto di intervento

L’interessato ha diritto di ottenere: • L’aggiornamento, la rettificazione ovvero l’integrazione dei dati

• La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge

• L’attestazione che le precedenti operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato


Diritto di opposizione L’interessato ha diritto di opporsi, in tutto o in parte:

• Per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta

• Al trattamento di dati personali che lo riguardano a fini di

invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale


Modalità di esercizio dei diritti

• Richiesta mediante lettera raccomandata, telefax o posta elettronica

• L’esercizio del diritto di accesso può essere effettuato anche oralmente. In tal caso, la richiesta è annotata sinteticamente a cura dell’incaricato

• L’esercizio dei diritti, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativo a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento.


Modalità di esercizio dei diritti (segue)

• L’identità dell’interessato è verificata con esibizione o allegazione di copia di un documento di riconoscimento

• La persona che agisce per conto dell’interessato esibisce o allega copia della procura


Riscontro all’interessato

• Il titolare o il responsabile devono fornire riscontro alla richiesta dell’interessato entro 15 giorni dal ricevimento della stessa o nel tempo più breve possibile.

• Entro il termine dei 15 giorni, se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile danno comunicazione all’interessato. In tal caso il termine per l’integrale riscontro è di 30 giorni dal ricevimento della richiesta medesima.

• La comunicazione dei dati è effettuata in forma intelligibile


La tutela amministrativa

L’interessato può rivolgersi al Garante mediante:

• Ricorso (artt. da 145 a 151)

• Segnalazione (art. 144)

• Reclamo circostanziato (artt. 142, 143)


Il Ricorso

• Se, nell’arco di 15 giorni dalla data di ricevimento della richiesta, il titolare o il responsabile non hanno fornito risposta, l’interessato può proporre ricorso al Garante

• Il Ricorso obbliga il Garante ad intervenire entro 60 giorni dalla domanda fatta dall’interessato


Il Reclamo

• L’interessato può rivolgersi al Garante anche mediante reclamo circostanziato

• Contiene un’indicazione dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste

• Non obbliga il Garante ad intervenire


La Segnalazione • L’interessato può rivolgersi al Garante anche

mediante segnalazione

• Anche nel caso in cui non sia possibile presentare un reclamo circostanziato al fine di sollecitare un controllo da parte del Garante

• Non obbliga il Garante ad intervenire


L’apparato sanzionatorio (da Art. 161 a Art. 171)


AMMINISTRATIVE

TIPOLOGIA IMPORTO

Omessa, inidonea informativa 6.000 – 36.000

Cessione dati 10.000 – 60.000

Comunicazione dati sanitari in violazione del Codice

1.000 – 6.000

Omessa o incompleta notificazione 20.000 – 120.000

Omessa informazione o esibizione al Garante

10.000 – 60.000


AMMINISTRATIVE (segue)

TIPOLOGIA IMPORTO

Omissione Misure minime di sicurezza

Art. 162 2-bis: 10.000 – 120.000

Trattamento illecito dati Art. 162 2-bis: 10.000 – 120.000

Inosservanza Provvedimenti del Garante

Art. 162 2-ter: 30.000 – 180.000


TIPOLOGIA PENA

Trattamento illecito dei dati Dati comuni: Recl. 6-18 mesi

Dati sensibili: Recl. 12-36 mesi

Falsità in dichiarazioni e notificazioni al Garante

Recl. 6-36 mesi

Omissione Misure minime di sicurezza

Art. 169: Arresto fino a 2 anni [Euro 30.000 (meccanismo della

“regolarizzazione”: un quarto del massimo della sanzione prevista

per la violazione amm.va)]

Inosservanza provvedimenti del Garante (Art. 170)

Recl. 3 – 24 mesi

PENALI


La regolarizzazione

Verifiche dell’organo accertante

Mancata adozione delle misure necessarie o riconoscimento di difficoltà nell’adempimento:

• Proroga (non superiore a 6 mesi)

Adozione delle misure necessarie:

• Pagamento contravvenzione (1/4 del massimo della pena – 30.000 euro)


Il meccanismo della “regolarizzazione”

Accertamento del reato

Provvedimento di blocco del trattamento

Emanazione di prescrizioni

Estinzione del reato

Prosecuzione del procedimento penale

Verifiche dell’organo accertante

Mancata adozione delle misure necessarie, riconoscimento di difficoltà nell’adempimento

Adozione delle misure necessarie

Mancata adozione delle misure necessarie non giustificabile

Proroga (non superiore a 6 mesi)

Pagamento contravvenzione (nei 60 gg. dallo scadere)

Continuazione processo penale


Il Garante per la protezione dei dati personali

(Art. 153 e Art. 154)

• È organo collegiale costituito da 4 componenti

• Opera in piena autonomia e con indipendenza di giudizio e di valutazione

• I componenti durano in carica 7 anni e non possono essere confermati per più di una volta


Compiti del Garante

• Controlla se i trattamenti sono effettuati nel rispetto della disciplina applicabile

• Esamina i reclami e le segnalazioni e provvede sui ricorsi

• Prescrive ai titolari le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti

• Controlla se i trattamenti sono effettuati nel rispetto della disciplina applicabile

• Esamina i reclami e le segnalazioni e provvede sui ricorsi

• Effettua accertamenti e controlli


Compiti del Garante (segue)

• Prescrive ai titolari le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti

• Vieta il trattamento illecito o non corretto

• Promuove la sottoscrizione dei codici di deontologia e buona condotta

• Esprime pareri

• Denuncia i fatti configurabili come reati perseguibili d’ufficio

• Segnala al Parlamento e al Governo l’opportunità di interventi normativi, anche a seguito dell’evoluzione del settore

• Predispone annualmente, entro il 30 aprile, una relazione sull’attività svolta, trasmessa al Parlamento e al Governo


SICUREZZA DEI DATI E DEI SISTEMI


Le Misure di Sicurezza

Minime (Artt. 33- 36)

Idonee (Art. 31)


Le misure Minime Definizione (art. 4, c. 3, lett. a)): il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31

Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta

I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.


Le misure Idonee

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.


Il Codice distingue tra: Trattamenti con strumenti elettronici Trattamenti senza l’ausilio di strumenti

elettronici


TRATTAMENTO CON STRUMENTI ELETTRONICI Il trattamento è consentito solo se: • sono adottate le misure minime di sicurezza individuate dal

Codice • le misure minime di sicurezza sono adottate con le modalità

previste dal Disciplinare tecnico (Allegato B)


Art. 34: Misure minime individuate dal Codice

• Autenticazione informatica • Procedure di gestione delle credenziali di autenticazione • Utilizzazione di un sistema di autorizzazione • Aggiornamento periodico dell’individuazione dell’ambito di trattamento

consentito agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici

• Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti

• Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

• [Tenuta di un aggiornato Documento Programmatico sulla Sicurezza (DPS)] • Adozione di tecniche di cifratura o codici identificativi per determinati

trattamenti di dati sensibili effettuati da organismi sanitari


Allegato B: Misure minime individuate dal Disciplinare Tecnico

1. Il trattamento dei dati è consentito solo agli incaricati dotati di credenziali di autenticazione (codice identificativo + parola chiave riservata conosciuta solo dall’incaricato; dispositivo di autenticazione eventualmente associato a un codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato eventualmente associata a un codice identificativo o a una parola chiave)

2. Gestione dei codici identificativi: Criteri di definizione e assegnazione Individualità e non riutilizzabilità Validità temporale (disattivazione per mancato utilizzo, 6 mesi, o

perdita qualità) Criteri di disattivazione


3. Gestione delle parole chiave (password): criteri di creazione (almeno 8 caratteri o numero caratteri massimo

consentito dal sistema, non banale, ecc.) criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di trattamento di

dati sensibili) e di custodia 4. Ad ogni incaricato possono essere associate una o più credenziali 5. Il titolare dovrà fornire agli incaricati precise istruzioni in merito:

alla gestione e conservazione delle credenziali di autenticazione alla custodia dei dispositivi in possesso e uso esclusivo dell’incaricato alla gestione e custodia dello strumento elettronico durante le sessioni di

trattamento individuazione puntuale delle modalità di accesso ai dati, in caso di

assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di sicurezza aziendale

6. Amministratore di Sistema: non citato dal Codice ma vedi Provvedimento Garante 27/11/08

7. Rimane la figura del preposto alla custodia della credenziale riservata


Sistema di autorizzazione 8. Profili di autorizzazione (per ciascun incaricato o per classi

omogenee):

criteri di individuazione preventiva verifica periodica (almeno annuale) criteri di revoca


Altre misure di sicurezza

9. Aggiornamento periodico e verifiche (almeno annuale) dell’ambito di trattamento consentito agli incaricati e redazione della lista degli incaricati

10. Installazione e aggiornamento software antivirus (almeno ogni 6 mesi)

11. Aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili)

12. Istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale)


Decreto Legge n. 5/12: Disposizioni urgenti in materia di

semplificazione e di sviluppo

• All'articolo 34: è soppressa la lettera g) del comma 1: ”tenuta di un aggiornato documento programmatico sulla sicurezza”;

• All'articolo 34 è abrogato il comma 1-bis (esenzione DPS casi particolari);

• Nel disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B sono soppressi i paragrafi da 19 a 19.8 e 26 (DPS).


[Documento Programmatico sulla Sicurezza (DPS)

1. Redatto entro il 31 marzo di ogni anno 2. Deve contenere:

l’elenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità nell’ambito delle

strutture preposte al trattamento l’analisi dei rischi che incombono sui dati le misure da adottare per garantire l’integrità e la disponibilità dei

dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento


la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati

la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare

per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato (organismi sanitari)

3. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza]


Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

1. Istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili

2. Istruzioni per la distruzione controllata dei supporti e per la cancellazione delle informazioni contenute

3. Adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei dati e/o degli strumenti (7 giorni)

4. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo mediante l’utilizzo di idonei strumenti elettronici (es: firewall)


Misure di tutela e garanzia

Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare tecnico


TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI

Il trattamento è consentito solo se: • sono adottate le misure minime di sicurezza individuate dal

Codice • le misure minime di sicurezza sono adottate con le modalità

previste dal Disciplinare tecnico (Allegato B)


Art. 35: Misure minime individuate dal Codice

• Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative

• Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti

• Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati


Misure minime individuate dal Disciplinare Tecnico

• Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

• Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

• L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.


Autorizzazione N. 2

Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale

(Efficacia temporale e disciplina transitoria:

dal 1° gennaio 2015 fino al 31 dicembre 2016)


Soggetti autorizzati

a) gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili per tutelare l'incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità b) gli organismi e le case di cura private, nonchè ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di salute e la vita sessuale c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorchè agiscano nella qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo stato di salute.


Ambito di applicazione

L'autorizzazione è rilasciata: a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi b) al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l'attività in regime di libera professione c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il servizio sanitario nazionale d) indicazione degli altri soggetti autorizzati


Sono regolamentate

1) Le categorie di dati oggetto di trattamento

2) Le modalità di trattamento

3) La conservazione dei dati

4) La comunicazione e diffusione dei dati

5) Le richieste di autorizzazione 6) L’indicazione degli altri soggetti autorizzati


Autorizzazione N. 8

Autorizzazione generale al trattamento dei dati genetici

(Efficacia temporale e disciplina transitoria: dal 1° gennaio 2015 fino al 31 dicembre 2016)


Definizioni

a) dato genetico, il risultato di test genetici o ogni altra informazione che, indipendentemente dalla tipologia, identifica le caratteristiche genotipiche di un individuo trasmissibili nell'ambito di un gruppo di persone legate da vincoli di parentela b) campione biologico, ogni campione di materiale biologico da cui possono essere estratti dati genetici caratteristici di un individuo


Definizioni (segue)

c) test genetico d) test farmacogenetico e) test farmacogenomico f) test sulla variabilità individuale g) screening genetico h) consulenza genetica

i) informazione genetica



L'autorizzazione è rilasciata: a) agli esercenti le professioni sanitarie, in particolare ai genetisti medici, limitatamente ai dati e alle operazioni indispensabili per esclusive finalità di tutela della salute dell'interessato o di un terzo appartenente alla stessa linea genetica dell'interessato b) agli organismi sanitari pubblici e privati, in particolare alle strutture cliniche di genetica medica, limitatamente ai dati e alle operazioni indispensabili per esclusive finalità di tutela della salute dell'interessato o di un terzo appartenente alla stessa linea genetica dell'interessato


Ambito di applicazione (segue)

c) a laboratori di genetica medica d) agli psicologi, ai consulenti tecnici e ai loro assistenti e) ai farmacisti f) ai difensori g) agli organismi di mediazione pubblici e privati


Finalità del trattamento

1) tutela della salute, con particolare riferimento alle patologie di natura genetica e alla tutela dell'identità genetica dell'interessato, con il suo consenso, salvo quanto previsto dagli artt. 26 e 82 del Codice in riferimento al caso in cui l'interessato non possa prestare il proprio consenso per incapacità d'agire, impossibilità fisica o incapacità di intendere o di volere

2) tutela della salute, con particolare riferimento alle patologie di natura genetica e tutela dell'identità genetica di un terzo appartenente alla stessa linea genetica dell'interessato con il consenso di quest'ultimo

3) ricerca scientifica e statistica, finalizzata alla tutela della salute dell'interessato, di terzi o della collettività in campo medico, biomedico ed epidemiologico, anche nell'ambito della sperimentazione clinica di farmaci, o ricerca scientifica volta a sviluppare le tecniche di analisi genetica


Modalità del trattamento

1) Raccolta e conservazione

2) Ricerca scientifica e statistica

3) Misure di sicurezza

4) Informativa

5) Trattamenti in settori particolari

6) Conservazione dei dati e dei campioni

7) Comunicazione e diffusione dei dati

8) Richieste di autorizzazione


Autorizzazione N. 9

Autorizzazione generale al trattamento dei dati personali effettuato per scopi

di ricerca scientifica

(Efficacia temporale e disciplina transitoria: dal 1° gennaio 2015 fino al 31 dicembre 2016)



La presente autorizzazione è rilasciata: a) alle università, agli altri enti o istituti di ricerca e società scientifiche, nonchè ai ricercatori che operano nell'ambito di dette università, enti, istituti di ricerca e ai soci di dette società scientifiche b) agli esercenti le professioni sanitarie e agli organismi sanitari nei limiti di cui all'art. 2, comma 2, del codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (Allegato A.4 al Codice)


Finalità del trattamento

La presente autorizzazione è rilasciata quando: il trattamento è necessario per la conduzione di studi, non aventi significativa ricaduta personalizzata sull'interessato, effettuati con dati raccolti in precedenza a fini di cura della salute o per l'esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute o per l'esecuzione di precedenti progetti di ricerca e la ricerca è effettuata sulla base di un progetto, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale, secondo le modalità di cui all'art. 3 del codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (Allegato A.4 al Codice).


Finalità del trattamento (segue)

La presente autorizzazione non riguarda gli scopi della ricerca che possono essere realizzati, nel caso concreto, mediante: - il trattamento di dati anonimi - il trattamento di dati riferiti ad interessati che sia possibile contattare al fine di rendere l'informativa e acquisirne il consenso


Categorie di dati oggetto di trattamento

Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.

Il trattamento può riguardare unicamente i dati personali strettamente pertinenti ai sopra indicati scopi, ivi compresi quelli ricavati da campioni biologici, salvo che questi non costituiscano «dati genetici» ai sensi dell'autorizzazione n. 8/2014.


Impossibilità di informare gli interessati

L'autorizzazione riguarda il trattamento dei dati degli interessati da includere nella ricerca che non è possibile contattare al fine di fornire l'informativa - a causa della sussistenza di una delle seguenti ragioni, considerate del tutto particolari o eccezionali, documentate nel progetto di ricerca:

1) Motivi etici riconducibili alla circostanza che l'interessato ignora la propria condizione

2) Motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati


Comunicazione e diffusione

1) I soggetti che agiscono in qualità di titolari del trattamento, anche unitamente ad altri titolari, possono comunicare tra loro i dati personali oggetto della presente autorizzazione nella misura in cui rivestano il ruolo di promotore, di centro coordinatore o di centro partecipante e l'operazione di comunicazione sia indispensabile per la conduzione dello studio

2) I dati idonei a rivelare lo stato di salute degli interessati, nonchè quelli

relativi alla vita sessuale e all'origine razziale ed etnica utilizzati per la conduzione dello studio non possono essere diffusi. I risultati delle ricerche possono essere diffusi in forma aggregata, ovvero secondo modalità che non rendano identificabili gli interessati neppure tramite dati identificativi indiretti, anche nell'ambito di pubblicazioni


- Conservazione dei dati e dei campioni - Custodia e sicurezza - Trasferimento all'estero - Richieste di autorizzazione

Altri ambiti oggetto di analisi


PRIVACY e ISPEZIONI:

Modalità e tipologie


Il Garante può:

• Richiedere informazioni e documenti a titolare, responsabili e incaricati del trattamento, a interessati e a soggetti terzi. Tale potere viene utilizzato inviando gli ispettori presso i soggetti da cui devono essere rilevate informazioni e documenti, acquisendoli “in loco” (art. 157)

• Accedere a banche dati e archivi ed effettuare ispezioni e verifiche nei luoghi dove si svolge il trattamento, o in cui occorre compiere rilevazioni utili al controllo del rispetto della disciplina in materia di trattamento di dati personali. Qualora le attività si debbano svolgere in abitazioni, in altri luoghi privati o nelle relative appartenenze, l’accesso è subordinato all’autorizzazione dell’Autorità giudiziaria o, in alternativa, all’assenso informato del titolare e del responsabile del trattamento (art. 158)


• ISPEZIONE (prima): attività amministrativa di ricerca, analisi,

osservazione e ricognizione condotta da pubblici ufficiali legittimati, con l’obiettivo di accertare la presenza di elementi di liceità e legittimità di una determinata realtà oggetto dell’attività ispettiva. Può essere anche definita come una serie di attività volte al reperimento degli elementi (dati, comunicazioni, documenti, ecc.) necessari a eseguire ispezioni documentali e verifiche.

• VERIFICA (dopo): è un vaglio critico degli elementi rilevanti acquisiti

durante l’ispezione, al fine di evidenziare i profili di regolarità (o irregolarità) del trattamento dei dati. Consiste in riscontri attuati mediante confronto tra i risultati documentali (emergenti da notificazioni, nomine dell’incaricato, informative, richieste di consenso, ecc.) e situazioni di fatto connesse con i trattamenti effettuati dal soggetto ispezionato, appurate mediante osservazione diretta da parte dei pubblici ufficiali.


• Le ISPEZIONI costituiscono una fase del più ampio procedimento amministrativo di controllo, nell’ambito del quale svolgono la funzione di dare certezza ai fatti (di qui la definizione di accertamento)

• Al termine del procedimento il Garante può:

• segnalare, ai titolari o ai responsabili del trattamento, le modifiche opportune o necessarie a rendere il trattamento conforme alle disposizioni vigenti (es. informativa da sistemare) • contestare le sanzioni amministrative eventualmente rilevate • inviare, nei casi più gravi previsti dalla legge, una comunicazione di notizia di reato all’Autorità giudiziaria per l’accertamento delle violazioni costituenti reato


Input dell’attività ispettiva

• SEGNALAZIONI: richieste di controllo a fronte delle quali può essere

avviata un’istruttoria preliminare

• RECLAMI: richiesta circostanziata di intervento del garante in relazione ad una violazione della normativa. Comporta l’apertura di un’istruttoria preliminare

• RICORSI: attraverso i quali si fanno valere i diritti di cui all’art. 7; 60 gg per la decisione

• DI INIZIATIVA: diretta conoscenza, notizie di stampa, Internet, programmi, ecc. (newsletter per settore)


Gli accertamenti di cui all’art. 157 (sulla richiesta di informazioni ed esibizione di documenti) hanno una “valenza collaborativa” Il Garante utilizza questa modalità tutte le volte che:

• ritiene sufficiente ai fini istruttori acquisire informazioni, anche senza effettuare un vero e proprio accesso a dati e documenti; • la natura delle informazioni richieste è tale da rendere necessarie descrizioni così analitiche che il titolare o il responsabile potrebbero avere difficoltà, in assenza di un contraddittorio, a rappresentarle in modo esaustivo; • ritiene opportuno effettuare dei controlli incrociati rispetto ad altre dichiarazioni già acquisite nell’ambito dell’accertamento, in relazione a trattamenti di dati personali effettuati da più titolari.

Procedure


Il carattere collaborativo dell’attività è evidenziato anche dalla prassi di preannunciare l’attività ispettiva. L’esperienza ha evidenziato che la richiesta di informazioni “in loco” si dimostra estremamente efficace in tutti i casi in cui i soggetti ispezionati mostrino un atteggiamento trasparente.

Gli accessi a dati e documenti, secondo l’art. 158, sono di regola disposti:

• quando, per acquisire gli elementi necessari alla definizione completa del contesto, si reputi necessaria una verifica diretta; • nei casi in cui precedenti richieste effettuate in via collaborativa non abbiano sortito gli effetti sperati; • nei casi in cui non siano pervenute le informazioni o i documenti richiesti o, se pervenuti, siano ritenuti incompleti o non veritieri.

Procedure (segue)


• L’accertamento è eseguito anche in caso di rifiuto da parte del soggetto

sottoposto a ispezione: in tal caso le spese sostenute sono a carico del titolare.

• Le procedure adottate in caso di ispezione prevedono l’esibizione del documento di riconoscimento del personale operante e dell’ordine di ispezione. Nel corso delle attività ispettive, il personale incaricato può procedere a rilievi e operazioni tecniche ed estrarre copia (anche a campione e su supporto informatico o per via telematica) di ogni atto, dato e documento.

• Il Codice dispone che le attività effettuate durante l’ispezione siano riportate in un verbale.

Procedure (segue)


Nel verbale vengono registrati tutti gli elementi rilevanti emersi durante l’operazione (luogo, data, ora di inizio e di chiusura, generalità delle persone che hanno partecipato o che sono intervenute, descrizione delle operazioni effettuate e degli atti acquisiti, dichiarazioni ricevute). Il Codice prevedere che agli accertamenti possano assistere anche persone indicate dal titolare o dal responsabile, come ad esempio collaboratori interni, consulenti o legali.

Procedure (segue)


La programmazione delle ispezioni di iniziativa

Il Garante determina semestralmente la programmazione ispettiva indicando ambiti di intervento e obiettivi numerici del controllo. La programmazione tiene conto anche delle attività che possono essere delegate alla Guardia di Finanza.


Il protocollo prevede che la GdF collabori con il Garante attraverso:

• il reperimento di dati ed informazioni sui soggetti da controllare

• l’assistenza nei rapporti con l’Autorità Giudiziaria

• la partecipazione di proprio personale agli accessi alla banche dati, ispezioni e verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento

• lo sviluppo di attività delegate per l’accertamento delle violazioni di natura penale o amministrativa

• la contestazione diretta delle sanzioni amministrative rilevate nell’ambito delle attività delegate

Il protocollo d’intesa con la GdF


• Sanzioni Amministrative – Prescrizioni – Provvedimenti inibitori: Garante Privacy

• Violazioni penali: Procura della Repubblica

• Risarcimento del danno: Tribunale (art. 2050 c.c.)

Conseguenze di una violazione del Codice


Fattispecie attenuate e aggravate

• Se violazione di minore gravità avuto altresì riguardo alla natura anche economica o sociale dell’attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti (art. 164 bis, 1 c.)

• Se violazione di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni al presente Capo sono applicati in misura pari al doppio (art. 164 bis, c.3)


Aumento in relazione alle condizioni economiche

Le sanzioni possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore (art. 164 bis, c.4)


Il procedimento sanzionatorio

Contestazione

Invio memorie

difensive

Esame

Richiesta di

audizione

Convocazione

per audizione

Archiviazione Ordinanza

ingiunzione

Pagamento

Opposizione

Oblazione in via breve

Definizione

procedimento

Definizione

procedimento

Fase A

Fase B


Privacy e Lavoro


L’Art. 4 Statuto dei Lavoratori Legge 20 maggio 1970, n. 300

(così modificato dal D.Lgs. 151/2015 in

attuazione della delega del Job Act)


Articolo 4: primo comma c

c.1: Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la

possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo gli impianti e gli strumenti di cui al periodo precedente possono essere installati previa autorizzazione della Direzione territoriale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più Direzioni territoriali del lavoro, del Ministero del lavoro e delle politiche sociali.


Articolo 4: secondo e terzo comma c

c.2: La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.

c.3: Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.


Commento comma 1

L’intervento legislativo conferma il principio per cui tutti i cosiddetti «impianti fissi» possono essere utilizzati solo previo accordo sindacale. E’ quindi possibile utilizzare da parte delle aziende strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, limitatamente alle 3 ipotesi elencate: a) esigenze organizzative e produttive; b) scurezza del lavoro; c) tutela del patrimonio aziendale (assente previgente disciplina) Permane il divieto di utilizzo di impianti audiovisivi e di altri strumenti che abbiano quale finalità unica e esclusiva il controllo a distanza del lavoratore.


Mezzi di controllo «fissi» (art. 4, c.1)

Casistica

1. Telecamere; 2. Tracciamento GPS (solo quando il lavoratore non

utilizza il sistema di localizzazione/tracciamento per eseguire la prestazione);

3. Cronotachigrafo.


Commento comma 2

L’esclusione dell’accordo sindacale si amplia, oltre che a strumenti di registrazione accessi e delle presenze a quegli strumenti di controllo «mobili» utilizzati dal lavoratore per rendere la prestazione lavorativa. In tale ipotesi i mezzi di controllo sono intrinsecamente parte degli strumenti che il lavoratore utilizza per l’esecuzione della prestazione. Il precetto di cui al c. 1 è quindi adeguato alla attuale realtà tecnologica.


Mezzi di controllo «mobili» (art. 4, c.1)

Casistica

1. Hardware (Smartphone, Tablet, PC, Telefoni) 2. Software (Sistemi operativi, Browser, Posta elettronica) 3. Rete informatica 4. Accessi aree aziendali riservate 5. Badge di accesso ed uscita


Commento comma 3

Condizioni per l’utilizzabilità delle informazioni raccolte con mezzi di controllo «fissi» per tutti i fini connessi al rapporto di lavoro compresi i fini disciplinari (art. 4, c.1):

a) I mezzi di controllo dovranno essere istallati e impiegati nel rispetto della normativa

b) Rispetto della disciplina sulla privacy

Condizioni per l’utilizzabilità delle informazioni raccolte con mezzi di controllo «mobili» per tutti i fini connessi al rapporto di lavoro compresi i fini disciplinari (art. 4, c.2):

a) Rispetto della disciplina sulla privacy (idonea informativa al lavoratore ai sensi dell’art. 13; dettami del Codice Privacy compresi Provvedimenti e Linee guida specifici)


Commento comma 3

E’ un approccio diverso rispetto all’indirizzo giurisprudenziale che sino ad oggi ha escluso l’utilizzabilità dei dati ottenuti con controlli difensivi, per provare l’inadempimento contrattuale del lavoratore e rispetto alla Raccomandazione del 1°aprile 2015 del Consiglio d’Europa, che fra l’altro auspica la minimizzazione dei controlli difensivi svolti attraverso strumenti elettronici. Ultimo baluardo per un divieto di controllo massivo degli strumenti di lavoro rimane quindi l’applicazione dei fondamentali principi Privacy (pertinenza, correttezza, non eccedenza del trattamento, divieto di profilazione).


Provv. Garante 3 luglio 2015, n.393

Misure di sicurezza e modalità di scambio dei dati personali tra

amministrazioni pubbliche

(Adeguamento entro 31/12/2015)


Le pubbliche amministrazioni che intendono mettere a disposizione delle altre Pa, gli accessi telematici alle proprie banche dati, in attesa della definizione degli "standard di comunicazione e le regole tecniche" da parte dell'Agenzia per l'Italia digitale (Agid), dovranno adottare le misure di sicurezza fissate dal Garante privacy


Dovranno mettersi in regola entro il 31 dicembre

2015 le amministrazioni che hanno previsto modalità

di accesso non conformi a quanto previsto dal

Garante nel 2013. Esulano dall'intervento odierno le

amministrazioni che hanno già sottoposto le modalità

di accesso alle banche dati all'esame del Garante

nell'ambito di specifici provvedimenti


Il Garante inoltre, per innalzare ulteriormente i livelli di tutela dei dati, ha

prescritto che le amministrazioni dello Stato - compresi gli istituti e le scuole

di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i

Comuni, le aziende e gli enti del Servizio sanitario nazionale e gli enti

pubblici non economici - devono comunicare allo stesso Garante, entro

quarantotto ore dalla conoscenza del fatto, tutte le violazioni o gli

incidenti informatici (i cosiddetti "data breach") che possono avere un

impatto significativo sui dati personali contenuti nelle banche dati.

Le comunicazioni devono essere redatte secondo il modello predisposto

dal Garante e inviate via mail all'indirizzo [email protected].


Tra le dettagliate misure individuate dall'Autorità in un allegato al

provvedimento vanno segnalate:

• la redazione da parte della Pa erogatrice di un documento,

costantemente aggiornato, con l'elenco delle banche dati

accessibili e i dati disponibili ai fruitori esterni;

• il divieto per il soggetto pubblico fruitore di estrarre dati in

via automatica e massiva e di creare nuove banche dati;

l'identificazione dei soggetti che hanno accesso alla banca dati e

l'adeguato tracciamento delle operazioni compiute;

• la cifratura dei dati sensibili e giudiziari.


D.P.C.M. 29 settembre 2015, n. 178

Regolamento in materia di Fascicolo Sanitario Elettronico (FSE)

(Entrata in vigore: 26/11/2015)


Definizione FSE

L’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito (art. 12, d.l. 18 ottobre 2012, n. 179, conv. L. 17 dicembre 2012 n. 221)


Contenuti del FSE

I contenuti del FSE sono rappresentati da un nucleo minimo di dati e documenti, nonchè da dati e documenti integrativi che permettono di arricchire il Fascicolo stesso. Nucleo Minimo: 1) Dati identificativi e amministrativi dell’assistito 2) Referti 3) Verbali di pronto soccorso 4) Lettere di dimissione 5) Profilo sanitario sintetico (Patient Summary) 6) Dossier farmaceutico 7) Consenso o diniego alla donazione di organi e tessuti


Dati e documenti integrativi: 1) Prescrizioni (specialistiche, farmaceutiche, ecc) 2) Prenotazioni (specialistiche, di ricovero, ecc) 3) Cartelle cliniche 4) Bilanci di salute 5) Assistenza domiciliare 6) Piani diagnostico-terapeutici 7) Assistenza residenziale e semiresidenziale 8) Erogazione farmaci 9) Vaccinazioni 10) vaccinazioni; 11) prestazioni di assistenza specialistica; 12) prestazioni di emergenza urgenza (118 e pronto soccorso); 13) …… 14) …….


Finalità del FSE

1) Finalità di cura: finalità di prevenzione, diagnosi, cura e riabilitazione; 2) Finalità di ricerca: finalità di studio e ricerca scientifica in campo

medico, biomedico ed epidemiologico;

3) Finalità di governo: finalità di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria.


Titolarità del FSE

1) Finalità di cura: i soggetti del SSN e dei servizi socio-sanitari regionali che prendono in cura l'assistito, presso cui sono redatti i dati e i documenti sanitari che alimentano il FSE;

2) Finalità di ricerca: le regioni e province autonome e il Ministero della

salute, nei limiti delle rispettive competenze attribuite dalla legge,;

3) Finalità di governo: le regioni e province autonome, il Ministero della salute e il Ministero del lavoro e delle politiche sociali, nei limiti delle rispettive competenze attribuite dalla legge.


Profilo sanitario sintetico (Patient summary)

1) E’ il documento socio-sanitario informatico redatto e aggiornato dal

MMG/PLS, che riassume la storia clinica dell'assistito e la sua situazione corrente conosciuta.

2) La finalità del profilo sanitario sintetico è di favorire la continuità di cura, permettendo un rapido inquadramento dell'assistito al momento di un contatto con il SSN.

3) I dati essenziali che compongono il profilo sanitario sintetico sono quelli individuati nel disciplinare tecnico allegato che costituisce parte integrante del presente decreto, di seguito denominato disciplinare tecnico.


Taccuino personale dell’assistito

1) Il taccuino personale dell'assistito è una sezione riservata del FSE all'interno della quale è permesso all'assistito di inserire dati e documenti personali relativi ai propri percorsi di cura, anche effettuati presso strutture al di fuori del SSN.

2) I dati e i documenti inseriti nel taccuino personale dell'assistito sono

informazioni non certificate dal SSN e devono essere distinguibili da quelli inseriti dai soggetti di cui all'articolo 12.


Informativa, Consenso, Diritti

1) Informativa: art. 13 del Codice Privacy (deve contenere: definizione FSE, finalità, modalità, indicazione della necessità di consenso specifico, Titolare, responsabile, incaricati, consultazione senza consenso in caso di salvaguardia della salute di un terzo o della collettività ai sesni art. 76 Codice Privacy)

2) Consenso: libero e informato

3) Diritti di accesso: Art. 7 Codice Privacy

4) L’assistito accede al proprio FSE in forma protetta e riservata.


Regole tecniche e misure di sicurezza FSE

1) Accesso ai soli soggetti abilitati 2) Adozione di misure di sicurezza

3) Organizzazione di apposite sessioni di formazione anche

con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento, all'accessibilità delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati.


Violazione dati personali (Data Breach)

In caso di violazioni di dati contenuti nel FSE, obbligo di segnalazione al Garante per la protezione dei dati personali, entro una settimana dal verificarsi dell'evento


Altre disposizioni

1) FSE alimentato da operatori del SSN e dei servizi socio sanitari nazionali;

2) Facoltà dell’assistito di oscurare alcuni dati; garantendo la consultabilità esclusivamente all'assistito e ai titolari che li hanno generati. L'assistito può revocare nel tempo l'oscuramento.

3) L'oscuramento di dati e documenti sanitari e socio-sanitari avviene con modalità tali da garantire che tutti i soggetti abilitati all'accesso al FSE per le finalità di cura non possano venire automaticamente a conoscenza del fatto che l'assistito ha effettuato tale scelta e che tali dati esistano (oscuramento dell’oscuramento).


Altre disposizioni (segue)

4) Diritto dell’assistito di ottenere l’integrazione, la rettifica e

l’aggiornamento dei propri dati;

5) Diritto dell’assistito di sapere chi ha consultato elettronicamente i suoi dati, il che impone l’adeguamento dei sistemi informatici sanitari con strumenti di «Audit Log» per il controllo degli accessi e per il rilevamento di eventuali anomalie;


Altre disposizioni (segue)

5) FSE alimentato solo con il consenso dell’interessato, revocabile in ogni momento e non condizione indispensabile per ricevere cure;

6) Consenso esplicito per informazioni protette dal diritto all’anonimato (ad es. sieropositività, tossicodipendenze);

7) In mancanza di consenso dell’interessato, diritto di cura ma con il rischio derivante dalla mancata conoscenza del personale sanitario di informazioni che lo riguardano.


Provvedimento Garante 04/06/15, n. 311

«Linee guida in materia di Dossier sanitario»


Definizione Dossier Sanitario

Il Dossier Sanitario Elettronico (DSE) è lo strumento costituito presso un'unica struttura sanitaria (un ospedale, un'azienda sanitaria, una casa di cura), che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. Si differenzia dal Fascicolo Sanitario Elettronico (FSE) in cui invece confluisce l'intera storia clinica di una persona generata da più strutture sanitarie.


L’informativa al Dossier

Il trattamento dei dati personali effettuato mediante il dossier sanitario necessita di una specifica informativa che contenga tutti gli elementi previsti dall’art. 13 del Codice. Per consentire al paziente di scegliere in maniera libera e consapevole, la struttura dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere.


Il consenso al Dossier

1) All’interessato è consentito di scegliere se far costituire o meno il

dossier sanitario. La mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste;

2) Il consenso al dossier, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico;

3) In caso di incapacità di agire dell’interessato deve essere acquisito il consenso di chi esercita la potestà legale su di esso;


Il consenso (segue)

4) In caso di minori, raggiunta la maggiore età, deve essere acquisito, al primo contatto utile, nuovamente il consenso informato dell’interessato divenuto maggiorenne;

5) Una volta prestato il consenso, il dossier sanitario sarà a disposizione

da parte di tutti gli operatori sanitari che, nel corso del tempo, prenderanno il cura del paziente, senza che quest’ultimo debba manifestare tale volontà ogni volta che accede per vari motivi alla struttura sanitaria;

6) Una volta prestato il consenso, il dossier sanitario potrà essere

consultato se indispensabile per la salvaguardia della salute di un terzo o della collettività.


7) Se il paziente non acconsente ad aprire il dossier sanitario, il professionista che lo prende in cura avrà a disposizione solo le informazioni rese in quel momento dallo stesso interessato e quelle relative alle precedenti prestazioni erogate dallo stesso professionista;

8) Per poter inserire nel dossier informazioni particolarmente delicate

(infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico.

Il consenso (segue)


Qualora l’interessato abbia acconsentito al trattamento dei suoi dati personali mediante il dossier sanitario, questo potrà essere consultato, nel rispetto dell'Autorizzazione generale del Garante, qualora ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività.

Prestazioni in emergenza


Esercizio dei diritti

1) La struttura sanitaria deve garantire al paziente l'esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la conoscenza del reparto, della data e dell'orario in cui è avvenuta la consultazione del suo dossier;

2) Al paziente deve essere garantita anche la possibilità di "oscurare"

alcuni dati o documenti sanitari che non intende far confluire nel dossier.


Misure di sicurezza

1) I dati sulla salute dovranno essere separati dagli altri dati personali e dovranno essere individuati criteri per la cifratura dei dati sensibili;

2) L'accesso al dossier sarà consentito solo al personale sanitario

coinvolto nella cura. Il titolare del trattamento deve adottare idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli nonché delle concrete esigenze di accesso ai dossier da parte del personale sanitario e amministrativo;

3) Ogni accesso e ogni operazione effettuata, anche la semplice

consultazione, dovrà essere tracciato e registrato automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.


Data Breach

Eventuali violazioni di dati o incidenti informatici dovranno essere comunicati all'Autorità, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo predisposto dal Garante all'indirizzo: [email protected]


Data Protection Officer (referente per la protezione dati)

In sintonia con quanto espresso nel decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico, in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO - data protection officer), anche in relazione ai casi di data breach.


Grazie per l’attenzione.

PRIVACY e SANITA FSE, DSE e Ultime novità normative · 2015. 12. 3. · Agli incaricati sono

Documents

Transcript of PRIVACY e SANITA FSE, DSE e Ultime novità normative · 2015. 12. 3. · Agli incaricati sono