Corso di Formazione in Medicina Generale Bari 29 maggio 2007 La privacy nella medicina generale...

Corso di Formazione in Medicina GeneraleCorso di Formazione in Medicina Generale

Bari 29 maggio 2007Bari 29 maggio 2007

La privacy nella medicina generaleLa privacy nella medicina generale

Dott. Erasmo BitettiMedico di famiglia

MATERA

Un argomento ostico o Un argomento ostico o ostile ?ostile ?

Storia della legislazioneStoria della legislazione

in tema di privacyin tema di privacy

28 gennaio 198128 gennaio 1981Convenzione di Strasburgo n. 108Convenzione di Strasburgo n. 108

Protezione delle persone rispetto al Protezione delle persone rispetto al trattamento trattamento automatizzato automatizzato

di dati di carattere personaledi dati di carattere personale

21 febbraio 198921 febbraio 1989Legge n. 98/89 Legge n. 98/89

Ratifica della Convenzione di StrasburgoRatifica della Convenzione di Strasburgo

1995 1995 Il concetto di trattamento dei dati personaliIl concetto di trattamento dei dati personali

nella Direttiva CE 95/46 del 24.10.95nella Direttiva CE 95/46 del 24.10.95

relativa alla "tutela delle persone fisiche con riguardo al relativa alla "tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera trattamento dei dati personali, nonché alla libera circolazione di tali dati"circolazione di tali dati"..

Si inizia a precisare che il trattamento dei dati personali è Si inizia a precisare che il trattamento dei dati personali è qualsiasi operazione o insieme di operazioni qualsiasi operazione o insieme di operazioni compiute compiute con o senza l'ausilio di processi con o senza l'ausilio di processi automatizzatiautomatizzati ..

Viene istituito ilViene istituito il Gruppo di lavoroGruppo di lavoro per la tutela dei per la tutela dei

dati personali.dati personali.

1996 1996 Tutela delle persone e di altri soggetti Tutela delle persone e di altri soggetti

rispetto al trattamento dei dati rispetto al trattamento dei dati personalipersonali

Legge 31 dicembre 1996 n.675Legge 31 dicembre 1996 n.675

E’ la prima cosiddetta “legge di tutela della privacy” in Italia .E’ la prima cosiddetta “legge di tutela della privacy” in Italia .

Viene istituito l’ufficio del Viene istituito l’ufficio del Garante per la protezione dei dati personaliGarante per la protezione dei dati personali

organo collegiale costituito da quattro membri (due organo collegiale costituito da quattro membri (due eletti dalla Camera dei deputati e due dal Senato eletti dalla Camera dei deputati e due dal Senato della Repubblica) che opera in piena autonomia e della Repubblica) che opera in piena autonomia e con indipendenza di giudizio e di valutazione. Dura con indipendenza di giudizio e di valutazione. Dura in carica quattro anni e i suoi membri possono in carica quattro anni e i suoi membri possono essere riconfermati solo una volta nell’incarico.essere riconfermati solo una volta nell’incarico.

1996 1996

La legge vieta l’uso delle agende La legge vieta l’uso delle agende personali ?personali ?

Trattamento di dati per fini esclusivamente Trattamento di dati per fini esclusivamente personalipersonali

Il trattamento di dati personali effettuato da Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali persone fisiche per fini esclusivamente personali

non è soggetto all'applicazione della presente non è soggetto all'applicazione della presente legge, legge, sempreché i dati non siano destinati ad sempreché i dati non siano destinati ad

una comunicazione sistematica o alla diffusione.una comunicazione sistematica o alla diffusione.

20002000 Progetto di Carta dei diritti fondamentali Progetto di Carta dei diritti fondamentali

dell’Unione Europeadell’Unione Europea

Articolo 7Articolo 7Rispetto della vita privata e della vita familiareRispetto della vita privata e della vita familiare

Ogni individuo ha diritto al rispetto della propria vita Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue privata e familiare, del proprio domicilio e delle sue comunicazioni.comunicazioni.

Articolo 8Articolo 8Protezione dei dati di carattere personaleProtezione dei dati di carattere personale

1. Ogni individuo ha diritto alla protezione dei dati di 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.carattere personale che lo riguardano.

20002000 Progetto di Carta dei diritti Progetto di Carta dei diritti

fondamentali fondamentali dell’Unione Europeadell’Unione Europea

Articolo 8Articolo 8Protezione dei dati di carattere personaleProtezione dei dati di carattere personale

2. 2. Tali dati devono essere trattati secondo ilTali dati devono essere trattati secondo il principio di lealtàprincipio di lealtà, , perper finalità determinatefinalità determinate e in e in base al base al consensoconsenso della persona interessata o a un della persona interessata o a un altro fondamento legittimo previsto dalla legge. altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.raccolti che lo riguardano e di ottenerne la rettifica.

3. 3. Il rispetto di tali regole è soggetto al controllo di Il rispetto di tali regole è soggetto al controllo di unun''autoritàautorità indipendenteindipendente. .

20032003Codice in materia di protezione dei dati Codice in materia di protezione dei dati

personalipersonaliDECRETO LEGISLATIVO 30 giugno 2003 n. 196DECRETO LEGISLATIVO 30 giugno 2003 n. 196

Si tratta di una sorta di testo unico Si tratta di una sorta di testo unico che riprende, con alcune innovazioni che riprende, con alcune innovazioni e integrazioni, tutte le precedenti e integrazioni, tutte le precedenti disposizioni di legge, ivi comprese disposizioni di legge, ivi comprese quelle relative alla misure minime di quelle relative alla misure minime di sicurezza. sicurezza.

20032003Codice in materia di protezione dei dati Codice in materia di protezione dei dati

personalipersonaliDECRETO LEGISLATIVO 30 giugno 2003 n. 196DECRETO LEGISLATIVO 30 giugno 2003 n. 196

Art. 1Art. 1Diritto alla protezione dei dati personaliDiritto alla protezione dei dati personali

1. Chiunque ha diritto alla protezione dei dati personali che lo 1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.riguardano.

Art. 3Art. 3Principio di necessità nel trattamento dei datiPrincipio di necessità nel trattamento dei dati

1. I sistemi informativi e i programmi informatici sono 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato opportune modalità che permettano di identificare l'interessato solo in caso di necessità.solo in caso di necessità.

Quali sono i datiQuali sono i dati oggetto di tutela ? oggetto di tutela ?

DATI PERSONALIDATI PERSONALI

qualunque informazione relativa a persona fisica, persona qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di altra informazione, ivi compreso un numero di identificazione personaleidentificazione personale

DATI SENSIBILIDATI SENSIBILI

i dati personali idonei a rivelare l'origine razziale ed i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i filosofico, politico o sindacale, nonché i dati personali dati personali idonei a rivelare lo stato di salute e la vita sessualeidonei a rivelare lo stato di salute e la vita sessuale

Come ci comportiamoCome ci comportiamo con questi dati ? con questi dati ?

DATI IDENTIFICATIVIDATI IDENTIFICATIVI

i dati personali che permettono l'identificazione diretta del soggettoi dati personali che permettono l'identificazione diretta del soggetto

DATI ANONIMIDATI ANONIMI

i dati personali che in origine, o a seguito di trattamento, non i dati personali che in origine, o a seguito di trattamento, non possono essere associati ad un soggetto identificato o identificabilepossono essere associati ad un soggetto identificato o identificabile

Cosa si intende per Cosa si intende per “trattamento” dei dati?“trattamento” dei dati?

Qualunque operazione o complesso di operazioni, Qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti effettuate anche senza l'ausilio di strumenti elettronici, concernenti laelettronici, concernenti la

raccolta selezioneraccolta selezione

registrazione estrazioneregistrazione estrazione

organizzazione raffronto organizzazione raffronto

conservazione utilizzoconservazione utilizzo

consultazione interconnessione consultazione interconnessione

elaborazione bloccoelaborazione blocco

modificazione cancellazione e modificazione cancellazione e distruzionedistruzione

comunicazione diffusione comunicazione diffusione

di dati ,anche se non registrati in una banca di dati.di dati ,anche se non registrati in una banca di dati.

Alcune tipologie particolari di Alcune tipologie particolari di “trattamento” dei dati“trattamento” dei dati

comunicazionecomunicazione

il dare conoscenza dei dati personali a uno o più il dare conoscenza dei dati personali a uno o più soggetti determinati soggetti determinati diversi dall'interessato, dal responsabile e dagli incaricati, in qualunque diversi dall'interessato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazioneforma, anche mediante la loro messa a disposizione o consultazione

diffusionediffusione

il dare conoscenza dei dati personali a il dare conoscenza dei dati personali a soggetti indeterminatisoggetti indeterminati, in , in qualunque forma, anche mediante la loro messa a disposizione o qualunque forma, anche mediante la loro messa a disposizione o consultazioneconsultazione

bloccoblocco

la la conservazioneconservazione di dati personali con di dati personali con sospensionesospensione temporanea di ogni temporanea di ogni altra operazione di trattamentoaltra operazione di trattamento

Quali sono i soggetti coinvolti?Quali sono i soggetti coinvolti?

TITOLARE TITOLARE

INTERESSATOINTERESSATO

RESPONSABILERESPONSABILE

INCARICATOINCARICATO


TITOLARETITOLARE

il soggetto il soggetto cui competono le decisioni in ordine alle cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezzaprofilo della sicurezza

ININTERESSATOTERESSATO




TITOLARE TITOLARE


il soggetto a cui si riferiscono i dati personaliil soggetto a cui si riferiscono i dati personali




TITOLARE TITOLARE



il soggetto preposto dal titolare al trattamento il soggetto preposto dal titolare al trattamento di dati personalidi dati personali



TITOLARE TITOLARE




il soggetto autorizzato a compiere operazioni di il soggetto autorizzato a compiere operazioni di trattamento dal titolare o dal responsabiletrattamento dal titolare o dal responsabile

DIZIONARIO MEDICO DELLA PRIVACY DIZIONARIO MEDICO DELLA PRIVACY (1)(1)

Il Il PazientePaziente, unico proprietario dei dati che lo , unico proprietario dei dati che lo riguardano e quindi ”interessato” al loro utilizzo, è per riguardano e quindi ”interessato” al loro utilizzo, è per la legge l‘ la legge l‘ InteressatoInteressato. .

Il Il Medico curanteMedico curante che, per concessione del paziente, che, per concessione del paziente, ha facoltà e ”titolo” ad utilizzare i dati personali del ha facoltà e ”titolo” ad utilizzare i dati personali del paziente per scopi di prevenzione, diagnosi, cura e paziente per scopi di prevenzione, diagnosi, cura e riabilitazione delle malattie, è per la legge il riabilitazione delle malattie, è per la legge il Titolare Titolare del trattamentodel trattamento. .

I I Collaboratori di studio del medico curanteCollaboratori di studio del medico curante, , “incaricati” di aiutarlo a svolgere una parte del suo “incaricati” di aiutarlo a svolgere una parte del suo lavoro (segretaria, infermiera ecc.) sono per la legge lavoro (segretaria, infermiera ecc.) sono per la legge Incaricati del trattamentoIncaricati del trattamento. .


I I medici sostituti medici sostituti che hanno la “responsabilità che hanno la “responsabilità professionale” di fare le veci del medico curante (in professionale” di fare le veci del medico curante (in modo integrale ed autonomo) sono considerati dalla modo integrale ed autonomo) sono considerati dalla legge legge Responsabili del trattamentoResponsabili del trattamento. .

Anche il Anche il personale specializzatopersonale specializzato cui il medico cui il medico titolare affida la ”responsabilità” della titolare affida la ”responsabilità” della

- manutenzione, assistenza, amministrazione - manutenzione, assistenza, amministrazione custodia degli strumenti per la raccolta dei dati custodia degli strumenti per la raccolta dei dati (personal computer, server di rete, apparecchiature (personal computer, server di rete, apparecchiature di trasmissione telematica ecc.) o di trasmissione telematica ecc.) o

- la gestione dei dati fiscali e contributivi può - la gestione dei dati fiscali e contributivi può assumere il ruolo di assumere il ruolo di Responsabile del trattamentoResponsabile del trattamento. .


I I medici associatimedici associati (associazione semplice, (associazione semplice, medicina in rete o di gruppo) sono considerati medicina in rete o di gruppo) sono considerati Responsabili del trattamentoResponsabili del trattamento, dovendosi , dovendosi escludere che essi debbano soggiacere, come escludere che essi debbano soggiacere, come semplici incaricati, alla“diretta autorità del semplici incaricati, alla“diretta autorità del titolare”. Tali vanno anche considerati eventuali titolare”. Tali vanno anche considerati eventuali consulenti specialisticonsulenti specialisti nell’espletamento della nell’espletamento della consulenza loro affidata dal medico titolare del consulenza loro affidata dal medico titolare del trattamento. trattamento.

I I medici in formazionemedici in formazione ed i ed i tirocinantitirocinanti, dovendo , dovendo

invece soggiacere alla “diretta autorità del titolare”, invece soggiacere alla “diretta autorità del titolare”, sono considerati sono considerati Incaricati del trattamentoIncaricati del trattamento. .

MA NON BASTAVA IL CODICE MA NON BASTAVA IL CODICE DEONTOLOGICO ?DEONTOLOGICO ?

Art. 10Art. 10

Segreto professionaleSegreto professionale Il medico deve Il medico deve mantenere il segretomantenere il segreto su tutto ciò su tutto ciò

che gli è confidato o di cui venga a conoscenza che gli è confidato o di cui venga a conoscenza nell’esercizio della professione. nell’esercizio della professione.

Il medico deve informare i suoi Il medico deve informare i suoi collaboratoricollaboratori dell’obbligo del segreto professionale. dell’obbligo del segreto professionale.

La La rivelazionerivelazione è ammessa ove motivata da una è ammessa ove motivata da una giusta causagiusta causa, rappresentata dall’adempimento di , rappresentata dall’adempimento di un obbligo previsto dalla legge (denuncia e referto un obbligo previsto dalla legge (denuncia e referto all’Autorità Giudiziaria, denunce sanitarie, all’Autorità Giudiziaria, denunce sanitarie, notifiche di malattie infettive, certificazioni notifiche di malattie infettive, certificazioni obbligatorie).obbligatorie).

Art. 11Art. 11

Riservatezza dei dati personaliRiservatezza dei dati personali

Il medico è tenuto al rispetto della riservatezza nel Il medico è tenuto al rispetto della riservatezza nel trattamento dei dati personali del paziente e trattamento dei dati personali del paziente e particolarmente dei dati sensibili. Il medico particolarmente dei dati sensibili. Il medico acquisisce la titolarità del trattamento dei dati acquisisce la titolarità del trattamento dei dati sensibili previo sensibili previo consensoconsenso del paziente o di chi ne del paziente o di chi ne esercita la tutela. esercita la tutela.

Nelle pubblicazioni scientifiche di dati clinici o di Nelle pubblicazioni scientifiche di dati clinici o di osservazioni relative a singole persone, il medico osservazioni relative a singole persone, il medico deve assicurare la deve assicurare la non identificabilitànon identificabilità delle stesse. delle stesse.

Il medico non può collaborare alla costituzione di Il medico non può collaborare alla costituzione di banche di dati sanitaribanche di dati sanitari, ove non esistano garanzie , ove non esistano garanzie di tutela della riservatezza, della di tutela della riservatezza, della sicurezzasicurezza e della e della vita privata della persona. vita privata della persona.

Art. 12Art. 12

Trattamento dei dati sensibiliTrattamento dei dati sensibili

Al medico, è consentito il trattamento dei dati Al medico, è consentito il trattamento dei dati personali idonei a rivelare lo stato di salute del personali idonei a rivelare lo stato di salute del paziente previa richiesta o autorizzazione da parte di paziente previa richiesta o autorizzazione da parte di quest’ultimo, subordinatamente ad una quest’ultimo, subordinatamente ad una preventiva preventiva informazioneinformazione sulle conseguenze e sull’opportunità sulle conseguenze e sull’opportunità della rivelazione stessa. della rivelazione stessa.

Al medico peraltro è consentito il trattamento dei dati Al medico peraltro è consentito il trattamento dei dati personali del paziente personali del paziente in assenza del consensoin assenza del consenso dell’interessato solo quando vi sia la necessità di dell’interessato solo quando vi sia la necessità di

- - salvaguardare la vita o la salute del salvaguardare la vita o la salute del paziente o di terzi paziente o di terzi

- il paziente non sia in grado di prestare il proprio - il paziente non sia in grado di prestare il proprio consenso per impossibilità fisica, per incapacità di consenso per impossibilità fisica, per incapacità di agire e/o di intendere e di volere. agire e/o di intendere e di volere.

Codice in materia di protezione dei dati personali

Quali sono gli obblighi del medico?Quali sono gli obblighi del medico?

Informativa Informativa

Il medico di MG è tenuto ad informare i pazienti, Il medico di MG è tenuto ad informare i pazienti, oralmente o per iscrittooralmente o per iscritto ( (manifesto in sala d’attesamanifesto in sala d’attesa) ) , circa il trattamento dei dati personali in forma , circa il trattamento dei dati personali in forma chiara ed agevolmente comprensibile, senza chiara ed agevolmente comprensibile, senza trascurare di fornire informazioni circa le trascurare di fornire informazioni circa le modalitàmodalità del trattamento e la del trattamento e la sedesede in cui i dati sono raccolti in cui i dati sono raccolti ((archivio cartaceo, computer di studio , server della archivio cartaceo, computer di studio , server della medicina di retemedicina di rete); l’informativa dovrà anche ); l’informativa dovrà anche indicare gli eventuali indicare gli eventuali incaricatiincaricati del trattamento del trattamento ((segretaria, infermierasegretaria, infermiera) ed i soggetti cui i dati ) ed i soggetti cui i dati potranno essere comunicati (potranno essere comunicati (medici associati o medici associati o sostitutosostituto) (art. 78). ) (art. 78).


InformativaInformativa L’informativa dovrà essere particolarmente analitica nei L’informativa dovrà essere particolarmente analitica nei

casi checasi che “presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato” in in particolare in caso di trattamenti effettuati (art. 78 comma particolare in caso di trattamenti effettuati (art. 78 comma 5) 5)

a) a) per scopi scientificiper scopi scientifici, anche di ricerca scientifica e di , anche di ricerca scientifica e di

sperimentazione clinica controllata di medicinali, in sperimentazione clinica controllata di medicinali, in

conformità alle leggi e ai regolamenti; conformità alle leggi e ai regolamenti;

b) nell’ambito della b) nell’ambito della teleassistenza o telemedicinateleassistenza o telemedicina; ;

c) per fornire altri beni o servizi all’interessato c) per fornire altri beni o servizi all’interessato attraverso una attraverso una

rete di comunicazione elettronicarete di comunicazione elettronica. .


Consenso Consenso Per trattare i dati personali il medico deve ottenere il Per trattare i dati personali il medico deve ottenere il

consenso del paziente, anche se il trattamento è consenso del paziente, anche se il trattamento è effettuato nell’interesse esclusivo della salute del effettuato nell’interesse esclusivo della salute del paziente (art. 75). paziente (art. 75).

Il consenso al trattamento dei dati Il consenso al trattamento dei dati può essere può essere manifestatomanifestato con un'unica dichiarazione, con un'unica dichiarazione, anche anche oralmenteoralmente. In tal caso il consenso è documentato, . In tal caso il consenso è documentato, anziché con atto scritto dell’interessato, con anziché con atto scritto dell’interessato, con annotazione annotazione del medico del medico (art. 81). (art. 81).

Quando il medico fornisce l’informativa per conto di più Quando il medico fornisce l’informativa per conto di più professionisti (professionisti (non è per fortuna obbligatorionon è per fortuna obbligatorio!) il !) il consenso “è reso conoscibile ai medesimi professionisti consenso “è reso conoscibile ai medesimi professionisti con adeguate modalità”. con adeguate modalità”.


Misure di sicurezzaMisure di sicurezza

I dati personali sono custoditi e controllati in I dati personali sono custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di idonee e preventive misure di sicurezza, i rischi di

distruzione o perdita, anche accidentale dei distruzione o perdita, anche accidentale dei datidati

accesso non autorizzatoaccesso non autorizzato

trattamento non consentito o non conforme trattamento non consentito o non conforme alla finalità della raccoltaalla finalità della raccolta

Vietato dunque lasciare ricette mediche nelle Vietato dunque lasciare ricette mediche nelle cassettine in sala d’attesa, cartelle cliniche e CD cassettine in sala d’attesa, cartelle cliniche e CD con i backup dell’archivio pazienti sulla scrivania! con i backup dell’archivio pazienti sulla scrivania!


Adozione delle misure minime di sicurezzaAdozione delle misure minime di sicurezza

Secondo quanto previsto dal Disciplinare tecnico (Secondo quanto previsto dal Disciplinare tecnico (Allegato Allegato BB))

Le prime 26 misure riguardano i trattamenti Le prime 26 misure riguardano i trattamenti con con strumenti elettronicistrumenti elettronici (vi rientra la redazione del (vi rientra la redazione del DPS).DPS).

Le ultime 3 misure riguardano i trattamenti Le ultime 3 misure riguardano i trattamenti senza senza strumenti elettronicistrumenti elettronici: chi tratta i dati solo su : chi tratta i dati solo su supporto cartaceo non è tenuto a redigere il DPS ma supporto cartaceo non è tenuto a redigere il DPS ma nomina, nomina, ove necessario,ove necessario, gli Incaricati e i gli Incaricati e i ResponsabiliResponsabili..

Documento programmatico sulla sicurezzaDocumento programmatico sulla sicurezza obbligatorio per chi tratta dati sensibili e giudiziariobbligatorio per chi tratta dati sensibili e giudiziari va compilato ogni anno entro il 31 marzova compilato ogni anno entro il 31 marzo

non va inviato al Garante ma custodito in studionon va inviato al Garante ma custodito in studio

Come mettere in sicurezza il Come mettere in sicurezza il PCPC

ai sensi del Codice della ai sensi del Codice della privacy?privacy?

Rendere operativa la password di sistemaRendere operativa la password di sistemaImpostare la password in maniera alfanumerica, di lunghezza Impostare la password in maniera alfanumerica, di lunghezza non inferiore agli otto caratteri (esempio: fimmgba,23). non inferiore agli otto caratteri (esempio: fimmgba,23).

Non lasciare mai foglietti in vista recanti la password. Non lasciare mai foglietti in vista recanti la password.

Scegliere una password facile da memorizzare ma che non Scegliere una password facile da memorizzare ma che non contenga il proprio nome o cognome. contenga il proprio nome o cognome.

Rendere operativa la password del programma Rendere operativa la password del programma gestionale gestionale che contiene i dati degli assistiti.che contiene i dati degli assistiti.

Modificare le password ogni tre mesi Modificare le password ogni tre mesi secondo le modalità secondo le modalità sopra indicate.sopra indicate.

Come mettere in sicurezza il Come mettere in sicurezza il PCPC

ai sensi del Codice della ai sensi del Codice della privacy?privacy?

Aggiornare frequentemente il sistema operativo Aggiornare frequentemente il sistema operativo preferibilmente in modalità automatica mediante “live preferibilmente in modalità automatica mediante “live update”.update”.

Dotare il PC di un firewall Dotare il PC di un firewall Il firewall è un software che identifica e blocca tentativi Il firewall è un software che identifica e blocca tentativi di intrusione nel sistema attraverso internet o di intrusione nel sistema attraverso internet o collegamenti in rete.collegamenti in rete.

Dotare il PC di un software antivirusDotare il PC di un software antivirus

Eseguire un backup dei dati almeno settimanale Eseguire un backup dei dati almeno settimanale

da custodire in luogo sicuro.da custodire in luogo sicuro.


Nomina dei responsabili e degli incaricatiNomina dei responsabili e degli incaricati

Possono prestare la propria opera professionale Possono prestare la propria opera professionale solo se hanno ottenuto la preventiva solo se hanno ottenuto la preventiva nomina nomina scrittascritta da parte del titolare del trattamento da parte del titolare del trattamento ..

Responsabile della sicurezzaResponsabile della sicurezza

Ogni Ogni titolare del trattamentotitolare del trattamento, se non delega , se non delega espressamente un altro soggetto quale espressamente un altro soggetto quale responsabile della sicurezza, è esso stesso responsabile della sicurezza, è esso stesso considerato “responsabile” del trattamento (pur considerato “responsabile” del trattamento (pur se non espressamente individuato come tale), in se non espressamente individuato come tale), in relazione alla particolare natura dei dati trattati relazione alla particolare natura dei dati trattati ed ai conseguenti obblighi relativi alla sicurezza.ed ai conseguenti obblighi relativi alla sicurezza.


Limiti alla comunicazione dei datiLimiti alla comunicazione dei dati

La La comunicazione all’interessatocomunicazione all’interessato (paziente) di dati (paziente) di dati sanitari può avvenire solo per il tramite di un medico sanitari può avvenire solo per il tramite di un medico o di altro personale sanitario che abbia rapporti o di altro personale sanitario che abbia rapporti diretti con il paziente e che sia stato designato dal diretti con il paziente e che sia stato designato dal titolare o dal responsabile del trattamento. Art. 84titolare o dal responsabile del trattamento. Art. 84

Il medico curante potrà dare comunicazione ad altri Il medico curante potrà dare comunicazione ad altri soggetti di dati personali dei propri assistiti solo soggetti di dati personali dei propri assistiti solo

- per adempiere ad - per adempiere ad obblighi di Leggeobblighi di Legge

- per rispettare - per rispettare norme o regolamenti di tipo norme o regolamenti di tipo comunitariocomunitario

- su disposizione della - su disposizione della MagistraturaMagistratura

La tutela dei dati personali in Ospedale

Provvedimento del Garante del 9/11/2005Provvedimento del Garante del 9/11/2005

Tutela della dignità Chiamate in sala d’attesa

Riservatezza nei colloqui Liste di pazienti

Distanze di cortesia Informazioni stato di salute

Notizie su reparti e PS Ritiro delle analisi

Il problema della prescrizione dei medicinali in Ospedale

Le forme associative Le forme associative

dell'assistenza primariadell'assistenza primaria

Problemi in relazione alla tutela dei Problemi in relazione alla tutela dei dati dati

• • medicina in retemedicina in rete

• • medicina di gruppomedicina di gruppo

• • UMGUMG

Dalle carte sanitarie al fascicolo elettronicoDalle carte sanitarie al fascicolo elettronico

Le sanzioni della privacyLe sanzioni della privacy

SANZIONISANZIONI

Art. 161Art. 161

Omessa o inidonea informativa per trattamenti Omessa o inidonea informativa per trattamenti che contengono dati sensibiliche contengono dati sensibili

Sanzione amministrativa pecuniaria da € 5.000 a Sanzione amministrativa pecuniaria da € 5.000 a € 30.000€ 30.000 ..

La somma può essere La somma può essere aumentata sino al triploaumentata sino al triplo quando risulta inefficace, in ragione delle condizioni quando risulta inefficace, in ragione delle condizioni economiche dei contrav-ventori.economiche dei contrav-ventori.

Può essere applicata anche la sanzione Può essere applicata anche la sanzione amministrativa accessoria della amministrativa accessoria della pubblicazione pubblicazione dell'ordinanza - ingiunzionedell'ordinanza - ingiunzione, per intero o per , per intero o per estratto, in uno o più giornali indicati nel estratto, in uno o più giornali indicati nel provvedimento del Garante che la applica.provvedimento del Garante che la applica.

SANZIONISANZIONI

Art. 167Art. 167

Trattamento di dati senza il prescritto Trattamento di dati senza il prescritto consensoconsenso

Reclusione da 6 a 18 mesi Reclusione da 6 a 18 mesi se dal fatto deriva se dal fatto deriva un un danno. danno.

Reclusione da 6 a 24 mesiReclusione da 6 a 24 mesi se il trattamento se il trattamento è effettuato in violazione delle regole sulla è effettuato in violazione delle regole sulla comunicazionecomunicazione e sulla e sulla diffusionediffusione di dati. di dati.

SANZIONISANZIONI

Art. 169Art. 169

Omessa adozione delle misure di sicurezzaOmessa adozione delle misure di sicurezza

Costituisce Costituisce illecito penaleillecito penale anche se non si determina anche se non si determina un danno per gli interessati!un danno per gli interessati!

Arresto sino a 2 anniArresto sino a 2 anni o o ammenda da € 10.000 a € ammenda da € 10.000 a € 50.00050.000..

All'autore del reato è impartita una prescrizione All'autore del reato è impartita una prescrizione fissando un termine per la regolarizzazione non fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente eccedente il periodo di tempo tecnicamente necessario (non superiore a 6 mesi). necessario (non superiore a 6 mesi). L'adempimento L'adempimento e il pagamento estinguono il reato.e il pagamento estinguono il reato.

SANZIONISANZIONI

Art. 162Art. 162

Violazione delle prescrizioni in ordine alla Violazione delle prescrizioni in ordine alla comunicazione di dati in ambito sanitariocomunicazione di dati in ambito sanitario

Sanzione amministrativa pecuniaria da € 500 a € Sanzione amministrativa pecuniaria da € 500 a € 3.0003.000 nel caso in cui i dati personali, idonei a rivelare nel caso in cui i dati personali, idonei a rivelare lo stato di salute, siano resi noti all'interessato, da lo stato di salute, siano resi noti all'interessato, da parte degli esercenti le professioni sanitarie ed parte degli esercenti le professioni sanitarie ed organismi sanitari, tramite persona diversa dal organismi sanitari, tramite persona diversa dal medico designato dall'interessato o dal titolare.medico designato dall'interessato o dal titolare.

Può essere applicata anche la sanzione Può essere applicata anche la sanzione amministrativa accessoria della amministrativa accessoria della pubblicazione pubblicazione dell'ordinanza - ingiunzionedell'ordinanza - ingiunzione, per intero o per , per intero o per estratto, in uno o più giornali indicati nel estratto, in uno o più giornali indicati nel provvedimento del Garante che la applica.provvedimento del Garante che la applica.

Spero di non avervi ……Spero di non avervi ……

Spero di non avervi ……Spero di non avervi ……

stancato: stancato: graziegrazie per per l’attenzione!l’attenzione!

Corso di Formazione in Medicina Generale Bari 29 maggio 2007 La privacy nella medicina generale...

Documents

Transcript of Corso di Formazione in Medicina Generale Bari 29 maggio 2007 La privacy nella medicina generale...