CORSO DI FORMAZIONE - Azienda Sanitaria Locale n° 2 … · 4 - Che cos'è una banca dati ? ... dei...

FILOMENA POLITO

CORSO DI FORMAZIONE

"La Privacy in ambito sanitario”

Documentazione di supporto

a cura di

FILOMENA POLITO

FILOMENA POLITO 1

Presentazione

Dal 1° gennaio 2004 è in vigore il cd “Codice sulla Privacy”

(D.lgs196/2003), testo organico e integrato di tutte le disposizioni emanate

dal 1996 in poi in materia di protezione dei dati personali.

Quello sanitario è senz’altro uno dei settori più delicati tra quelli chiamati a

misurarsi con le complesse problematiche applicative poste dalla normativa.

L’idea della privacy quale elemento fondante nel processo di

miglioramento della qualità della prestazione sanitaria erogata deve infatti

necessariamente confrontarsi, con la complessità organizzativa del sistema

erogatore.

Solo una nuova cultura che valuti la privacy come un valore comune a

tutti coloro che operano all’interno di quel sistema può garantire effettività

alle previsioni di legge e alla tutela della dignità dell’assistito in ogni

momento del percorso assistenziale.

Allo scopo di contribuire a sensibilizzare maggiormente verso il rispetto

della riservatezza tutti gli operatori sanitari,di seguito si riporta un contributo

di documenti sullo specifico tema.

Con l’augurio di un buon lavoro

Dr.ssa Filomena Polito

11

FILOMENA POLITO

Sommario

-Il Codice della Privacy

-ABC Privacy

-Provvedimento dell’Autorità Garante del 22 Novembre 2005

-Estratto del Decreto Legislativo 196/03

-Sanzioni per inosservanza della Legge Privacy

-Le regole della password

-“Il Referente Aziendale per la Privacy:una nuova professionalità ad alta specializzazione.”

-“Il trattamento dei dati personali e sensibili:personale preposto,Censimento e Notificazione,trattamento dati in ambito sanitario” -“Informativa e consenso del trattamento dei dati personali e sensibili:diritti dell’Interessato”

-“Il Referente Aziendale Privacy, un Privacy Manager a misura di Azienda Sanitaria”

FILOMENA POLITO

Il Codice della Privacy Qui di seguito un breve riassunto delle disposizioni del Decreto Legislativo n.196/2003 (noto anche come"Codice in materia di protezione dei dati personali","Codice privacy"o “Testo Unico Privacy”) che ha abrogato la Legge n.675/1996.

1 - Quali finalità si propone il Codice?

Le norme del Codice della privacy, in aderenza alla disciplina dell'Unione Europea, assicurano che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali (tutelati, in generale, dalla Costituzione della Repubblica), nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale.

2- Che cos'è il trattamento dei dati personali ?

Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di un elaboratore elettronico o di un procedimento comunque automatizzato, che riguarda , ad esempio , le operazioni di:

-raccolta dei dati, -registrazione, -organizzazione, -conservazione, -elaborazione, -blocco, -modificazione, -utilizzo, -interconnessione, -comunicazione, -diffusione, -cancellazione, -distruzione, -selezione, -estrazione, -raffronto.

3- Quali sono i dati personali ?

I dati personali sono tutte le informazioni relative a persone fisiche o giuridiche, oppure ad enti e associazioni, che consentano l'identificazione diretta o indiretta di questi stessi soggetti.

Ad esempio, sono dati personali rientranti nelle previsioni del Codice, oltre ai dati anagrafici ed economici, anche le immagini, i suoni e i codici identificativi riconducibili a una persona.

Esiste, inoltre, una categoria di dati - i cosiddetti dati sensibili – che riguardano la sfera personalissima della persona (informazioni sulle opinioni religiose o politiche, sulle abitudini sessuali,sulla salute, etc.), per i quali la legge prevede una tutela più forte rispetto agli altri.

FILOMENA POLITO 4 - Che cos'è una banca dati ?

Una banca dati è un insieme di informazioni personali, raccolte e conservate in una o più unità di supporto, dislocate in uno o più siti, organizzata secondo una pluralità di criteri determinati, tali da facilitarne il trattamento.

5 - Quali sono i soggetti del trattamento ?

Il Titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali, ivi compresa la sicurezza dei dati.

Il Responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

L'Incaricato: la persona fisica che compie le operazioni del trattamento di dati personali, attenendosi alle istruzioni impartite dal Titolare o dal Responsabile.

L'Interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

Il Referente Aziendale della privacy ,che ha il compito di supportare il Titolare, i Responsabili e gli Incaricati del trattamento e di promuovere il rispetto della normativa in materia di riservatezza dei dati.

6 - Qual è l'ambito di applicazione del Codice?

Il Codice si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato.

7 - Quali sono gli obblighi relativi al trattamento ?

I dati personali devono essere:

a. trattati in modo lecito e corretto; b. raccolti e registrati per scopi determinati, espliciti e legittimi; c. esatti e aggiornati; d. pertinenti, completi e non eccedenti rispetto agli scopi per i

quali sono stati raccolti o successivamente usati; e. conservati in una forma che consenta l'identificazione

dell'Interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.

FILOMENA POLITO 8 - Quali informazioni devono essere fornite agli Interessati ? L’ Interessato, o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati per iscritto, circa:

a. le finalità e le modalità del trattamento; b. l'obbligo o la facoltà di conferire i dati; c. le conseguenze giuridiche del rifiuto a rispondere; d. i soggetti a cui i dati possono essere comunicati e l'ambito di

diffusione dei dati personali; e. i diritti spettanti al soggetto interessato; f. identificazione anagrafico-logistica del Titolare , del

Responsabile e degli Incaricati del trattamento.

9 - E' necessario il consenso dell'Interessato per il trattamento dei dati personali ? Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso dell'Interessato, salvo che il trattamento:

a. riguardi dati trattati per adempiere ad obblighi previsti da legge;

b. sia necessario per l'esecuzione di un contratto di cui è parte l'Interessato, o per l’esecuzione di misure precontrattuali adottate su sua richiesta ;

c. riguardi dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque.

10 - Quali sono i diritti dell'Interessato ? Il Codice prevede che, riguardo ai suoi dati personali, l'Interessato abbia diritto:

a. di conoscere l'esistenza di trattamenti che lo riguardino e di essere informato dal Titolare circa le finalità del trattamento;

b. di ottenere dal Titolare l'aggiornamento, la cancellazione, la rettifica dei dati trattati, il blocco o la loro trasformazione in forma anonima se i dati sono usati in difformità di quanto previsto dalla legge;

c. di opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati che lo riguardino.

FILOMENA POLITO 11 - Come possono essere fatti valere i propri diritti dall'Interessato ? L'Interessato può e deve, in primo luogo, agire direttamente nei confronti del Titolare, del Responsabile, o tramite gli Incaricati del trattamento, chiedendo che i suoi diritti, se violati, vengano ripristinati. L'Interessato, dopo aver fatto valere i suoi diritti nei confronti del Titolare del trattamento, in mancanza di soddisfazione della richiesta, può far valere i propri diritti dinanzi all'Autorità giudiziaria o con ricorso al Garante. 12 - Cosa è previsto per i dati sensibili ? I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere trattati soltanto con il consenso scritto dell'interessato e con l'autorizzazione del Garante. Per i soggetti pubblici il trattamento è consentito solo ed esclusivamente se è autorizzato da una legge, che specifichi quali sono i dati trattabili e le operazioni eseguibili, nonché le rilevanti finalità di interesse pubblico che si intendono perseguire. In presenza di una previsione di legge che specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, i soggetti pubblici, con atto di natura regolamentare adottato in conformità col parere espresso dal Garante, devono identificare e rendere pubblici i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi. In tutti i casi, comunque, è necessario fornire all'interessato una completa informativa. 13 - Cosa è previsto per i dati inerenti alla salute ? Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono trattare dati di salute, per finalità di tutela riguardano di terzi o della collettività, in mancanza del consenso dell'interessato,solo previa autorizzazione del Garante. Sono previste modalità specifiche per la raccolta del consenso. E’ in ogni caso vietata la diffusione dei dati inerenti alla salute.

FILOMENA POLITO 14 - Quali sono le garanzie di sicurezza dei dati personali previsti dal Codice? Il Codice individua le misure minime di sicurezza che tutti i titolari del trattamento, siano essi soggetti privati o pubblici, devono adottare, pena l’arresto sino a due anni. I dati personali oggetto del trattamento devono essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, nonché di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità di raccolta. A tale scopo devono essere predisposte tutte le idonee misure di sicurezza in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento. Gli eventuali danni subiti dagli interessati sono risarcibili. 15 - Cosa è previsto per la comunicazione e la diffusione dei dati personali ? La comunicazione e la diffusione sono consentite, come il trattamento, solo con il consenso dell’Interessato. 16 - Quali sono le regole per i dati trattati? Il trattamento, la comunicazione e la diffusione di dati personali sono ammessi unicamente per lo svolgimento di funzioni istituzionali, anche in mancanza di una norma di legge che lo preveda espressamente. La comunicazione e la diffusione dei dati è ammessa soltanto se prevista da legge. 17 - Quali sanzioni sono previste ? Il Codice Privacy sanziona penalmente il trattamento illecito di dati personali, la omessa adozione delle misure di sicurezza, nonché l'omessa osservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni al Garante. Sono, inoltre, previste sia sanzioni civili applicabili nel caso di danni materiali e morali conseguenti ad uno scorretto di dati personali che sanzioni amministrative nei casi di omessa o incompleta notificazione del trattamento al Garante, di inosservanza delle richieste del Garante o per l'omessa informativa ai soggetti interessati.

FILOMENA POLITO

ABC

PRIVACY PRIVACY : termine di origine anglosassone che significa riservatezza. LEGGE PRIVACY: Decreto Legislativo 196\03 ARCHIVIO : raccolta di documenti destinati ad essere conservati. BANCA DATI : insieme di informazioni raccolte e conservate per mezzo di archivi cartacei o di sistemi informatici. DATO ANAGRAFICO: dato registrato riguardante l’identificazione o lo stato giuridico di una persona fisica. DATO PERSONALE : qualunque informazione relativa a persona fisica, giuridica, ente od associazione identificati od identificabili anche indirettamente mediante riferimento a qualsiasi altra informazione ,ivi compreso un numero di identificazione personale o un’immagine. DATO SENSIBILE: i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso , filosofico, politico o sindacale , nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale o i dati giudiziari. DIRITTO ALLA RISERVATEZZA: diritto a che non siano divulgate notizie relative alla vita delle persone. GARANTE PER IL TRATTAMENTO DEI DATI : autorità che tutela i cittadini in relazione all'uso da parte di soggetti pubblici e privati dei dati che li riguardano. INCARICATO DEL TRATTAMENTO : operatore addetto all’accesso ed alla gestione dei dati personali e/o sensibili sulla base delle istruzioni impartite dal titolare ed o dal responsabile del trattamento. PASSWORD : parola segreta per accedere alle funzioni di un sistema informatico. PROCEDURA : complesso di regole da seguire in un procedimento. RESPONSABILE DEL TRATTAMENTO: la persona delegati dal titolare al trattamento dei dati personali. RISPETTO DEL SEGRETO PROFESSIONALE E DEL SEGRETO DI UFFICIO : le informazioni conosciute nell’esercizio di una professione o per ragioni del proprio ufficio non devono essere rivelate o poste a conoscenza di terzi, tranne nelle ipotesi previste dalla legge ;la violazione è sanzionata

FILOMENA POLITO penalmente. TITOLARE : la persona cui spettano le decisioni in ordine agli scopi ed ai modi del trattamento di dati personali. TRATTAMENTO DEI DATI PERSONALI : operazione o complesso di operazioni, eseguite anche con l’aiuto di strumenti informatici, che riguardano l’uso di dati personali e/o sensibili. TUTELA: a garanzia della delicata normativa sulla riservatezza dei dati , e per i vari casi , è stata prevista sia la possibilità di un risarcimento dei danni(ma con inversione dell’onere della prova,) sia una tutela penale. SICUREZZA DEI DATI : misure usate per garantire la corretta circolazione e trattamento dei dati. SISTEMA INFORMATIVO : insieme di misure e strumenti per la circolazione telematica di informazioni. Amministratore di sistema- soggetto che sovrintende alle risorse del sistema informatico che contiene i dati e ne autorizza il loro uso Antivirus -programma che neutralizza altri programmi atti a danneggiare o distruggere i dati Back-up- copia di sicurezza dei dati conservati nel disco fisso eseguita periodicamente Cifratura dei dati- programmi usati per rendere il testo di un documento non intelligibile a terzi Codice identificativo personale-insieme di caratteri alfanumerici attribuiti ad un soggetto utilizzato per riconoscere l’identità del titolare Controllo del trattamento- procedure usate per proteggere i dati dai rischi di distruzione e perdita Dati sensibili-dati personali atti a rivelare lo stato di salute e la vita sessuale di un individuo Firewall- sistema per controllare il traffico su Internet che autorizza l’accesso a terzi solo se autorizzati dall’amministratore di sistema Misure minime di sicurezza- misure previste per attivare il livello minimo di protezione richiesto Password – sequenza di lettere o numeri per l’accesso ai dati composto da almeno 8 caratteri Responsabile del trattamento – soggetto preposto dal Titolare al trattamento dei dati personali Restore – sistema informatico per riottenere l’accesso ai dati che sono stati persi o danneggiati User-id – codice identificativo personale Garante - è l'autorità che ha come compito la protezione dei dati personali ed alla quale è attribuita una serie di compiti tra cui anche la possibilità di svolgere controlli sulla correttezza dell’uso dei dati

FILOMENA POLITO Le strutture sanitarie rispettino la dignità delle

persone Il Garante prescrive le regole di condotta per la sanità

Al cittadino che entra in contatto con le strutture sanitarie per diagnosi, cure, prestazioni mediche, operazioni amministrative deve essere garantita la più assoluta riservatezza e il più ampio rispetto dei suoi diritti fondamentali e della sua dignità.

Con un provvedimento generale, adottato il 9 novembre scorso e di cui è stato relatore il Presidente Francesco Pizzetti, il Garante per la protezione dei dati personali ha prescritto ad organismi sanitari pubblici e privati (aziende sanitarie territoriali, aziende ospedaliere, case di cura, osservatori epidemiologici regionali, servizi di prevenzione e sicurezza sul lavoro) una serie di misure da adottare per adeguare il funzionamento e l'organizzazione delle strutture sanitarie a quanto stabilito nel Codice sulla privacy e per assicurare il massimo livello di tutela delle persone.

Tutela della dignità La tutela della dignità della persona deve essere sempre garantita. In particolare, riguardo a fasce deboli (disabili, minori, anziani), ma anche a pazienti sottoposti a trattamenti medici invasivi o per i quali è doverosa una particolare attenzione (es. interruzione della gravidanza). Nei reparti di rianimazione devono essere adottati accorgimenti anche provvisori (es.

paraventi) per delimitare la visibilità dell'interessato, durante l'orario di visita, ai soli familiari e conoscenti.

Riservatezza nei colloqui Quando prescrive medicine o rilascia certificati, il personale sanitario deve evitare che le informazioni sulla salute

dell'interessato possano essere conosciute da terzi. Stesso obbligo per la consegna di documentazione (analisi, cartelle cliniche, prescrizioni etc.) quando questa avvenga in situazioni di promiscuità (es.locali per più prestazioni, sportelli).

Distanze di cortesia Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni)

o al momento dell'acquisizione di informazioni sullo stato di salute, sensibilizzando anche gli utenti con cartelli, segnali ed inviti.

Notizie al pronto soccorso L'organismo sanitario può dare notizia, anche per telefono, sul passaggio o sulla presenza di una persona al pronto soccorso,

ma solo ai terzi legittimati, come (parenti, familiari, conviventi). L'interessato, se cosciente e capace, deve essere preventivamente informato (es. all'accettazione) e poter decidere a quali soggetti può essere comunicata la sua presenza al

pronto soccorso.

Notizie sui reparti Le strutture sanitarie possono dare informazioni sulla presenza dei degenti nei reparti, ma solo a terzi legittimati (familiari,

conoscenti, personale volontario). Anche qui l'interessato, se cosciente e capace, deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza.

Chiamate in sale d'attesa Nei locali di grandi strutture sanitarie i pazienti, in attesa di una prestazione o di documentazione (es. analisi cliniche), non devono essere chiamati per nome. Occorre adottare soluzioni alternative, per esempio attribuendo un codice numerico al

momento della prenotazione o dell'accettazione.

Liste di pazienti Non è giustificata l'affissione di liste di pazienti in attesa di intervento in locali aperti al pubblico, con o senza la descrizione

della patologia sofferta. Non devono essere resi visibili ad estranei documenti sulle condizioni cliniche dell'interessato, come le cartelle infermieristiche poste vicino al letto di degenza.

Informazioni sullo stato di salute Si possono dare informazioni sullo stato di salute a soggetti diversi dall'interessato quando questi abbia manifestato uno

specifico consenso. Tale consenso può essere dato da un familiare in caso di impossibilità fisica o incapacità dell'interessato o, valutato il caso, anche da altre persone legittimate a farlo, come familiari, conviventi o persone in stretta relazione con

l'interessato stesso.

I soggetti terzi che hanno accesso alle strutture sanitarie (es. associazioni di volontariato), per poter conoscere informazioni sulle persone in relazione a prestazioni e cure devono rispettare tutte le regole e le garanzie previste dalle strutture sanitarie per il proprio personale, come ad esempio vincoli di riservatezza, possibilità e modalità di approccio ai degenti.

Ritiro delle analisi I referti diagnostici, i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purché munite di delega scritta e con consegna in busta chiusa.

Roma, 22 novembre 2005

FILOMENA POLITO Estratto

del

Decreto Legislativo 196/03

PARTE I - DISPOSIZIONI GENERALI

Titolo I - PRINCIPI GENERALI

Art. 3. Principio di necessità nel trattamento dei dati 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.

Art. 15. Danni cagionati per effetto del trattamento

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.

CAPO II - REGOLE ULTERIORI PER I SOGGETTI PUBBLICI

Art. 20. Principi applicabili al trattamento di dati sensibili 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.

2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento,

FILOMENA POLITO in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.

3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili.Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.

4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente

Titolo VI – ADEMPIMENTI

Articolo 39 –Obblighi di comunicazione

Il titolare del trattamento è tenuto a comunicare previamente al Garante le seguenti circostanze:

a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione;

b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui all'articolo 110, comma 1, primo periodo.

2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante. 3. La comunicazione di cui al comma 1 è inviata utilizzando il modello predisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per via telematica osservando le modalità di sottoscrizione con firma digitale e conferma del ricevimento di cui all'articolo 38, comma 2, oppure mediante telefax o lettera raccomandata.

FILOMENA POLITO TITOLO V – TRATTAMENTO DI DATI PERSONALI IN AMBITO

SANITARIO

CAPO I - PRINCIPI GENERALI

Art.75. Ambito applicativo 1. Il presente titolo disciplina il trattamento dei dati personali in ambito sanitario.

Art. 76. Esercenti professioni sanitarie e organismi sanitari pubblici 1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute:

a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato;

b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.

2. Nei casi di cui al comma 1 il consenso può essere prestato con le modalità semplificate di cui al capo II. 3. Nei casi di cui al comma 1 l'autorizzazione del Garante è rilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superiore di sanità. CAPO II - MODALITÁ SEMPLIFICATE PER INFORMATIVA E CONSENSO

Art. 77. Casi di semplificazione 1. Il presente capo individua modalità semplificate utilizzabili dai soggetti di cui al comma 2:

a) per informare l'interessato relativamente ai dati personali raccolti presso il medesimo interessato o presso terzi, ai sensi dell'articolo 13, commi 1 e 4;

b) per manifestare il consenso al trattamento dei dati personali nei casi in cui ciò è richiesto ai sensi dell'articolo 76;

c) per il trattamento dei dati personali.

2. Le modalità semplificate di cui al comma 1 sono applicabili:

a) dagli organismi sanitari pubblici;

FILOMENA POLITO b) dagli altri organismi privati e dagli esercenti le professioni sanitarie;

c) dagli altri soggetti pubblici indicati nell'articolo 80.

Art. 78. Informativa del medico di medicina generale o del pediatra 1. Il medico di medicina generale o il pediatra di libera scelta informano l'interessato relativamente al trattamento dei dati personali, in forma chiara e tale da rendere agevolmente comprensibili gli elementi indicati nell'articolo 13, comma 1. 2. L'informativa può essere fornita per il complessivo trattamento dei dati personali necessario per attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico o dal pediatra a tutela della salute o dell'incolumità fisica dell'interessato, su richiesta dello stesso o di cui questi è informato in quanto effettuate nel suo interesse. 3. L'informativa può riguardare, altresì, dati personali eventualmente raccolti presso terzi, ed è fornita preferibilmente per iscritto, anche attraverso carte tascabili con eventuali allegati pieghevoli, includendo almeno gli elementi indicati dal Garante ai sensi dell'articolo 13, comma 3, eventualmente integrati anche oralmente in relazione a particolari caratteristiche del trattamento. 4. L'informativa, se non è diversamente specificato dal medico o dal pediatra, riguarda anche il trattamento di dati correlato a quello effettuato dal medico di medicina generale o dal pediatra di libera scelta, effettuato da un professionista o da altro soggetto, parimenti individuabile in base alla prestazione richiesta, che:

a) sostituisce temporaneamente il medico o il pediatra;

b) fornisce una prestazione specialistica su richiesta del medico e del pediatra;

c) può trattare lecitamente i dati nell'ambito di un'attività professionale prestata in forma associata;

d) fornisce farmaci prescritti;

e) comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.

5. L'informativa resa ai sensi del presente articolo evidenzia analiticamente eventuali trattamenti di dati personali che presentano rischi specifici per i diritti e le libertà fondamentali, nonchè per la dignità dell'interessato, in particolare in caso di trattamenti effettuati:

a) per scopi scientifici, anche di ricerca scientifica e di sperimentazione clinica controllata di medicinali, in conformità alle leggi e ai regolamenti, ponendo in particolare evidenza che il consenso, ove richiesto, è manifestato liberamente;

b) nell'ambito della teleassistenza o telemedicina;

c) per fornire altri beni o servizi all'interessato attraverso una rete di comunicazione elettronica.

FILOMENA POLITO Art. 79. Informativa da parte di organismi sanitari 1. Gli organismi sanitari pubblici e privati possono avvalersi delle modalità semplificate relative all'informativa e al consenso di cui agli articoli 78 e 81 in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed unità dello stesso organismo o di più strutture ospedaliere o territoriali specificamente identificati. 2. Nei casi di cui al comma 1 l'organismo o le strutture annotano l'avvenuta informativa e il consenso con modalità uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità che, anche in tempi diversi, trattano dati relativi al medesimo interessato. 3. Le modalità semplificate di cui agli articoli 78 e 81 possono essere utilizzate in modo omogeneo e coordinato in riferimento all'insieme dei trattamenti di dati personali effettuati nel complesso delle strutture facenti capo alle aziende sanitarie. 4. Sulla base di adeguate misure organizzative in applicazione del comma 3, le modalità semplificate possono essere utilizzate per più trattamenti di dati effettuati nei casi di cui al presente articolo ed ai soggetti di cui all'articolo 80. Art. 80. Informativa da parte di altri soggetti pubblici 1. Oltre a quanto previsto dall'articolo 79, possono avvalersi della facoltà di fornire un'unica informativa per una pluralità di trattamenti di dati effettuati, a fini amministrativi e in tempi diversi, rispetto a dati raccolti presso l'interessato e presso terzi, i competenti servizi o strutture di soggetti pubblici operanti in ambito sanitario o della prevenzione e sicurezza del lavoro. 2. L'informativa di cui al comma 1 è integrata con appositi e idonei cartelli ed avvisi agevolmente visibili al pubblico, affissi e diffusi anche nell'ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica, in particolare per quanto riguarda attività amministrative di rilevante interesse pubblico che non richiedono il consenso degli interessati. Art. 81. Prestazione del consenso 1. Il consenso al trattamento dei dati idonei a rivelare lo stato di salute, nei casi in cui è necessario ai sensi del presente codice o di altra disposizione di legge, può essere manifestato con un'unica dichiarazione, anche oralmente. In tal caso il consenso è documentato, anzichè con atto scritto dell'interessato, con annotazione dell'esercente la professione sanitaria o dell'organismo sanitario pubblico, riferita al trattamento di dati effettuato da uno o più soggetti e all'informativa all'interessato, nei modi indicati negli articoli 78, 79 e 80. 2. Quando il medico o il pediatra fornisce l'informativa per conto di più professionisti ai sensi dell'articolo 78, comma 4, oltre quanto previsto dal comma 1, il consenso è reso conoscibile ai medesimi professionisti con adeguate modalità, anche attraverso menzione, annotazione o apposizione di un bollino o tagliando su una carta elettronica o sulla tessera sanitaria, contenente un richiamo al medesimo articolo 78, comma 4, e alle eventuali diverse specificazioni apposte all'informativa ai sensi del medesimo comma. Art. 82. Emergenze e tutela della salute e dell'incolumità fisica 1. L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente alla prestazione, nel caso di

FILOMENA POLITO emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato un'ordinanza contingibile ed urgente ai sensi dell'articolo 117 del decreto legislativo 31 marzo 1998, n. 112. 2. L'informativa e il consenso al trattamento dei dati personali possono altresì intervenire senza ritardo, successivamente alla prestazione, in caso di:

a) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato, quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato;

b) rischio grave, imminente ed irreparabile per la salute o dell'interessato.

3. L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dall'acquisizione preventiva del consenso, in termini di tempestività o efficacia. 4. Dopo il raggiungimento della maggiore età l'informativa è fornita all'interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando questo è necessario. Art. 83. Altre misure per il rispetto dei diritti degli interessati 1. I soggetti di cui agli articoli 78, 79 e 80 adottano idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonchè del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza. 2. Le misure di cui al comma 1 comprendono, in particolare:

a) soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad adempimenti amministrativi preceduti da un periodo di attesa all'interno di strutture, un ordine di precedenza e di chiamata degli interessati prescindendo dalla loro individuazione nominativa;

b) l'istituzione di appropriate distanze di cortesia, tenendo conto dell'eventuale uso di apparati vocali o di barriere;

c) soluzioni tali da prevenire, durante colloqui, l'indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute;

d) cautele volte ad evitare che le prestazioni sanitarie, ivi compresa l'eventuale documentazione di anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti;

e) il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;

f) la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa essere data correttamente notizia o conferma anche telefonica, ai soli terzi legittimati, di una prestazione di pronto soccorso;

FILOMENA POLITO g) la formale previsione, in conformità agli ordinamenti interni delle strutture ospedaliere e territoriali, di adeguate modalità per informare i terzi legittimati in occasione di visite sulla dislocazione degli interessati nell'ambito dei reparti, informandone previamente gli interessati e rispettando eventuali loro contrarie manifestazioni legittime di volontà;

h) la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute;

i) la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

Art. 84. Comunicazione di dati all'interessato 1. I dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato o ai soggetti di cui all'articolo 82, comma 2, lettera a), da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato dall'interessato o dal titolare. Il presente comma non si applica in riferimento ai dati personali forniti in precedenza dal medesimo interessato. 2. Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici, che nell'esercizio dei propri compiti intrattengono rapporti diretti coni pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all'interessato o ai soggetti di cui all'articolo 82, comma 2, lettera a). L'atto di incarico individua appropriate modalità e cautele rapportate al contesto nel quale è effettuato il trattamento di dati.

CAPO III - FINALITÁ DI RILEVANTE INTERESSE PUBBLICO

Art. 85. Compiti del Servizio sanitario nazionale 1. Fuori dei casi di cui al comma 2, si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità che rientrano nei compiti del Servizio sanitario nazionale e degli altri organismi sanitari pubblici relative alle seguenti attività:

a) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa l'assistenza degli stranieri in Italia e dei cittadini italiani all'estero, nonchè di assistenza sanitaria erogata al personale navigante ed aeroportuale;

b) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria;

c) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;

FILOMENA POLITO d) attività certificatorie;

e) l'applicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute della popolazione;

f) le attività amministrative correlate ai trapianti d'organo e di tessuti, nonchè alle trasfusioni di sangue umano, anche in applicazione della legge 4 maggio 1990, n. 107;

g) instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario nazionale.

2. Il comma 1 non si applica ai trattamenti di dati idonei a rivelare lo stato di salute effettuati da esercenti le professioni sanitarie o da organismi sanitari pubblici per finalità di tutela della salute o dell'incolumità fisica dell'interessato, di un terzo o della collettività, per i quali si osservano le disposizioni relative al consenso dell'interessato o all'autorizzazione del Garante ai sensi dell'articolo 76. 3. All'identificazione dei tipi di dati idonei a rivelare lo stato di salute e di operazioni su essi eseguibili è assicurata ampia pubblicità, anche tramite affissione di una copia o di una guida illustrativa presso ciascuna azienda sanitaria e presso gli studi dei medici di medicina generale e dei pediatri di libera scelta. 4. Il trattamento di dati identificativi dell'interessato è lecito da parte dei soli soggetti che perseguono direttamente le finalità di cui al comma 1. L'utilizzazione delle diverse tipologie di dati è consentita ai soli incaricati, preposti, caso per caso, alle specifiche fasi delle attività di cui al medesimo comma, secondo il principio dell'indispensabilità dei dati di volta in volta trattati. Art. 86. Altre finalità di rilevante interesse pubblico 1. Fuori dei casi di cui agli articoli 76 e 85, si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità, perseguite mediante trattamento di dati sensibili e giudiziari, relative alle attività amministrative correlate all'applicazione della disciplina in materia di:

a) tutela sociale della maternità e di interruzione volontaria della gravidanza, con particolare riferimento a quelle svolte per la gestione di consultori familiari e istituzioni analoghe, per l'informazione, la cura e la degenza delle madri, nonchè per gli interventi di interruzione della gravidanza;

b) stupefacenti e sostanze psicotrope, con particolare riferimento a quelle svolte al fine di assicurare, anche avvalendosi di enti ed associazioni senza fine di lucro, i servizi pubblici necessari per l'assistenza socio-sanitaria ai tossicodipendenti, gli interventi anche di tipo preventivo previsti dalle leggi e l'applicazione delle misure amministrative previste;

c) assistenza, integrazione sociale e diritti delle persone handicappate effettuati, in particolare, al fine di:

FILOMENA POLITO 1) accertare l'handicap ed assicurare la funzionalità dei servizi terapeutici e riabilitativi, di aiuto personale e familiare, nonchè interventi economici integrativi ed altre agevolazioni;

2) curare l'integrazione sociale, l'educazione, l'istruzione e l'informazione alla famiglia del portatore di handicap, nonchè il collocamento obbligatorio nei casi previsti dalla legge;

3) realizzare comunita-alloggio e centri socio riabilitativi;

4) curare la tenuta degli albi degli enti e delle associazioni ed organizzazioni di volontariato impegnati nel settore.

2. Ai trattamenti di cui al presente articolo si applicano le disposizioni di cui all'articolo 85, comma 4.

CAPO IV - PRESCRIZIONI MEDICHE Art. 87. Medicinali a carico del Servizio sanitario nazionale 1. Le ricette relative a prescrizioni di medicinali a carico, anche parziale, del Servizio sanitario nazionale sono redatte secondo il modello di cui al comma 2, conformato in modo da permettere di risalire all'identità dell'interessato solo in caso di necessità connesse al controllo della correttezza della prescrizione, ovvero a fini di verifiche amministrative o per scopi epidemiologici e di ricerca, nel rispetto delle norme deontologiche applicabili. 2. Il modello cartaceo per le ricette di medicinali relative a prescrizioni di medicinali a carico, anche parziale, del Servizio sanitario nazionale, di cui agli allegati 1, 3, 5 e 6 del decreto del Ministro della sanità 11 luglio 1988, n. 350, e al capitolo 2, paragrafo 2.2.2. del relativo disciplinare tecnico, è integrato da un tagliando predisposto su carta o con tecnica di tipo copiativo e unito ai bordi delle zone indicate nel comma 3. 3. Il tagliando di cui al comma 2 è apposto sulle zone del modello predisposte per l'indicazione delle generalità e dell'indirizzo dell'assistito, in modo da consentirne la visione solo per effetto di una momentanea separazione del tagliando medesimo che risulti necessaria ai sensi dei commi 4 e 5. 4. Il tagliando può essere momentaneamente separato dal modello di ricetta, e successivamente riunito allo stesso, quando il farmacista lo ritiene indispensabile, mediante sottoscrizione apposta sul tagliando, per una effettiva necessità connessa al controllo della correttezza della prescrizione, anche per quanto riguarda la corretta fornitura del farmaco. 5. Il tagliando può essere momentaneamente separato nei modi di cui al comma 3 anche presso i competenti organi per fini di verifica amministrativa sulla correttezza della prescrizione, o da parte di soggetti legittimati a svolgere indagini epidemiologiche o di ricerca in conformità alla legge, quando è indispensabile per il perseguimento delle rispettive finalità. 6. Con decreto del Ministro della salute, sentito il Garante, può essere individuata una ulteriore soluzione tecnica diversa da quella indicata nel comma 1, basata sull'uso di una fascetta adesiva o su altra tecnica equipollente relativa anche a modelli non cartacei.

FILOMENA POLITO Art. 88. Medicinali non a carico del Servizio sanitario nazionale 1. Nelle prescrizioni cartacee di medicinali soggetti a prescrizione ripetibile non a carico, anche parziale, del Servizio sanitario nazionale, le generalità dell'interessato non sono indicate. 2. Nei casi di cui al comma 1 il medico può indicare le generalità dell'interessato solo se ritiene indispensabile permettere di risalire alla sua identità, per un'effettiva necessità derivante dalle particolari condizioni del medesimo interessato o da una speciale modalità di preparazione o di utilizzazione. Art. 89. Casi particolari 1. Le disposizioni del presente capo non precludono l'applicazione di disposizioni normative che prevedono il rilascio di ricette che non identificano l'interessato o recanti particolari annotazioni, contenute anche nel decreto legge 17 febbraio 1998, n. 23, convertito, con modificazioni, dalla legge 8 aprile 1998, n. 94. 2. Nei casi in cui deve essere accertata l'identità dell'interessato ai sensi del testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza, approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, e successive modificazioni, le ricette sono conservate separatamente da ogni altro documento che non ne richiede l'utilizzo. 2bis. Per i MMG e PLS l’attuazione delle disposizioni di cui all’art.87, comma 3 e art.88, comma 1, è subordinata ad un’esplicita richiesta dell’interessato.

CAPO VI - DISPOSIZIONI VARIE

Art. 92. Cartelle cliniche 1. Nei casi in cui organismi sanitari pubblici e privati redigono e conservano una cartella clinica in conformità alla disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri. 2. Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall'interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità:

a) di far valere o difendere un diritto in sede giudiziaria ai sensi dell'articolo 26, comma 4, lettera c), di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;

b) di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.

FILOMENA POLITO Art. 93. Certificato di assistenza al parto 1. Ai fini della dichiarazione di nascita il certificato di assistenza al parto è sempre sostituito da una semplice attestazione contenente i soli dati richiesti nei registri di nascita. Si osservano, altresì, le disposizioni dell'articolo 109. 2. Il certificato di assistenza al parto o la cartella clinica, ove comprensivi dei dati personali che rendono identificabile la madre che abbia dichiarato di non voler essere nominata avvalendosi della facoltà di cui all'articolo 30, comma 1, del decreto del Presidente della Repubblica 3 novembre 2000, n. 396, possono essere rilasciati in copia integrale a chi vi abbia interesse, in conformità alla legge, decorsi cento anni dalla formazione del documento. 3. Durante il periodo di cui al comma 2 la richiesta di accesso al certificato o alla cartella può essere accolta relativamente ai dati relativi alla madre che abbia dichiarato di non voler essere nominata, osservando le opportune cautele per evitare che quest'ultima sia identificabile.

CAPO III - TRATTAMENTO PER SCOPI STATISTICI O SCIENTIFICI

Art. 110. Ricerca medica, biomedica ed epidemiologica 1. Il consenso dell'interessato per il trattamento dei dati idonei a rivelare lo stato di salute, finalizzato a scopi di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è prevista da un'espressa disposizione di legge che prevede specificamente il trattamento, ovvero rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12 bis del decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni, e per il quale sono decorsi quarantacinque giorni dalla comunicazione al Garante ai sensi dell'articolo 39. Il consenso non è inoltre necessario quando a causa di particolari ragioni non è possibile informare gli interessati e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale ed è autorizzato dal Garante anche ai sensi dell'articolo 40.

2. In caso di esercizio dei diritti dell'interessato ai sensi dell'articolo 7 nei riguardi dei trattamenti di cui al comma 1, l'aggiornamento, la rettificazione e l'integrazione dei dati sono annotati senza modificare questi ultimi, quando il risultato di tali operazioni non produce effetti significativi sul risultato della ricerca.

FILOMENA POLITO PARTE III - TUTELA DELL'INTERESSATO E SANZIONI

TITOLO I - TUTELA AMMINISTRATIVA E GIURISDIZIONALE

CAPO I - TUTELA DINANZI AL GARANTE

SEZIONE I - PRINCIPI GENERALI

Art. 141. Forme di tutela 1. L'interessato può rivolgersi al Garante:

a) mediante reclamo circostanziato nei modi previsti dall'articolo142, per rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali;

b) mediante segnalazione, se non è possibile presentare un reclamo circostanziato ai sensi della lettera a), al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima;

c) mediante ricorso, se intende far valere gli specifici diritti di cui all'articolo 7 secondo le modalità e per conseguire gli effetti previsti nella sezione III del presente capo.

TITOLO III - SANZIONI

CAPO I - VIOLAZIONI AMMINISTRATIVE

Art. 161. Omessa o inidonea informativa all'interessato 1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

Art. 162. Altre fattispecie 1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da cinquemila euro a trentamila euro.

2. La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro.

FILOMENA POLITO

Art. 163. Omessa o incompleta notificazione 1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.

Art. 164. Omessa informazione o esibizione al Garante 1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattro mila euro.

Art. 165. Pubblicazione del provvedimento del Garante 1. Nei casi di cui agli articoli 161, 162 e 164 può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.

Art. 166. Procedimento di applicazione 1. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all'articolo 179, comma 3, è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'articolo 156, comma 10, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli articoli 154, comma 1, lettera h), e 158.

FILOMENA POLITO D. lgs 196/2003 Sanzioni

SANZIONI PER INOSSERVANZA DELLA Legge Privacy

Sanzioni amministrative

Violazione Omessa o inidonea informativa per trattamenti che contengono dati sensibili

Articolo Art. 161 del Decreto Legislativo 196/03

Sanzione Sanzione amministrativa pecuniaria da € 5.000 a € 30.000 nei casi di dati

sensibili o giudiziari o di trattamenti che presentano rischi specifici o,

comunque, di maggiore rilevanza del pregiudizio per uno o più interessati.

La somma può essere aumentata sino al triplo quando risulta inefficace in

ragione delle condizioni economiche dei contravventori.

Può essere applicata anche la sanzione amministrativa accessoria della

pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o

più giornali indicati nel provvedimento del Garante che la applica

Violazione Cessione illegittima di dati


FILOMENA POLITO

Sanzione Sanzione amministrativa pecuniaria da € 5.000 a € 30.000 nel caso in cui la

cessione di dati sia destinata ad un trattamento non compatibile agli scopi per

i quali i dati sono stati raccolti (art. 16, c. 1, lett. b).




Violazione Violazione delle prescrizioni in ordine alla comunicazione di dati in ambito

sanitario


Sanzione Sanzione amministrativa pecuniaria da € 500 a € 3.000 nel caso in cui i dati

personali, idonei a rivelare lo stato di salute, siano resi noti all'interessato, da

parte degli esercenti le professioni sanitarie ed organismi sanitari, tramite

persona diversa dal medico designato dall'interessato o dal titolare.




Violazione Omessa o incompleta notificazione


Sanzione Sanzione amministrativa pecuniaria da € 10.000 a € 60.000 qualora il

soggetto che, essendovi tenuto, non provvede tempestivamente ovvero

indica notizie incomplete nella notificazione.




FILOMENA POLITO

Violazione Omessa informazione o esibizione di documenti al

Garante


Sanzione Sanzione amministrativa pecuniaria da € 4.000 a €

24.000 in caso di omissione di informazioni o di

esibizione di documenti richiesti dal Garante ai

sensi dell'art. 150, c. 2 (richiesta di informazioni a

seguito di ricorso) e dell'art. 157 (richiesta di

informazioni ed esibizione di documenti per

l'espletamento dei propri compiti).

Può essere applicata anche la sanzione

amministrativa accessoria della pubblicazione

dell'ordinanza-ingiunzione, per intero o per estratto,

in uno o più giornali indicati nel provvedimento del

Garante che la applica

Sanzioni penali

Violazione Trattamento di dati senza il prescritto consenso (art. 23)


Sanzione Reclusione da 6 a 18 mesi se dal fatto deriva un danno.

Reclusione da 6 a 24 mesi se il trattamento è effettuato in violazione delle

regole sulla comunicazione e diffusione di dati.

FILOMENA POLITO

Violazione Trattamenti dei dati relativi al traffico da parte dei gestori di servizi di

comunicazione elettronica (art. 123)





Violazione Trattamento dei dati relativi all'ubicazione da parte dei gestori di servizi di

comunicazione elettronica (art. 126)





Violazione Violazione delle regole in materia di comunicazioni indesiderate da parte dei

gestori di servizi di comunicazione elettronica (art. 130)





Violazione Violazione delle regole relative a trattamenti che presentano rischi

specifici (art. 17)


FILOMENA POLITO

Sanzione Reclusione da 1 a 3 anni se dal fatto deriva un danno.

Violazione Violazione delle regole relative a trattamenti di dati sensibili e giudiziari da

parte di soggetti pubblici (artt. 20; 21; 22, c. 8 e 11)



Violazione Violazione dei divieti di comunicazione e diffusione dei dati (art. 25)



Il divieto di comunicazione e diffusione è previsto, oltre che nel caso di

disposizione da parte del Garante, anche in riferimento a dati personali per i

quali è stata disposta la cancellazione ovvero sia decorso il tempo stabilito

per gli scopi della raccolta, o per finalità diverse da quelle indicate nella

notificazione ove prescritta.

Violazione Violazione dei divieti di trasferimento di dati all'estero (art.

45)



Il trasferimento, anche temporaneo, di dati all'estero in

Paese extracomunitario è vietato quando l'ordinamento del

Paese di destinazione o di transito dei dati non assicura un

livello di tutela delle persone adeguato. A tal fine sono

valutate anche le modalità del trasferimento e dei trattamenti

previsti, le relative finalità, la natura dei dati e le misure di

sicurezza.

FILOMENA POLITO

Violazione Falsità nelle dichiarazioni e notificazioni al Garante


Sanzione Reclusione da 6 mesi a 3 anni se dal fatto deriva un danno nel caso in cui

chiunque, nella notificazione o in comunicazioni, atti, documenti o

dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso

di accertamenti, dichiara o attesta falsamente notizie o circostanze o

produce atti o documenti falsi.

Violazione Omessa adozione delle misure di sicurezza


Sanzione Arresto sino a 2 anni o ammenda da € 10.000 a € 50.000.

All'autore del reato all'atto dell'accertamento o, nei casi complessi, anche con

successivo atto del Garante, è impartita una prescrizione fissando un termine

per la regolarizzazione non eccedente il periodo di tempo tecnicamente

necessario, prorogabile in caso di particolare complessità o per la oggettiva

difficoltà dell'adempimento e comunque non superiore a 6 mesi. Nei 60 giorni

successivi allo scadere del termine, se risulta l'adempimento alla prescrizione

l'autore del reato è ammesso dal Garante a pagare una somma pari a 1/4 del

massimo dell'ammenda stabilita per la contravvenzione (€ 12.500).

L'adempimento e il pagamento estinguono il reato.

Violazione Inosservanza dei provvedimenti del Garante


Sanzione Reclusione da 3 mesi a 2 anni.

Violazione Inosservanza delle disposizioni dello Statuto dei lavoratori (artt. 113 e 114)


Sanzione L'inosservanza delle disposizioni di cui all'art. 8 e all'art. 4 dello Statuto

FILOMENA POLITO

(indagine sulle opinioni e controllo a distanza dei prestatori di lavoro) è punita

con le sanzioni previste dall'art. 38 del medesimo Statuto (ammenda da €

51,65 a € 516,50 o arresto da 15 giorni a 1 anno).

FILOMENA POLITO LE REGOLE DELLA PASSWORD Di seguito dieci semplici regole per poter gestire con sicurezza la password del vostro computer: 1. Evitare PASSWORD troppo corte; nella maggior parte dei sistemi vengono accettate

parole della lunghezza di 10 caratteri, quindi creiamo PASSWORD di almeno 8 caratteri.

2. Evitare PASSWORD contenenti: nomi di parenti (figli, mariti, nipoti, cugini, animali di casa,....), soprannomi e parole troppo usuali (ciccio, stella, pulcino, amore, ect), codici fiscali. Possono essere facilmente scoperte, soprattutto dalle persone che vi conoscono.

3. Evitare PASSWORD contenenti numeri quali: date di nascita, di matrimonio, di anniversari, di eventi particolari. Anche questo tipo di PASSWORD puo’ essere facilmente scoperta, dalle persone che vi conoscono.

4. Evitare PASSWORD contenenti, piu’ di una volta, lo stesso numero o lo stesso carattere, ad esempio MAMMA, 09-09-99, GIALLO, CECCO, etc.

5. Utilizzare nella composizione della PASSWORD caratteri alfabetici MAIUSCOLI e minuscoli, la stessa lettera difatti viene codificata dal sistema in modo diverso.

6. Cercare di comporre la PASSWORD con ogni tipo simbolo che la tastiera mette a disposizione; ad esempio utilizzando i caratteri (a, b, c, d, e, ect.), con numeri (1, 2, 3, 4, ect) ed i simboli particolari (&, %, $, £, ”, !, /, ?, ^, ù, §, *, ect).

7. Cercare di comporre la PASSWORD prendendo spunto da cose facilmente ricordabili: ad esempio utilizzare le iniziali o le prime lettere, delle parole di una canzone, di una filastrocca, di un proverbio, di una frase celebre, delle persone care. Aggiungendo un numero o simbolo particolare.

8. Non tenete la PASSWORD scritta nelle “vicinanze” del computer, in questi casi e’ inutile averla messa. Sembra un’osservazione banale, ma spesso alcuni utenti che temono di scordarla l’appuntano ingenuamente, e loro malgrado diventa di dominio pubblico.

9. Non utilizzare la stessa PASSWORD per accedere a sistemi diversi, ad esempio e’ sbagliato utilizzare la stessa PASSWORD per accedere a WINDOWS, alla rete NOVELL, al RISC, e all’AS400. In questo caso difatti, se viene scoperta la vostra PASSWORD sara’ possibile accedere a tutte le informazioni da voi gestite.

10.Cambiare la PASSWORD almeno una volta al mese. Ovviamente la frequenza di tale operazione, dipende dall’utilizzo del computer e dal numero di persone che possono accedere fisicamente alla vostra postazione. Ricordiamo che ci sono uffici piu’ o meno frequentati sia da personale interno che esterno, entrambe le categorie, possono, anche in buona fede, recar danno o violare la privacy, accedendo alle informazioni voi gestite.

Un’ultima raccomandazione: la password deve servire per impedire l’accesso ai vostri dati, ma voi dovete continuare ad accedervi, quindi non dimenticatela!

FILOMENA POLITO La prevenzione contro i virus informatici Essere totalmente certi che un virus informatico non colpirà mai i vostri computer è impossibile, ma fare in modo che il malaugurato evento abbia poche possibilità di verificarsi e, nello "sfortunato" caso si verifichi, comprometta poco o nulla il vostro lavoro è un risultato ottenibile seguendo poche e chiare regole: • Eliminate sempre le e-mail che hanno come allegato i seguenti tipi di file:

o EXE o COM o VBS o PIF

• Impostate la protezione da Macro ad "Elevata" (in Word 2000: Strumenti - Macro - Protezione); in tal caso se un documento allegato ad una e-mail contiene una macro il programma vi avvisa: a questo punto cliccate su "Disattiva Macro", finché non siete certi, dopo aver fatto esaminare il documento ad un antivirus aggiornato, che non contiene un virus.

• Non installate mai sul proprio computer programmi passati da amici e conoscenti specialmente su floppy disk; loro potrebbero essere in perfetta buona fede e non sapere che i dischi contengono anche virus informatici; se proprio volete farlo controllate prima i dischetti con un programma antivirus.

• Se riutilizzate vecchi floppy formattateli sempre con la formattazione completa o usando l'opzione /U del comando Format.

• Non prestate mai a nessuno dei floppy disk di dati e programmi che utilizzate o che potrebbero servirvi per effettuare installazioni, piuttosto fatene una copia.

• Effettuate sempre il salvataggio dei dati (backup) con cadenza adeguata almeno mensile; con i dati salvati ed i dischi programmi intatti, anche in caso di disastro non imputabile a virus (vi si rompe l'hard disk) sarete in grado di ripristinare il contenuto del vostro computer.

FILOMENA POLITO Filomena Polito

Responsabile Ufficio Privacy e Referente Aziendale per la Privacy dell’Azienda USL 5 di Pisa

“Il Referente Aziendale per la Privacy: una nuova professionalità ad alta specializzazione”

Come anticipato dalla collega della Regione, io mi occupo già da tempo all’interno

dell’Azienda USL 5 di Pisa di applicazione della normativa sulla riservatezza dei dati; sono

quindi il Referente Aziendale per la Privacy di quest’azienda.

Come già detto questa è una figura del tutto nuova rispetto alle previsioni della Legge 675,

un vero e proprio valore aggiunto all’interno di una realtà complessa come quella

dell’azienda sanitaria.

Questo perché ,come ormai risaputo, se l’applicazione delle disposizioni della Legge

675/96 sull’organizzazione di un’azienda risulta comunque essere oneroso, quando

l’applicazione va a riguardare un’Azienda Sanitaria i dubbi ed i problemi si moltiplicano

La Regione Toscana ha quindi ravvisato l’esigenza di un soggetto ad hoc per garantire

un efficace applicazione delle disposizioni sulla privacy parallelamente al maturare della

consapevolezza della non estemporaneità del quadro normativo che ha cominciato a

prendere forma con l’introduzione di una serie di regole in tema di riservatezza dei dati e

delle inevitabili ripercussioni all’interno di qualunque sistema organizzato.

E quali sono i punti fondamentali da rispettare

- Presidiare costantemente le dinamiche ed i processi applicativi della normativa ;

- garantirne l’intima congruenza con le altre disposizioni già varate dal legislatore

in un’ottica di favore per il cittadino,

- permettere che l’applicazione delle disposizioni avvenga nel rispetto della specificità

aziendale e nella massima tutela della particolarità dell’utente,

- cogliere l’occasione perché il rispetto di una norma diventi in realtà un’opportunità per un

vero e proprio salto culturale, per una maggiore qualificazione degli operatori aziendali e

del contesto tutto.

Tutto questo ci porta al Referente Aziendale per la Privacy

Come vada individuato questo professionista all’interno dell’Azienda non è di immediata

percezione perché, da un lato, questo soggetto deve sì avere una preparazione

imprescindibile sul piano della normativa sulla riservatezza dei dati e delle altre

disposizioni che con questa inevitabilmente interagiscono, ma dall’altro deve anche poter

garantire , attraverso la conoscenza dei meccanismi di funzionamento dell’azienda in cui

FILOMENA POLITO opera, la capacità di porsi in relazione e di coinvolgere in modo adeguato i vari livelli di

responsabilità necessariamente coinvolti nelle problematiche della privacy.

Non è un caso che la Regione, si sia deliberatamente astenuta dal fornire indicazioni

puntuali su come le Aziende dovessero procedere al loro interno all’individuazione del

Referente; non si è inteso, in altri termini, privilegiare alcuna professionalità già costituita,

ma si è confidato sulla capacità di ogni singola azienda di individuare un soggetto dotato

della versatilità necessaria a consentire che le norme sulla riservatezza dei dati vadano a

calarsi in una realtà complessa come quella della Azienda sanitaria odierna.

Sappiamo bene come la normativa sulla riservatezza dei dati, nella sua ratio più profonda,

non sia di facile ed immediato impatto e che, generalmente, nelle organizzazioni che con

questa normativa si devono confrontare, prevale la tentazione di concentrarsi

maniacalmente sui singoli adempimenti piuttosto che cercare di rivedere sostanzialmente

il proprio modus operandi.

La figura del Referente Aziendale è pensata per supportare, invece, un salto culturale e di

qualità, necessario per non disperdere le risorse che necessariamente devono essere

impegnate da ogni azienda per rispettare le disposizioni della legge 675 in uno sterile

rispetto formale e non sostanziale delle esigenze dell’utente, qui visto sotto la veste di

interessato, e quindi proprietario delle informazioni gestite dalle Aziende stesse.

Quali sono le direttrici nell’ambito delle quali questo professionista opera?

Innanzitutto all’interno dell’Azienda (questa almeno è la nostra esperienza come USL 5 ma

crediamo che non sia poi così dissimile da quella degli altri colleghi qui presenti) il

Referente Aziendale per la Privacy è stato individuato dalla Direzione Generale, su

proposta della Direzione Amministrativa.

Al referente, in forme e con modalità rimesse all’autonoma determinazione di ciascuna

direzione aziendale, deve essere garantito l’idoneo supporto e la necessaria

collaborazione da parte di tutti gli altri soggetti aziendali allo scopo di assolvere ad una

serie di funzioni sul versante esterno e interno all’azienda:

- supporto al Titolare del trattamento sia nei rapporti tra questi ed il Garante riguardo ai

necessari adempimenti nei confronti di soggetti pubblici e privati derivanti dalla normativa

in materia di privacy

- punto privilegiato di contatto con il livello regionale per quanto riguarda tutte le direttive

afferenti la materia delle riservatezza dei dati e le inevitabili problematiche che da essa

discendono anche in termini di ricadute sugli assetti organizzativi

FILOMENA POLITO - impulso e supporto ai Responsabili del trattamento di dati per la puntuale osservanza

del regolamento aziendale in tema di privacy

- consulenza a livello dell’intera azienda sulle problematiche relative alla privacy

- tenuta ed aggiornamento del Censimento dei Trattamenti almeno semestralmente e

comunque ogni volta si verifichino casi di variazione di taluno degli elementi rilevati

(normativa di riferimento, modalità di trattamento, etc…) o qualora cambi il nominativo del

Responsabile e/o dell’Incaricato,

- inserimento nel Censimento di trattamenti di dati attivati ex-novo e delle eventuali

- cessazioni di trattamenti in essere

- tenuta ed aggiornamento del basamento informativo aziendale , cioè dell’elenco delle

banche dati sia informatizzate che cartacee gestite e custodite a livello aziendale

- tenuta ed aggiornamento dalla banca dati ”Responsabili e Incaricati del trattamento

dei dati” di diretta derivazione dal Censimento dei Trattamenti

- veicolazione dei contenuti della normativa sulla riservatezza dei dati verso il contesto

aziendale e verso tutti gli altri soggetti comunque interagenti con l’Azienda ( pensiamo

a tutto il fronte rappresentato dai medici di famiglia e dagli altri soggetti operanti in

regime di convenzionamento) sia con interventi mirati che con apposite iniziative

formative così come anche previsto dal D.p.r. 318/99

- collaborazione con il Titolare e con i Responsabili del trattamento dei dati nella fase di

impulso, proposta e stesura del Documento Programmatico per la Sicurezza,

ovviamente in una logica pregnante di doverosa cooperazione con il livello

informativo-informatico dell’azienda

- monitoraggio, con verifiche concordate periodicamente, dell’efficacia delle misure di

sicurezza programmate con il Documento Programmatico per la Sicurezza tanto più

nella logica dell’accezione allargata che di questo documento è invalsa nell’esperienza

toscana, nella quale vengono inserite non solo le misure a tutela delle banche dati

informatizzate ma anche quelle a tutela delle banche dati cartacee in una visione

complessiva e di sistema delle problematiche della sicurezza

- sviluppo ed esplosione delle potenzialità della documentazione Censimento dei

Trattamenti per il rispetto delle disposizioni di cui all’art del D.lgs 135/99, con

implementazione e tenuta di un meccanismo che ponga l’azienda in grado di operare

costantemente quell’autovalutazione circa la pertinenza e non eccedenza dei dati

utilizzati rispetto alle finalità perseguite con i singoli trattamenti e di assolvere al debito

informativo verso i soggetti interessati circa la tipologia dei dati utilizzati e le relative

modalità di trattamento per ogni attività aziendale posta in essere

- ulteriore sviluppo della documentazione relativa al Censimento dei Trattamenti, alla

luce delle disposizioni del Dpr 318/99, per l’impianto e il mantenimento di una lista

FILOMENA POLITO utenze, sul presupposto del necessario rapporto collaborativo con il livello informativo-

informatico dell’azienda, al quale vengono veicolate le esigenze tecniche

rappresentate dal Responsabile al Referente, che qui funge da vero e proprio punto di

confluenza e raccordo per tutte le questioni , anche tecniche , che possono riguardare

il “pianeta privacy “

Tutto ciò che è stato detto finora è quello che la Regione si aspetta dal Referente

Aziendale per la Privacy; ma in realtà, alla luce dell’esperienza ormai consolidata della

USL 5 di Pisa che cosa si può dire realmente riguardo a questa nuova professionalità???

Come è stata vissuta nel contesto organizzativo e come si è integrata nel corpus

dell’azienda?

Posso dire che la reazione iniziale è stata permeata da quella diffidenza che

generalmente circonda ogni nuova funzione in un contesto aziendale già assestato, nel

caso di specie non è stata colta sin dall’inizio la valenza propriamente collaborativa e di

supporto intrinsecamente connessa a questa figura della quale si è invece sul momento

colto più l’aspetto inquisitorio e pedantemente burocratico; tradotto sul piano operativo

ciò ha comportato una certa resistenza, ad esempio, alla compilazione della

documentazione necessaria per la messa a regime del Censimento dei trattamenti, che

veniva percepito quasi come modalità indiretta di rilevazione dei carichi di lavoro

all’interno delle strutture aziendali.

Col tempo e con il maturare crescente da parte dei colleghi della consapevolezza circa

l’inevitabile immanenza dei profili legati alla riservatezza all’interno del contesto

organizzativo di appartenenza, il ruolo del Referente Aziendale per la Privacy è stato visto

sotto un’altra luce, quella di un riferimento costante di cui avvalersi nell’operatività del

quotidiano ogni volta che vi sia un’incertezza, sia che questa derivi da un dubbio

terminologico, dalla difficoltà di comprendere appieno il significato dei ruoli introdotti dalla

normativa e delle funzioni ad essi collegate, o dalle incertezze nell’affrontare casi pratici,

viste anche le inevitabili interrelazioni con la normativa dell’accesso di cui alla Legge

241/90 sulla trasparenza dell’attività amministrativa.

E, ad oggi, grazie anche all’importante percorso formativo di cui alla relazione della

Responsabile della U.O. Sviluppo, Ricerca e Formazione, Dr.ssa Marcella Filieri, che ha

inquadrato la funzione del Referente Aziendale per la Privacy nell’ottica corretta, si può

dire che ormai all’interno dell’Azienda Sanitaria Usl 5 di Pisa si è consolidato il ruolo del

Referente, e si è capito il suo valore di supporto e di consulenza, alla quale si ricorre con

frequenza ed assiduità

Tutte queste diciamo così “richieste di aiuto” rivolte al solo soggetto aziendale depositario

delle conoscenze sulla riservatezza dei dati costituiscono l’espressione, a parer mio, di un

ormai consapevole disagio degli operatori chiamati quotidianamente nell’ambito dei loro

FILOMENA POLITO abituali compiti d’istituto a misurarsi con i risvolti pratici dell’applicazione della normativa

della Legge 675/96 .

Quanto appena detto conferma appieno la lungimiranza della scelta operata dal

Dipartimento del Diritto alla Salute della Regione Toscana nell’introdurre questa nuova

professionalità all’interno del sistema sanitario toscano, prefigurando, in sostanza, un vero

e proprio modello esportabile in tutti gli ambiti organizzativi complessi sui quali vada a

impattare la normativa sulla riservatezza , senza distinzione alcuna.

Intervento presentato al Convegno “Privacy e diritto alla salute “ tenutosi a cascina Terme

(Pisa)il 24 e 25 Ottobre 2002

FILOMENA POLITO

Filomena Polito

Responsabile Ufficio Privacy e

Referente Aziendale per la Privacy dell’Azienda USL 5 di Pisa

“Il trattamento dei dati personali e sensibili:personale preposto,Censimento e Notificazione,trattamento dati in ambito

sanitario”

Buongiorno a tutti .Mi chiamo Filomena Polito ed all’interno dell’Azienda USL 5 di Pisa, che è stata individuata dall’assessorato alla Sanità della Regione Toscana come AZIENDA PILOTA all’interno del PERCORSO PRIVACY nella sanità ,io mi occupo a tempo pieno ormai da otto anni di applicazione della normativa sulla riservatezza dei dati. Sono la Responsabile dell’Ufficio Privacy, struttura che l’Azienda USL5 di Pisa ha voluto attivare come luogo di attenzione dedicato al rispetto del bisogno di privacy del particolare Interessato di suo riferimento,l’assistito. Esercito quindi la funzione di Referente Aziendale per la Privacy in ambito sanitario.

L’applicazione puntuale e corretta delle disposizioni del Decreto Legislativo 196/03 comporta ,in qualsiasi tipologia di contesto aziendale vada ad incidere,per l’azienda stessa ,il provvedere ad una serie di adempimenti e di procedure comunque onerosi. Quando poi la normativa sulla riservatezza dei dati deve trovare applicazione nei confronti di una struttura Sanitaria i dubbi ed i problemi relativi si moltiplicano ed è necessario dedicare alla loro soluzione un maggiore impegno.

Questo maggiore impegno deriva dalla specificità della struttura sanitaria in cui anche solo capire come rispettare i principi base della normativa sulla riservatezza dei dati diventa oltremodo complicato.

FILOMENA POLITO Innanzitutto le strutture sanitarie sono tra i pochi soggetti che ,individuati come Titolari del trattamento dei dati,debbano,a mio parere adempiere alle disposizioni di cui agli articoli 37,38 e 39 del Decreto Legislativo 196 del 2003. Quindi le strutture sanitarie ,essendo ,praticamente senza eccezioni ,Titolari di trattamenti di dati relativi a dati sensibili ed in particolare di salute con l’ausilio di strumenti automatizzati e reti di telecomunicazione,erano tenute a presentare all’Autorità Garante per la protezione dei dati personali la Notificazione dei trattamenti dei dati. La Notificazione è un adempimento mirante ad alimentare una banca dati detenuta e gestita dall’Autorità Garante stessa ,ma consultabile da chiunque tramite l’apposito link attivo sul sito internet dell’Autorità ,che evidenzia tutti i Titolari di trattamenti di dati che gestiscono con modalità particolarmente “pericolose” dati molto delicati .

Per poter rispettare tale adempimento la struttura sanitaria ha dovuto ,in via preliminare, procedere a censire i trattamenti di dati attivati ,le modalità attraverso le quali i dati sono gestiti,le responsabilità assegnate per la gestione delle informazioni. E proprio qui, sul punto che riguarda le responsabilità assegnate per la gestione delle informazioni, andiamo poi a verificare perché l’impianto a presidio del rispetto della normativa di cui al Decreto Legislativo 196/2003 in ambito sanitario debba per forza essere un impianto particolarmente impegnativo. Rifacciamoci a questo punto ai principi di base ,all’ABC della legge che protegge la riservatezza dei dati del cittadino, A-La normativa sulla riservatezza dei dati mi dice che il Titolare del trattamento dei dati risponde dell’uso delle informazioni di tipo personale B-La stessa normativa mi dice che tutti coloro che utilizzano dati dai quali possa essere individuato un soggetto fisico o giuridico devono essere formalmente autorizzati da parte del Titolare del trattamento a trattare tali informazioni . C-I dati personali possono essere comunicati senza il consenso esplicito dell’avente diritto solo in presenza di norma avente forza di legge

FILOMENA POLITO Ma la struttura sanitaria ,ed in particolar modo quella pubblica , si confronta con particolare difficoltà con queste regole. La struttura sanitaria , infatti ,è una struttura particolare nella quale :

• sono gestiti in grande quantità dati che si riferiscono alla persona

• I dati trattati sono per la maggior parte dati delicatissimi,quelli che riguardano al salute dell’individuo

• I dati personali sono trattati dalla totalità dei collaboratori della struttura . La logica conseguenza di tutto ciò è che nella struttura sanitaria il Titolare del trattamento dei dati deve porre particolare impegno ed attenzione nell’attivare la sua politica di rispetto della legge sulla riservatezza dei dati personali. Un impegno che si deve tradurre in un’opera di capillare responsabilizzazione di tutti i suoi collaboratori per una corretta gestione delle informazioni .

Presentato il 5/7/05 al Seminario di aggiornamento “La privacy in ambito sanitario:dalla Legge 675/96 all’applicazione del decreto Legislativo 196/03” tenutosi a La Spezia,presso il Circolo ricreativo Dipendenti Difesa ed organizzato dalla Direzione di Sanità della Marina Militare di La Spezia.

FILOMENA POLITO Filomena Polito

Responsabile Ufficio Privacy e Referente Aziendale per la Privacy dell’Azienda USL 5 di Pisa

“Informativa e consenso del trattamento dei dati personali e sensibili:diritti dell’Interessato”

La normativa sulla riservatezza dei dati è una normativa ancora giovane ,ancora in via di evoluzione. Ma questa normativa parte da una considerazione importante,quella secondo la quale la persona dispone di un suo patrimonio di dati,le sue informazioni. E questo suo patrimonio è un “libro aperto” su di lui,sulle sue scelte di vita,sui suoi problemi,anche di salute,sulle sue caratteristiche ,anche quelle più intime, che va tutelato rispettando la dignità della persona. La persona,che possiamo definire come il proprietario dei dati , deve essere messa a conoscenza di come i suoi dati vengono utilizzati. I dati della persona possono essere utilizzati senza una sua esplicita autorizzazione se ciò è previsto da una legge o da un contratto. In alternativa i dati della persona possono essere usati solo previa acquisizione di specifica autorizzazione,ciò che possiamo considerare come il “consenso all’uso dei dati”. In riferimento a quanto sopra descritto è da segnalare che il diritto ad essere informati ,previsto dal Decreto Legislativo 196/03 all’articolo 13 come diritto di Informativa è spesso sottovalutato. Al contrario il diritto ad essere informati è un diritto da garantire per primo al cittadino;un diritto il cui mancato rispetto è considerato violazione amministrativa ,con sanzione che può arrivare a 90.000,00 Euro,da un apposito articolo del Decreto Legislativo 196/03,l’articolo 161. L’informativa deve permettere alla persona di rendersi conto di come i suoi dati sono usati ,di quale percorso essi svolgano e di chi ne abbia conoscenza e di dove siano custoditi. Spesso ,invece, le note informative che vengono portate alla nostra attenzione sono compilate con un linguaggio molto equivoco e generico ,con una terminologia molto oscura per il cittadino di media cultura. Inoltre le informative sono per lo più “omertose”sotto il profilo della comunicazione,in quanto le formule spesso presenti fanno riferimento a “…i suoi dati per finalità di marketing, pubblicità,ecc… saranno comunicati ad altri soggetti…” Quindi spesso le informative che ci vengono sottoposte sono solo una copertura formale del diritto di cui all’articolo 13 del decreto Legislativo 196\03 e non

FILOMENA POLITO garantiscono in effetti al cittadino una vera consapevolezza su cosa si fa con le sue informazioni. Altro punto dolente sul versante del rispetto dei diritti da garantire al cittadino per il corretto uso dei suoi dati è quello dell’autorizzazione all’uso dei suoi dati,il consenso. Su questo versante la confusione è ancora più generale. Voglio dire che si registrano richieste di autorizzare l’uso di dati in molti casi nei quali in realtà questo non è necessario . Viceversa spesso non ci si pone il problema di acquisire l’autorizzazione all’uso dei dati quando invece questo è un requisito indispensabile per poterli poi trattare. A questo proposito ricordiamo ,ad esempio , che le strutture sanitarie , anche se operanti in regime pubblico, dovevano ,già a partire dall’anno 1997, recepire il consenso per poter usare i dati di salute dei loro assistiti. E al cittadino vanno garantiti non solo questi due diritti,quello di Informativa,sempre preliminare all’uso dei dati , e quello di autorizzare,con specifico consenso, l’uso dei suoi dati. Vanno garantiti inoltre i diritti di accesso e di opposizione Il diritto di accesso è regolamentato dall’articolo 7 del Decreto Legislativo 196/03 e prevede l’esercizio del vero valore aggiunto che la normativa sulla riservatezza dei dati ha attribuito al cittadino,il potere di verificare l’uso dei propri dati personali. E la domanda può essere veramente invasiva e fastidiosa,perché può riguardare ogni rilievo del trattamento dei dati operato dal Titolare. Il rispetto di tale diritto prevede la predisposizione di una vera e propria organizzazione per la risposta che deve essere assicurata all’Interessato entro 15 giorni dalla domanda . Va in ultimo poi ricordato il diritto di opposizione che l’interessato può opporre:si tratta di un diritto che garantisce al cittadino il potere di avanzare le sue proteste sì davanti al giudice ordinario,ma anche davanti all’Autorità Garante per la protezione dei dati personali . Anzi ,con l’esercizio del diritto di protestare ,avanzando reclami e segnalazioni, che si esercita rivolgendosi al Garante della Privacy,si concretizza anche il vero potere di disporre delle proprie informazioni che è il cardine del pensiero del legislatore in materia di riservatezza dei dati.


FILOMENA POLITO

Filomena Polito

Responsabile Ufficio Privacy e

Referente Aziendale per la Privacy dell’Azienda USL 5 di Pisa

“Il Regolamento aziendale :modalità e problematiche applicative della normativa di cui ala Decreto Legislativo 196/03 nelle strutture

sanitarie”

La normativa sulla riservatezza dei dati prevede un regime speciale e dedicato per l’uso dei dati personali e sensibili da parte delle strutture pubbliche. Tale regime prevede che ,a fronte dell’esonero previsto per l’acquisizione del consenso all’uso dei dati sensibili da parte della Pubblica Amministrazione, questa debba procedere ad un ‘imponente opera mirante alla legittimazione all’uso di tali tipologia di dati Tale percorso ha come scopo finale quello di rendere consapevole il cittadino dei casi in cui la Pubblica Amministrazione è stata legittimata ,da parte dell’Autorità Garante per la protezione dei dati personali , a trattare dati sensibili senza chiedere una specifica autorizzazione agli Interessati di riferimento . Per tutto questo ,entro la fine dell’anno,ogni Pubblica amministrazione dovrà ,con atto avente forza regolamentare approvato dall’Autorità Garante ,approntare un documento nel quale si dettaglino i trattamento di dati svolti utilizzando dati sensibili,le tipologie di dati e le modalità di trattamento. Andiamo adesso a parlare invece dell’opportunità di approntare,da parte di ogni amministrazione pubblica ,un regolamento interno applicativo della normativa sulla riservatezza dei dati. Ci sembra opportuno quindi a questo riguardo una breve riflessione di carattere generale sul perché di un regolamento sulla riservatezza dei dati all’interno del sistema sanitario L’ applicazione di una normativa come quella della privacy all’interno del sistema delle strutture sanitarie presenta senz’altro due profili di peculiarità di immediata evidenza : in primo luogo la netta prevalenza in termini quantitativi di dati sensibili rispetto a quelli comuni con tutto ciò che ne consegue in termini di livello di tutela a loro garanzia; in secondo luogo emerge l’impatto di una normativa già di per sé variamente articolata su un organizzazione che presenta aspetti strutturali di notevole complessità . La normativa sulla riservatezza dei dati, nella sua ratio più profonda, non è di facile ed immediato impatto e generalmente, nelle organizzazioni che con questa normativa si devono confrontare, prevale la tentazione di concentrarsi in modo

FILOMENA POLITO maniacale sui singoli adempimenti piuttosto che cercare di rivedere sostanzialmente il proprio modus operandi. E’ applicare la legge privacy in ambito sanitario significa non essere in presenza di singoli adempimenti , imposti “una tantum”, temporalmente circoscritti , e quindi decontestualizzabili , ma al contrario siamo di fronte all’avvio di un processo destinato ad incidere durevolmente nelle realtà aziendali con profonde ricadute organizzative e tale da richiedere necessariamente la messa a punto di un sistema stabile e strutturato a presidio permanente di tutta la politica aziendale in tema di riservatezza dei dati considerandone anche le inevitabili relazioni con la materia dell’accesso e nel quadro complessivo dei profondi mutamenti che hanno permeato il rapporto tra Amministrazione e cittadini . Ma in linea teorica una struttura sanitaria potrebbe non avere nessuna necessità di un ‘apposita e specifica regolamentazione per l’attuazione della materia. Se, infatti , tutte le procedure e l’organizzazione sono già strutturate per assicurare obiettivamente la tutela della riservatezza del trattamento dei dati e l’immediata identificazione delle corrette modalità di relazione con gli utenti , non vi è ragione di una particolare regolamentazione sulla privacy. Invece ,quando la normativa sulla riservatezza dei dati si cala in una realtà complessa come quella sanitaria è opportuno che questa si auto organizza ,dandosi regole operative concrete,individuando anche un soggetto destinato ad essere il coordinatore del percorso privacy Quindi ,per concludere ,il mio intervento odierno vuole segnalare la necessità che all’interno di un sistema complesso come quello della realtà sanitaria sia opportuno individuare una funzione a carattere consultivo e a valenza organizzativa a supporto del Titolare del trattamento di dati,che lo aiuti nel difficile compito di rispettare una legge particolare come quella sulla riservatezza dei dati assicurando però anche il rispetto degli altri diritti che insieme alla riservatezza dobbiamo garantire al soggetto assistito ed in particolare il suo diritto alla dignità.


FILOMENA POLITO

“Il Referente Aziendale Privacy, un Privacy Manager a misura di Azienda Sanitaria”

Filomena Polito

- Responsabile Ufficio Privacy dell’Azienda Usl 5 di Pisa –

Sono passati ormai più di sette anni dall’8 Maggio 1998, data di entrata in vigore della prima legge sulla riservatezza dei dati, la 675 del 31/12/96, più conosciuta come Legge Privacy. Questa ha inserito nel contesto normativo il diritto alla riservatezza, qualificandolo come uno dei diritti fondamentali del cittadino, come già del resto stabiliva la nostra Costituzione Le regole che questa normativa introduce per un uso corretto delle informazioni prevedevano un serio impegno organizzativo all'interno di ogni struttura aziendale. Tutto ciò allo scopo di evitare che il cittadino vedesse lesi o danneggiati i suoi diritti e le sue libertà e la sua dignità attraverso un uso improprio dei suoi dati La normativa sulla riservatezza dei dati non è ancora conosciuta dalla maggior parte dei cittadini e questo ha fatto sì che molte amministrazioni, soprattutto quelle pubbliche, potessero dimenticare di applicare il rispetto di quanto questa prevedeva Le Pubbliche Amministrazioni hanno per lo più attivato il percorso di adeguamento alle direttive sulla riservatezza dei dati in modo lento, frammentario e adempitivo-formale. Anzi, ad oggi, questo processo di adeguamento è ancora lacunoso e incompleto. Per quanto riguarda l’Azienda Sanitaria il processo di adeguamento si complica in ragione di una evidente constatazione: a differenza di altri settori della Pubblica Amministrazione, l’utilizzo corrente di informazioni delicate e “pericolose”da gestire, come quelle sulla salute, è proprio non solo di tutti gli operatori aziendali, ma addirittura anche di soggetti esterni o comunque non dipendenti che utilizzano dati per conto di questa. La normativa sulla riservatezza dei dati non è ancora conosciuta dalla maggior parte dei cittadini e questo ha fatto sì che molte amministrazioni, soprattutto quelle pubbliche, potessero dimenticare di applicare il rispetto di quanto questa prevedeva. Lo stesso Garante della Privacy - il primo esempio è stato quello dello spot trasmesso tempo fa in TV - sta pensando ad una seria attività di informazione sui diritti riconosciuti al cittadino per quanto riguarda la riservatezza dei suoi dati. Inoltre anche i movimenti di tutela del cittadino dovrebbero attivarsi per questo argomento che fino ad ora non hanno considerato determinante. E per l’area sanitaria il tutto si è complicato ulteriormente perché è entrato in vigore il 1° gennaio scorso il nuovo testo di Legge sulla riservatezza dei dati, il Decreto Legislativo n.196/03, nel quale si è introdotto un nucleo di disposizioni di specifico interesse per l’uso dei dati in ambito sanitario,che si sommano alle altre proprie delle Aziende Pubbliche. Dall’esame di queste disposizioni emerge che abbiamo ormai da rispettare una privacy “di secondo livello”non più solo legata al rispetto di adempimenti burocratici, ma dobbiamo garantire al cittadino che si rivolge alle strutture sanitarie una riservatezza non solo formale, ma sostanziale, reale.

FILOMENA POLITO Questo perché attraverso il rispetto del riserbo della persona e dei suoi dati personali si può ottenere un risultato importante, quello della tutela della dignità del cittadino. L'Azienda USL5 di Pisa, sin dal 1997, ha cominciato a lavorare per rispettare il diritto alla privacy del cittadino. Ha cercato di farlo assicurando da una parte il rispetto degli adempimenti formali di legge per l’uso di dati e dall’altro cercando di attivare un processo che mira a migliorare la qualità del servizio offerto al cittadino, attraverso una riconsiderazione dei percorsi e comportamenti, all’interno dei quali l’uso riservato delle informazione diventa un bagaglio comune di tutti gli operatori aziendali.

Si è quindi data una Regolamentazione Aziendale in materia di riservatezza dei dati, contestualizzando le disposizioni di legge sulla privacy, definendo, al suo interno, la rete di relazioni allo scopo necessarie. Partendo dalla considerazione del forte impatto che la legge sulla privacy poteva avere su un’organizzazione molto complessa come quella di una Azienda Sanitaria, questo regolamento ha permesso a tutti i dipendenti di prendere atto della necessità di un sistema aziendale che presiedesse e governasse la materia della privacy. (Se possiamo aprire una parentesi generale in merito al peso degli adempimenti di legge in materia di privacy su una struttura aziendale complessa ,come quella tipica dell’Azienda Sanitaria ,ma non solo di questa ,è evidente che non è possibile garantire un buon adempimento di questi senza una attenzione dedicata e costante nel tempo) Per coordinare questo sistema aziendale è stata istituita una nuova struttura aziendale, l'Ufficio Privacy, e si è formata al suo interno una nuova professionalità, il Referente Aziendale per la Privacy. Questa nuova figura professionale,”l’esperto in privacy” è un elemento di novità rispetto alla Legge sulla privacy che non la prevede, un vero e proprio valore aggiunto all’interno di una realtà complessa come quella dell’azienda sanitaria. L’esperto deve sì avere una preparazione imprescindibile sul piano della normativa sulla riservatezza dei dati e delle altre disposizioni che con questa inevitabilmente interagiscono, ma dall’altro deve anche poter garantire, attraverso la conoscenza dei meccanismi di funzionamento dell’azienda in cui opera, la capacità di porsi in relazione e di coinvolgere in modo adeguato i vari livelli di responsabilità necessariamente coinvolti nelle problematiche della privacy. Cioè deve essere un soggetto dotato della versatilità necessaria a consentire che le norme sulla riservatezza dei dati vadano a calarsi in una realtà complessa come quella della Azienda sanitaria odierna (rivedendone sostanzialmente il proprio modus operandi), cercando di contemperare i doveri di questa con i diritti dell’utente. La figura del Referente Aziendale è pensata per supportare un salto culturale e di qualità ,necessario per non disperdere le risorse che necessariamente devono essere impegnate da ogni azienda per rispettare le disposizioni della legge sulla riservatezza in uno sterile rispetto formale e non sostanziale delle esigenze dell’utente , qui visto sotto la veste di interessato , e quindi proprietario delle informazioni gestite dalle Aziende stesse.

FILOMENA POLITO Il lavoro del Referente Aziendale per la Privacy è un lavoro molto particolare ed impegnativo perché è una funzione di garanzia per l’Azienda, che, da una parte, segue una serie di adempimenti regolari ed ordinati nel tempo, come l’attivazione di una serie di rilevazioni di documenti e di dati gestiti utili sia per il rispetto della normativa, che per individuare i punti di crisi del sistema azienda nella gestione della riservatezza. Il compito del Referente Aziendale per la Privacy è un compito arduo, di relazione tra una normativa ancora giovane e non ben cristallizzata né sul piano dottrinario che su quello giurisprudenziale e una realtà complessa , articolata e spesso ancora legata a vecchi schemi di lavoro come l’Azienda Sanitaria. Il Referente Aziendale per la Privacy ha, inoltre il compito fondamentale di dare un suo parere sui problemi che si trovano in ogni angolo dell’Azienda nell’applicazione di questa normativa. Come fa il Garante con le sue Newsletter, all’interno dell’Azienda il Referente ha una sua “ rassegna dei casi e delle soluzioni adottate per far fronte a questi” e la normativa esaminata per tali pareri non è solo quella sulla privacy ma anche l’altra che comunque può incidere sull’ambito aziendale di specifico riferimento. Queste “pronunce” vengono fornite ai Responsabili del trattamento di dati individuati in ambito aziendale ed agli Incaricati,con il che vuol dire che ogni soggetto che per mandato dell’azienda Sanitaria si trova ad usare dati personali può servirsi di questa funzione di supporto per essere aiutato a comportarsi correttamente nell’uso del dato; va sottolineato che questi sono pareri non vincolanti per i responsabili dei trattamenti dei dati, che possono attivarsi anche in modo diverso. L’Ufficio Privacy si occupa anche degli esposti dell’utenza nei quali si segnala una scarsa attenzione in ambito aziendale della riservatezza del cittadino o delle sue informazioni e cerca di farne rispettare le esigenze segnalate e, quindi l’ utente può rivolgersi all’Ufficio per ricevere informazioni o per segnalare ciò che ritiene opportuno. E’ primario questo aspetto di interfaccia - se così si può dire - tra il cittadino e l’Azienda, in particolar modo in una azienda sanitaria dove la maggior parte dei dati costituisce dato sensibile, e dove gli utenti stessi sono particolari rispetto ad altri, perché si trovano in un momento che può essere di debolezza dovuto allo stato di malattia e pertanto meno propensi a far valere i loro diritti. L’Azienda ha dovuto quindi impegnarsi in tutti i sensi per cercare di rispettare una vera riservatezza Ha impegnato risorse umane ed economiche a fronte di una garanzia del rispetto degli adempimenti in tema della riservatezza dei dati. Tutto questo ha provocato all’interno dell’Azienda una vera e propria messa in luce del ruolo dell’Ufficio Privacy. Oggi l’Ufficio Privacy è una realtà ben presente per coloro che lavorano in questa Azienda ed è un nodo attraverso il quale passano tutti i problemi che emergono al momento in cui la normativa sulla Privacy, che ha la caratteristica della trasversalità, va ad incidere e coinvolgere percorsi aziendali nei quali sono già presenti ed attive altre disposizioni di legge, che possono anche confliggere con quelle sulla riservatezza dei dati, alla luce anche della normativa sulla trasparenza dell’attività della P.A. Così, in questa Azienda ogni operatore che ha dei problemi di riservatezza sa che c’è qualcuno che gli può dare delle indicazioni su come rispettare la privacy; questo a tutto vantaggio sia dell’Azienda, ovvero della Direzione Aziendale, che si vede tutelata e detentrice di una linea guida interna su come applicare questa normativa, che dell’utenza

FILOMENA POLITO che viene tutelata dalla presenza di un soggetto preposto alla tutela del corretto utilizzo dei dati personali. L’’Ufficio mantiene i rapporti con il Garante per la Privacy e con il livello regionale di riferimento, riguardo al quale funge da struttura pilota per l’applicazione della privacy in ambito sanitario ed è quasi una sorta di mini Garante interno alla struttura aziendale, che cerca, di fare in modo che tutti sappiano quali sono le buone norme di comportamento aiutando allo stesso tempo chi deve applicarle. Inoltre, poiché è veramente necessario che le norme sulla privacy vengano applicate e non siano viste solamente come ulteriore impaccio burocratico ma come miglioramento della qualità del servizio offerto all'utenza, l'Azienda USL5 si è attivata per far sì che crescesse la sensibilità alla specifica problematica da parte di tutti i suoi operatori. Per questo motivo è stato avviato uno specifico percorso continuo di formazione destinato agli operatori stessi, al fine di sensibilizzare e preparare su un argomento così importante come il trattamento dei dati personali, che coinvolge addirittura anche gli allievi dei Corsi per Operatori Socio Sanitari attivati dall’Azienda ed i neoassunti.

Presentato al Convegno “Il valore privacy nell’Azienda Sanitaria “tenutosi il

21/05/05 a Pontedera (Pisa) ed organizzato dall’Azienda USL5 di Pisa.

CORSO DI FORMAZIONE - Azienda Sanitaria Locale n° 2 … · 4 - Che cos'è una banca dati ? ... dei...

Documents

Transcript of CORSO DI FORMAZIONE - Azienda Sanitaria Locale n° 2 … · 4 - Che cos'è una banca dati ? ... dei...