Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Luigi Foglia
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Franco Cardin
-
Upload
digital-law-communication -
Category
Law
-
view
16 -
download
0
Transcript of Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Franco Cardin
eHalth e protezione dei dati personali
anche alla luce del nuovo
Regolamento UE 679/2016
Franco Cardin
Coordinatore Consiglio Direttivo ANORC
Coordinatore nazionale ANORC Privacy
Le sfide dei sistemi di assistenza
sanitaria in Europa 1/2
La spesa pubblica in ambito sanitario nei 27 Stati membri dell’UE
e passata da una media del 5,9% del PIL nel 1990 al 7,2% del
PIL nel 2010 e secondo le proiezioni il dato potrebbe crescere
ulteriormente fino all’8,5% del PIL nel 2060;
Le attuali stime prevedono che la percentuale della popolazione
anziana (over 65) e molto anziana (over 80) nell’UE dovrebbe
crescere rispettivamente dal 17,4% del 2010 al 30,0% nel 2060 e
dal 4,7% del 2010 al 12,1% nel 2060.
Le sfide dei sistemi di assistenza
Sanitaria in Europa 2/2
Lo scenario epidemiologico, socioeconomico e culturale, in cui oggi
operano i sistemi sanitari, e caratterizzato:
da un progressivo invecchiamento della popolazione e dalla conseguente
diffusione di patologie cronico-degenerative che si caratterizzano per
l’elevata onerosità di gestione, sia in fase di ricovero che di assistenza
territoriale;
dall ’assunzione da parte dei cittadini/utenti di un ruolo sempre più
proattivo con conseguenti richieste di maggiore trasparenza e
partecipazione al percorso diagnostico, terapeutico e riabilitativo che li
riguarda, al fine di migliorare il proprio benessere.
Commissione Europea: Piano d’Azione
“Sanità Elettronica” 2012-2020
Le opportunità della sanità elettronica in Europa
L’utilizzo di soluzioni e strumenti di sanità elettronica, comprese le
applicazioni per dispositivi mobili (Mobile Health), accompagnato da
adeguati cambiamenti di ordine organizzativo nei sistemi sanitari, può
comportare:
un miglioramento della salute e della qualità della vita dei
cittadini/utenti, dovuta alla maggiore efficacia dei processi di cura e di
riabilitazione;
una maggiore efficienza e produttività dei sistemi sanitari e,
conseguentemente, la possibilità di preservarne la sostenibilità
economica;
un’opportunità di crescita del mercato delle tecnologie informatiche e
telematiche dedicate alla sanità.
Commissione Europea: Piano d’Azione
“Sanità Elettronica” 2012-2020
Gli ostacoli allo sviluppo della sanità elettronica in Europa
Nonostante queste opportunità e vantaggi, la diffusione su vasta scala
dell’eHealth e, in particolare dell’mHealth, e intralciata dai seguenti
ostacoli:
sensibilizzazione carente e scarsa fiducia nelle soluzioni di sanità
elettronica da parte di cittadini/pazienti e operatori sanitari;
mancanza di interoperabilità tra le diverse soluzioni di sanità
elettronica;
assenza di chiarezza giuridica sulle applicazioni mobili nel settore
sanitario e del benessere e mancanza di trasparenza sull’uso dei
dati rilevati con tali applicazioni;
Il “Privacy sweet 2014”
Indagine realizzata nella settimana tra il 12 e il 18 maggio 2014,
promossa dal Global Privacy Enforcement Network (GPEN), la
rete internazionale nata per rafforzare la cooperazione tra 28
Autorità della privacy di diversi Paesi.
Considerata la particolare natura sensibile dei dati personali
utilizzati, nonché il sempre crescente sviluppo del settore della
mHealth, l’Autorità Garante del nostro paese ha scelto di
effettuare l’indagine nell’ambito delle applicazioni mediche,
accertando che circa il 50% di queste app, non fornisce agli utenti
un’adeguata informativa prima del loro download o raccoglie dati
personali eccedenti e non pertinenti rispetto alle funzionalità
offerte.
Sanità digitale
ePrescription - ricetta medica elettronica;
Dematerializzazione dei referti medici e delle cartelle cliniche;
Referti online;
Fascicolo sanitario elettronico
Strategia per la crescita digitale 2014 - 2020 (Presidenza Consiglio dei Ministri 3.3.2015)
I percorsi assistenziali per il cittadino e
le soluzioni di sanità digitale a supporto
Sanità digitale e protezione dei dati personali Dott. Franco Cardin
9
Il processo di digitalizzazione in sanità va senz'altro promosso
ma anche governato con molta attenzione perché coinvolge
categorie di dati personali tra le più delicate (dati idonei a
rivelare lo stato di salute)
E’ significativo che per i dati sanitari e genetici il nuovo
Regolamento (EU) 2016/679, pur promuovendo con misure di
favore la ricerca medica, scientifica ed epidemiologica, sancisca
non solo una tutela rafforzata ma legittimi i singoli Stati, con una
clausola di flessibilità, ad introdurre ulteriori garanzie.
Opportunità e rischi insiti nel processo di
digitalizzazione dei dati e dei documenti sanitari
La perdita, la sottrazione, l'alterazione, l'abuso di un dato
sanitario non solo viola la dignità di una persona, ma anche
rischia di determinare errori diagnostici o terapeutici, con
conseguenze anche letali. La carente sicurezza dei dati e dei
sistemi che li ospitano può rappresentare, in altri termini, una
causa di malasanità.
Per questo, nel processo di digitalizzazione della sanità la
frammentazione, l'assenza di un piano organico di sicurezza e
la disomogeneità che hanno caratterizzato l'informatizzazione
della pubblica amministrazione nel nostro Paese, sono ancora
più pericolose che in ogni altro settore.
Opportunità e rischi insiti nel processo di
digitalizzazione dei dati e dei documenti sanitari
Recenti ricerche hanno indicato il settore sanitario come uno di quelli
esposti ai maggiori rischi in termini di cyberattacchi perché carente di un
piano organico di sicurezza e protezione, oltre che di risorse necessarie
per investimenti sulle infrastrutture informative.
E’ necessario garantire che il processo di innovazione tecnologica sia
accompagnato da misure tali da assicurare autenticazione dei dati, loro
tracciabilità, accessi selettivi, cifratura, sistemi di alert, attività di auditing.
La protezione del paziente dalle nuove vulnerabilità dev'essere un
obiettivo centrale per un sistema sanitario all'altezza delle sfide della
società digitale, in cui parallelamente alle opportunità (di ricerca, di cura,
di avanzamento della diagnosi e delle terapie) crescono anche i rischi, tra
moltiplicazione delle biobanche, assistenza sanitaria transfrontaliera,
telematizzazione dei percorsi diagnostici, genomica e interoperabilità delle
cartelle cliniche.
Opportunità e rischi insiti nel processo di
digitalizzazione dei dati e dei documenti sanitari
Deliberazione del Garante per la protezione dei dati personali del 16 luglio
2009 “Linee guida in tema di Fascicolo sanitario elettronico e di dossier
sanitario”;
Documento del Ministero della Salute dell’11 novembre 2010 “ Il Fascicolo
Sanitario Elettronico: linee guida nazionali” (approvato in Conferenza Stato –
Regioni il 10.02.2011);
Legge 17 dicembre 2012, n. 221 - art. 12 “Fascicolo sanitario elettronico e
sistemi di sorveglianza nel settore sanitario”;
Legge 9 agosto 2013, n. 98 - art. 17 “Misure per favorire la realizzazione del
Fascicolo sanitario elettronico”;
Provvedimento del Garante per la protezione dei dati personali n. 331 del 4
giugno 2015 “Linee guida in materia di Dossier sanitario”;
DPCM n. 178 del 29 settembre 2015 “Regolamento in materia di fascicolo
sanitario elettronico”;
Quadro normativo di riferimento
sul FSE e sul Dossier sanitario
Sanità digitale e protezione dei dati personali Dott. Franco Cardin
13
Dossier sanitario e trattamento dei dati personali dei pazienti -
10 gennaio 2013 (Azienda Ospedaliero Universitaria Ospedali
riuniti di Trieste);
Trattamento di dati tramite il dossier sanitario aziendale - 3
luglio 2014 (Azienda Sanitaria dell’Alto Adige);
Dossier sanitario elettronico e privacy dei pazienti - 23 ottobre
2014 (Azienda Ospedaliero Universitaria S. Orsola Malpighi di
Bologna);
Provvedimenti prescrittivi del Garante
in materia di dossier sanitario
Dossier sanitario e trattamento dei dati personali dei pazienti - 10 gennaio 2013
(Azienda Ospedaliero Universitaria Ospedali riuniti di Trieste);
Trattamento di dati tramite il dossier sanitario aziendale - 3 luglio 2014 (Azienda
Sanitaria dell’Alto Adige);
Dossier sanitario elettronico e privacy dei pazienti - 23 ottobre 2014 (Azienda
Ospedaliero Universitaria S. Orsola Malpighi di Bologna);
Illeicità nel trattamento di dati personali e sensibili presso una struttura
ospedaliera - 18 dicembre 2014 (Azienda Policlinico Umberto I di Roma);
Dossier sanitario: prescrizioni per il sistema informativo delle prestazioni
sanitarie erogate da un’Azienda sanitaria - 22 ottobre 2015 (Azienda USL 11 di
Empoli);
Dossier sanitario elettronico e trattamento di dati personali da parte di
un’azienda ospedaliera - 22 giugno 2016 (Azienda Ospedaliera Sant’Andrea di
Roma);
Provvedimenti prescrittivi del Garante
in materia di dossier sanitario
Rilievi e relative prescrizioni del Garante
costituire il dossier sanitario del paziente solamente dopo aver acquisito un
suo consenso specifico e informato, distinto da quello prestato per finalità
di cura;
consentire l’accesso al dossier sanitario tramite un adeguato sistema di
autorizzazione;
consentire l’accesso al dossier sanitario al solo personale sanitario
coinvolto nel processo di cura del paziente e per il tempo strettamente
necessario;
consentire l’accesso al dossier sanitario solo attraverso il nome e cognome
del paziente e non anche attraverso richieste effettuate con porzioni di
nome e cognome, date di nascita, o cap di residenza;
garantire al paziente la possibilità di "oscurare" nel proprio dossier sanitario
la visibilità di alcuni eventi clinici ( es. HIV, droga, alcool, ecc. );
prevedere un sistema di log che permetta un’attività di controllo degli
accessi e delle operazioni effettuate ( es. lettura, modifica ecc. ).
Regolamento (UE) 2016/679
Considerando 8
Ove il presente regolamento preveda specificazioni o
limitazioni delle sue norme ad opera del diritto degli Stati
membri, gli Stati membri possono, nella misura
necessaria per la coerenza e per rendere le disposizioni
nazionali comprensibili alle persone cui si applicano,
integrare elementi del presente regolamento nel proprio
diritto nazionale.
Regolamento (UE) 2016/679
Considerando 10
……… In combinato disposto con la legislazione generale e
orizzontale in materia di protezione dei dati che attua la direttiva
95/46/CE gli Stati membri dispongono di varie leggi settoriali in
settori che richiedono disposizioni più specifiche. Il presente
regolamento prevede anche un margine di manovra degli Stati
membri per precisarne le norme, anche con riguardo al trattamento
di categorie particolari di dati personali («dati sensibili»). In tal
senso, il presente regolamento non esclude che il diritto degli Stati
membri stabilisca le condizioni per specifiche situazioni di
trattamento, anche determinando con maggiore precisione le
condizioni alle quali il trattamento di dati personali e lecito.
Regolamento (UE) 2016/679
Considerando 53
………Gli Stati membri dovrebbero rimanere liberi di
mantenere o introdurre ulteriori condizioni, fra cui
limitazioni, con riguardo al trattamento di dati genetici,
dati biometrici o dati relativi alla salute, senza tuttavia
ostacolare la libera circolazione dei dati personali
all'interno dell'Unione quando tali condizioni si applicano
al trattamento transfrontaliero degli stessi.
Regolamento (UE) 2016/679
Considerando 171
Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Il
trattamento già in corso alla data di applicazione del presente
regolamento dovrebbe essere reso conforme al presente
regolamento entro un periodo di due anni dall'entrata in vigore del
presente regolamento. Qualora il trattamento si basi sul consenso a
norma della direttiva 95/46/CE, non occorre che l'interessato presti
nuovamente il suo consenso, se questo e stato espresso secondo
modalità conformi alle condizioni del presente regolamento, affinche
il titolare possa proseguire il trattamento in questione dopo la data
di applicazione del presente regolamento. Le decisioni della
Commissione e le autorizzazioni delle autorità di controllo basate
sulla direttiva 95/46/CE rimangono in vigore fino a quando non
vengono modificate, sostituite o abrogate.
Regolamento (UE) 2016/679
Articolo 9 -Trattamento di categorie particolari di dati personali
1. ........
2. ........
3. ........
4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni,
comprese limitazioni, con riguardo al trattamento di dati genetici, dati
biometrici o dati relativi alla salute.
Regolamento (UE) 2016/679
Pur essendo fondamentale che i titolari del
trattamento avviino fin d’ora le attività di analisi e
di adeguamento al nuovo regolamento europeo,
e opportuno evitare iniziative frettolose e
premature che, a seguito dell’eventuale
normativa integrativa o attuativa, sia europea
che nazionale, potrebbero venire vanificate o
rese inadeguate.
Che fare ?
Garantire entro il 25 maggio 2018 un’effettiva e
sostanziale applicazione dei principi, delle regole, e
delle misure di sicurezza previsti nel D. Lgs. 196/03
nonché nelle diverse linee guida del Garante
privacy in materia di sanità digitale, consentirebbe
alle aziende sanitarie pubbliche e private di dare
attuazione alla maggior parte degli obblighi che il
nuovo regolamento europeo prevede in capo ai
titolari del trattamento e di essere in grado di
dimostrarlo.
Un possibile percorso
1. costituire da subito una squadra multidisciplinare (giurista, informatico,
esperto di organizzazione, esperto di processi);
2. mappare tutti i trattamenti in corso o programmati utilizzando anche lo
strumento delle interviste ai dirigenti;
3. effettuare una gap analysis;
4. predisporre un piano di transizione (tutto quello che e già compliance va
mantenuto);
5. designare il DPO;
6. effettuare, se necessario, la valutazione d’impatto sulla protezione dei dati;
7. rivedere informative e consensi;
8. revisionare i testi degli incarichi (soprattutto quelli relativi ai responsabili);
9. predisporre le procedure per garantire e facilitare l’esercizio dei diritti degli
interessati;
10. formare gli incaricati;
11. garantire un presidio continuativo sia legale che informatico;
12. predisporre un piano di sicurezza.