La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni privacy
 

Like this? Share it with your network

Share

La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni privacy

on

  • 685 views

Docenti Avv. Andrea Lisi - Avv. Graziano Garrisi ...

Docenti Avv. Andrea Lisi - Avv. Graziano Garrisi
ARGOMENTI
I parte
La natura giuridica della Cartella Clinica
I documenti che compongono la Cartella Clinica Elettronica
La conservazione della Cartella Clinica Elettronica e il d.lgs. 179/2012
FOCUS: il consenso privacy e il consenso informato al trattamento medico

II parte
Trattamento dei dati personali in ambito sanitario
Il consenso al trattamento dei dati personali e le modalità di acquisizione
Oscuramento dei dati
Autenticazione e autorizzazione per l’accesso alla CCE
Sicurezza della Cartella Clinica Elettronica: riservatezza, integrità e disponibilità dei dati
Modalità di consegna dei referti tramite web, posta elettronica certificata e altre modalità digitali

Statistics

Views

Total Views
685
Views on SlideShare
685
Embed Views
0

Actions

Likes
0
Downloads
32
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni privacy Document Transcript

  • 1. ELENCO ARGOMENTI Premesse sulle ultime novità normative in materia di digitalizzazione La natura giuridica della Cartella Clinica I documenti che compongono la Cartella Clinica Elettronica La conservazione della Cartella Clinica Elettronica e il d.lgs. 179/2012 FOCUS: il consenso privacy e il consenso informato al trattamento medico Trattamento dei dati personali in ambito sanitario Il consenso al trattamento dei dati personali e le modalità di acquisizione Oscuramento dei dati Autenticazione e autorizzazione per l’accesso alla CCE Sicurezza della Cartella Clinica Elettronica: riservatezza, integrità e disponibilità dei dati Modalità di consegna dei referti tramite web, posta elettronica certificata e altre modalità digitali
  • 2. Le posizioni del Garante e del Ministero: Linee Guida (19 novembre 2009) Garante sui referti on line Linee Guida del Garante sul Fascicolo sanitario elettronico e sul dossier sanitario (16 luglio 2009) Linee guida nazionali sul Fascicolo sanitario elettronico e sul dossier sanitario (dell’11 novembre 2010) Garante Privacy, parere del 19 gennaio 2011 su prenotazioni e ritiro analisi in farmacia Garante Privacy, Provvedimento del 6 dicembre 2012 su uno schema di decreto in materia di consegna, da parte delle aziende sanitarie del Servizio sanitario nazionale, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali Digital&Law Department - copyright 2013 CARTELLE CLINICHE INFORMATIZZATE – PARERE Gruppo Garanti Europei Vd. Consiglio d’Europa, Raccomandazione R (97) 5) • Necessità di rispettare il principio di autodeterminazione del paziente; • Definizione di garanzie rispetto all’accesso da parte di operatori sanitari, del paziente e di soggetti terzi; • Struttura modulare delle cartelle elettroniche per garantire la separazione fra le diverse categorie di dati rispetto alle finalità del trattamento/ ai soggetti che vi accedono (art. 22 comma 7 DLgs 196/03); • Necessità di prevedere misure di autenticazione e autorizzazione per l’accesso e la comunicazione dei dati; • Meccanismi di “controllo” compresi meccanismi per la risoluzione di possibili controversie (ad esempio in merito all’accesso alle cartelle). (sistemi di autenticazione forte e di firma; sistemi di accountability)
  • 3. Il D.Lgs. 196/03 prevede, per il trattamento dei dati sensibili e, in particolare per quelli idonei a rivelare lo stato di salute, le seguenti ulteriori misure di sicurezza: art. 22, co. 6, Codice Privacy : “I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità” art. 92, Codice Privacy : Per quanto concerne l’eventuale trattamento di dati personali contenuti in cartelle cliniche, poi, nei casi in cui organismi sanitari pubblici e privati redigano e conservino una cartella clinica in modalità elettronica e in conformità alla disciplina applicabile, devono essere adottati “opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri” Digital&Law Department - copyright 2013
  • 4. Titolare dei Documenti e dei Dati (nomina Responsabile interno della conservazione) Responsabile del trattamento Responsabile del procedimento di conservazione (referente interno) Responsabile della continuità operativa (verifica, coordinamento e gestione delle misure di sicurezza e organizzative in ambito privacy) (Art. 50 bis Continuità operativa) Tali figure non è previsto agiscano “in solitudine” o comunque in maniera isolata l’una dall’altra; anzi, è necessaria una sorta di “interoperabilità intellettuale” tra soggetti (giuristi, informatici, archivisti, etc.) dotati di specifiche competenze che dovranno esplicare un proprio ruolo nella gestione di questi processi. MISURE DI SICUREZZA Titolo V TRE OBBLIGHI per i titolari del trattamento: 1. prevedere misure di sicurezza idonee a ridurre i rischi 2. adottare in ogni caso le “misure minime” previste dal Codice, e quindi di assicurare comunque un livello minimo di protezione dei dati personali 3. adottare le misure “necessarie” prescritte dal Garante ai sensi dell’art. 154, comma 1, lett. c Digital&Law Department - copyright 2013
  • 5. LE SANZIONI Titolo III della Parte III del Codice della Privacy La normativa, in caso di violazione delle regole che disciplinano il trattamento dei dati, prevede alcune sanzioni che possono essere applicate dal Garante o dall'Autorità Giudiziaria ordinaria. Le sanzioni possono essere: amministrative: determinano l’applicazione di sanzioni pecuniarie da parte del Garante o di specifiche limitazioni rispetto al libero trattamento dei dati personali; in particolare il Garante può disporre il blocco del trattamento dei dati penali: comportano l’applicazione di pene detentive o pecuniarie da parte dell'Autorità Giudiziaria; civili: artt. 2043 e 2050 del Codice Civile Digital&Law Department - copyright 2013
  • 6. 4) Consegna tramite supporto elettronico - vengono ritenuti utilizzabili supporti elettronici quali memorie USB, DVD, CD, etc. Nel caso in cui il supporto venga utilizzato per consegnare all’interessato referti digitali in momenti diversi, l’azienda sanitaria dovrà proteggere il relativo supporto mediante opportune credenziali di sicurezza (es. username e password), che saranno consegnate separatamente all’interessato o a un suo delegato in busta chiusa. 5) Consegna tramite Fascicolo sanitario elettronico (FSE) - prevede la ricezione del referto digitale (o la sua copia informatica) tramite il fascicolo sanitario elettronico (FSE) dell’interessato. Tra le cautele che devono essere rispettate relativamente all’utilizzo del FSE come modalità di consegna alternativa ci sono sia quelle richiamate nelle modalità di consegna tramite Web (CIE, CNS o gli altri strumenti che consentono l’individuazione del soggetto che richiede il servizio, ai sensi dell’art. 64 del CAD, certificazione digitale dell’identità mediante protocolli “https” e “SSL - Secure Socket Layer”) sia tutte le ulteriori prescrizioni contenute nelle “Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario” del 16 luglio 2009 e nelle disposizioni attuative dell’art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221. Oltre alla consegna del referto, l’azienda sanitaria dovrà poi rendere disponibile oltre Oltre alla consegna del referto, l’azienda sanitaria dovrà poi rendere disponibile oltre al referto anche il “reperto digitale” tramite le modalità di consegna prescelte al referto anche il “reperto digitale” tramite le modalità di consegna prescelte Digital&Law Department - copyright 2013
  • 7. I principi privacy fondamentali da rispettare in relazione alla digitalizzazione della documentazione sanitaria Diritto alla protezione dei dati personali Principio di necessità Principio di finalità Principio di autodeterminazione informativa Principio di correttezza Principio di precauzione Digital&Law Department - copyright 2013 RISPETTARE I PRINCIPI FONDAMENTALI E’ IMPORTANTE P E R C H E’ i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati rispettare i principi permette di prevenire contestazioni che possono portare al blocco del trattamento dei dati Digital&Law Department - copyright 2013
  • 8. La rigida normativa europea: adempimenti generali: trasparenza adempimenti generali: trasparenza (informativa consenso) (informativa eeconsenso) adempimenti speciali: comunicazione adempimenti speciali: comunicazione (notificazione al Garante interpello ex art. 17) (notificazione al Garante eeinterpello ex art. 17) adempimenti adempimenti organizzativi: organizzativi: organizzazione organizzazione (disciplinare interno, misure di sicurezza, diritto all’oblio (disciplinare interno, misure di sicurezza, diritto all’oblio ee oscuramento, privacy by desgin by default, etc.) oscuramento, privacy by desgin eeby default, etc.) Riservatezza fa rima con sicurezza! Digital&Law Department - copyright 2013 PRIVACY • Sono rispettate tutte le misure di sicurezza previste dagli articoli da 31 a 36 del d. lgs. n. 196/2003? •Abbiamo la garanzia che la cifratura sia disponibile a tutti i livelli e che tale crittografia sia fornita da esperti del ramo? • Il sistema è dotato di idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati, ect.)? Digital&Law Department - copyright 2013
  • 9. RESPONSABILITÀ IN CASO DI ACCESSI ABUSIVI E DISPERSIONE DEI DATI • Sono in grado di prevenire accessi abusivi per prevenire il reato di cui all’art. 615 ter c.p.? • Chi è il soggetto responsabile in caso di perdita dei dati (dovute anche a errori o malfunzionamenti nei sistemi di back up e disaster recovery)? • Cosa accade qualora un referto sia stato modificato in maniera fraudolenta e l’azienda non ha traccia di chi ha compiuto l’operazione? Digital&Law Department - copyright 2013 SICUREZZA AZIENDALE, RISK MANAGEMENT E CORRETTA CONSERVAZIONE DEI DATI Provv. Garante 27/11/2008 sugli amministratori di sistema Occorrerà inevitabilmente dotarsi di strumenti e meccanismi che permettano di evitare non solo la perdita di dati e informazioni importanti per l'azienda, ma anche la loro modifica o la loro alterazione, strumenti di gestione di tali documenti e atti che permettano di mantenerne la stabilizzazione temporale e l' integrità complessiva e che permettano di risalire pacificamente al titolare del documento, rendendo facilmente individuabile il soggetto cui quel documento o quella semplice informazione sono ascrivibili. Tutto questo nel rispetto della privacy. Digital&Law Department - copyright 2013 ISO27000 ?