Smau Padova 2015 - Franco Cardin

of 40 /40
eHealth e protezione dei dati personali Do#. Franco Cardin

Embed Size (px)

Transcript of Smau Padova 2015 - Franco Cardin

  • eHealth e protezione dei dati personali

    Do#. Franco Cardin

  • Le sde dei sistemi di assistenza sanitaria in Europa 1/2

    La spesa pubblica in ambito sanitario nei 27 Sta? membri dellUE passata da una media del 5,9% del PIL nel 1990 al 7,2% del PIL nel 2010 e secondo le proiezioni il dato potrebbe crescere ulteriormente no all8,5% del PIL nel 2060;

    Le a#uali s?me prevedono che la quota della popolazione aPva

    subira una forte contrazione, passando dal 61% al 51% della popolazione complessiva, mentre la percentuale della popolazione anziana (over 65) e molto anziana (over 80) nellUE dovrebbe crescere rispePvamente dal 17,4% del 2010 al 30,0% nel 2060 e dal 4,7% del 2010 al 12,1% nel 2060.

  • Le sde dei sistemi di assistenza sanitaria in Europa 2/2 Lo scenario epidemiologico, socioeconomico e culturale, in cui oggi operano i sistemi sanitari, cara#erizzato: da un progressivo invecchiamento della popolazione e dalla

    conseguente diusione di patologie cronico-degenera?ve che si cara#erizzano per lelevata onerosit di ges?one, sia in fase di ricovero che di assistenza territoriale;

    dallassunzione da parte dei ci#adini/uten? di un ruolo sempre pi

    proaPvo con conseguen? richieste di maggiore trasparenza e partecipazione al percorso diagnos?co, terapeu?co e riabilita?vo che li riguarda, al ne di migliorare il proprio benessere (pa?ent empowerment).

  • Agenda Digitale Europea: pillar n. 7

    Prevede le seguen? 4 azioni rivolte alla sanit, rispePvamente indirizzate a: accesso on-line sicuro ai propri da? sanitari e diusione della

    telemedicina; denizione di un Minimum Data Set per i da? del paziente

    (Pa?ent Summary); interoperabilit dei sistemi di eHealth; supporto allAmbient Assisted Living (la domo?ca a supporto

    della disabilit e della fragilit);

  • Commissione Europea: Piano dAzione Sanit Ele#ronica 2012-2020 Le opportunit della sanit ele#ronica in Europa

    Lu?lizzo di soluzioni e strumen? di sanit ele#ronica, comprese le applicazioni per disposi?vi mobili (Mobile Health), accompagnato da adegua? cambiamen? di ordine organizza?vo nei sistemi sanitari, pu comportare: un miglioramento della salute e della qualit della vita dei

    ci#adini/uten?, dovuta alla maggiore ecacia dei processi di cura e di riabilitazione;

    una maggiore ecienza e produPvit dei sistemi sanitari e, conseguentemente, la possibilit di preservarne la sostenibilit economica;

    unopportunit di crescita del mercato delle tecnologie informa?che e telema?che dedicate alla sanit.

  • Commissione Europea: Piano dAzione Sanit Ele#ronica 2012-2020 Gli ostacoli allo sviluppo della sanit ele#ronica in Europa

    Nonostante queste opportunit e vantaggi, la diusione su vasta scala delleHealth e, in par?colare dellmHealth, intralciata dai seguen? ostacoli: sensibilizzazione carente e scarsa ducia nelle soluzioni di

    sanit ele#ronica da parte di ci#adini/pazien? e operatori sanitari;

    mancanza di interoperabilit tra le diverse soluzioni di sanit ele#ronica;

    assenza di chiarezza giuridica sulle applicazioni mobili nel se#ore sanitario e del benessere e mancanza di trasparenza sulluso dei da? rileva? con tali applicazioni;

  • Il Privacy sweet 2014

    Indagine realizzata nella sePmana tra il 12 e il 18 maggio 2014, promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale nata per raorzare la cooperazione tra 28 Autorit della privacy di diversi Paesi.

    Considerata la par?colare natura sensibile dei da? personali

    u?lizza?, nonch il sempre crescente sviluppo del se#ore della mHealth, lAutorit Garante del nostro paese ha scelto di ee#uare lindagine nellambito delle applicazioni mediche, accertando che circa il 50% di queste app, non fornisce agli uten? unadeguata informa?va prima del loro download o raccoglie da? personali ecceden? e non per?nen? rispe#o alle funzionalit oerte.

  • Sanit digitale ePrescrip?on - rice#a medica ele#ronica; Dematerializzazione dei refer? medici e delle cartelle cliniche;

    Refer? online; Fascicolo sanitario ele#ronico.

    Strategia per la crescita digitale 2014 - 2020 (PCM 3.3.2015)

  • I percorsi assistenziali per il ci#adino e le soluzioni eHealth a supporto

  • ePrescription - ricetta medica elettronica

    DM 2 novembre 2011: modalit tecniche per la

    dematerializzazione della rice#a medica cartacea per le prescrizioni a carico del SSN e dei SASN;

    Legge 17 dicembre 2012, n. 221 - art. 13, comma 1: ha stabilito

    che le Regioni e le Province Autonome devono provvedere alla graduale sos?tuzione delle prescrizioni in formato cartaceo con equivalen? in formato ele#ronico, in percentuali che non dovranno risultare inferiori al 60% nel 2013, all'80% nel 2014 e al 90% nel 2015.

  • ePrescription - ricetta medica elettronica La sos?tuzione delle prescrizioni mediche di farmaceu?ca e specialis?ca in formato cartaceo con quelle in formato ele#ronico, un passaggio obbligato nell'automazione dei processi di comunicazione sia all'interno delle stru#ure di ricovero e cura, sia tra i MMG/PLS, in quanto rende possibile: il controllo dell'appropriatezza prescriPva e della sicurezza in funzione delle

    allergie del paziente e delle terapie in corso, con conseguente miglioramento della qualit delle cure e della riduzione dei rischi per il paziente (alimentazione del FSE);

    un migliore monitoraggio e controllo della spesa sanitaria;

    dal 1 gennaio 2014, le prescrizioni farmaceu?che generate in formato ele#ronico sono valide su tu#o il territorio nazionale

  • Dematerializzazione dei referti medici

    Linee guida per la dematerializzazione della documentazione clinica in diagnos?ca per immagini - norma?va e prassi:

    parere favorevole del Garante per la protezione dei da? personali del 26 novembre 2009;

    approvate in conferenza Stato Regioni il 4 aprile 2012; recepimento a cura delle singole Regioni e Province autonome.

  • Linee guida per la dematerializzazione della documentazione clinica in diagnos?ca per immagini - normativa e prassi:

    con?ene una de#agliata analisi dei presuppos? giuridici e norma?vi a supporto del processo di dematerializzazione della documentazione clinica in diagnos?ca per immagini, in termini di valenza giuridico-probatoria e medico-legale;

    specica i tempi di conservazione; fornisce direPve pra?che e di faPbilit per ges?re i refer? (compresi

    quelli stru#ura?) e le immagini di diagnos?ca in formato digitale in ognuna delle seguen? fasi: - creazione del referto - so#oscrizione con rma digitale - consolidamento (marcatura temporale) - conservazione digitale a norma

    Dematerializzazione dei refer? medici

  • Dematerializzazione delle cartelle cliniche Legge 4 aprile 2012, n. 35 - art. 47- bis. (Semplificazione in materia di

    sanita' digitale): 1. Nei limiti delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, nei piani di sanita' nazionali e regionali si privilegia la gestione elettronica delle pratiche cliniche, attraverso l'utilizzo della cartella clinica elettronica, cosi' come i sistemi di prenotazione elettronica per l'accesso alle strutture da parte dei cittadini con la finalita' di ottenere vantaggi in termini di accessibilita' e contenimento dei costi, senza nuovi o maggiori oneri per la finanza pubblica.

    Legge 17 dicembre 2012, n. 35 - art. 13, comma 5: allart. 47-bis della legge 35/2012 sono aggiunti i seguenti due commi: 1-bis. A decorrere dal 1 gennaio 2013, la conservazione delle cartelle

    cliniche pu essere effettuata, senza nuovi o maggiori oneri a carico della finanza pubblica, anche solo in forma digitale, nel rispetto di quanto previsto dal decreto legislativo 7 marzo 2005, n. 82, e dal decreto legislativo 30 giugno 2003, n. 196..

    1-ter. Le disposizioni si applicano sia alle strutture sanitarie pubbliche, sia alle strutture sanitarie private accreditate.

  • Provvedimento del Garante privacy del 19.11.2009 Linee guida in tema di referti on line;

    DPCM 8.8.2013 Modalit di consegna, da parte delle Aziende sanitarie, dei refer? medici tramite web, posta ele#ronica cer?cata e altre modalit digitali, nonch di ee#uazione del pagamento online delle prestazioni erogate;

    Referti on line

  • DPCM 8.8.2013 art. 3 - Consegna del referto in modalit digitale

    Lazienda sanitaria rende disponibile allinteressato il referto digitale o copia informatica dello stesso - nonch, ove possibile, anche il reperto digitale - mediante una delle seguenti modalit di consegna digitale: tramite il Fascicolo Sanitario Elettronico (FSE); tramite web; tramite posta elettronica; tramite posta elettronica certificata anche presso il domicilio

    digitale del cittadino; tramite supporto elettronico.

  • DPCM 8.8.2013 art. 5 - Consenso dellinteressato

    Lazienda sanitaria , in qualit di titolare del trattamento dei dati personali, dopo aver fornito allinteressato unidonea informativa contenente anche le caratteristiche delle modalit digitali di consegna disponibili, deve: acquisire un autonomo e specifico consenso dellinteressato

    a trattare i suoi dati personali; consentire la revoca in qualunque momento del consenso; consentire allinteressato, allatto di richiesta del consenso o

    in ogni altro momento di indicare una farmacia presso cui ritirare il referto ai sensi del decreto del Ministro della salute 8.7.2011;

  • DPCM 8.8.2013

    art. 6 - Requisiti di sicurezza per le aziende sanitarie

    Per il trattamento dei dati personali nellambito delle modalit digitali di consegna dei referti, lazienda sanitaria , in qualit di titolare del trattamento dei dati personali, deve: adempiere agli obblighi di sicurezza dei dati e dei sistemi previsti

    negli artt. 31, 33, e 34 del D. Lgs. 196/03; garantire il rispetto delle misure di sicurezza previste nel

    provvedimento del Garante per la protezione dei dati personali del 19.11.2009 Linee guida in tema di referti on line;

    ottemperare ai requisiti di sicurezza previsti nel punto 4. dellallegato A al DPCM;

  • Deliberazione del Garante per la protezione dei da? personali del 16 luglio 2009 Linee guida in tema di Fascicolo sanitario ele#ronico e di dossier sanitario;

    Documento del Ministero della Salute dell11 novembre 2010 Il Fascicolo Sanitario Ele#ronico: linee guida nazionali (approvato in Conferenza Stato Regioni il 10.02.2011);

    Legge 17 dicembre 2012, n. 221 - art. 12 Fascicolo sanitario ele#ronico e sistemi di sorveglianza nel se#ore sanitario;

    Legge 9 agosto 2013, n. 98 - art. 17 Misure per favorire la realizzazione del Fascicolo sanitario ele#ronico;

    Schema DPCM in materia di FSE;

    Fascicolo Sanitario Ele#ronico (FSE)

  • Art. 12 della legge 221/2012, come modicato dallart. 17 della legge 98/2013

    comma 1 - Il fascicolo sanitario ele#ronico (FSE) linsieme dei da? e documen? digitali di ?po sanitario e socio-sanitario genera? da even? clinici presen? e trascorsi, riguardan? lassis?to;

    comma 2 Il FSE is?tuito dalle regioni e province autonome, conformemente a quanto disposto dai decre? di cui al comma 7, entro il 30 giugno 2015, nel rispe#o della norma?va vigente in materia di protezione dei da? personali, a ni di: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scien?ca in campo medico, biomedico ed

    epidemiologico; c) programmazione sanitaria, verica delle qualit delle cure e

    valutazione dellassistenza sanitaria. Il FSE deve consen?re anche laccesso da parte del ci#adino ai servizi

    sanitari on line secondo modalit determinate nel decreto di cui al comma 7.

  • Art. 12 della legge 221/2012, come modicato dallart. 17 della legge 98/2013

    comma 2-bis Per favorire la qualit, il monitoraggio, lappropriatezza nella dispensazione dei medicinali e laderenza alla terapia ai fini della sicurezza del paziente, istituito il dossier farmaceutico quale parte specifica del FSE, aggiornato a cura della farmacia che effettua la dispensazione.

    comma 3 Il FSE alimentato in maniera continuativa, senza ulteriori oneri per la finanza pubblica, dai soggetti che prendono in cura lassistito nellambito del SSN e dei servizi socio-sanitari regionali, nonch, su richiesta del cittadino, con i dati medici in possesso dello stesso.

    comma 3-bis Il FSE pu essere alimentato esclusivamente sulla base del consenso libero e informato da parte dellassistito, il quale pu decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo medesimo;

  • Art. 12 della legge 221/2012, come modicato dallart. 17 della legge 98/2013

    comma 7 con uno o pi decreti dei Ministri della salute e dellinnovazione tecnologica verranno stabiliti: i contenuti del FSE e del dossier farmaceutico nonch i limiti di

    responsabilit e i compiti dei soggetti che concorrono alla sua implementazione;

    i sistemi di codifica dei dati; le garanzie e le misure di sicurezza da adottare nel trattamento

    dei dati personali nel rispetto dei diritti dellassistito; le modalit e i livelli diversificati di accesso al FSE da parte dei

    soggetti di cui ai commi 4,5 e 6; la definizione e le relative modalit di attribuzione di un codice

    identificativo univoco dellassistito che non consenta lidentificazione diretta dellassistito;

    i criteri per linteroperabilit del FSE a livello regionale, nazionale ed europeo;

  • Fascicolo Sanitario Ele#ronico (FSE)

  • Provvedimenti prescrittivi dal Garante in materia di dossier sanitario

    Dossier sanitario e tra#amento dei da? personali dei pazien? - 10 gennaio 2013 (Azienda Ospedaliero Universitaria Ospedali riuni? di Trieste)

    Tra#amento di da? tramite il dossier sanitario aziendale - 3 luglio 2014

    (Azienda Sanitaria dellAlto Adige) Dossier sanitario ele#ronico e privacy dei pazien?- 23 o#obre 2014

    (Azienda Ospedaliero Universitaria S. Orsola Malpighi di Bologna) Illeicit nel tra#amento di da? personali e sensibili presso una stru#ura

    ospedaliera - 18 dicembre 2014 (Azienda Policlinico Umberto I di Roma)

  • Rilievi e relative prescrizioni del Garante

    cos?tuire il dossier sanitario del paziente solamente dopo aver acquisito un suo consenso specico e informato, dis?nto da quello prestato per nalit di cura;

    consen?re laccesso al dossier sanitario tramite un adeguato sistema di autorizzazione;

    consen?re laccesso al dossier sanitario al solo personale sanitario coinvolto nel processo di cura del paziente e per il tempo stre#amente necessario;

    consen?re laccesso al dossier sanitario solo a#raverso il nome e cognome del paziente e non anche a#raverso richieste ee#uate con porzioni di nome e cognome, date di nascita, o cap di residenza;

    garan?re al paziente la possibilit di "oscurare" nel proprio dossier sanitario la visibilit di alcuni even? clinici ( es.HIV droga - alcool ecc. );

    prevedere un sistema di log che perme#a un aPvit di controllo degli accessi e delle operazioni ee#uate ( es. le#ura - modica ecc. ).

  • Schema di DPCM in materia di FSE

    Approvato in conferenza Stato- Regioni il 13 marzo 2014;

    Parere favorevole del Garante per la protezione dei da? personali del 22 maggio 2014;

    formato da 30 ar?coli e da un disciplinare tecnico allegato

  • Schema di DPCM in materia di FSE: contenu? (ar#. 3, 4 e 5)

    I contenu? del FSE sono rappresenta? da un nucleo minimo di da? e documen?, uguale per tu#e le Regioni, nonch da ulteriori da? e documen? integra?vi la cui alimentazione funzione del rispePvo livello di maturazione del processo di digitalizzazione di ogni Regione;

    Il nucleo minimo cos?tuito dai seguen? da? e documen?: Da? iden?ca?vi e amministra?vi dellassis?to; Refer?; Verbali pronto soccorso; Le#ere di dimissione; Prolo sanitario sinte?co reda#o e aggiornato dal MMG/PLS; Dossier farmaceu?co; Consenso o diniego alla donazione degli organi e tessu?.

  • Schema di DPCM in materia di FSE

    ar?colo 7: contenu? obbligatori dellinforma?va; ar?colo 8: consenso dellassis?to; ar?colo 9: diriP dellassis?to (oscuramento); ar?colo 10: accesso al FSE da parte dellassis?to; ar?coli da 11 a 21: Per ognuna delle tre diverse nalit perseguite cura,

    ricerca e governo vengono individua? la ?tolarit dei tra#amen? dei da? personali degli assis??, i da? ogge#o del tra#amento, la responsabilit e i compi? dei soggeP che concorrono allalimentazione del FSE (solo per nalit di cura) e i soggeP autorizza? ad accedere alle informazioni del FSE;

    ar?coli da 22 a 26: regole tecniche, misure di sicurezza e sistema di conservazione;

  • Proposta di Regolamento Europeo sulla privacy

    considerando 5 - la rapidit dellevoluzione tecnologica e la globalizzazione comportano anche nuove sfide per la protezione dei dati personali;

    considerando 6 - data limportanza di creare un clima di fiducia che consentir lo sviluppo delleconomia digitale, tale evoluzione richiede un quadro giuridico pi solido e coerente in materia di protezione dei dati personali, affiancato da efficaci misure di attuazione;

    considerando 7 - Il divario creatosi nei livelli di protezione dei dati personali previsti nei singoli Stati dellUnione, dovuto alla diversa attuazione della Direttiva 95/46/CE, costituiscono un freno allesercizio delle attivit economiche e possono falsare la concorrenza;

    considerando 11 - necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, offra alle persone in tutti gli Stati membri il medesimo livello di diritti giuridicamente tutelati, definisca obblighi e responsabilit e assicuri sanzioni equivalenti in tutti gli Stati membri.

  • Alcune novit contenute nella proposta di Regolamento Europeo sulla privacy

    Accountability (art. 22) Privacy by Design & by Default (art. 23) Data Breach Notification (artt. 31 e 32) Privacy Impact Analisys (art. 33) Data Protection Officer (artt. 35, 36 e 37)

  • Accountability (art. 22) Il responsabile del trattamento adotta politiche e attua misure adeguate per

    garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato conforme al presente regolamento. Tali misure comprendono, in particolare: la conservazione della documentazione, prevista dallart. 28, relativa a tutti i

    trattamenti effettuati; ladozione delle misure di sicurezza previste dallart. 30 lesecuzione della valutazione dimpatto sulla protezione dei dati, prevista

    dallart. 33; la designazione del responsabile della protezione dei dati (DPO) prevista

    dallart. 35; Il responsabile del trattamento mette in atto meccanismi per assicurare la

    verifica dellefficacia delle predette misure.

    passaggio da un approccio formalmente regolare ad uno eePvamente conforme

  • Privacy by Design & by Default (art. 23)

    Le infrastrutture IT, i processi aziendali e gli applicativi di supporto, dovranno essere progettati, tenuto conto dellevoluzione tecnica e dei costi di attuazione, in modo tale che il trattamento avvenga in conformit al regolamento e sia garantita la tutela dei diritti dellinteressato.

    Si dovr, inoltre, mettere in atto meccanismi per garantire che siano

    trattati, di default, solo i dati personali necessari per ciascuna finalit specifica del trattamento e che, in particolare, la quantit dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalit perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone.

  • Data Breach Notification (art. 31)

    In caso di violazione dei dati personali, il responsabile del trattamento deve inviare - ove possibile entro 24 ore - una notifica allautorit di controllo, contenente almeno:

    le categorie e il numero sia degli interessati coinvolti che dei dati oggetto della violazione;

    lidentit e le coordinate di contatto del DPO o di altro soggetto da cui ottenere ulteriori informazioni;

    le misure raccomandate per attenuare i possibili effetti pregiudizievoli;

    la descrizione delle conseguenze della violazione; le misure adottate per porre rimedio alla violazione;

  • Data Breach Notification (art. 32)

    Quando la violazione dei dati personali, pu provocare un pregiudizio alla vita privata dellinteressato, il responsabile del trattamento deve anche comunicare allo stesso, senza ingiustificato ritardo, quanto accaduto, precisando quali suoi dati personali sono stati violati e le misure raccomandate per attenuare i possibili effetti pregiudizievoli.

  • Privacy Impact Analisys (art. 33) Quando il trattamento, per la sua natura, il suo oggetto o le sue finalit,

    presenta rischi specifici per i diritti e le libert degli interessati, il responsabile del trattamento o lincaricato del trattamento, effettua una valutazione dellimpatto del trattamento previsto sulla protezione dei dati personali.

    Presenta rischi specifici, tra gli altri, il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e lorigine etnica, oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche;

    La valutazione dimpatto deve contenere almeno: una descrizione sistematica del trattamento previsto; una valutazione dei rischi per i diritti e le libert degli interessati; le misure previste per affrontare i rischi, le garanzie, le misure di

    sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformit al presente regolamento;

  • Designazione del Data Protection Officer (art. 35) Il responsabile del trattamento e lincaricato del trattamento

    designano sistematicamente un responsabile della protezione dei dati quando: a) il trattamento effettuato da unautorit pubblica o da un

    organismo pubblico, oppure b) il trattamento effettuato da una persona giuridica e

    riguarda pi di 5000 interessati per un periodo di 12 mesi consecutivi, oppure

    c) le attivit principali del responsabile del trattamento o dellincaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalit, richiedono il controllo regolare e sistematico degli interessati.

  • Posizione del Data Protection Officer (art. 36)

    Il Responsabile del trattamento deve: garantire il coinvolgimento del DPO in tutte le questioni

    riguardanti la protezione dei dati personali; assicurare lindipendenza del DPO nellesercizio del sue

    funzioni e dei suoi compiti. In tal senso il DPO dovr rispondere direttamente al Management;

    supportare il DPO fornendogli personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle sue funzioni e compiti;

  • Compiti del Data Protection Officer (art. 37)

    Oltre che informare e consigliare il responsabile o lincaricato del trattamento in merito agli obblighi derivanti dal regolamento, nonch conservare la documentazione relativa a tale attivit e alle risposte ricevute, al DPO devono essere conferiti almeno i seguenti compiti: sorvegliare sullattuazione delle policy aziendali in materia di

    protezione dei dati personali, con particolare riferimento allattribuzione di responsabilit, alla formazione del personale che partecipa ai trattamenti ed allo svolgimento dei processi di audit;

    sorvegliare sullattuazione degli obblighi stabiliti dal regolamento, con particolare riferimento alla privacy by design & by default, alla sicurezza dei dati, allinformazione degli interessati e alle richieste di esercizio dei loro diritti;

  • Compiti del Data Protection Officer (art. 37)

    garantire la conservazione della documentazione relativa ai trattamenti effettuati;

    controllare che le violazioni dei dati personali vengano correttamente documentate, notificate allAutorit di controllo e comunicate agli interessati;

    controllare che venga effettuata, nei casi previsti dal regolamento, la valutazione dimpatto sulla protezione dei dati e svolta la consultazione preventiva nei casi;

    controllare che venga fornito riscontro alle richieste avanzate dallAutorit di controllo, fungendo anche da punto di contatto con questultima per ogni questione inerente al trattamento dei dati;

    informare i rappresentanti del personale (es. rappresentanti sindacali) sui trattamenti che riguardano i dipendenti.

  • Grazie per lattenzione

    [email protected]

    www.anorc.it