Decreto legislativo 196/2003 ed il MEDICO

DEL LAVOROAdempimenti correlati al

Decreto Legislativo 196/2003 nella nostra attività

professionale quotidiana

OGGETTO: TUTTI COLORO CHE SVOLGONO

TRATTAMENTI DI DATI PERSONALI IN UNA ATTIVITA’

NON PERSONALE

VEDI ARTICOLO 4, COMMA 1, LETTERA A

ART 4, COMMA 1, LETTERA A

• ”trattamento”, qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

PRINCIPI GENERALI ED AMBITO DI APPLICAZIONE

NUOVO DIRITTO SOGGETTIVO:

• Protezione dei dati personali

• Diritto alla riservatezza

• Diritto all’identità personale

3 SOGGETTI: interessato, titolare e garante della privacy

• Obblighi e adempimenti a carico del titolare

• Diritti a carico dell’interessato

• Istituzione del Garante della Privacy, organo pubblico terzo che vigila sull’osservanza degli obblighi da parte del titolare e sulla possibilità di esercizio dei diritti da parte dell’interessato

TITOLARI DEL TRATTAMENTO

• Chiunque abbia un’attività che comporti trattamento di dati personali ed ha capacità decisionali sulla modalità e sulla finalità del trattamento è individuato come titolare del trattamento e dovrà adempiere agli obblighi previsti dal decreto per tutelare gli interessati (soggetti cui le informazioni si riferiscono)

PRINCIPALI OBBLIGHI DEL TITOLARE

a) Obbligo di notificare il trattamento dei dati al garante

• Nella 675/96 vi era obbligo generalizzato di notifica ad eccezione di alcuni casi specifici

• Con la legge in vigore nessuno deve notificare tranne alcuni casi specifici

N.B. in questi casi specifici la notifica deve avvenire direttamente in forma digitale con spedizione via e-mail

Lett. a e b del comma 1 dell’art. 37

• Sembrano applicabili all’attività in esame l’attività di trattamento che riguardi “dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti”

b) OBBLIGO DI RICHIEDERE AUTORIZZAZIONE PER

TRATTAMENTO DEI DATI SENSIBILI AL GARANTE

• Per dati sensibili si intende il nucleo della riservatezza “dati personali idonei a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni etc, e dati personali idonei a rilevare stato di salute e la vita sessuale

• Art. 26 prevede:

RICHIESTA DI AUTORIZZAZIONE

• Diverso da obbligo di notifica: questa richiesta di autorizzazione è un elemento di procedibilità; se l’autorità non si pronuncia entro 45 gg c’è il silenzio-rigetto

• La notifica è da fare una sola volta prima del trattamento e si può iniziare a trattare subito i dati (art. 38, comma 1)

AUTORIZZAZIONE GENERALEart. 26, comma 3

• Possibilità studiata in via preliminare per i soggetti che si trovano nelle condizioni di avere il consenso preventivo dell’Autorità al trattamento dei dati sensibili

• Vedremo le autorizzazioni generali che si possono applicare per evitare di adempiere all’obbligo citato

c) OBBLIGO DI FORNIRE L’INFORMATIVA

ALL’INTERESSATO

• Doppio controllo sull’attività del titolare: uno pubblico da parte del garante ed uno privato da parte dell’interessato che deve ricevere informativa relativa all’attività di trattamento

• Adempimento per via orale o scritta

ECCEZIONI art 13, comma 5

• Trattamento avente ad oggetto dati raccolti non in prima persona dal titolare, ma da soggetti terzi

• Che avvenga per obbligo previsto dalla legge

• Investigazioni difensive• In caso di impiego di mezzi spropositato per

fornire informativa ad interessato

Art. 13

• Art. 13 - Informativa

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.

2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.

3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

5. La disposizione di cui al comma 4 non si applica quando:a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un

regolamento o dalla normativa comunitaria;

b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;

c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile

d) OBBLIGO DI RICHIEDERE CONSENSO DELL’INTERESSATO

PER IL TRATTAMENTO

• Il consenso è previsto dall’art. 23 e deve essere espresso liberamente e specificatamente in riferimento a determinato trattamento chiaramente individuato

• Il consenso deve essere documentato per iscritto (se per dati sensibili, il consenso deve essere specifico ed esclusivo)

ECCEZIONI

• Art. 24 - Casi nei quali può essere effettuato il trattamento senza consenso

1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

Art.26• Art. 26 - Garanzie per i dati sensibili

1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare.3. Il comma 1 non si applica al trattamento:d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111.

CONSENSO

• PER IL MEDICO DEL LAVORO LA RICHIESTA DI CONSENSO E L’INFORMATIVA E’ INUTILE E RIDONDANTE (ma se i dati vengono utilizzati per uno scopo ulteriore l’eccezione viene a cadere)

e) Obbligo di consentire l’esercizio dei diritti da parte dell’interessato

• Art. 7 - Diritto di accesso ai dati personali ed altri diritti

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L'interessato ha diritto di ottenere:a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano,

ancorché pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

OBBLIGO DI ADOTTARE MISURE DI SICUREZZA

• Disciplinate da Titolo V, parte I

• Dettagliate negli aspetti tecnici all’allegato B denominato “Disciplinare tecnico in materia di misure di sicurezza”

Cercare di pensare agli adempimenti per la 196 come ad un modo per migliorare la qualità del proprio lavoro

2 LIVELLI: MISURE IDONEE E MISURE MINIME

• Le misure idonee esonerano da qualsiasi responsabilità (civile e penale) il titolare (art. 31)

• Le misure minime (art. 33 e ss ed allegato B) eliminano esclusivamente la responsabilità penale ma non quella civile

MISURE IDONEE: FINALITA’

• Evitare distruzione o perdita di dati trattati: programmi antivirus, procedure di back-up e disaster recovery

• Evitare l’accesso non autorizzato ai dati personali trattati: firewall

• Necessità di avere identificazione di chi accede al sistema informatico attraverso parola chiave password (otto caratteri alfanumerici) associata a codice identificativo (userid)

DIFFERENZA MISURE IDONEE MISURE MINIME

• Per legge gli antivirus devono essere aggiornati ogni 6 mesi; se aggiornati ogni 5 mesi ho adottato misure minime che mi tutelano da procedimenti penali ma non civili, se aggiorno quotidianamente risultano essere misure idonee che mi tutelano anche in sede civile

AUTENTICAZIONE INFORMATICA

• Credenziali di autenticazioni

a) Password riservata (otto caratteri) conosciuta solo dal titolare, senza riferimenti al titolare, modificata al primo utilizzo ed ogni 6 mesi (se dati sensibili ogni 3 mesi)

b) dispositivo di autenticazione ad uso esclusivo dell’incaricato (badge, pass..)

c) Caratteristica biometrica dell’incaricato

SISTEMI DI AUTORIZZAZIONE

• Oltre ad essere autenticati, gli individui che svolgono operazioni di trattamento devono essere autorizzati

Es. assistente dello studioa) Ogni incaricato o classe omogenea deve

avere un profilo di autorizzazione individuato e configurato anteriormente all’inizio del trattamento per limitare l’accesso ai soli dati necessari

AUTORIZZAZIONE II

b) Periodicamente, almeno ogni 6 mesi, deve essere verificata la sussistenza delle condizioni necessarie a conservare i profili citati

c) Nell’aggiornamento periodico possono essere individuati gruppi omogenei e relativi profili di autorizzazione

PROTEZIONE STRUMENTI INFORMATICI E DATI

• Il codice richiede protezione del sistema informatico:

1) Antivirus

2) Patch di sistema

3) Firewall (per dati sensibili e giudiziari)

BACK UP E RIPRISTINO DATI E SISTEMI

• Salvataggio dei dati con frequenza settimanale

• Procedure per ripristino del sistema (per dati sensibili e giudiziari): disaster recovery es. disco di ripristino del sistema

DOCUMENTO PROGRAMMATICO DELLA SICUREZZA

• La normativa prevede l’obbligo di procedere alla redazione del DPS solo per i titolari che operano un trattamento di dati sensibili o di dati giudiziari in forma elettronica (parere garante del 22 marzo 2004).

DPS

• Il documento doveva essere redatto entro il 30 giugno 2004 (poi prorogato più volte) ed aggiornato il entro il 31 marzo di ogni anno (occasione per controllo annuale degli accorgimenti volti a garantire l’efficacia delle misure attuate)

Contenuti del DPS

• Elenco dei trattamenti effettuati• Distribuzione compiti e responsabilità• Analisi dei rischi che incombono sui dati• Misure da adottare per garantire l’integrità dei

dati, nonché la protezione delle aree e dei locali• Descrizione delle modalità per ripristino dati• Previsione di incontri informativi per gli incaricati• Descrizione dei criteri adottati per l’affidamento di

dati a terzi

DPS uno dei tanti...

• Il DPS è uno dei vari accorgimenti tecnici previsti

• Predisporlo senza avere le misure minime è inopportuno ed è una forma di autodenuncia

• Dichiarare il falso è punibile PENALMENTE

• Vedi linee guida sul sito www.garanteprivacy.it

ALTRE MISURE art. 25 e 26 ed allegato B

• Impartite istruzioni organizzative e tecniche per custodia e uso di supporti rimovibili che contengono dati sensibili e giudiziari

• Obblighi ulteriori per esercenti professioni sanitarie: cifratura informazione e protezione dei locali contenenti i dati

• Il titolare che adotta le misure minime avvalendosi di consulenti esterni deve ricevere dall’installatore descrizione scritta dell’intervento che ne attesti la conformità (vedi all. B)

MISURE MINIME PER TRATTAMENTI EFFETTUATI SENZA L’AUSILIO DI MEZZI

ELETTRONICI• Agli incaricati sono impartite istruzioni scritte finalizzate

al controllo e custodia degli atti, delle operazioni di trattamento e dei documenti con dati personali

• Aggiornamento periodico, con cadenza almeno annuale, per individuare le operazioni di trattamento consentite ai singoli o a classi omogenee e relativi profili di autorizzazione

• Gli atti e documenti contenenti dati personali sensibili o giudiziari, affidati agli incaricati, dovranno essere controllati e custoditi da questi sino alla restituzione

• L’accesso ad archivi contenenti dati sensibili o giudiziari deve essere controllato ad es. armadio chiuso a chiave (chiave in possesso delle persone autorizzate)

• Le persone ammesse dopo l’orario di chiusura, sono identificate e registrate

TITOLO V art. 75 al 94Trattamento di dati personali in

ambito sanitario• Art 76 Gli esercenti le professioni sanitarie e gli organismi

sanitari pubblici,trattano i dati personali idonei a rivelare lo stato di salute:

• a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato;

• b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.

Sintesi art 76

• Se soggetto di riferimento è l’interessato, si chiede consenso ma non autorizzazione

• Se soggetto di riferimento è un terzo o collettività si chiede autorizzazione garante ma non consenso dell’interessato

Art 83, altre misure per rispetto privacy

• 1. I soggetti di cui agli articoli 78, 79 e 80 adottano idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza.

2. Le misure di cui al comma 1 comprendono, in particolare:• a) soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad

adempimenti amministrativi preceduti da un periodo di attesa all'interno di strutture, un ordine di precedenza e di chiamata degli interessati prescindendo dalla loro individuazione nominativa;

b) l'istituzione di appropriate distanze di cortesia, tenendo conto dell'eventuale uso di apparati vocali o di barriere;

c) soluzioni tali da prevenire, durante colloqui, l'indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute;

d) cautele volte ad evitare che le prestazioni sanitarie, ivi compresa l'eventuale documentazione di anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti;

e) il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;

f) la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa essere data correttamente notizia o conferma anche telefonica, ai soli terzi legittimati, di una prestazione di pronto soccorso;

g) la formale previsione, in conformità agli ordinamenti interni delle strutture ospedaliere e territoriali, di adeguate modalità per informare i terzi legittimati in occasione di visite sulla dislocazione degli interessati nell'ambito dei reparti, informandone previamente gli interessati e rispettando eventuali loro contrarie manifestazioni legittime di volontà;

h) la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute;

i) la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

OBBLIGO DI NOTIFICA

• Provvedimento n. 1/2004 del 31 marzo 2004 in GU del 6 aprile 2004, n 81

”Provvedimento relativo ai casi da sottrarre all’obbligo di notifica”

Ulteriore provvedimento il 26 aprile 2004 con riferimento esplicito all’igiene ed alla sicurezza sul lavoro

IL MEDICO NON NOTIFICA AL GARANTE

• Il medico non ha obbligo di notifica anche se era stata effettuata nel periodo di vigenza della 675 del 1996

OBBLIGO DI AUTORIZZAZIONE PER TRATTARE DATI SENSIBILI

• Vi è una autorizzazione generale

• In particolare AG numero 2: “autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale” che espressamente autorizza una serie di soggetti a trattare tali dati (medici, odontoiatri, farmacisti, psicologi, infermieri etc.)

OBBLIGO DI FORNIRE INFORMATIVA

• L’informativa (art. 13) rende edotto il soggetto attraverso la comunicazione di informazioni sul titolare e la sua attività: estremi identificativi di tale soggetto, finalità e modalità del trattamento cui sono destinati i dati, diritti dell’interessato etc.

• Eccezioni: se i dati sono trattati in base ad obbligo di legge, regolamento o norma comunitaria

SCADENZE ED ADEMPIMENTI PERIODICI

• 31 dicembre 2005 DPS, misure di sicurezza art. 33-35

• 31 marzo di ogni anno

Aggiornamento DPS, verifica caratteristiche responsabili, verifica mantenimento incaricati, programmazione formazione, verifica misure di sicurezza

• Ogni anno:Verifica ambito di trattamento consentito ai

singoli incaricati

Verifica autorizzazioni per gli incaricati

Verifica operazioni di back up settimanale

Formazione incaricati

Aggiornamento patch

• Ogni sei mesi:

aggiornamento antivirus

aggiornamento patch (in caso di dati sensibili)

cambiamento password (se dati comumi)

• Ogni 3 mesi: Cambiamento password se dati sensibili

• Ogni settimana:

back-up

• Dopo 7 gg:

ripristino dell’accesso ai dati sensibili in caso di danneggiamento

Sanzioni per misure di sicurezza

• Se non sono adottate quelle minime: arresto sino a 2 anni e ammenda da 10000 a 50000 euro