Your SlideShare is downloading. ×
ePharmacy e Sanità Elettronica
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

ePharmacy e Sanità Elettronica

508
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
508
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ePharmacye Sanità elettronicaMaster Healthcare and Pharma MarketingGRUPPO24OREMilano, 19 aprile 2013Michele MartoniContract Professor at the University of Bologna, Ph.D. in IT Law, LawyerAgenda1.- Vendita online di prodotti farmaceutici (ePharmacy)– Pubblicità– Commercio elettronico– Trattamento dei dati personali– Tutela del Marchio– Identità in rete del paziente-utente e firme elettroniche2.- Sanità Elettronica– Sistemi personali• Siti Web dedicati esclusivamente alla salute• Personal Health Record• Altri servizi online– Sistemi istituzionali• Fascicolo Sanitario Elettronico• Dossier Sanitario Elettronico• Referti online• Ricetta elettronica3.- Servizi in Farmacia– Servizi innovativi erogati in Farmacia e profili giuridici connessi4.- Adevertising e Reputatione online
  • 2. 1.- ePharmacy“Googlata”1) Farmacie online legali2) Farmacie online legali che vendono illecitamente prodotti3) Rivendite abusive4) Rivendite abusive di prodotti contraffatti5) Siti truffa (phishing)6) Servizi accessori all’acquisto di prodotti7) Pubblicità di prodotti8) Servizi di archiviazione dei propri dati9) Devices di eHealth10) Pagine FaceBook di promozione11) Pagine FaceBook di discussione (e promozione)12) etc.
  • 3. Censimento OMS, FDA, AIFA• 41.750 Farmacie online• 0,5 % sono legali– Vendono effettivamente farmaci– Soddisfano gli standard di sicurezza e vendonofarmaci certificati richiedendo la prescrizionemedica necessaria• Oltre il 50 % dei farmaci venduti online risultano falsio scaduti– Rispettano la normativa in materia di privacyIndagine conoscitiva del Senato• Indagine conoscitiva sul fenomeno dellacontraffazione e dell’e-commercefarmaceutico (Senato della Repubblica,XII Commissione permanente), 29/7/2010– Constatazione di un aumento dei sequestrisul territorio nazionale– Crescente offerta sul web– Allarme sulla qualità dei prodotti presenti sulmercato
  • 4. AIFA 2009• siti di farmacie legali, autorizzate a livello europeoo internazionale e ispezionate da enti certificatorio autorità regolatorie• siti di false farmacie che sono la maggior parte diquelle divenute oggetto di articoli e verifichesuperficiali in rete. Dietro queste «esche»(promosse per lo più attraverso lo «spam» nellaposta elettronica) operano organizzazioni ditruffatori informatici dediti ad attività quali phishinge furti di identità digitale.• siti di farmacie illegali che distribuiscono farmacicontraffatti e non autorizzatiePharmacy- Vendita online di prodotti farmaceutici- Pubblicità dei prodotti- Commerciabilità online- Tutela del marchio- Trattamento dei dati personali- Accertamento dell’identità in rete (di tutti gliinterlocutori)- Firme elettroniche
  • 5. 1.1.- Pubblicità- Normativa comunitaria- Direttiva 2001/83/CE (Codice Comunitariorelativo ai medicinali per uso umano)(modificata dalla Direttiva 2011/62/CE)- Artt. 86, 87, 88- Normativa italiana- Decreto legislativo 219/2006 (attuativo dellaDirettiva 2001/83/CE)- Artt. 113-118Art. 86, c. 1, Direttiva• pubblicità dei medicinali– qualsiasi azione dinformazione, di ricercadella clientela o di incitamento, intesa apromuovere la prescrizione, la fornitura, lavendita o il consumo di medicinali
  • 6. Art. 86, c. 2, Direttiva• non forma oggetto della definizione di pubblicità:– letichettatura– il foglietto illustrativo– la corrispondenza corredata eventualmente da qualsiasidocumento non pubblicitario, necessaria per rispondere a unarichiesta precisa di informazioni su un determinato medicinale,– le informazioni concrete e i documenti di riferimento riguardanti,ad esempio, i cambiamenti degli imballaggi, le avvertenze suglieffetti collaterali negativi, nellambito della farmacovigilanza, icataloghi di vendita e gli elenchi dei prezzi, purché non vi figurinoinformazioni sul medicinale,– le informazioni relative alla salute umana e alle malattie umane,purché non contengano alcun riferimento, neppure indiretto, adun medicinale.Art. 87, Direttiva• Gli Stati membri vietano qualsiasi pubblicità diun medicinale per cui non sia stata rilasciataunautorizzazione allimmissione incommercio, conforme al diritto comunitario.• Tutti gli elementi della pubblicità di un medicinaledevono essere conformi alle informazioni chefigurano nel riassunto delle caratteristiche delprodotto.• La pubblicità di un medicinale: deve favorire lusorazionale del medicinale, presentandolo in modoobiettivo e senza esagerarne le proprietà, nonpuò essere ingannevole.
  • 7. Art. 88, Direttiva• Gli Stati membri vietano la pubblicità presso il pubblicodei seguenti medicinali:– quelli che possono essere forniti soltanto dietropresentazione di ricetta medica, conformemente al titolo VI,contenenti psicotropi o stupefacenti ai sensi delleconvenzioni internazionali,– [...] e quelli che non possono essere oggetto di pubblicitàpresso il pubblico conformemente al paragrafo 2, secondocomma.• Possono essere oggetto di pubblicità presso il pubblico imedicinali che, per la loro composizione ed il loroobiettivo, sono previsti e concepiti per essere utilizzatisenza intervento di un medico per la diagnosi, laprescrizione o la sorveglianza del trattamento, senecessario con il consiglio del farmacista [...]»Art. 113, c.1, D.lgs. 219/06• si intende per “pubblicità dei medicinali” qualsiasi azionedinformazione, di ricerca della clientela o di esortazione, intesa apromuovere la prescrizione, la fornitura, la vendita o il consumodi medicinali; essa comprende in particolare quanto segue:– a) la pubblicità dei medicinali presso il pubblico;– b) la pubblicità dei medicinali presso persone autorizzate a prescriverli o adispensarli, compresi gli aspetti seguenti:• 1) la visita di informatori scientifici presso persone autorizzate a prescrivere oa fornire medicinali;• 2) la fornitura di campioni di medicinali;• 3) lincitamento a prescrivere o a fornire medicinali mediante la concessione,lofferta o la promessa di vantaggi pecuniari o in natura, ad eccezione dioggetti di valore intrinseco trascurabile;• 4) il patrocinio di riunioni promozionali cui assistono persone autorizzate aprescrivere o a fornire medicinali;• 5) il patrocinio dei congressi scientifici cui partecipano persone autorizzate aprescrivere o a fornire medicinali, in particolare il pagamento delle spese diviaggio e di soggiorno di queste ultime in tale occasione.
  • 8. Art. 113, c.2, D.lgs. 219/06• non forma oggetto del presente titolo quanto segue:– a) letichettatura e il foglio illustrativo, soggetti alle disposizioni deltitolo V;– b) la corrispondenza necessaria per rispondere a una richiestaprecisa e non sollecitata di informazioni su un determinatomedicinale;– c) le informazioni concrete e i documenti di riferimento riguardanti,ad esempio, i cambiamenti degli imballaggi, le avvertenze suglieffetti indesiderati nellambito della farmacovigilanza, i cataloghi divendita e gli elenchi dei prezzi, purché non vi figurino informazionisul medicinale;– d) le informazioni relative alla salute umana o alle malattie umane,purché non contengano alcun riferimento, neppure indiretto, a unmedicinale.Art. 114, D.lgs. 219/06• È vietata qualsiasi pubblicità di unmedicinale per cui non e stata rilasciataunAIC, conforme al presente decreto, alregolamento (CE) n. 726/2004 o ad altredisposizioni comunitarie vincolanti.• Tutti gli elementi della pubblicità di unmedicinale devono essere conformi alleinformazioni che figurano nel riassuntodelle caratteristiche del prodotto […].
  • 9. Art. 115, D.lgs. 219/06• L’art. 115, sul presupposto che ci sia statal’autorizzazione, specifica che:– possono essere oggetto di pubblicità presso ilpubblico i «medicinali che, per la lorocomposizione e il loro obiettivo terapeutico,sono concepiti e realizzati per essere utilizzatisenza intervento di un medico per la diagnosi,la prescrizione o la sorveglianza nel corso deltrattamento e, se necessario, con il consigliodel farmacista».segue• Il comma 2 (art. 115), invece, vieta, in ognicaso, la pubblicità presso il pubblico:– «dei medicinali che possono essere fornitisoltanto dietro presentazione di ricettamedica o che contengono sostanzepsicotrope o stupefacenti […]».
  • 10. segue• Il comma 3 (art. 115) inibisce– la «distribuzione al pubblico di medicinali ascopo promozionale», nonché– la «pubblicità presso il pubblico di medicinali, lacui dispensazione grava, anche se nontotalmente, sul Servizio sanitario nazionale,nonché dei medicinali di cui alle lettere a), b) ec) dellart. 3, comma 1, e allart. 5».segue• Il comma 5 (art. 115) stabilisce che– «In pubblicazioni a stampa, trasmissioni radio-televisive e in messaggi non a carattere pubblicitariocomunque diffusi al pubblico, è vietato mostrare inimmagini un medicinale o la sua denominazione inun contesto che può favorire il consumo delprodotto».• Fermo rimane che, anche laddove consentita, lapubblicità soggiace comunque ad un limiteautorizzativo da parte del Ministero della salute.
  • 11. Art. 118, D.lgs. 219/06• 1. Nessuna pubblicità di medicinali presso il pubblico può essereeffettuata senza autorizzazione del Ministero della salute, adeccezione:– a) delle inserzioni pubblicitarie sulla stampa quotidiana o periodicache, ferme restando le disposizioni dellart. 116, comma 1, si limitano ariprodurre integralmente e senza modifiche le indicazioni, lecontroindicazioni, le opportune precauzioni dimpiego, le interazioni,le avvertenze speciali, gli effetti indesiderati descritti nel foglioillustrativo, con leventuale aggiunta di una fotografia o di unarappresentazione grafica dellimballaggio esterno o delconfezionamento primario del medicinale;– b) delle fotografie o rappresentazioni grafiche dellimballaggio esterno odel confezionamento primario dei medicinali apposte sui cartelli deiprezzi di vendita al pubblico e degli eventuali sconti praticati espostida coloro che svolgono attività di fornitura al pubblico, limitatamenteai farmaci di cui allart. 5 del decreto-legge 4 luglio 2006, n. 223,convertito, con modificazioni, dalla legge 4 agosto 2006, n. 248.Art. 116, D.lgs. 219/06• 1. Fatte salve le disposizioni dellart. 115, la pubblicità diun medicinale presso il pubblico:– a) è realizzata in modo che la natura pubblicitaria del messaggio èevidente e il prodotto è chiaramente identificato come medicinale;– b) comprende almeno:• 1) la denominazione del medicinale e la denominazione comune dellasostanza attiva; lindicazione di questultima non e obbligatoria se ilmedicinale e costituito da più sostanze attive;• 2) le informazioni indispensabili per un uso corretto del medicinale;• 3) un invito esplicito e chiaro a leggere attentamente le avvertenzefiguranti, a seconda dei casi, nel foglio illustrativo o sullimballaggioesterno; nella pubblicità scritta linvito deve risultare facilmenteleggibile dal normale punto dosservazione; nella pubblicità sullastampa quotidiana e periodica deve essere, comunque, scritto concaratteri di dimensioni non inferiori al corpo nove.
  • 12. Art. 117, D.lgs. 219/06• 1. La pubblicità presso il pubblico di un medicinale non può contenere alcun elemento che:– a) fa apparire superflui la consultazione di un medico o lintervento chirurgico, in particolare offrendo unadiagnosi o proponendo una cura per corrispondenza;– b) induce a ritenere lefficacia del medicinale priva di effetti indesiderati o superiore o pari ad un altrotrattamento o ad un altro medicinale;– c) induce a ritenere che il medicinale possa migliorare il normale stato di buona salute del soggetto;– d) induce a ritenere che il mancato uso del medicinale possa avere effetti pregiudizievoli sul normale stato dibuona salute del soggetto; tale divieto non si applica alle campagne di vaccinazione di cui allart. 115, comma2;– e) si rivolge esclusivamente o prevalentemente ai bambini;– f) comprende una raccomandazione di scienziati, di operatori sanitari o di persone largamente note al pubblico;– g) assimila il medicinale ad un prodotto alimentare, ad un prodotto cosmetico o ad un altro prodotto diconsumo;– h) induce a ritenere che la sicurezza o lefficacia del medicinale sia dovuta al fatto che si tratta di una sostanza«naturale»;– i) può indurre ad una errata autodiagnosi;– l) fa riferimento in modo improprio, impressionante o ingannevole a attestazioni di guarigione;– m) utilizza in modo improprio, impressionante o ingannevole rappresentazioni visive delle alterazioni del corpoumano dovute a malattie o a lesioni, oppure dellazione di un medicinale sul corpo umano o su una sua parte.• 2. Parimenti, in coerenza con quanto previsto dallart. 116, comma 1, lettera a), non e consentita ladivulgazione di messaggi e di testi il cui intento pubblicitario e occultato dalla ridondanza di altreinformazioni. 3. Con decreto del Ministro della salute può essere stabilito che i messaggi pubblicitariautorizzati ai sensi dellart. 118 contengono il numero di AIC del medicinale.Procedimento C-316/09MSD Sharpe & Dohme contro Merckle GmbH• l’art. 86, n. 1, della direttiva 2001/83 definiscepubblicità «qualsiasi azione d’informazione, diricerca della clientela o di incitamento, intesa apromuovere la prescrizione, la fornitura, lavendita o il consumo di medicinali»;• l’utilizzo della locuzione «qualsiasi» testimonia lavolontà del legislatore dell’Unione di conferireun’ampia estensione alla nozione dipubblicità, anche perchè l’obiettivo essenzialedella direttiva 2001/83 consiste nel salvaguardarela sanità pubblica;
  • 13. segue• “considerando” 44 della direttiva 2001/83 estendetale definizione alla diffusione su Internet diinformazioni relative a medicinali (in tal senso,sentenza 2 aprile 2009, causa C-421/07, Damgaard, Racc. pag-I-2629, punto 28);• dal testo del citato art. 86, n. 1, risulta, altresì, cheproprio lo scopo del messaggio costituisce lacaratteristica essenziale della pubblicità erappresenta, dunque, l’elemento determinanteper distinguere la pubblicità dalla merainformazione;segue• al fine di stabilire se la trasmissione di informazioni sia omeno caratterizzata da uno scopo pubblicitario,occorre pertanto procedere ad un esame concreto ditutte le circostanze relative al caso di specie, oltre chedei comportamenti, delle iniziative e delle azioni cherivelano l’intenzione di promuovere tramite talediffusione la prescrizione, la consegna, la vendita o ilconsumo di tale medicinale;• l’articolo de quo, peraltro, non esclude, in linea diprincipio, che possano essere considerate pubblicitàpure le pubblicazioni o le trasmissioni checontengono solo informazioni obiettive, laddove ilmessaggio sia diretto a promuovere la prescrizione, lafornitura, la vendita o il consumo di medicinali;
  • 14. segue• analoghe argomentazioni valgono in relazione alla diffusione suInternet della confezione e del foglietto illustrativo;• tra le altre circostanze rilevanti per valutare se la comunicazionedebba essere qualificata come pubblicità, rientrano, in particolare, ilgruppo dei destinatari e le caratteristiche tecniche del mezzoimpiegato per diffondere l’informazione (sistema dei servizichiamati «pull», per i quali la consultazione richiede un’azione attivadi ricerca da parte dell’utente di Internet e la persona non interessataal medicinale di cui trattasi non sarà costretta a prendere visione ditali informazioni; sistema di servizi detti «push», nei quali l’utente diInternet si trova di fronte, senza avere fatto alcuna ricerca, a taliinformazioni, attraverso finestre indesiderate, dette «pop-up», cheappaiono spontaneamente sullo schermo, che devono, al contrario,far sorgere una forte presunzione di carattere pubblicitario);segue• pure la dichiarazione relativa ad un medicinaleproveniente da un terzo «estraneo alla sua fabbricazione,commercializzazione o distribuzione» può «esserequalificata come “pubblicità” ai sensi della direttiva2001/83/CE, o come comunicazione di altro tipo»;• «il criterio decisivo per distinguere la pubblicità dallasemplice informazione si fonda sullo scopo perseguito»;• rileva massimamente è l’intenzione consapevole e direttadi chi emette il messaggio;• la Direttiva 2001/83 non richiede che la pubblicità deimedicinali si faccia nell’ambito di una attività commercialeo industriale;
  • 15. segue• per qualificare come pubblicitaria la diffusione diinformazioni su un medicinale, occorre provareche essa aveva lo scopo di promuovere laprescrizione, la fornitura, la vendita o il consumodi tale merce;• al fine di valutare se l’informazione messa in lineasulla pagina web ha natura promozionale, si deveindagare se, ad esempio, appaiono il logo delmarchio, del prodotto e dell’impresa, nonché i datiforniti su aspetti strettamente commerciali (comeil prezzo o i punti di vendita);segue• la nozione di pubblicità presso il pubblico […]deve essere interpretata nel senso che essaricomprende anche il SITO INTERNET di unafarmacia di uno Stato membro che descriva isingoli medicinali con la denominazionecommerciale, l’eventuale obbligo diprescrizione medica, le dimensioni dellaconfezione e il prezzo, e offrecontemporaneamente la possibilità diordinare i medicinali medesimi mediante unmodulo d’ordine telematico
  • 16. segue• Per quanto riguarda l’identità dell’autore di una trasmissione relativa ad unmedicinale, se è innegabile che il produttore di tale medicinale abbia un interesseeconomico alla commercializzazione del suo prodotto, la circostanza che taletrasmissione sia effettuata dal produttore stesso non può, di per sé, permettere diaffermare che egli persegua uno scopo pubblicitario. Inoltre, affinché tale circostanzapossa costituire un indizio determinante per qualificare tale trasmissione comepubblicità, occorre che i comportamenti, le iniziative e le azioni di tale produttorerivelino la sua intenzione di promuovere tramite tale diffusione la prescrizione, laconsegna, la vendita o il consumo di tale medicinale (v., per analogia, sentenza 28ottobre 1992, causa C-219/91, Ter Voort, Racc. pag. I-5485, punto 26).• Tuttavia, non si può escludere che, in talune circostanze, la pubblicazione da parte diun produttore di informazioni relative ai suoi medicinali rientri nell’ambito della politicagenerale di comunicazione dell’impresa, per fornire informazioni obiettivamente esatteai pazienti interessati ed escludere per quanto possibile i rischi per la salute collegatiall’automedicazione senza consultazione del foglietto illustrativo. Ciò può accaderequando i pazienti hanno perduto il foglietto illustrativo del medicinale utilizzato. D’altraparte, l’intenzione di tener conto dell’aspettativa del pubblico di essere informato o divalorizzare la trasparenza dell’impresa potrebbe altresì far decidere ad una societàfarmaceutica di pubblicare informazioni a proposito dei suoi medicinali.segue• Per quanto riguarda l’oggetto della comunicazione, occorre rilevare che, in generale,l’obbligo di prescrizione medica per medicinali come quelli di cui alla causa principale èidoneo a garantire che l’eventuale interesse suscitato dalle informazioni obiettiverelative ai medicinali inclusi nel sito Internet del produttore non possa tradursidirettamente in una decisione di acquisto e che la decisione finale sul medicinaleassunto dal paziente continui ad essere di competenza del medico curante.• Non si può certamente escludere che, in seguito ad una richiesta proveniente da unpaziente informato, il medico sia indotto a prescrivere un medicinale diverso da quelloinizialmente prescelto e che, di conseguenza, l’informazione fattuale contribuisca,anche se solo in misura limitata, a far aumentare le vendite. Tuttavia, tale eventualitànon può da sola attestare uno scopo promozionale da parte del produttore delmedicinale. Inoltre, essa non costituisce, in linea di principio, un pericolo particolare perla salute del paziente, qualora il medico ritenga consigliabile prescrivere l’uno o l’altromedicinale, e non può pregiudicare l’obiettività di cui, come è stato ricordato al‘considerando’ 50 della direttiva 2001/83, deve far prova il medico che redige unaprescrizione nei confronti di un determinato paziente. Infatti, un medico che prescrivemedicinali è tenuto, da un punto di vista deontologico, a non prescrivere un determinatomedicinale se quest’ultimo non è idoneo al trattamento terapeutico del suo paziente (v.,in tal senso, sentenza 22 aprile 2010, causa C- 62/09, Association of the BritishPharmaceutical Industry, non ancora pubblicata nella Raccolta, punti 39 e 40).
  • 17. Farmaci ad uso veterinario• Decreto 14 giugno 2002• D.lgs. 229/20061.2. Vendita a distanza• eCommerce– Direttiva 2000/31/CE– D.lgs. 70/2003– D.lgs. 206/2005 – Codice del Consumo– Direttiva 2011/83/CE• eCommerce / ePharmacy– R.D. 1265/1934– Codice deontologico del farmacista– Direttiva 2011/62/CE– Norme specifiche per singoli prodotti
  • 18. Cosa può essere vendutoVietato:• medicinali soggetti a prescrizione;• medicinali non soggetti a prescrizione,quali:– OTC (medicinali da banco o di automedicazione)– SOP (medicinali senza obbligo di prescrizione)– omeopaticiArt. 122, R.D. 1265/1934• La vendita al pubblico di medicinali a dose oforma di medicamento non è permessa che aifarmacisti e deve essere effettuata nellafarmacia sotto la responsabilità del titolare dellamedesima. Sono considerati medicinali a dose oforma di medicamento, per gli effetti della venditaal pubblico, anche i medicamenti composti e lespecialità medicinali, messi in commercio giàpreparati e condizionati secondo la formulastabilita dal produttore [...];
  • 19. Art. 25, Codice Deontologico• 1. Non è consentita al farmacista lacessione, tramite Internet o altre retiinformatiche, di medicinali:– sia su prescrizione,– sia senza obbligo di prescrizione,– anche omeopatici,in conformità alle direttive della UE e delle lineeguida dell’OMS, fatte salve le specifichenormative nazionaliAltri prodotti- Integratori alimentari- Preparazioni galeniche- Dispositivi medici
  • 20. A livello comunitario• Corte di Giustizia n. 322-01 del 11 dicembre2003 [Deutscher Apothekerverband Vs 0800DocMorris NV, Jacques Waterval]• Corte di Giustizia n. 171/172-07 del 19 maggio2009 [Apothekerkammer des Saarlandes et al. VsSaarland, Ministerium für Justiz, Gesundheit undSoziales, con l’intervento di DocMorris NV]• Direttiva 2001/83/CE (modificata dalla Direttiva 2011/62/CE)Procedimento C-322/01Deutscher Apothekerverband eV & 0800 DocMorris NV• Deutscher Apothekerverbandcontro• 0800 DocMorris NV• Dr. Waterval• L’ordinamento germanico prevede un divieto generale diimportazione di prodotti farmaceutici qualora i medesiminon abbiano ottenuto le autorizzazioni prescritte nelterritorio nazionale• Nel caso di prodotti autorizzati, la vendita può avveniresolo all’interno delle Farmacie, qualunque sia la natura delprodotto (oggetto e meno di obbligo di prescrizione)
  • 21. Sentenza• Un divieto nazionale di vendita per corrispondenza dei medicinali la cui vendita èriservata esclusivamente alle farmacie nello Stato membro interessato, come quelloprevisto allart. 43, primo comma, dellArzeimittelgesetz (legge sui medicinali), nel testodel 7 settembre 1998, costituisce una misura di effetto equivalente ai sensi dellart.28 CE.• Lart. 30 CE può essere invocato per giustificare un divieto nazionale di vendita percorrispondenza dei medicinali la cui vendita è riservata esclusivamente alle farmacienello Stato membro interessato, purché esso riguardi i medicinali soggetti aprescrizione medica. Invece, lart. 30 CE non può essere invocato per giustificare undivieto assoluto di vendita per corrispondenza dei medicinali non soggetti aprescrizione medica nello Stato membro interessato.• Le questioni 1, lett. a) e b), non richiedono una diversa valutazione in caso diimportazione di medicinali in uno Stato membro in cui essi sono autorizzati,anche qualora una farmacia stabilita in un altro Stato membro li abbia precedentementeacquistati presso grossisti stabiliti in tale Stato membro di importazione.• Lart. 88, n. 1, della direttiva del Parlamento europeo e del Consiglio 6 novembre 2001,2001/83/CE, recante un codice comunitario relativo ai medicinali per uso umano, ostaa un divieto nazionale di fare pubblicità alla vendita per corrispondenza deimedicinali la cui consegna è riservata esclusivamente alle farmacie nello Statomembro interessato, come quello previsto allart. 8, primo comma, delloHeilmittelwerbegesetz (legge sulla pubblicità dei medicinali), nel testo pubblicato il 19ottobre 1994, se tale divieto riguarda medicinali non soggetti a prescrizionemedica.Procedimento C-171-172/07Apothekerkammer des Saarlandes et al. Vs Saarland, Ministerium für Justiz,Gesundheit und Soziales, con l’intervento di DocMorris NV• Apothekerkammer des Saarlandes et al.contro• Saarland• Ministerium für Justiz, Gesundheit und Soziales• con l’intervento di DocMorris NV
  • 22. Direttiva 2001/83/CE• In questo ambito si colloca la direttivacomunitaria 2001/83/CE• Di recente modificata dalla direttivacomunitaria 2011/62/CE– Ques’ultima nello specifico introduce il TITOLO VIIbis rubricato Vendita a distanza al pubblicoDirettiva 2001/83/CE (2011/62/CE)(21) La vendita illegale di medicinali al pubblicoattraverso Internet rappresenta una seriaminaccia per la salute pubblica, poiché imedicinali falsificati possono arrivare al pubblicoin tal modo. È necessario far fronte a taleminaccia. Nel fare ciò, si dovrebbe tenere contodel fatto che le condizioni specifiche relative allafornitura al dettaglio di medicinali al pubblico nonsono state armonizzate a livello dell’Unione eche, pertanto, gli Stati membri possono imporrecondizioni per la fornitura di medicinali al pubblicoentro i limiti stabiliti dal trattato sul funzionamentodell’Unione europea (TFUE).
  • 23. segue(23) In particolare, alla luce dei rischi per la salute pubblica edella facoltà concessa agli Stati membri di determinare illivello di tutela della salute pubblica, la giurisprudenzadella Corte di giustizia ha riconosciuto che gli Statimembri possono, in linea di principio, limitare la vendita aldettaglio dei medicinali ai soli farmacisti(24) Pertanto, e alla luce della giurisprudenza della Corte digiustizia, gli Stati membri dovrebbero poter imporrecondizioni, giustificate dalla tutela della salute pubblica,alla fornitura al dettaglio dei medicinali messi in vendita adistanza mediante i servizi della società dell’informazione.Tali condizioni non dovrebbero limitare in modo indebito ilfunzionamento del mercato interno.segue(25) Il pubblico dovrebbe essere aiutato a identificare i siti web cheoffrono legalmente medicinali per la vendita a distanza al pubblico. Sidovrebbe creare un logo comune che sia riconoscibile nell’interaUnione e consenta nel contempo l’identificazione dello Stato membroin cui è stabilita la persona che mette in vendita medicinali a distanza.La Commissione dovrebbe sviluppare il disegno di tale logo. I siti webche offrono medicinali per la vendita a distanza al pubblicodovrebbero essere collegati al sito web dell’autorità competenteinteressata. I siti web delle autorità competenti degli Stati membri,nonché quello dell’Agenzia europea per i medicinali («Agenzia»),dovrebbero fornire una spiegazione sull’utilizzo del logo. Tutti isuddetti siti web dovrebbero essere collegati tra loro per fornireun’informazione esaustiva al pubblico.(26) Inoltre, la Commissione dovrebbe realizzare, in cooperazione conl’Agenzia e gli Stati membri, campagne di sensibilizzazione sui rischiconnessi all’acquisto di medicinali da fonti illegali attraverso Internet.
  • 24. Articolo 85 quaterCondizioni:a) la persona fisica o giuridica che mette in vendita i medicinali èautorizzata o legittimata a fornire medicinali al pubblico, anche adistanza, in conformità della legislazione nazionale dello Statomembro in cui è stabilita;b) la persona di cui alla lettera a) ha comunicato allo Stato membro in cuiè stabilita almeno le seguenti informazioni:i) il nome o la denominazione sociale e l’indirizzo permanente del luogo diattività a partire dal quale tali medicinali sono forniti;ii) la data d’inizio dell’attività di vendita a distanza al pubblico di medicinalimediante i servizi della società dell’informazione;iii) l’indirizzo del sito web utilizzato a tal fine e tutte le informazioni pertinentinecessarie per identificare il sito;iv) se del caso, la classificazione, in conformità del titolo VI, dei medicinalimessi in vendita a distanza al pubblico mediante i servizi della societàdell’informazione.seguec) i medicinali sono conformi alla legislazione nazionale dello Statomembro di destinazione a norma dell’articolo 6, paragrafo 1;d) fatti salvi gli obblighi di informazione previsti dalla direttiva 2000/31/CEdel Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa ataluni aspetti giuridici dei servizi della società dell’informazione, inparticolare il commercio elettronico, nel mercato interno (“Direttiva sulcommercio elettronico”) (**), il sito web per la vendita di medicinalicontiene almeno:i) i recapiti dell’autorità competente o dell’autorità notificata ai sensi dellalettera b);ii) un collegamento ipertestuale verso il sito web dello Stato membro distabilimento di cui al paragrafo 4;iii) il logo comune di cui al paragrafo 3, chiaramente visibile su ciascunapagina del sito web relativa alla vendita a distanza al pubblico dimedicinali. Il logo comune contiene un collegamento ipertestuale allavoce corrispondente alla persona sull’elenco di cui al paragrafo 4, letterac).
  • 25. Logo3. È creato un logo comune che sia riconoscibile in tuttal’Unione e che consenta nel contempo l’identificazionedello Stato membro in cui è stabilita la persona che mettein vendita medicinali al pubblico a distanza. Tale logo èchiaramente visibile nei siti web per la vendita a distanzaal pubblico di medicinali in conformità del paragrafo 1,lettera d).Al fine di armonizzare il funzionamento del logo comune, laCommissione adotta atti di esecuzione riguardanti:a) i requisiti tecnici, elettronici e crittografici per la verificadell’autenticità del logo comune;b) il disegno del logo comune.Sito4. Ciascuno Stato membro crea un sito web che fornisce almeno:a) le informazioni sulla legislazione nazionale applicabile alla vendita a distanza al pubblicodi medicinali mediante i servizi della società dell’informazione, ivi incluse le informazionisulle possibili differenze tra gli Stati membri per quanto concerne la classificazione deimedicinali e le condizioni che ne disciplinano la fornitura;b) le informazioni sulla finalità del logo comune;c) l’elenco delle persone che mettono in vendita a distanza al pubblico i medicinalimediante i servizi della società dell’informazione in conformità del paragrafo 1 el’indirizzo dei loro siti web;d) le informazioni generali sui rischi connessi ai medicinali forniti illegalmente al pubblicomediante i servizi della società dell’informazione.Il sito web contiene un collegamento ipertestuale verso il sito web di cui al paragrafo 5.5. L’Agenzia crea un sito web che fornisce le informazioni di cui al paragrafo 4, lettere b) ed), informazioni sulla legislazione dell’Unione applicabile ai medicinali falsificati nonchécollegamenti ipertestuali verso i siti web degli Stati membri di cui al paragrafo 4. Il sitoweb dell’Agenzia indica esplicitamente che i siti web degli Stati membri contengonoinformazioni sulle persone autorizzate o legittimate a fornire medicinali al pubblico adistanza mediante i servizi della società dell’informazione nello Stato membrointeressato.
  • 26. 1.3.- Marchio (cenni)• Impiego autorizzato del marchio• anche da parte dei legittimi distributori• Contraffazione del prodotto (brevetto) eabuso del marchioTRATTAMENTO DEIDATI PERSONALI
  • 27. 1.4.- Trattamento dati personali- D.Lgs. 196/2003- Provvedimenti specifici del GaranteArt. 1Diritto alla protezione dei dati personali• Chiunque ha diritto alla protezione deidati personali che lo riguardano
  • 28. Art. 4Definizioni “interessato”i) Si intende per interessato, la personafisica, la persona giuridica, l’ente ol’associazione cui si riferiscono i datipersonali.Persone giuridiche• Il Decreto Legge 6 dicembre 2011, n. 201 (in G.U. n. 284 del 6 dicembre2011 - Suppl. Ord. n. 251 - in vigore dal 6 dicembre 2011), recante"Disposizioni urgenti per la crescita, lequità e il consolidamento dei contipubblici" (c.d Decreto "salva-Italia"), allarticolo 40 ha introdotto importantinovità in tema di trattamento dei dati personali delle persone giuridiche.• Segnatamente, il comma 2 dispone che:"2. Per la riduzione degli oneri in materia di privacy, sono apportate le seguentimodifiche al decreto legislativo 30 giugno 2003, n. 196: a) allarticolo 4,comma 1, alla lettera b), le parole "persona giuridica, ente odassociazione" sono soppresse e le parole "identificati o identificabili" sonosostituite dalle parole "identificata o identificabile". b) Allarticolo 4, comma 1,alla lettera i), le parole "la persona giuridica, lente o lassociazione" sonosoppresse. c) Il comma 3-bis dellarticolo 5 è abrogato. d) Al comma 4,dellarticolo 9, lultimo periodo è soppresso. e) La lettera h) del comma idellarticolo 43 è soppressa.“
  • 29. Art. 4Definizioni “trattamento”a) Si intende per trattamento, qualunque operazione ocomplesso di operazioni, effettuati anche senza l’ausiliodi strumenti elettronici, concernenti la raccolta, laregistrazione, l’organizzazione, la conservazione, laconsultazione, l’elaborazione, la modificazione, laselezione, l’estrazione, il raffronto, l’utilizzo,l’interconnessione, il blocco, la comunicazione, ladiffusione, la cancellazione e la distruzione di dati,anche se non registrati in una banca di dati.Art. 2Finalità• il trattamento dei dati personali si svolgenel rispetto dei diritti e delle libertàfondamentali, nonché della dignitàdell’interessato, con particolareriferimento alla riservatezza, all’identitàpersonale e al diritto di protezione deidati personali.
  • 30. • Il diritto alla riservatezza (ovvero laprotezione della vita privata)• Il diritto alla identità personale (ovvero laprotezione della individualità di ciascuno,che si attua anche tramite la tutela delleinformazioni che precisano i contorni dellaindividualità• Il diritto alla protezione dei dati personaliConsiderazioni• Diritto di ciascuno a che i propri datipersonali, ove trattati da un’altra persona,siano protetti con le modalità e secondo glistandard definiti dalla legge• Patrimonio informativo di ciascuno comepatrimonio informativo circolante,sottoposto ad uso da tanti soggetti per lefinalità più varieConsiderazioni
  • 31. Art. 5Oggetto ed ambito di applicazione• disciplina il trattamento di dati personali, anche detenuti all’estero,effettuato da chiunque è stabilito nel territorio dello Stato o in luogocomunque soggetto alla sovranità dello Stato• si applica anche al trattamento di dati personali effettuato dachiunque è stabilito nel territorio di un Paese non appartenenteall’Unione europea e impiega, per il trattamento, strumenti situatinel territorio dello Stato … salvo che essi siano utilizzati solo ai finidi transito nel territorio dell’Unione• trattamento di dati personali effettuato da persone fisiche per finiesclusivamente personali è soggetto alla applicazione delpresente codice solo se i dati sono destinati ad una comunicazionesistematica o alla diffusione. Si applicano in ogni caso ledisposizioni in tema di responsabilità e di sicurezza dei dati di cuiagli articoli 15 e 31• Si ritiene che diffusione dei dati e finipersonali non siano compatibili (esclusaconfigurabilità di uno scopo personale incaso di diffusione dei dati)• La deroga vi è nell’area in cui ciascunindividuo apprende notizie e informazioniche rimangono utilizzate in una dimensionestrettamente privata.Considerazioni:Fini esclusivamente personali
  • 32. • La legge tutela le persone cui si riferiscono i dati marispetta anche la sfera personale di chi intenda esercitarela libertà di informarsi e di essere informato perperseguire scopi meramente personali.• Inapplicabile (tranne artt. 15 e 31) alle agendeautomatizzate e cartacee, alle rubriche, agli indirizzari,agli appunti e al materiale informativo che chiunque èsolito conservare nella propria sfera privata per soddisfareinteressi culturali o altre normali esigenze della vita direlazione.Considerazioni:Fini esclusivamente personali• Si riferisce alla sola comunicazione, non alladiffusione: o per soddisfare le proprie esigenzepersonali o se viene effettuata unacomunicazione saltuaria ed episodica• Attenzione: si riferisce solo alla persona fisica: ilsoggetto che tratta i dati deve essere unapersona fisica. Non riguarda le aziende.Considerazioni:Comunicazione sistematica
  • 33. Art. 4Definizioni “comunicazione”l) Si intende per comunicazione, il dareconoscenza dei dati personali a uno opiù soggetti determinati diversidall’interessato, dal rappresentante deltitolare nel territorio dello stato, dalresponsabile e dagli incaricati, inqualunque forma, anche mediante la loromessa a disposizione o consultazione.Art. 4Definizioni “diffusione”m) Si intende per diffusione, il dareconoscenza dei dati personali a soggettiindeterminati, in qualunque forma, anchemediante la loro messa a disposizione oconsultazione.
  • 34. Art. 4Definizioni “dato personale”b) Si intende per dato personale, qualunqueinformazione relativa a persona fisica,persona giuridica, ente od associazione,identificata o identificabile, ancheindirettamente, mediante riferimento aqualsiasi altra informazione, ivi compresoun numero di identificazione personale.Art. 4Definizioni “dati identificativi”c) Si intende per dati identificativi, i datipersonali che permettono l’identificazionediretta dell’interessato.
  • 35. Art. 4Definizioni “dati sensibili”d) Si intende per dati sensibili, i datipersonali idonei a rivelare l’originerazziale ed etnica, le convinzioni religiose,filosofiche o di altro genere, le opinionipolitiche, l’adesione a partiti, sindacati,associazioni od organizzazioni a caratterereligioso, filosofico, politico o sindacale,nonché i dati personali idonei a rivelare lostato di salute e la vita sessuale.Art. 4Definizioni “dati giudiziari”e) Si intende per dati giudiziari, i dati personaliidonei a rivelare provvedimenti di cui all’articolo3, comma 1, lettere da a) a o) e da r) a u), deld.P.R. 14 novembre 2002, n. 313, in materia dicasellario giudiziale, di anagrafe delle sanzioniamministrative dipendenti da reato e dei relativicarichi pendenti, o la qualità di imputato o diindagato ai sensi degli articoli 60 e 61 delcodice di procedura penale.
  • 36. Art. 4Definizioni “titolare”f) Si intende per titolare, la persona fisica, lapersona giuridica, la pubblicaamministrazione e qualunque altro ente,associazione od organismo cuicompetono, anche unitamente ad altrotitolare, le decisioni in ordine alle finalità,alle modalità del trattamento di datipersonali e agli strumenti utilizzati, ivicompreso il profilo di sicurezza.Art. 28Titolare del trattamento1. Quando il trattamento è effettuato da unapersona giuridica, da una pubblicaamministrazione o da un qualsiasi altro ente,associazione od organismo, titolare deltrattamento è l’entità nel suo complesso o l’unitàod organismo periferico che esercita un poteredecisionale del tutto autonomo sulle finalità esulle modalità del trattamento, ivi compreso ilprofilo di sicurezza.
  • 37. Art. 4Definizioni “responsabile”g) Si intende per responsabile, la personafisica, la persona giuridica, la pubblicaamministrazione e qualunque altro ente,associazione od organismo preposti daltitolare al trattamento dei dati personali.Art. 29Responsabile del trattamento• Il responsabile è designato dal titolare facoltativamente.• Se designato, il responsabile è individuato tra soggetti che peresperienza, capacità ed affidabilità forniscano idonea garanziadel pieno rispetto delle vigenti disposizioni in materia di trattamento,ivi compreso il profilo relativo alla sicurezza.• Ove necessario per esigenze organizzative, possono esseredesignati responsabili più soggetti, anche mediante suddivisionedei compiti.• I compiti affidati al responsabile sono analiticamente specificati periscritto dal titolare.• Il responsabile effettua il trattamento attenendosi alle istruzioniimpartite dal titolare il quale, …, vigila sulla puntuale osservanzadelle disposizioni di cui al comma 2 e delle proprie istruzioni.
  • 38. Art. 4Definizioni “incaricati”h) Si intendono per incaricati, le personefisiche autorizzate a compiere operazionidi trattamento dal titolare o dalresponsabile.Art. 30Incaricati del trattamento• Le operazioni di trattamento possono essere effettuatesolo da incaricati che operano sotto la diretta autoritàdel titolare o del responsabile, attenendosi alle istruzioniimpartite.• La designazione è effettuata per iscritto e individuapuntualmente l’ambito del trattamento consentito. Siconsidera tale anche la documentata preposizione dellapersona fisica ad una unità per la quale è individuato,per iscritto, l’ambito del trattamento consentito agliaddetti all’unità medesima.
  • 39. Art. 3Principio di necessitàI sistemi informativi e i programmi informaticisono configurati riducendo al minimol’utilizzazione di dati personali e di datiidentificativi, in modo da escluderne iltrattamento quando le finalità perseguite neisingoli casi possono essere realizzatemediante, rispettivamente, dati anonimi odopportune modalità che permettano diidentificare l’interessato solo in caso dinecessità.Art. 11Modalità del trattamento e requisitiI dati personali oggetto di trattamento sono:• trattati in modo lecito e secondo correttezza;• raccolti e registrati per scopi determinati, espliciti elegittimi, ed utilizzati in altre operazioni del trattamentoin termini compatibili con tali scopi;• esatti e, se necessario, aggiornati• conservati in una forma che consenta l’identificazionedell’interessato per un periodo di tempo non superiore aquello necessario agli scopi per i quali essi sono statiraccolti o successivamente trattati.I dati personali trattati in violazione della disciplinarilevante in materia di trattamento dei dati personali nonpossono essere utilizzati.
  • 40. Art. 37Notificazionehttps://web.garanteprivacy.it/rgt/NotificaEsplora.phpa) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematicarelativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività,trapianto di organi e tessuti e monitoraggio della spesa sanitaria;c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, acarattere politico, filosofico, religioso o sindacale;d) dati trattati con lausilio di strumenti elettronici volti a definire il profilo o la personalità dellinteressato, o ad analizzare abitudini o scelte diconsumo, ovvero a monitorare lutilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili perfornire i servizi medesimi agli utenti;e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione,ricerche di mercato e altre ricerche campionarie;f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazionepatrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dellinteressato, in ragione delle relative modalità odella natura dei dati personali, con proprio provvedimento adottato anche ai sensi dellarticolo 17. Con analogo provvedimento pubblicatosulla Gazzetta Ufficiale della Repubblica italiana il Garante può anche individuare, nellambito dei trattamenti di cui al comma 1, eventualitrattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti allobbligo di notificazione.Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazionegratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite laconsultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei datipersonali.Art. 13Informativa• L’interessato o la persona presso la quale sono raccolti idati personali sono previamente informati oralmente oper iscritto circa– le finalità e le modalità del trattamento cui sono destinati i dati;– la natura obbligatoria o facoltativa del conferimento dei dati;– le conseguenze di un eventuale rifiuto di rispondere;– i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l’ambito didiffusione dei dati medesimi;– i diritti di cui all’articolo 7;
  • 41. Art. 13Informativaf) gli estremi identificativi del titolare e, se designati,del rappresentante nel territorio dello Stato ai sensidell’articolo 5 e del responsabile.Quando il titolare ha designato più responsabili èindicato almeno uno di essi, indicando il sito della rete dicomunicazione o le modalità attraverso le quali èconoscibile in modo agevole l’elenco aggiornato deiresponsabili.Quando è stato designato un responsabile per ilriscontro all’interessato in caso di esercizio dei diritti dicui all’articolo 7, è indicato tale responsabile.Art. 13Informativa2. L’informativa di cui al comma 1 contiene anche glielementi previsti da specifiche disposizioni delpresente codice e può non comprendere gli elementi giànoti alla persona che fornisce i dati o la cui conoscenzapuò ostacolare in concreto l’espletamento, da parte diun soggetto pubblico, di funzioni ispettive o dicontrollo svolte per finalità di difesa o di sicurezza delloStato oppure di prevenzione, accertamento orepressione di reati.
  • 42. Art. 13Informativa• Il Garante può individuare con proprio provvedimentomodalità semplificate per l’informativa fornita inparticolare da servizi telefonici di assistenza einformazione al pubblico.• Se i dati personali non sono raccolti pressol’interessato, l’informativa di cui al comma 1,comprensiva delle categorie di dati trattati, è data almedesimo interessato all’atto della registrazione dei datio, quando è prevista la loro comunicazione, non oltre laprima comunicazione.Art. 13Informativa• La disposizione di cui al comma 4 non si applicaquando:– i dati sono trattati in base ad un obbligo previsto dalla legge,da un regolamento o dalla normativa comunitaria;– i dati sono trattati ai fini dello svolgimento delle investigazionidifensive di cui alla legge 7 dicembre 2000, n. 397, o,comunque, per far valere o difendere un diritto in sedegiudiziaria, sempre che i dati siano trattati esclusivamente pertali finalità e per il periodo strettamente necessario al loroperseguimento;– l’informativa all’interessato comporta un impiego di mezzi che ilGarante, prescrivendo eventuali misure appropriate, dichiarimanifestamente sproporzionati rispetto al diritto tutelato, ovverosi riveli, a giudizio del Garante, impossibile.
  • 43. Art. 23Consenso1. Il trattamento di dati personali da parte di privati o di entipubblici economici è ammesso solo con il consensoespresso dellinteressato.2. Il consenso può riguardare lintero trattamento ovverouna o più operazioni dello stesso.3. Il consenso è validamente prestato solo se è espressoliberamente e specificamente in riferimento ad untrattamento chiaramente individuato, se èdocumentato per iscritto, e se sono state reseallinteressato le informazioni di cui allarticolo 13.4. Il consenso è manifestato in forma scritta quando iltrattamento riguarda dati sensibili.Art. 24Casi in cui non occorre il consenso• Il consenso non è richiesto, oltre che nei casiprevisti nella Parte II, quando il trattamento:• è necessario per adempiere ad un obbligo previstodalla legge, da un regolamento o dalla normativacomunitaria;• è necessario per eseguire obblighi derivanti da uncontratto …;
  • 44. segue• riguarda dati provenienti da pubblici registri,elenchi, atti o documenti conoscibili da chiunque,fermi restando i limiti e le modalità che le leggi, iregolamenti o la normativa comunitaria stabilisconoper la conoscibilità e pubblicità dei dati;• riguarda dati relativi allo svolgimento di attivitàeconomiche, trattati nel rispetto della vigentenormativa in materia di segreto aziendale eindustriale;segue• è necessario per la salvaguardia della vita odellincolumità fisica di un terzo. Se la medesima finalitàriguarda linteressato e questultimo non può prestare ilproprio consenso per impossibilità fisica, per incapacitàdi agire o per incapacità di intendere o di volere, ilconsenso è manifestato da chi esercita legalmente lapotestà, ovvero da un prossimo congiunto, da unfamiliare, da un convivente o, in loro assenza, dalresponsabile della struttura presso cui dimoralinteressato. Si applica la disposizione di cui allarticolo82, comma 2;
  • 45. segue• con esclusione della diffusione, è necessarioai fini dello svolgimento delle investigazionidifensive di cui alla legge 7 dicembre 2000, n.397, o, comunque, per far valere o difendere undiritto in sede giudiziaria, sempre che i datisiano trattati esclusivamente per tali finalità eper il periodo strettamente necessario al loroperseguimento, nel rispetto della vigentenormativa in materia di segreto aziendale eindustriale;segue• con esclusione della diffusione, è necessario,nei casi individuati dal Garante sulla base deiprincipi sanciti dalla legge, per perseguire unlegittimo interesse del titolare o di un terzodestinatario dei dati, anche in riferimentoallattività di gruppi bancari e di societàcontrollate o collegate, qualora non prevalgano idiritti e le libertà fondamentali, la dignità o unlegittimo interesse dellinteressato;
  • 46. segue• con esclusione della comunicazione allesterno edella diffusione, è effettuato da associazioni, enti odorganismi senza scopo di lucro, anche non riconosciuti,in riferimento a soggetti che hanno con essi contattiregolari o ad aderenti, per il perseguimento di scopideterminati e legittimi individuati dallatto costitutivo,dallo statuto o dal contratto collettivo, e con modalità diutilizzo previste espressamente con determinazioneresa nota agli interessati allatto dellinformativa ai sensidellarticolo 13;segue• è necessario, in conformità ai rispettivi codici dideontologia di cui allallegato A), per esclusiviscopi scientifici o statistici, ovvero per esclusiviscopi storici presso archivi privati dichiarati dinotevole interesse storico ai sensi dellarticolo 6,comma 2, del decreto legislativo 29 ottobre1999, n. 490, di approvazione del testo unico inmateria di beni culturali e ambientali o, secondoquanto previsto dai medesimi codici, presso altriarchivi privati.
  • 47. Art. 26Garanzie per i dati sensibili1. I dati sensibili possono essere oggetto di trattamento solo con ilconsenso scritto dellinteressato e previa autorizzazione delGarante, nellosservanza dei presupposti e dei limiti stabiliti dalpresente codice, nonché dalla legge e dai regolamenti.2. Il Garante comunica la decisione adottata sulla richiesta diautorizzazione entro quarantacinque giorni, decorsi i quali lamancata pronuncia equivale a rigetto. Con il provvedimento diautorizzazione, ovvero successivamente, anche sulla base dieventuali verifiche, il Garante può prescrivere misure eaccorgimenti a garanzia dellinteressato, che il titolare deltrattamento è tenuto ad adottare.Art. 26Garanzie per i dati sensibili3. Il comma 1 non si applica al trattamento:a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti checon riferimento a finalità di natura esclusivamente religiosa hannocontatti regolari con le medesime confessioni, effettuato dai relativiorgani, ovvero da enti civilmente riconosciuti, sempre che i dati nonsiano diffusi o comunicati fuori delle medesime confessioni. Questeultime determinano idonee garanzie relativamente ai trattamentieffettuati, nel rispetto dei principi indicati al riguardo conautorizzazione del Garante;b) dei dati riguardanti ladesione di associazioni od organizzazioni acarattere sindacale o di categoria ad altre associazioni, organizzazionio confederazioni a carattere sindacale o di categoria.
  • 48. Art. 26Garanzie per i dati sensibili4. I dati sensibili possono essere oggetto di trattamento anche senzaconsenso, previa autorizzazione del Garante:a) quando il trattamento è effettuato da associazioni, enti od organismisenza scopo di lucro, anche non riconosciuti, a carattere politico,filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici,per il perseguimento di scopi determinati e legittimi individuati dallattocostitutivo, dallo statuto o dal contratto collettivo, relativamente ai datipersonali degli aderenti o dei soggetti che in relazione a tali finalitàhanno contatti regolari con lassociazione, ente od organismo, sempreche i dati non siano comunicati allesterno o diffusi e lente,associazione od organismo determini idonee garanzie relativamente aitrattamenti effettuati, prevedendo espressamente le modalità di utilizzodei dati con determinazione resa nota agli interessati allattodellinformativa ai sensi dellarticolo 13;Art. 26Garanzie per i dati sensibilib) quando il trattamento è necessario per la salvaguardia dellavita o dellincolumità fisica di un terzo. Se la medesimafinalità riguarda linteressato e questultimo non può prestare ilproprio consenso per impossibilità fisica, per incapacità di agireo per incapacità di intendere o di volere, il consenso èmanifestato da chi esercita legalmente la potestà, ovvero da unprossimo congiunto, da un familiare, da un convivente o, in loroassenza, dal responsabile della struttura presso cui dimoralinteressato. Si applica la disposizione di cui allarticolo 82,comma 2;
  • 49. Art. 26Garanzie per i dati sensibilic) quando il trattamento è necessario ai fini dello svolgimento delleinvestigazioni difensive di cui alla legge 7 dicembre 2000, n.397, o, comunque, per far valere o difendere in sede giudiziariaun diritto, sempre che i dati siano trattati esclusivamente per talifinalità e per il periodo strettamente necessario al loroperseguimento. Se i dati sono idonei a rivelare lo stato di salutee la vita sessuale, il diritto deve essere di rango pari a quellodellinteressato, ovvero consistente in un diritto dellapersonalità o in un altro diritto o libertà fondamentale einviolabile;Art. 26Garanzie per i dati sensibilid) quando è necessario per adempiere a specificiobblighi o compiti previsti dalla legge, da unregolamento o dalla normativa comunitaria per lagestione del rapporto di lavoro, anche in materia diigiene e sicurezza del lavoro e della popolazione e diprevidenza e assistenza, nei limiti previstidallautorizzazione e ferme restando le disposizionidel codice di deontologia e di buona condotta di cuiallarticolo 111.5. I dati idonei a rivelare lo stato di salute non possonoessere diffusi.
  • 50. TRATTAMENTO DEIDATI PERSONALI- approfondimento -Art. 27Garanzie per i dati giudiziari1. Il trattamento di dati giudiziari da parte di privatio di enti pubblici economici è consentitosoltanto se autorizzato da espressadisposizione di legge o provvedimento delGarante che specifichino le rilevanti finalità diinteresse pubblico del trattamento, i tipi di datitrattati e di operazioni eseguibili.
  • 51. Art. 7Diritto di accesso ai dati ed altri diritti1. L’interessato ha diritto di ottenere la confermadell’esistenza o meno di dati personali che loriguardano, anche se non ancora registrati, e la lorocomunicazione in forma intelligibile.Art. 7Diritto di accesso ai dati ed altri diritti2. L’interessato ha diritto di ottenere l’indicazione:• dell’origine dei dati personali;• delle finalità e modalità del trattamento;• della logica applicata in caso di trattamento effettuato conl’ausilio di strumenti elettronici;• degli estremi identificativi del titolare, dei responsabili e delrappresentante designato sul territorio …;• dei soggetti o delle categorie di soggetti ai quali i datipersonali possono essere comunicati o che possono venirnea conoscenza in qualità di rappresentante designato nelterritorio dello Stato, di responsabili o incaricati.
  • 52. Art. 7Diritto di accesso ai dati ed altri diritti3. L’interessato ha diritto di ottenere:a) l’aggiornamento, la rettificazione ovvero, quando vi hainteresse, l’integrazione dei dati;b) la cancellazione, la trasformazione in forma anonima o ilblocco dei dati trattati in violazione di legge, compresi quellidi cui non è necessaria la conservazione in relazione agliscopi per i quali i dati sono stati raccolti o successivamentetrattati;c) l’attestazione che le operazioni di cui alle lettere a) e b) sonostate portate a conoscenza, anche per quanto riguarda il lorocontenuto, di coloro ai quali i dati sono stati comunicati odiffusi, eccettuato il caso in cui tale adempimento si riveliimpossibile o comporta un impiego di mezzi manifestamentesproporzionato rispetto al diritto tutelato.Art. 7Diritto di accesso ai dati ed altri diritti4. L’interessato ha diritto di opporsi, in tutto o in parte:a) per motivi legittimi al trattamento dei datipersonali che lo riguardano, ancorché pertinentiallo scopo della raccolta;b) al trattamento di dati personali che lo riguardano afini di invio di materiale pubblicitario o di venditadiretta o per il compimento di ricerche di mercatoo di comunicazione commerciale.
  • 53. • Due contrappesi: dovere del Titolare diFAR SAPERE (informativa) e dirittodell’interessato di SAPERE.• L’interessato ha anche però diritto diconoscere l’origine dei dati personali e lalogica applicata al trattamentoautomatizzato, cui la disciplinadell’informativa non fa riferimento.Considerazioni• Collaborazione dell’interessato: ha laresponsabilità di fare quanto possibile perfacilitare la ricerca, principio di correttezzae buona fede che deve conformare tutte leparti in causa (specificazione di elementiche agevolino la ricerca, periodo diriferimento etc etc)Considerazioni
  • 54. • Se esistono o meno dati che lo riguardano (si puòesercitare anche nei confronti di chi potrebbe non essereTitolare di alcun trattamento dei nostri dati)• Permettono di identificare violazioni alla trasparenza (nonera stata data informativa) e di venire a conoscenza diterzi che trattano i nostri dati e che noi ignoravamo(titolare che acquisisce dati da terze parti e magari èesonerato dall’obbligo di legge di informativa - cfr. art.13.5)ConsiderazioniLe richieste• Per evitare scuse da parte del titolare che idati non sono ancora registrati al fine dieludere la normativaConsiderazioni“anche” dati non registrati
  • 55. • Insieme dei principi delle tabelle chedefiniscono funzioni logiche di unaapplicazione e dei collegamenti logiciutilizzati per eseguire una computazionemediante un sistema di elaborazioneautomatica di dati.• E’ il criterio informatico di elaborazione deidatiConsiderazioniLa logica del trattamentoArt. 8Esercizio dei diritti1. I diritti di cui all’articolo 7 sono esercitati con richiestarivolta senza formalità al titolare o al responsabile,anche per il tramite di un incaricato, alla quale è fornitoidoneo riscontro senza ritardo.2. I diritti di cui all’articolo 7 non possono essere esercitati… se i trattamenti sono effettuati nelle specifiche ipotesidi cui al comma 2, articolo 8 (vdns.) (es. da commissioniparlamentari di inchiesta, in materia di sostegno allevittime di richieste estorsive, in materia di riciclaggio,ecc…).
  • 56. Art. 9Modalità di esercizio1. La richiesta rivolta al titolare o al responsabile può esseretrasmessa anche mediante lettera raccomandata, telefax o postaelettronica. Il Garante può individuare altro idoneo sistema inriferimento a nuove soluzioni tecnologiche.Quando riguarda l’esercizio dei diritti di cui all’articolo 7, commi 1 e2, la richiesta può essere formulata anche oralmente e in tal casoè annotata sinteticamente a cura dell’incaricato o del responsabile.2. Nell’esercizio dei diritti di cui all’articolo 7 l’interessato puòconferire, per iscritto, delega o procura a persone fisiche, enti,associazioni od organismi. L’interessato può, altresì, farsi assistereda una persona di fiducia.Art. 9Modalità di esercizio3. I diritti di cui all’articolo 7 riferiti a dati personali concernentipersone decedute possono essere esercitati da chi ha uninteresse proprio, o agisce a tutela dell’interessato o per ragionifamiliari meritevoli di protezione.4. L’identità dell’interessato è verificata sulla base di idonei elementidi valutazione, anche mediante atti o documenti disponibili oesibizione o allegazione di copia di un documento diriconoscimento.
  • 57. Art. 9Modalità di esercizio5. La richiesta di cui all’articolo 7, commi 1 e 2, è formulataliberamente e senza costrizioni e può essere rinnovata,salva l’esistenza di giustificati motivi, con intervallo nonminore di novanta giorni.Regole speciali per il trattamento dei dati inambito sanitario – TITOLO VArt. 76. Esercenti professioni sanitarie e organismi sanitari pubblici1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anchenellambito di unattività di rilevante interesse pubblico ai sensi dellarticolo85, trattano i dati personali idonei a rivelare lo stato di salute:a) con il consenso dellinteressato e anche senza lautorizzazione delGarante, se il trattamento riguarda dati e operazioni indispensabili perperseguire una finalità di tutela della salute o dellincolumità fisicadellinteressato;b) anche senza il consenso dellinteressato e previa autorizzazione delGarante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.2. Nei casi di cui al comma 1 il consenso può essere prestato con le modalitàsemplificate di cui al capo II.3. Nei casi di cui al comma 1 lautorizzazione del Garante è rilasciata, salvi icasi di particolare urgenza, sentito il Consiglio superiore di sanità.
  • 58. ...Art. 77. Casi di semplificazione1. Il presente capo individua modalità semplificate utilizzabili dai soggetti dicui al comma 2:a) per informare linteressato relativamente ai dati personali raccolti pressoil medesimo interessato o presso terzi, ai sensi dellarticolo 13, commi 1 e4;b) per manifestare il consenso al trattamento dei dati personali nei casi incui ciò è richiesto ai sensi dellarticolo 76;c) per il trattamento dei dati personali.2. Le modalità semplificate di cui al comma 1 sono applicabili:a) dagli organismi sanitari pubblici;b) dagli altri organismi privati e dagli esercenti le professioni sanitarie;c) dagli altri soggetti pubblici indicati nellarticolo 80....Art. 78. Informativa del medico di medicina generale o del pediatra1. Il medico di medicina generale o il pediatra di libera scelta informanolinteressato relativamente al trattamento dei dati personali, in forma chiarae tale da rendere agevolmente comprensibili gli elementi indicatinellarticolo 13, comma 1.2. Linformativa può essere fornita per il complessivo trattamento dei datipersonali necessario per attività di prevenzione, diagnosi, cura eriabilitazione, svolte dal medico o dal pediatra a tutela della salute odellincolumità fisica dellinteressato, su richiesta dello stesso o di cui questiè informato in quanto effettuate nel suo interesse.3. Linformativa può riguardare, altresì, dati personali eventualmente raccoltipresso terzi, ed è fornita preferibilmente per iscritto, anche attraverso cartetascabili con eventuali allegati pieghevoli, includendo almeno gli elementiindicati dal Garante ai sensi dellarticolo 13, comma 3, eventualmenteintegrati anche oralmente in relazione a particolari caratteristiche deltrattamento.
  • 59. ...segue art. 784. Linformativa, se non è diversamente specificato dal medico o dal pediatra, riguarda anche iltrattamento di dati correlato a quello effettuato dal medico di medicina generale o dal pediatra dilibera scelta, effettuato da un professionista o da altro soggetto, parimenti individuabile in basealla prestazione richiesta, che:a) sostituisce temporaneamente il medico o il pediatra;b) fornisce una prestazione specialistica su richiesta del medico e del pediatra;c) può trattare lecitamente i dati nellambito di unattività professionale prestata in formaassociata;d) fornisce farmaci prescritti;e) comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.5. Linformativa resa ai sensi del presente articolo evidenzia analiticamente eventuali trattamenti didati personali che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per ladignità dellinteressato, in particolare in caso di trattamenti effettuati:a) per scopi scientifici, anche di ricerca scientifica e di sperimentazione clinica controllata dimedicinali, in conformità alle leggi e ai regolamenti, ponendo in particolare evidenza che ilconsenso, ove richiesto, è manifestato liberamente;b) nellambito della teleassistenza o telemedicina;c) per fornire altri beni o servizi allinteressato attraverso una rete di comunicazione elettronica....Art. 79. Informativa da parte di organismi sanitari1. Gli organismi sanitari pubblici e privati possono avvalersi delle modalità semplificaterelative allinformativa e al consenso di cui agli articoli 78 e 81 in riferimento ad unapluralità di prestazioni erogate anche da distinti reparti ed unità dello stessoorganismo o di più strutture ospedaliere o territoriali specificamente identificati.2. Nei casi di cui al comma 1 lorganismo o le strutture annotano lavvenuta informativae il consenso con modalità uniformi e tali da permettere una verifica al riguardo daparte di altri reparti ed unità che, anche in tempi diversi, trattano dati relativi almedesimo interessato.3. Le modalità semplificate di cui agli articoli 78 e 81 possono essere utilizzate in modoomogeneo e coordinato in riferimento allinsieme dei trattamenti di dati personalieffettuati nel complesso delle strutture facenti capo alle aziende sanitarie.4. Sulla base di adeguate misure organizzative in applicazione del comma 3, lemodalità semplificate possono essere utilizzate per più trattamenti di dati effettuatinei casi di cui al presente articolo ed ai soggetti di cui allarticolo 80.
  • 60. ...Art. 81. Prestazione del consenso1. Il consenso al trattamento dei dati idonei a rivelare lo stato di salute, neicasi in cui è necessario ai sensi del presente codice o di altra disposizionedi legge, può essere manifestato con ununica dichiarazione, ancheoralmente. In tal caso il consenso è documentato, anziché con atto scrittodellinteressato, con annotazione dellesercente la professione sanitaria odellorganismo sanitario pubblico, riferita al trattamento di dati effettuato dauno o più soggetti e allinformativa allinteressato, nei modi indicati negliarticoli 78, 79 e 80.2. Quando il medico o il pediatra fornisce linformativa per conto di piùprofessionisti ai sensi dellarticolo 78, comma 4, oltre quanto previsto dalcomma 1, il consenso è reso conoscibile ai medesimi professionisti conadeguate modalità, anche attraverso menzione, annotazione o apposizionedi un bollino o tagliando su una carta elettronica o sulla tessera sanitaria,contenente un richiamo al medesimo articolo 78, comma 4, e alle eventualidiverse specificazioni apposte allinformativa ai sensi del medesimocomma....Art. 82. Emergenze e tutela della salute e dellincolumità fisica1. Linformativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo,successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica per laquale la competente autorità ha adottato unordinanza contingibile ed urgente ai sensidellarticolo 117 del decreto legislativo 31 marzo 1998, n. 112.2. Linformativa e il consenso al trattamento dei dati personali possono altresì intervenire senzaritardo, successivamente alla prestazione, in caso di:a) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dellinteressato,quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero da unprossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile dellastruttura presso cui dimora linteressato;b) rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dellinteressato.3. Linformativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo,successivamente alla prestazione, anche in caso di prestazione medica che può esserepregiudicata dallacquisizione preventiva del consenso, in termini di tempestività o efficacia.4. Dopo il raggiungimento della maggiore età linformativa è fornita allinteressato anche ai fini dellaacquisizione di una nuova manifestazione del consenso quando questo è necessario.
  • 61. ...Art. 83. Altre misure per il rispetto dei diritti degli interessati1. I soggetti di cui agli articoli 78, 79 e 80 adottano idonee misure per garantire, nellorganizzazionedelle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degliinteressati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dairegolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime disicurezza.2. Le misure di cui al comma 1 comprendono, in particolare:a) soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad adempimentiamministrativi preceduti da un periodo di attesa allinterno di strutture, un ordine di precedenza edi chiamata degli interessati prescindendo dalla loro individuazione nominativa;b) listituzione di appropriate distanze di cortesia, tenendo conto delleventuale uso di apparativocali o di barriere;c) soluzioni tali da prevenire, durante colloqui, lindebita conoscenza da parte di terzi diinformazioni idonee a rivelare lo stato di salute;d) cautele volte ad evitare che le prestazioni sanitarie, ivi compresa leventuale documentazionedi anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti;e) il rispetto della dignità dellinteressato in occasione della prestazione medica e in ognioperazione di trattamento dei dati;...segue art. 83f) la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario,possa essere data correttamente notizia o conferma anche telefonica, ai soli terzilegittimati, di una prestazione di pronto soccorso;g) la formale previsione, in conformità agli ordinamenti interni delle struttureospedaliere e territoriali, di adeguate modalità per informare i terzi legittimati inoccasione di visite sulla dislocazione degli interessati nellambito dei reparti,informandone previamente gli interessati e rispettando eventuali loro contrariemanifestazioni legittime di volontà;h) la messa in atto di procedure, anche di formazione del personale, dirette aprevenire nei confronti di estranei unesplicita correlazione tra linteressato e repartio strutture, indicativa dellesistenza di un particolare stato di salute;i) la sottoposizione degli incaricati che non sono tenuti per legge al segretoprofessionale a regole di condotta analoghe al segreto professionale.2-bis. Le misure di cui al comma 2 non si applicano ai soggetti di cui allarticolo 78,che ottemperano alle disposizioni di cui al comma 1 secondo modalità adeguate agarantire un rapporto personale e fiduciario con gli assistiti, nel rispetto del codice dideontologia sottoscritto ai sensi dellarticolo 12.
  • 62. ...Art. 84. Comunicazione di dati allinteressato1. I dati personali idonei a rivelare lo stato di salute possono essere resinoti allinteressato o ai soggetti di cui allarticolo 82, comma 2, lettera a), daparte di esercenti le professioni sanitarie ed organismi sanitari, solo per iltramite di un medico designato dallinteressato o dal titolare. Il presentecomma non si applica in riferimento ai dati personali forniti in precedenzadal medesimo interessato.2. Il titolare o il responsabile possono autorizzare per iscritto esercenti leprofessioni sanitarie diversi dai medici, che nellesercizio dei propri compitiintrattengono rapporti diretti con i pazienti e sono incaricati di trattare datipersonali idonei a rivelare lo stato di salute, a rendere noti i medesimi datiallinteressato o ai soggetti di cui allarticolo 82, comma 2, lettera a). Lattodi incarico individua appropriate modalità e cautele rapportate al contestonel quale è effettuato il trattamento di dati....Art. 87. Medicinali a carico del Servizio sanitario nazionale1. Le ricette relative a prescrizioni di medicinali a carico, anche parziale, del Servizio sanitario nazionale sono redattesecondo il modello di cui al comma 2, conformato in modo da permettere di risalire allidentità dellinteressatosolo in caso di necessità connesse al controllo della correttezza della prescrizione, ovvero a fini di verificheamministrative o per scopi epidemiologici e di ricerca, nel rispetto delle norme deontologiche applicabili.2. Il modello cartaceo per le ricette di medicinali relative a prescrizioni di medicinali a carico, anche parziale, del Serviziosanitario nazionale, di cui agli allegati 1, 3, 5 e 6 del decreto del Ministro della sanità 11 luglio 1988, n. 350, e alcapitolo 2, paragrafo 2.2.2. del relativo disciplinare tecnico, è integrato da un tagliando predisposto su carta o contecnica di tipo copiativo e unito ai bordi delle zone indicate nel comma 3.3. Il tagliando di cui al comma 2 è apposto sulle zone del modello predisposte per lindicazione delle generalità edellindirizzo dellassistito, in modo da consentirne la visione solo per effetto di una momentanea separazione deltagliando medesimo che risulti necessaria ai sensi dei commi 4 e 5.4. Il tagliando può essere momentaneamente separato dal modello di ricetta, e successivamente riunito allo stesso,quando il farmacista lo ritiene indispensabile, mediante sottoscrizione apposta sul tagliando, per una effettivanecessità connessa al controllo della correttezza della prescrizione, anche per quanto riguarda la correttafornitura del farmaco.5. Il tagliando può essere momentaneamente separato nei modi di cui al comma 3 anche presso i competenti organi perfini di verifica amministrativa sulla correttezza della prescrizione, o da parte di soggetti legittimati a svolgereindagini epidemiologiche o di ricerca in conformità alla legge, quando è indispensabile per il perseguimento dellerispettive finalità.6. Con decreto del Ministro della salute, sentito il Garante, può essere individuata una ulteriore soluzione tecnica diversada quella indicata nel comma 1, basata sulluso di una fascetta adesiva o su altra tecnica equipollente relativaanche a modelli non cartacei.
  • 63. ...Art. 88. Medicinali non a carico del Servizio sanitario nazionale1. Nelle prescrizioni cartacee di medicinali soggetti a prescrizioneripetibile non a carico, anche parziale, del Servizio sanitarionazionale, le generalità dellinteressato non sono indicate.2. Nei casi di cui al comma 1 il medico può indicare le generalitàdellinteressato solo se ritiene indispensabile permettere di risalirealla sua identità, per uneffettiva necessità derivante dalle particolaricondizioni del medesimo interessato o da una speciale modalità dipreparazione o di utilizzazione....Art. 89, comma 2 bisPer i soggetti di cui all’art. 78 [medico di medicina generale epediatra di libera scelta], l’attuazione delle disposizioni di cui all’art.87, comma 3, e 88, comma 1, è subordinata ad un’esplicitarichiesta dell’interessato
  • 64. ...Art. 88. Medicinali non a carico del Servizio sanitario nazionale1. Nelle prescrizioni cartacee di medicinali soggetti a prescrizioneripetibile non a carico, anche parziale, del Servizio sanitarionazionale, le generalità dellinteressato non sono indicate.2. Nei casi di cui al comma 1 il medico può indicare le generalitàdellinteressato solo se ritiene indispensabile permettere di risalirealla sua identità, per uneffettiva necessità derivante dalle particolaricondizioni del medesimo interessato o da una speciale modalità dipreparazione o di utilizzazione....Art. 92. Cartelle cliniche1. Nei casi in cui organismi sanitari pubblici e privati redigono e conservano una cartellaclinica in conformità alla disciplina applicabile, sono adottati opportuni accorgimentiper assicurare la comprensibilità dei dati e per distinguere i dati relativi al pazienteda quelli eventualmente riguardanti altri interessati, ivi comprese informazionirelative a nascituri.2. Eventuali richieste di presa visione o di rilascio di copia della cartella e dellacclusascheda di dimissione ospedaliera da parte di soggetti diversi dallinteressatopossono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalladocumentata necessità:a) di far valere o difendere un diritto in sede giudiziaria ai sensi dellarticolo 26, comma 4,lettera c), di rango pari a quello dellinteressato, ovvero consistente in un diritto dellapersonalità o in un altro diritto o libertà fondamentale e inviolabile;b) di tutelare, in conformità alla disciplina sullaccesso ai documenti amministrativi, unasituazione giuridicamente rilevante di rango pari a quella dellinteressato, ovveroconsistente in un diritto della personalità o in un altro diritto o libertà fondamentale einviolabile.
  • 65. ...Art. 93. Certificato di assistenza al parto1. Ai fini della dichiarazione di nascita il certificato di assistenza al parto èsempre sostituito da una semplice attestazione contenente i soli datirichiesti nei registri di nascita. Si osservano, altresì, le disposizionidellarticolo 109.2. Il certificato di assistenza al parto o la cartella clinica, ove comprensivi dei datipersonali che rendono identificabile la madre che abbia dichiarato di nonvoler essere nominata avvalendosi della facoltà di cui allarticolo 30,comma 1, del decreto del Presidente della Repubblica 3 novembre 2000,n. 396, possono essere rilasciati in copia integrale a chi vi abbia interesse,in conformità alla legge, decorsi cento anni dalla formazione deldocumento.3. Durante il periodo di cui al comma 2 la richiesta di accesso al certificato o allacartella può essere accolta relativamente ai dati relativi alla madre cheabbia dichiarato di non voler essere nominata, osservando le opportunecautele per evitare che questultima sia identificabile.IDENTITÀ IN RETE
  • 66. 1.5.- Identità in rete- D.lgs. 82/2005- Accertamento della identità della persona- Sottoscrizione dei contratti online- Autorizzazione scritta al trattamento dei datipersonali- Sottoscrizione di clausole vessatorierete e identità realenuove modalità di attestazioneefficacia giuridicapercorso logico
  • 67. Constatazione: Rete “reale” non virtualePopolazione mondiale7 miliardi 100 milioni(Istituto francese di studi demografici, agosto 2012)Utenti Internet nel mondo2 miliardi 300 milioni(Internet World Stats, agosto 2012)Utenti Facebook1 miliardo (23 milioni in Italia)(Facebook, settembre 2012)identità virtu(re)ale(1) SteganografiaOccultamento fisico del messaggio- il messaggio è “invisibile”- forte rischio di pregiudizio in caso diintercettazioneun’epoca ... un sistema
  • 68. • CrittografiaOccultamento semantico del contenuto• messaggio “visibile” ma non “comprensibile”• key managementun’epoca ... un sistemacrittografia simmetricacrittografia asimmetricaLa crittografia simmetrica, notaanche come crittografia a chiaveprivata o a chiave segreta, è quellaparticolare tecnica crittografica cheprevede lutilizzo di un’unica chiave siaper loperazione di cifratura sia perquella di decifratura
  • 69. crittografia simmetricacrittografia asimmetricaLa crittografia asimmetrica (crittografia adoppia chiave o crittografia a chiave pubblica)contempla invece l’impiego di una coppia dichiavi, una chiave pubblica ed una chiaveprivata.Il principio sotteso a questa particolare tecnicaprevede che quanto viene cifrato con unachiave potrà essere decifrato esclusivamentecon l’altra chiave della coppia1. Una chiave (KPRIV) per cifrare2. Un’altra chiave (KPUB) per decifrareDue chiave diverse ma correlate (KPRIV KPUB)1. Chiave privata (KPRIV) conosciuta solo dal titolare2. Chiave pubblica (KPUB) conosciuta da tutticrittografia asimmetrica
  • 70. • La firma digitale altro non è che l’applicazionedi un sistema di cifratura a chiaveasimmetrica• Oltre al piano IT vi è un livello organizzativoche unisce allo strumento di firma l’elementodella certificazione della identità della personatitolare dello strumento.Dalla crittografiaalle firme elettroniche• linsieme dei dati in forma elettronica, allegatioppure connessi tramite associazione logica adaltri dati elettronici, utilizzati come metodo diidentificazione informatica• identificazione informatica: la validazionedellinsieme di dati attribuiti in modo esclusivo edunivoco ad un soggetto, che ne consentonolindividuazione nei sistemi informativi, effettuataattraverso opportune tecnologie anche al fine digarantire la sicurezza dellaccessofirma elettronica
  • 71. l’insieme di dati in forma elettronica allegatioppure connessi a un documento informaticoche consentono l’identificazione del firmatario deldocumento e garantiscono la connessioneunivoca al firmatario, creati con mezzi sui quali ilfirmatario può conservare un controllo esclusivo,collegati ai dati ai quali detta firma si riferisce inmodo da consentire di rilevare se i dati stessisiano stati successivamente modificatifirma elettronica avanzataun particolare tipo di firma elettronicaavanzata che sia basata su un certificatoqualificato e realizzata mediante undispositivo sicuro per la creazione dellafirmafirma elettronica qualificata
  • 72. un particolare tipo di firma elettronica avanzatabasata su un certificato qualificato e su unsistema di chiavi crittografiche, una pubblica euna privata, correlate tra loro, che consente altitolare tramite la chiave privata e al destinatariotramite la chiave pubblica, rispettivamente, direndere manifesta e di verificare la provenienzae lintegrità di un documento informatico o diun insieme di documenti informaticifirma digitaleUna funzione matematica che genera, a partireda una generica sequenza di simboli binari (bit),una impronta in modo tale che risulti di fattoimpossibile, a partire da questa, determinare unasequenza di simboli binari (bit) per le quali lafunzione generi impronte uguali(cfr. d.p.c.m. 30 marzo 2009)hash function
  • 73. la rappresentazione informatica di atti, fattio dati giuridicamente rilevantidocumento informaticola rappresentazione non informatica diatti, fatti o dati giuridicamente rilevantidocumento analogico
  • 74. Art. 201.bis) Lidoneità del documento informaticoa soddisfare il requisito della forma scritta eil suo valore probatorio sono liberamentevalutabili in giudizio, tenuto conto dellesue caratteristiche oggettive di qualità,sicurezza, integrità ed immodificabilità,fermo restando quanto disposto dall’art. 21efficacia documentoArt. 211) Il documento informatico, cui è appostauna firma elettronica, sul pianoprobatorio è liberamente valutabile ingiudizio, tenuto conto delle suecaratteristiche oggettive di qualità,sicurezza, integrità e immodificabilitàefficacia documento sottoscritto
  • 75. 2) Il documento informatico sottoscritto con firma elettronicaavanzata, qualificata o digitale, formato nel rispetto delle regoletecniche di cui allarticolo 20, comma 3, che garantiscanolidentificabilità dellautore, lintegrità e limmodificabilità deldocumento, ha lefficacia prevista dallarticolo 2702 C.c. Lutilizzodel dispositivo di firma si presume riconducibile al titolare, salvo chequesti dia prova contraria.2.bis) Salvo quanto previsto dall’articolo 25, le scritture private di cuiall’articolo 1350, primo comma, numeri da 1 a 12, del codice civile,se fatte con documento informatico, sono sottoscritte, a pena dinullità, con firma elettronica qualificata o con firma digitale.segue3) L’apposizione ad un documento informatico di unafirma digitale o di un altro tipo di firma elettronicaqualificata basata su un certificato elettronico revocato,scaduto o sospeso equivale a mancata sottoscrizione.La revoca o la sospensione, comunque motivate, hannoeffetto dal momento della pubblicazione, salvo che ilrevocante, o chi richiede la sospensione, non dimostri cheessa era già a conoscenza di tutte le parti interessate.segue
  • 76. Art. 352) I dispositivi sicuri e le procedure di cui al comma 1 devonogarantire lintegrità dei documenti informatici a cui la firma siriferisce. I documenti informatici devono essere presentati altitolare, prima dellapposizione della firma, chiaramente e senzaambiguità, e si deve richiedere conferma della volontà digenerare la firma secondo quanto previsto dalle regole tecniche dicui allarticolo 71.3) Il secondo periodo del comma 2 non si applica alle firmeapposte con procedura automatica. La firma con proceduraautomatica è valida se apposta previo consenso del titolareall’adozione della procedura medesima.firme automatiche | remoteArt. 23.ter5) Al fine di assicurare la provenienza e la conformitàall’originale, sulle copie analogiche di documentiinformatici, è apposto a stampa, sulla base dei criteridefiniti con linee guida emanate da DigitPA, uncontrassegno generato elettronicamente, formato nelrispetto delle regole tecniche stabilite ai sensi dell’articolo71 e tale da consentire la verifica automatica dellaconformità del documento analogico a quelloinformatico.contrassegno elettronico
  • 77. marcatura temporaleArt. 1: il risultato della procedura informaticacon cui si attribuiscono, ad uno o piùdocumenti informatici, una data ed un orarioopponibili ai terziArt. 20: la data e lora di formazione deldocumento informatico sono opponibili aiterzi se apposte in conformità alle regoletecniche sulla validazione temporale.
  • 78. firma digitale nel tempoArt. 51 (regole tecniche)1) La firma digitale, ancorché sia scaduto, revocatoo sospeso il relativo certificato qualificato delsottoscrittore, è valida se alla stessa è associabileun riferimento temporale opponibile ai terzi checolloca la generazione di detta firma digitale in unmomento precedente alla sospensione, scadenza orevoca del suddetto certificato.Alcune criticità “formali”- Clausole vessatorie online- Informativa per il trattamento dei datipersonali online
  • 79. 2.- Sanità elettronicaSanità elettronicaSistemi istituzionali-Fascicolo Sanitario Elettronico-Dossier Sanitario Elettronico-Referti onlineSistemi personali-Siti Web dedicati alla salute(esclusivamente e non)-Personal Health Record
  • 80. SISTEMI PERSONALI2.1.- Sistemi personali- Siti Web dedicati esclusivamente alla salute- Personal Health Record
  • 81. Linee guida del Garante “siti web dedicatiesclusivamente alla salute”1) lo scambio di informazioni edesperienze in rete riveste una grandeutilità e rilevanza• Per la comunità scientifica• Per il sostegno e la solidarietà fra i malati2) emergono profili di rischio in riferimentoalla particolarità dei dati trattati anche inconsiderazione delle caratteristichedello strumento impiegatoAvvertenza di rischio• Al gestore è richiesto – oltre ai consueti obblighidi informativa – di rendere una specificaavvertenza di rischio recante in particolare:– le istruzioni per il processo di registrazione dell’utente– le informazioni e le cautele da comunicare all’utente inmerito all’impiego e alla condivisione dei dati(anonimato, foto, contenuti, dati di terzi, luoghi, contatti,ecc.)– l’ambito di conoscibilità dei dati immessi nel servizio– l’indicazione se i dati sono tracciati o meno dai motoridi ricerca
  • 82. Email (es. Google)“[...] Quando carica o invia in altro modo dei contenuti ai nostri Servizi,l’utente concede a Google (e a coloro che lavorano con Google) unalicenza mondiale per utilizzare, ospitare, memorizzare, riprodurre,modificare, creare opere derivate (come quelle derivanti da traduzioni,adattamenti o modifiche che apportiamo in modo che i contenutidell’utente si adattino meglio ai nostri Servizi), comunicare, pubblicare,rappresentare pubblicamente, visualizzare pubblicamente e distribuiretali contenuti. I diritti che concede con questa licenza riguardano lo scopolimitato di utilizzare, promuovere e migliorare i nostri Servizi e disvilupparne di nuovi. Questa licenza permane anche qualora l’utentesmettesse di utilizzare i nostri Servizi (ad esempio nel caso di unascheda di attività commerciale aggiunta a Google Maps). Alcuni Servizipotrebbero offrire modalità di accesso e rimozione dei contenuti forniti atale Servizio. Inoltre, in alcuni dei nostri Servizi sono presenti termini oimpostazioni che restringono l’ambito del nostro utilizzo dei contenutiinviati a tali Servizi. L’utente dovrà assicurarsi di disporre dei dirittinecessari per concederci tale licenza rispetto a qualsiasi contenutoinviato ai nostri Servizi.”.termini di servizio al 16 maggio 2012https://www.google.it/intl/it/policies/Email (es. Google)“In Gmail, gran parte degli annunci che visualizziamocompaiono accanto a un messaggio email aperto eriguardano i contenuti del messaggio. Quandopersonalizziamo gli annunci, visualizziamo annunciattinenti ai contenuti di tutte le tue email. Ad esempio,se di recente hai ricevuto molti messaggi sullafotografia o sulle fotocamere, potremmo visualizzareun’offerta di un negozio locale che vende fotocamere.”.norme sulla privacy (FAQ) al 16 maggio 2012https://www.google.it/intl/it/policies/
  • 83. Social network (es. Facebook)“Per quanto riguarda i contenuti coperti da diritti diproprietà, ad esempio foto e video (Contenuti IP), lutenteconcede a Facebook le seguenti autorizzazioni, soggettealle impostazioni sulla privacy e delle applicazionidellutente stesso: lutente fornisce a Facebook unalicenza non esclusiva, trasferibile, che può essereconcessa come sotto-licenza, libera da royalty e valida intutto il mondo, che consente lutilizzo di qualsiasiContenuto IP pubblicato su Facebook o in connessionecon Facebook (Licenza IP). La Licenza IP termina nelmomento in cui lutente elimina i Contenuti IP presenti sulsuo account, a meno che tali contenuti non siano staticondivisi con terzi e che questi non li abbiano eliminati.terms al 16 maggio 2012http://www.facebook.com/policies/Social network (es. Facebook)Quando lutente elimina Contenuti IP, questi vengono eliminati in modosimile a quando si svuota il cestino del computer. Tuttavia, è possibileche i contenuti rimossi vengano conservati come copie di backup per undeterminato periodo di tempo (pur non essendo visibili ad altri).Quando si usa unapplicazione, i contenuti e le informazioni vengonomessi in condivisione con lapplicazione. Le applicazioni devonorispettare la privacy dellutente, ed è laccordo accettato al momentodellaggiunta dellapplicazione che controlla il modo in cui lapplicazionepuò utilizzare, archiviare e trasferire i contenuti e le informazioni (ulterioriinformazioni sulla Piattaforma sono disponibili nella nostra Normativasulla privacy e nella pagina della Piattaforma).Quando lutente pubblica contenuti o informazioni usando limpostazionetutti, concede a tutti, anche alle persone che non sono iscritte aFacebook, di accedere e usare tali informazioni e di associarle al suoprofilo (ovvero al suo nome e alla sua immagine).”.terms al 16 maggio 2012http://www.facebook.com/policies/
  • 84. Considerazioni:1) Si tratta della pagina di un professionista2) Si tratta di una pagina totalmente pubblicavisibile anche al di fuori del servizio3) Gli utenti pubblicano informazioni relative alproprio stato di salute4) Gli utenti si identificano con il proprio nome ecognome5) Gli utenti indicano anche la propria immaginereale (v. riconoscimento facciale automatico)esempio tratto da fbCloud computing (es. iCloud)Rimozione di ContenutiLei prende atto che Apple non è responsabile in alcun modo perContenuti forniti da altri e non ha alcun dovere di controllarepreventivamente tali Contenuti. Tuttavia, Apple si riserva il diritto inogni momento di decidere se un Contenuto è opportuno e inconformità con il presente Contratto, e può controllarepreventivamente, spostare, rifiutare, modificare e/o rimuovere iContenuti in ogni momento, senza preavviso e a sua soladiscrezione, nel caso in cui tali Contenuti siano ritenuti inviolazione del presente Contratto o siano sgradevoli in altro modo.terms al 16 maggio 2012http://www.apple.com/legal/icloud/it/terms.html
  • 85. Cloud computing (es. iCloud)Accesso al Suo Account e ContenutoApple si riserva il diritto di adottare le misure che Apple ritiene sianoragionevolmente necessarie o opportune per applicare e/o verificare laconformità con qualsiasi parte del presente Contratto. Lei prende atto eaccetta che Apple potrà, senza responsabilità nei Suoi confronti, accedere,utilizzare, conservare e/o divulgare le Sue informazioni sull’Account eContenuti alle forze dell’ordine, funzionari del governo e/o terzi, così comeApple ritenga sia ragionevolmente necessario o opportuno, qualora siarichiesto per legge o nel caso in cui noi riteniamo in buona fede che taleaccesso, uso, divulgazione o conservazione siano ragionevolmente necessariper: (a) conformarsi a procedimenti od ordini giudiziari; (b) applicare ilpresente Contratto, inclusa l’investigazione di qualsiasi violazione potenzialedello stesso; (c) individuare, prevenire o gestire in altro modo problemi disicurezza, tecnici o in materia di frode; o (d) proteggere i diritti, la proprietà ola sicurezza di Apple, i suoi utenti, terze parti o il pubblico, così come richiestoo consentito dalla legge.terms al 16 maggio 2012http://www.apple.com/legal/icloud/it/terms.htmlPersonal Health Record• Sistema personale di archiviazione dei datiinerenti lo stato di salute• Può riguardare i dati di terze persone• Può prevedere l’accesso da parte disoggetti terzi in caso di emergenza• Può prevedere l’accesso da parte disoggetti autorizzati/delegati• etc.
  • 86. Esempi• Dossia (www.dossia.org)• Google Health (servizio chiuso)• Aetna (www.aetna.com)• Microsoft HealthVault (www.healthvault.com)• Apps and Devices• WebMD (www.webmd.com/phr)• SalusBank (www.salusbank.com)• MyOpenCare (www.myopencare.com)• etc.Altri esempi• Braccialetto USB• Key USB• Card
  • 87. Altri servizi online• Prenotazione di prodotti• Servizi di fidelizzazione (anche offline)• Altri esempi:• Trova una farmacia• Geolocalizzazione• Sistemi di mapping• Cerca un prodotto• Trova un medico• Prontuario• etc.SISTEMI ISTITUZIONALI
  • 88. Esempi di sistemi istituzionali• SOLE Emilia-Romagna– http://www.progetto-sole.it/pubblica/• CRS-SISS Lombardia– http://www.crs.regione.lombardia.it/sanita/• TreC Provincia Autonoma di Trento– https://trec.trentinosalute.net/• Scelgolasalute Piemonte– http://www.sistemapiemonte.it/2.2.- Fascicolo Sanitario ElettronicoCfr. http://www.salute.gov.it/eHealth/paginaInternaEHealth.jsp?id=2512
  • 89. Art. 12, D.l. 179/2012• Fascicolo sanitario elettronico e sistemi disorveglianza nel settore sanitarioLINEE GUIDA DELMINISTERO
  • 90. Linee Guida del Ministero• Individuano le caratteristiche del FSE edel patient summary, gli aspettiinfrastrutturali e gli standard tecnologici, ilivelli di sicurezza e di protezione dei dati• Oggetto di intesa da parte della ConferenzaStato-Regioni in data 10 febbraio 2011, èstato pubblicato sulla Gazzetta Ufficiale n.50 del 2 marzo 2011• Cfr. http://www.salute.gov.it/imgs/C_17_pubblicazioni_1465_allegato.pdfObiettivo del Ministero• Fare una sintesi dei diversi progetti in corso• Creare un modello unico di riferimento (nonnormativo) per i nuovi progetti• Creare un tavolo interistituzionale checoordini e orienti le iniziative di eHealth
  • 91. Contenuto delle Linee Guida• Cap. 1 – richiama lo scenario di riferimento• Cap. 2 – definisce il FSE, finalità, ambito ed efficacia giuridica• Cap. 3 – individua le componenti strutturali• Cap. 4 – affronta il tema degli standard documentali• Cap. 5 – illustra i preliminari requisiti di liceità del trattamento• Cap. 6 – analizza il FSE dal punto di vista soggettivo• Cap. 7 – descrivi gli aspetti tecnologici• Cap. 8 – richiama al rispetto delle misure di sicurezza• Cap. 9 – affronta l’evoluzione del FSE con riferimento a ulterioripossibili finalità“non c’è da preoccuparsi”• Infine [...] si ritiene necessario richiamare l’attenzione di tutti gli attorisulle legittime preoccupazioni del cittadino rispetto alla protezione deipropri dati sanitari nello scenario del FSE: i tentativi diimplementazione, in Italia e all’estero, hanno dimostrato che unacorretta e trasparente comunicazione alla popolazione suibenefici derivanti dall’adozione di un FSE, nonché sulle garanzieper la tutela dei dati, rappresenta un elemento imprescindibile perincrementare la fiducia dei cittadini nel sistema e, di conseguenza,per favorire un elevato numero di adesioni. Altrettanto importanteappare la comunicazione nei confronti degli operatori sanitari, perevitare che, in assenza di chiare indicazioni da parte delle strutturedel SSN, possano intravedere nel FSE un rischio di aumentataresponsabilità nei confronti dei pazienti nonché una maggioreesposizione ad eventuali contenziosi.
  • 92. Definizione• Il Fascicolo Sanitario Elettronico è l’insieme deidati e documenti digitali di tipo sanitario esocio-sanitario generati da eventi clinicipresenti e trascorsi, riguardanti l’assistito.• Il Fascicolo Sanitario Elettronico, che ha unorizzonte temporale che copre l’intera vita delpaziente, è alimentato in maniera continuativadai soggetti che prendono in cura l’assistitonell’ambito del Servizio sanitario nazionale edei servizi socio-sanitari regionali.Finalità• Il Fascicolo Sanitario Elettronico è costituito,previo consenso dell’assistito, dalle Regioni eProvince Autonome per le finalità di prevenzione,diagnosi, cura e riabilitazione.• Tali finalità sono perseguite dai soggetti delServizio Sanitario Nazionale e dei servizi socio-sanitari regionali che prendono in cura l’assistito.
  • 93. Ambiti di utilizzo• il supporto a scenari e processi di cura: in quanto rende disponibile lastoria clinica del paziente a tutti gli attori coinvolti;• il supporto all’emergenza/urgenza in quanto permette ad un operatoresanitario di inquadrare un paziente a lui sconosciuto durante ilcontatto in emergenza/urgenza;• il supporto per la continuità delle cure: in quanto permette a diversioperatori che hanno già in carico un paziente di essere consapevolidelle iniziative diagnostiche e terapeutiche portate avanti dai colleghi;• il supporto alle attività gestionali ed amministrative correlate aiprocessi di cura: in quanto permette di condividere tra gli operatori leinformazioni amministrative (es. prenotazioni di visite specialistiche,ricette, etc.) od organizzative/ausiliarie per le reti di supporto aipazienti nelle cronicità e/o nella riabilitazione.Valore legale dei dati e dei documenti• Premesso quanto sopra, ecco alcuni scenari:– le copie digitali di documenti cartacei non sottoscritti odocumenti informatici non sottoscritti– i documenti informatici sottoscritti– le copie di documenti cartacei sottoscritti o didocumenti informatici sottoscritti– i dati ricavati mediante modalità automatizzate dadocumenti presenti nel FSE, di cui è assicurato ilvalore legale– i dati inseriti manualmente da operatori sanitari
  • 94. e il fascicolo ?• Per quanto sopra ricordato non è pertanto significativo, data la sua naturadi “insieme di dati e documenti”, parlare di valore legale del FSE inteso come“unicum” immutabile, ancor più in ragione della natura dinamica del fascicoloche è alimentato al verificarsi di diversi eventi sanitari. Ciò premesso èimportante sottolineare che il Fascicolo consente di conservare anche queidocumenti digitali che, avendo le caratteristiche ricordate in precedenza,hanno valore legale a tutti gli effetti e la cui responsabilità resta in capoall’operatore analogamente all’equivalente documento cartaceo (secondoquanto specificato dal CAD).• Di conseguenza, a priori non appaiono configurabili a carico degli operatoriulteriori e specifiche responsabilità derivanti dalla disponibilità e dall’utilizzodello strumento FSE, rispetto a quelle esistenti. Il sanitario continuerà aformulare secondo scienza e coscienza le proprie valutazioni cliniche,avvalendosi anche dei dati contenuti nel FSE, il cui contributo potrà esserequello di incrementare, per quanto possibile ma senza alcuna pretesa dicompletezza, tale patrimonio informativo in ordine alla varietà delleinformazioni e alla possibilità di confrontare l’andamento di dati nel tempo.⇒ Attenzione alla validità formale dei documenti informatici memorizzati nel fascicolo !Contenuti• Dati anagrafici– I dati anagrafici non fanno parte del FSE masono gestiti in archivi separati alimentati dalleanagrafi degli assistiti (es. collegamento conle banche dati anagrafiche comunali)• Meno errori– Miglior trattamento» Migliore cura» Minori costi
  • 95. segue• Tra i dati anagrafici è fondamentale in particolare,il Codice Fiscale che rappresenta la chiaveunivoca di identificazione del cittadino. IlCodice Fiscale viene attribuito esclusivamentedall’Agenzia delle Entrate, che, in caso dinecessità, provvede a risolvere i casi diomocodia.• Pertanto i Codici Fiscali delle anagrafiche diriferimento sono quelli risultanti dall’allineamentocon il sistema Tessera Sanitaria.• è importante riportare all’internodell’anagrafica del singolo cittadinol’indicazione del “titolare” del datoanagrafico e la sua validità temporale. Per“titolare” si intende l’ente che ha laresponsabilità della gestione dei dati(inserimento, eventuale modifica ecancellazione)segue
  • 96. Scheda “Dati identificativi”Scheda “Dati Amministrativi”• Dati amministrativirelativi all’assistenza
  • 97. segue• Il Fascicolo Sanitario Elettronico di ciascun assistito vieneautomaticamente aggiornato, tenendo conto anche deicontenuti informativi già disponibili, con i documentisanitari e socio-sanitari “certificati”, cioè rilasciati daisoggetti del Servizio Sanitario Nazionale (ad es. referti dilaboratorio, radiologia e specialistica ambulatoriale)archiviati elettronicamente presso repository dedicati.• Il FSE potrà contenere anche informazioni e/o documentisanitari relativi ad eventi precedenti alla suacostituzione, ma solo nel caso in cui l’assistitofornisca un consenso specifico.segue• In particolare, il FSE è costituito da un nucleo minimo di documentiindispensabili che devono essere resi disponibili dal sistema e dadocumenti integrativi che permettono di ampliare la sfera di utilizzodel Fascicolo stesso a supporto dei differenti percorsi attivati al fine digarantire la continuità assistenziale.• Mentre il nucleo minimo deve essere reso disponibile a livelloregionale, al fine di garantire la libertà di scelta dell’assistito perl’esercizio del diritto alla cura anche a fronte di eventuali cambi diresidenza da una regione all’altra, gli altri documenti possonodiventare componente integrativa del Fascicolo in base alle scelteregionali che risentono del livello di maturazione del processo didigitalizzazione o delle politiche regionali maggiormente rivolte versodeterminati aspetti.
  • 98. segue• Documenti nucleo minimo– Referti– Verbali Pronto Soccorso– Lettere di dimissione– Profilo Sanitario Sintetico• Documenti integrativi– Prescrizioni (specialistiche, farmaceutiche, ecc..)– Cartelle cliniche di ricovero (ordinario e day hospital)– Bilanci di Salute– Assistenza Domiciliare: scheda, programma e cartella clinica– Piani terapeutici– Assistenza residenziale e semiresidenziale: scheda multidimensionale di valutazione– Erogazione farmaci– CertificatiPatient Summary• Patient Summary o Profilo Sanitario Sintetico– Si definisce Patient Summary o Profilo Sanitario Sintetico ildocumento informatico sanitario che riassume la storia clinicadel paziente e la sua situazione corrente.– Tale documento è creato ed aggiornato dal MMG/PLS– Lo scopo del documento Profilo Sanitario Sintetico è quello difavorire la continuità di cura, permettendo un rapidoinquadramento del paziente– Attraverso il Profilo Sanitario Sintetico, il MMG/PLS fornisce unaveloce ed universale presentazione del paziente sintetizzando tuttie soli i dati che ritiene rilevanti e li rende disponibili a tutti i possibilioperatori sanitari autorizzati alla consultazione
  • 99. segue• Il Profilo Sanitario Sintetico è quindi un documento:– sintetico: riporta solo le informazioni essenziali– con un unico autore: è creato, aggiornato e mantenuto solo dalMMG/PLS– non può essere creato in maniera automatica a partire dal FSE– è sempre frutto di una valutazione professionale e la frequenza diaggiornamento, che deve essere adeguata, è a discrezione delMMG/PLS– non clinicamente specializzato: il contenuto deve essere tale dacontribuire alla continuità di cura a prescindere dallo scenariod’uso (Emergenza, Continuità Assistenziale, etc.)– non ha un destinatario predefinito– unico: all’interno del dominio di condivisione documentale delFSE deve esistere un solo Profilo Sanitario Sintetico “valido” perpazientesegueTale documento si suddivide nelle seguenti componenti:• Intestazione• Dati del paziente– Cognome, nome, codice fiscale, sesso, età in anni, data dinascita, comune di nascita, indirizzo di domicilio, telefono (sonoimportanti eventuali esenzioni e l’appartenenza ad una rete dipatologia)• Dati del medico– Cognome, nome, codice fiscale, indirizzo e-mail, telefono• Eventuali nominativi da contattare– Persona da contattare (nel caso in cui il paziente sia minore, o nelcaso in cui non sia in grado di intendere o volere)
  • 100. segue• Trattamenti e procedure terapeutiche, chirurgiche e diagnostiche– Interventi chirurgici rilevanti ed eventuali riferimenti a referti di laboratorio,di radiologia, di visite specialistiche, etc., inclusa l’eventualepartecipazione a trials clinici; riportare i risultati di accertamenti registratinell’ultimo anno con l’aggiunta delle informazioni ritenute rilevanti dalMMG/PLS.• Fattori di rischio– rischio eredo-familiare, Dipendenze, esposizione a sostanze tossiche,etc.• Vaccinazioni– Somministrazioni di cui è a conoscenza il MMG/PLS (tipo di vaccino, datae modalità di somministrazione).• Organi mancanti/trapianti/espianti• Protesi, impianti, ausili– Se portatore di dispositivi permanenti e impiantabilisegue• Dati essenziali (se valorizzati in cartella)• Allergie, reazioni avverse ai farmaci o ai mezzi di contrasto o ad altre sostanze,intolleranze, rischi immunitari– Sostanza scatenante, tipo di reazione– L’assenza di allergie o di reazioni allergiche conosciute va dichiarata così come se non rilevateperché non a conoscenza.• Problemi di salute rilevanti e diagnosi– Attuale situazione clinica (patologie croniche e/o rilevanti) del paziente: sintomi, attuali epassati, del paziente; condizioni, sospetti diagnostici e diagnosi certe, screening oncologici;lista malattie pregresse se rilevanti, dipendenze, etc.• Terapie in corso– Farmaci somministrati in maniera continuativa oltre a quelli riferiti alle prescrizioni effettuatenell’ultimo mese integrate eventualmente da altre riconosciute come rilevanti dal medico• Stato del paziente– Indicazioni socio-assistenziali utili, in particolare, in fase di dimissione del paziente dallastruttura al fine di attivare adeguati percorsi assistenziali necessari (ad es. capacità motoria,stato mentale, autosufficienza, etc.)
  • 101. segue• Altre informazioni sul paziente• Parametri di monitoraggio– Ultima rilevazione di pressione arteriosa, peso, altezza, funzionalitàpolmonari• Piano di cura attivo– L’insieme delle informazioni su prescrizioni di prestazioni, interventi,appuntamenti, procedure attive e non terminate• Gruppo sanguigno• Altre patologie di recente insorgenza• Gravidanza e parto• Assenso/dissenso alla donazione d’organi– Contiene la dichiarazione del donatore prevista dall’art.23 comma 3L.91/99 se dichiarata al MMG/PLSsegue• Rimane comunque al MMG/PLS la facoltà di valutare quali dei predettielementi, anche se disponibili, non inserire nel Profilo Sanitario Sintetico.• Infine, esistono altri dati che, se presenti in cartella, possono essereopzionalmente inseriti dal MMG/PLS:– accertamenti: vengono riportati i risultati di accertamenti registrati negli ultimi dueanni sui problemi (Patologie) selezionati dal MMG/PLS dalla cartella conparticolare attenzione per la branca cardiologica e i risultati di accertamenti dilaboratorio (3 ultimi risultati)– visite effettuate dal medico di famiglia– patologie non croniche• E’ necessario che il Profilo Sanitario Sintetico assicuri un significatoinequivocabile per le informazioni in esso contenute evitando che lemodalità di presentazione dei dati possano far emergere dubbi fra campi vuotio dato mancante.
  • 102. Taccuino personale• Nell’ambito del FSE si può prevedere una sezioneriservata al cittadino per offrirgli la possibilità di inseriredati ed informazioni personali (es. dati relativi al nucleofamiliare, dati sull’attività sportiva, ecc.), file di documentisanitari (es. referti di esami effettuati in strutture nonconvenzionate, referti archiviati in casa), un diario deglieventi rilevanti (visite, esami diagnostici, misure deiparametri di monitoraggio), promemoria per i controllimedici periodici.• Questo consente di arricchire il FSE con ulterioriinformazioni al fine di completare la descrizione dellostato di salute, ma tali informazioni e/o documentirisulteranno “non certificate”.Requisiti di liceità• Informativa per il trattamento dei datipersonali• Consenso al trattamento dei dati, ivicompresi i dati sensibili
  • 103. Informativa• Il titolare del trattamento deve fornire al cittadino previamente un’idonea informativa, contenente tuttigli elementi richiesti dall’art 13 del decreto legislativo 30 giugno 2003, n. 196• deve essere evidenziata– l’intenzione di costituire un FSE che documenti la storia sanitaria dell’assistito ai fini del miglioramento delprocesso di cura (mediante la raccolta di una maggiore quantità di informazioni possibili), chiarendo che i datiche confluiscono nel fascicolo sono relativi al suo stato di salute pregresso e/o attuale– deve spiegare in modo semplice le opportunità che offre tale strumento avanzato e innovativo per migliorare leprocedure atte a garantire il diritto alla salute, ma, al tempo stesso, lampia sfera conoscitiva che esso puòavere– deve informare l’assistito che un suo diniego non ha alcuna conseguenza sul suo diritto alla prestazione di curarichiesta– deve dare sufficienti indicazioni sulle modalità di funzionamento del nuovo strumento digitale– deve indicare i soggetti che, nel prendere in cura lassistito, possono accedere al FSE, nonché la connessapossibilità di acconsentire che solo alcuni di questi soggetti possano consultarlo– deve informare lassistito anche della circostanza che il Fascicolo potrebbe essere consultato, anche senza ilsuo consenso, ma nel rispetto dellautorizzazione generale del Garante, qualora sia indispensabile per lasalvaguardia della salute di un terzo o della collettività (art 76 del decreto legislativo del 30 giugno 2003, n.196)– deve evidenziare la circostanza che il consenso alla consultazione del Fascicolo da parte di un determinatosoggetto (ad es., del medico di medicina generale o del medico di reparto in cui è avvenuto il ricovero) puòessere riferito anche al suo sostituto– deve fornire all’assistito gli estremi identificativi del/dei titolare/i del trattamento dei dati personali trattatimediante il FSE– deve informare l’assistito che può esercitare in ogni momento i diritti di cui allart. 7 e ss. del CodiceConsenso• Le attività connesse alla costituzione delFascicolo Sanitario Elettronico danno luogo ad untrattamento dei dati personali ulteriore edistinto rispetto all’insieme dei trattamentiderivanti dall’erogazione all’assistito delleprestazioni sanitarie in relazione alle quali i datisono stati acquisiti o prodotti.• Per questo serve un consenso ad hoc
  • 104. segue• Il consenso alla creazione del proprio Fascicolo Sanitario Elettronico,da parte dell’assistito, deve essere esplicito, cioè manifestatoinequivocabilmente, quindi non intuito o desunto da uncomportamento, non soddisfacendo il criterio del carattere "esplicito"la soluzione del silenzio-assenso (opt-out).• In caso di diniego non deve esserci per l’assistito alcunaconseguenza sulla sua possibilità di usufruire della prestazionemedica richiesta e/o necessaria.• Pertanto l’espressione di volontà dell’assistito per un accessomodulare al suo FSE si manifesta attraverso:– un consenso a carattere generale, elemento preliminare e necessarioper la costituzione del Fascicolo Sanitario Elettronico– consensi specifici sia sulle informazioni da rendere visibili o meno, siasui soggetti del SSN che hanno in cura l’assistito (es. MMG, PLS,farmacisti) da abilitare all’accesso ai dati contenuti nel FSE.segue• Ogni tipologia di consenso manifestato dall’assistito può essere daquesti revocato o modificato in qualunque momento. La revocadel consenso determina che il FSE non sia più alimentato e limita ladisponibilità dei dati in esso contenute esclusivamente aiprofessionisti o agli organismi sanitari che li hanno redatti e che quindine sono i titolari (MMG, PLS, aziende sanitarie, etc.) e all’assistitostesso, negandola conseguentemente agli utenti abilitati all’accessoin vigenza del consenso.• In ogni caso la modifica del livello autorizzativo di accesso non inficiala tracciabilità delle consultazioni del FSE effettuate dai soggettivia via autorizzati fino al momento della revoca stessa.• Il consenso nel caso di persona minorenne o sottoposta a tutela, puòessere espresso da un genitore o dal tutore con un valido documentodi identità proprio. Nel momento in cui i minori raggiungono lamaggiore età è necessario che esprimano esplicitamente il proprioconsenso, non essendo valida una conferma dei genitori delconsenso da questi precedentemente espresso.
  • 105. Oscuramento• La facoltà di non consentire la visibilità di alcuneinformazioni sanitarie relative a singoli eventiclinici, che potrebbero andare a confluire nel FSE,a soggetti diversi da chi ha prodotto il dato(oscuramento) senza che quest’ultimi venganoautomaticamente a conoscenza del fatto chel’assistito abbia effettuato tale scelta(“oscuramento dell’oscuramento”).• L’oscuramento dell’evento clinico è revocabile neltempo.• I soggetti preposti alla cura possono accedere aidati del paziente tranne per i casi di oscuramento.Tutela anonimato• Delle vittime di atti di violenza sessuale o di pedofilia,delle persone sieropositive, di chi fa uso di sostanzestupefacenti, di sostanze psicotrope e di alcool, delledonne che si sottopongono a un intervento di interruzionevolontaria di gravidanza o che decidono di partorire inanonimato, nonché con riferimento ai servizi offerti daiconsultori familiari• Tali tipologie di dati nascono “riservate” (“oscurate” perlegge) e possono essere rese visibili solo previospecifico ed esplicito consenso dell’assistito, inconformità a quanto previsto dalle “Linee guida in tema diFascicolo sanitario elettronico (FSE) e di dossier sanitario”approvate dall’Autorità Garante per la protezione dei datipersonali del 16 luglio 2009
  • 106. Profili, autorizzazioni e autenticazione• Modulazione delle informazioni• Accesso tracciato• Rispetto del principio di necessità e pertinenza• Analisi e modellazione dei percorsi e dei diritti diaccessoChi alimenta l’FSE ?• MMG/PLS• soggetti erogatori i servizi• servizi per le Tossicodipendenze (SERT)• team di assistenza domiciliare• guardia medica• specialisti afferenti alle reti di patologia• farmacie• medici che operano presso strutture che eroganoassistenza di tipo residenziale
  • 107. Profili e diritti(segue)Profili e diritti
  • 108. LINEE GUIDA DELGARANTELe linee guida del Garante• Fascicolo sanitario elettronico: strumentoche prevede la condivisione dei dati dipiù titolari• Dossier sanitario: strumento costituitopresso un organismo unico titolare deidati. Più dossier potrebbero costituireun fascicolo.
  • 109. Ambito• Le considerazioni sviluppate nelle Lineeguida sono applicabili al Fse e al dossierintesi, come detto, quali insieme di datisanitari relativi di regola ad un medesimosoggetto e riportati in più documentielettronici tra loro collegati, condivisibili dasoggetti sanitari diversi, pubblici e privati.Organizzazione dei dati• I dati personali sono collegati tra loro con modalitàinformatiche di vario tipo che ne rendono, comunque,possibile unagevole consultazione unitaria da parte deidiversi professionisti o organismi sanitari che prendononel tempo in cura linteressato.• Nel caso di Fse, venendo poi in considerazionedocumenti sanitari del tutto distinti tra loro, deve essereassicurato che ciascun soggetto che li ha prodottiautonomamente ne rimanga di regola lunico titolare,anche se le informazioni sono -come detto- disponibili aglialtri soggetti abilitati allaccesso
  • 110. segue• Il Fse deve essere costituito preferendo, diregola, soluzioni che non prevedano unaduplicazione in una nuova banca dati delleinformazioni sanitarie formate daiprofessionisti o organismi sanitari chehanno preso in cura linteressatoFinalità• In assenza di una previsione legislativa che preveda listituzione di talistrumenti per il perseguimento di finalità amministrative proprie delleregioni o di organi centrali dello Stato, le finalità che possono essereperseguite attraverso la costituzione del Fse o del dossier possonoessere ricondotte esclusivamente a finalità di cura dellinteressato,ovvero ad assicurare un migliore processo di cura dello stessoattraverso la ricostruzione di un insieme -di regola su base logica- ilpiù possibile completo della cronistoria degli eventi di rilievo clinicooccorsi a un interessato relativi a distinti interventi medici.• A garanzia dellinteressato, le finalità perseguite devono esserericondotte quindi solo alla prevenzione, diagnosi, cura e riabilitazionedellinteressato medesimo, con esclusione di ogni altra finalità (inparticolare, per le attività di programmazione, gestione, controllo evalutazione dellassistenza sanitaria, che possono essere, peraltro,espletate in vari casi anche senza la disponibilità di dati personali),ferme restando eventuali esigenze in ambito penale.
  • 111. segue• Qualora attraverso il Fse o il dossier siintendano perseguire anche talune finalitàamministrative strettamente connesseallerogazione della prestazione sanitariarichiesta dallinteressato (es. prenotazione epagamento di una prestazione), tali strumentidevono essere strutturati in modo tale che idati amministrativi siano separati dalleinformazioni sanitarie, prevedendo profilidiversi di abilitazione degli aventi accesso aglistessi in funzione della differente tipologia dioperazioni ad essi consentite.Garanzie per l’interessato• deve essere assicurata la disponibilità, la gestione, laccesso, latrasmissione, la conservazione e la fruibilità dellinformazione inmodalità digitale• FSE e Dossier sono facoltativi• Rispetto del principio di autodeterminazione– Allinteressato deve essere consentito di scegliere, in piena libertà, se farcostituire o meno un Fse/dossier con le informazioni sanitarie che loriguardano, garantendogli anche la possibilità che i dati sanitari restinodisponibili solo al professionista o organismo sanitario che li ha redatti, senzala loro necessaria inclusione in tali strumenti• Affinché tale scelta sia effettivamente libera, linteressato che nondesideri che sia costituito un Fse/dossier deve poter accederecomunque alle prestazioni del Servizio sanitario nazionale e nonavere conseguenze negative sulla possibilità di usufruire diprestazioni mediche.• Il consenso, anche se manifestato unitamente a quello previsto per iltrattamento dei dati a fini di cura (cfr. art. 81 del Codice), deve essereautonomo e specifico.
  • 112. Informazione adeguata e consenso• In ragione delle finalità perseguite attraverso il Fse/dossier, èopportuno che sia illustrata allinteressato lutilità di costituiree disporre di un quadro il più possibile completo delleinformazioni sanitarie che lo riguardano, in modo da poteroffrire un migliore supporto allorganismo sanitario, al medico eallinteressato stesso. Una conoscenza approfondita dei daticlinici, relativi anche al passato, può infatti contribuire ad unapiù efficace ricognizione degli elementi utili alle valutazioni delcaso.• Tuttavia, devono essere previsti momenti distinti in cuilinteressato possa esprimere la propria volontà, attraverso unconsenso di carattere generale per la costituzione del Fse e diconsensi specifici ai fini della sua consultazione o meno daparte dei singoli titolari del trattamento (es. medico di medicinagenerale, pediatra di libera scelta, farmacista, medicoospedaliero).Oscuramento• Ferma restando lindubbia utilità di un Fse/dossier completo, deve esseregarantita la possibilità di non far confluire in esso alcune informazionisanitarie relative a singoli eventi clinici (ad es., con riferimento allesito di unaspecifica visita specialistica o alla prescrizione di un farmaco). Ciò,analogamente a quanto avviene nel rapporto paziente-medico curante, nelquale il primo può addivenire a una determinazione consapevole di noninformare il secondo di certi eventi.• L"oscuramento" dellevento clinico (revocabile nel tempo) deve peraltroavvenire con modalità tali da garantire che, almeno in prima battuta, tutti (oalcuni) soggetti abilitati allaccesso non possano venire automaticamente(anche temporaneamente) a conoscenza del fatto che linteressato haeffettuato tale scelta ("oscuramento delloscuramento").• In tale quadro, alcuni progetti di Fse esaminati garantiscono lesercizio della"facoltà di oscuramento" mediante una "busta elettronica sigillata" nonvisibile, apribile di volta in volta solo con la collaborazione dellinteressato,ovvero utilizzando codici casuali relativi a singoli eventi che non consentonodi collegare tra loro alcune informazioni contrassegnate.
  • 113. Informazioni pregresse• Linserimento delle informazioni relative adeventi sanitari pregressi allistituzione delFse/dossier deve fondarsi sul consensospecifico ed informato dellinteressato,potendo questultimo anche scegliere che leinformazioni sanitarie pregresse che loriguardano non siano inserite nel Fascicolo.Revoca del consenso• In caso di revoca (liberamente manifestabile) delconsenso, il Fse/dossier non deve essereulteriormente implementato.• I documenti sanitari presenti devono restaredisponibili per lorganismo che li ha redatti (es.informazioni relative a un ricovero utilizzabili dallastruttura di degenza) e per eventuali conservazioniper obbligo di legge, ma non devono essere piùcondivisi da parte degli altri organismi oprofessionisti che curino linteressato (art. 22,comma 5, del Codice).
  • 114. Contenuto modulare• Il titolare deve valutare attentamente quali dati pertinenti, noneccedenti e indispensabili inserire nel Fse/dossier inrelazione alle necessità di prevenzione, diagnosi, cura eriabilitazione (artt. 11, comma 1, lett. d) e 22, comma 5 delCodice).• Devono essere, pertanto, preferite soluzioni che consentanounorganizzazione modulare di tali strumenti in modo dalimitare laccesso dei diversi soggetti abilitati alle soleinformazioni (e, quindi, al modulo di dati) indispensabili.• In alcuni progetti di Fse esaminati tale organizzazionemodulare permette, ad esempio, di selezionare leinformazioni sanitarie accessibili ai diversi titolari abilitatiin funzione del loro settore di specializzazione (es. reteoncologica composta da unità operative specializzate nella lottaai tumori), garantendo così laccesso alle sole informazionicorrelate con la patologia in cura.Informazioni S.O.S.• In alcuni progetti esaminati allinterno delFse/dossier è stata poi individuata una sintesi dirilevanti dati clinici sul paziente, ovvero un insiemedi informazioni la cui conoscenza può rivelarsiindispensabile per salvaguardare la vitadellinteressato (es., malattie croniche, reazioniallergiche, uso di dispositivi o farmaci salvavita,informazioni relative allimpiego di protesi o atrapianti). Tali informazioni –raccolte di regola in unmodulo distinto- sono conoscibili da parte di tutti isoggetti che prendono in cura linteressato;• circostanza di cui linteressato dovrebbe essereedotto nellinformativa di cui allart. 13 del Codice.
  • 115. Informativa ex art. 13• Per consentire allinteressato di esprimere scelteconsapevoli, il titolare del trattamento deve fornirepreviamente unidonea informativa• Linformativa, da formulare con linguaggio chiaro,deve indicare tutti gli elementi richiesti dallart. 13 delCodice. In particolare, deve essere evidenziatalintenzione di costituire un Fascicolo/dossier il piùpossibile completo che documenti la storia sanitariadellinteressato per migliorare il suo processo di cura e,quindi, per fini di prevenzione, diagnosi, cura eriabilitazione, spiegando in modo semplice leopportunità che offrono tali strumenti, ma, al tempostesso, lampia sfera conoscitiva che essi possonoavere.segue• A garanzia del diritto alla costituzione omeno del Fse/dossier, linteressato deveessere -come detto- informato che ilmancato consenso totale o parziale nonincide sulla possibilità di accedere allecure mediche richieste.
  • 116. segue• Linformativa, anche con formule sintetiche, maagevolmente comprensibili, deve indicare in modochiaro –nel caso di dossier- i soggetti (ad es.,medici che operano in un reparto in cui è ricoveratolinteressato o che operano in strutture di prontosoccorso) e -nel caso di Fse- le categorie disoggetti diversi dal titolare (es., medico dimedicina generale, farmacista) che, nel prendere incura linteressato, possono accedere a talistrumenti, nonché la connessa possibilità diacconsentire che solo alcuni di questi soggettipossano consultarlo.segue• Linteressato deve essere informato anchedella circostanza che il Fascicolo/dossierpotrebbe essere consultato, anche senza ilsuo consenso, ma nel rispettodellautorizzazione generale del Garante,qualora sia indispensabile per lasalvaguardia della salute di un terzo odella collettività
  • 117. segue• Linformativa deve anche mettere in luce lacircostanza che il consenso allaconsultazione del Fascicolo/dossier daparte di un determinato soggetto (ad es.,del medico di medicina generale o delmedico di reparto in cui è avvenuto ilricovero) può essere riferito anche al suosostituto.segue• Linformativa deve rendere noteallinteressato anche le modalità attraversole quali rivolgersi al titolare per esercitare idiritti di cui agli artt. 7 e ss. del Codice,come pure per revocare il consensoallimplementazione del suo Fse/dossier oper esercitare la facoltà di oscurare alcunieventi clinici.
  • 118. segue• Al fine di assicurare una pienacomprensione degli elementi indicatinellinformativa, il titolare deve formareadeguatamente il personale coinvoltosugli aspetti rilevanti della disciplinasulla protezione dei dati personali, ancheai fini di un più efficace rapporto con gliinteressati.Misure di sicurezza• Nellutilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere utilizzatiidonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo,furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi dielaborazione portatili o fissi (ad esempio, attraverso lapplicazione anche parziale ditecnologie crittografiche a file system o database, oppure tramite ladozione di altre misure diprotezione che rendano i dati inintelligibili ai soggetti non legittimati).• Devono essere, inoltre, assicurati:– idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delleesigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica eintegrazione dei dati);– procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e deiprofili di autorizzazione assegnati agli incaricati;– individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salutee la vita sessuale dagli altri dati personali;– tracciabilità degli accessi e delle operazioni effettuate;– sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.• Nel caso di Fse, devono essere, poi, garantiti protocolli di comunicazione sicuri basatisullutilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolaricoinvolti.
  • 119. 2.2.- Dossier Sanitario Elettronicocfr.:• Linee Guida del Ministero• Linee Guida del GaranteREFERTI ONLINE
  • 120. 2.3.- Referti online• Linee Guida del Garante 19 novembre2009Ambito• in numerose strutture sanitarie, soprattutto private,lofferta di servizi gratuiti generalmente riconducibiliallespressione "referti on-line", consistenti nella possibilitàper lassistito di accedere al "referto" – inteso come larelazione scritta rilasciata dal medico sullo stato clinico delpaziente dopo un esame clinico o strumentale – conmodalità informatica. Analogamente è concessaallassistito la possibilità di decidere – di volta in volta ouna tantum – di ricevere telematicamente i predetti esiticlinici direttamente attraverso il proprio medico curante o ilmedico di medicina generale/pediatra di libera scelta(MMG/PLS).
  • 121. segue• Tale modalità di conoscibilità dei referti viene generalmente realizzataattraverso due modalità:– la ricezione del referto presso la casella di posta elettronica dellinteressato;– il collegamento al sito Internet della struttura sanitaria ove è stato eseguito lesameclinico, al fine di effettuare il download del referto. In questultimo caso, che sembraessere il più utilizzato, al paziente viene generalmente fornito un nome utente eduna password allatto della prenotazione o delleffettuazione dellesame.• In alcune delle iniziative esaminate è anche possibile effettuare il downloaddel "reperto" (inteso come il risultato dellesame clinico o strumentaleeffettuato, come ad es. unimmagine radiografica, unecografica o un valoreematico) assieme al referto stilato dal medico.• Talvolta, il paziente viene avvisato della possibilità di visualizzare il refertoattraverso una delle modalità sopra descritte mediante linvio di uno shortmessage service (sms) sul numero di telefono mobile fornito alla strutturasanitaria dallo stesso paziente allatto delladesione al servizio.Finalità• Le presenti linee guida non intendonodisciplinare gli aspetti relativi alla validitàlegale del referto - che rimane regolatadalla specifica normativa di settore - fermerestando, ovviamente, anche le disposizionirelative alla firma elettronica del documentoinformatico, con specifico riferimento allemetodologie dellautenticazione informaticaove applicabili (d.lgs. 7 marzo 2005, n. 82).
  • 122. Facoltà• la mancanza di specifiche disposizioninormative in merito a tali modalità diconsegna dei referti determina che taliservizi devono essere considerati facoltativiper linteressato, ovvero offerti con modalitàtali da rendere possibile a questultimo dipotere comunque scegliere di ritirare ilreferto in formato cartaceo.Informativa• Per consentire allinteressato di esprimerescelte consapevoli in relazione altrattamento dei propri dati personali, iltitolare del trattamento deve previamentefornirgli unidonea informativa sullecaratteristiche del servizio di refertazioneon-line• Consenso autonomo e specifico
  • 123. Consenso informato• La struttura sanitaria deve, anche, garantire allinteressato di decidereliberamente - sulla base di una specifica informativa e di un appositoconsenso in ordine al trattamento dei dati personali connessi a tale servizio -di aderire o meno a tali servizi di refertazione, senza alcun pregiudizio sullapossibilità di usufruire delle prestazioni mediche richieste.• Qualora linteressato abbia scelto di aderire ai suddetti servizi di refertazione,deve essergli concesso – in relazione ai singoli esami clinici a cui sisottoporrà di volta in volta - di manifestare una volontà contraria, ovvero che irelativi referti non siano oggetto del servizio di refertazione on-lineprecedentemente scelto.• Anche nel caso di comunicazione del referto presso lindirizzo della casella diposta elettronica fornito dallinteressato, a questultimo deve essere concessala possibilità di confermare lindirizzo di posta elettronica in cui ricevere talecomunicazione in occasione dei successivi accertamenti clinici. Resta fermaloperatività del sistema che verrà adottato ai sensi del d.P.C.M. 6 maggio2009 in materia di rilascio e di uso della casella di posta elettronica certificataassegnata ai cittadini.Comunicazione al Medico• Per quanto riguarda la possibilità per linteressato diacconsentire alla comunicazione dei risultati diagnostici almedico curante o al MMG/PLS dallo stesso indicato, talevolontà deve essere manifestata di volta in volta.Allinteressato deve, infatti, essere concesso il diritto dinon comunicare sistematicamente al medico curante tutti irisultati delle indagini cliniche effettuate, lasciandogli lapossibilità di scegliere, di volta in volta, quali refertimettere a disposizione del proprio medico. Tale garanziadeve intendersi operante sia nel caso più frequente in cuilinteressato autorizzi la comunicazione del referto pressola casella di posta elettronica del medico curante, sia inquello in cui autorizzi la struttura sanitaria a fornire lecredenziali di autenticazione direttamente al medico,affinché questultimo effettui il download del suo referto.
  • 124. Sms• Nel caso di utilizzazione del servizio diavviso tramite sms della disponibilità allaconsultazione dei referti attraverso lemodalità sopra descritte, nel messaggioinviato deve essere data solo notizia delladisponibilità del referto e non anche deldettaglio della tipologia di accertamentieffettuati, del loro esito o delle credenziali diautenticazione assegnate allinteressatoArchivio online• In alcune delle iniziative di refertazione on-line in essere, è offertoallinteressato anche un servizio aggiuntivo, solitamente gratuito,consistente nella possibilità di archiviare, presso la struttura sanitaria,tutti i referti effettuati nei laboratori della stessa. Il suddetto archivio ègeneralmente consultabile on-line dallinteressato, il quale può ancheeffettuare il download dei referti ivi raccolti.• Il titolare del trattamento che intenda offrire allinteressato tale serviziodi archiviazione è tenuto a fornire allo stesso una specifica informativaed ad acquisire un autonomo consenso.• Tali archivi, raccogliendo tutti i referti effettuati nel tempodallinteressato ed essendo realizzati presso un organismo sanitario inqualità di unico titolare del trattamento (es., laboratorio di analisi,clinica privata), ricadono nella definizione di dossier sanitario,secondo quanto indicato nel richiamato Provvedimento del Garantedel 16 luglio 2009, recante "Linee guida in tema di Fascicolo sanitarioelettronico (FSE) e di dossier sanitario".
  • 125. Scenario 1 – consultazione on-line deireferti tramite Internet• Nel caso in cui il servizio che si intenda offrire consti nella possibilità perlinteressato di collegarsi al sito Internet della struttura sanitaria che haeseguito lesame clinico, al fine di effettuare la copia locale (download) o lavisualizzazione interattiva del referto, devono essere adottate delle specifichecautele quali:– protocolli di comunicazione sicuri, basati sullutilizzo di standard crittografici per lacomunicazione elettronica dei dati, con la certificazione digitale dellidentità deisistemi che erogano il servizio in rete (protocolli https ssl – Secure Socket Layer);– tecniche idonee ad evitare la possibile acquisizione delle informazioni contenutenel file elettronico nel caso di sua memorizzazione intermedia in sistemi di caching,locali o centralizzati, a seguito della sua consultazione on-line;– lutilizzo di idonei sistemi di autenticazione dellinteressato attraverso ordinariecredenziali o, preferibilmente, tramite procedure di strong authentication;– disponibilità limitata nel tempo del referto on-line (massimo 45 gg.);– possibilità da parte dellutente di sottrarre alla visibilità in modalità on-line o dicancellare dal sistema di consultazione, in modo complessivo o selettivo, i refertiche lo riguardano.Scenario 2 – spedizione del refertotramite posta elettronica• Qualora il titolare del trattamento intenda inviare copia del referto alla caselladi posta elettronica dellinteressato, a seguito di sua richiesta, per il refertoprodotto in formato digitale devono essere osservate le seguenti cautele:– spedizione del referto in forma di allegato a un messaggio e-mail e non come testocompreso nella body part del messaggio;– il file contenente il referto dovrà essere protetto con modalità idonee a impedirelillecita o fortuita acquisizione delle informazioni trasmesse da parte di soggettidiversi da quello cui sono destinati, che potranno consistere in una password perlapertura del file o in una chiave crittografica rese note agli interessati tramitecanali di comunicazione differenti da quelli utilizzati per la spedizione dei referti(Cfr. regola 24 del Disciplinare tecnico allegato B) al Codice). Tale cautela può nonessere osservata qualora linteressato ne faccia espressa e consapevole richiesta,in quanto linvio del referto alla casella di posta elettronica indicata dallinteressatonon configura un trasferimento di dati sanitari tra diversi titolari del trattamento,bensì una comunicazione di dati tra la struttura sanitaria e linteressato effettuatasu specifica richiesta di questultimo;– convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, inmodo da evitare la spedizione di documenti elettronici, pur protetti con tecniche dicifratura, verso soggetti diversi dallutente richiedente il servizio.
  • 126. Ulteriori misure• In ogni caso, per il trattamento dei dati nellambito dellerogazione del servizioon-line agli utenti deve essere garantita la disponibilità di:– idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione deiruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilitàdi consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strongauthentication con utilizzo di caratteristiche biometriche nel caso del trattamento didati idonei a rivelare lidentità genetica di un individuo;– separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vitasessuale dagli altri dati personali trattati per scopi amministrativo-contabili.• Il titolare del trattamento deve, inoltre, prevedere apposite procedure cherendano immediatamente non disponibili per la consultazione on-line ointerrompano la procedura di spedizione per posta elettronica dei refertirelativi a un interessato che abbia comunicato il furto o lo smarrimento delleproprie credenziali di autenticazione allaccesso al sistema di consultazioneon-line o altre condizioni di possibile rischio per la riservatezza dei propri datipersonali.• In ogni caso devono essere adottate tutte le misure di sicurezza necessarieper rispettare il divieto di diffusione dei dati sanitari prescritto dal Codice (artt.22, comma 8 e 26, comma 5).RICETTAELETTRONICA
  • 127. 2.5.- Ricetta elettronica• Direttiva 2012/52/CE• DPCM 26 marzo 2008– DM 14/07/2010– DM 21/02/2011– DM 21/07/2011– DM 02/07/2012• DL 78/2010• DM 02/11/20113.- Servizi in Farmacia
  • 128. Normativa• Legge 69/2009, art. 11– D.lgs. 153/2009, art. 1• Decreto 11 dicembre 2012, Criteri in base ai quali subordinare ladesionedelle farmacie pubbliche ai nuovi servizi, di cui allart. 1, comma 3, deldecreto legislativo 153/2009• Decreto 8 luglio 2011, Erogazione da parte delle farmacie, di attivita diprenotazione delle prestazioni di assistenza specialistica ambulatoriale,pagamento delle relative quote di partecipazione alla spesa a carico delcittadino e ritiro dei referti relativi a prestazioni di assistenza specialisticaambulatoriale– Provvedimento del Garante per la protezione dei dati personali del 19 gennaio2011• Decreto 16 dicembre 2010, Erogazione da parte delle farmacie dispecifiche prestazioni professionali• Decreto 16 dicembre 2010, Disciplina dei limiti e delle condizioni delleprestazioni analitiche di prima istanza, rientranti nellambitodellautocontrollo ai sensi dellarticolo 1, comma 2, lettera e) e per leindicazioni tecniche relative ai dispositivi strumentali ai sensi dellarticolo 1,comma 2, lettera d) del decreto legislativo n. 153 del 2009Criticità generali• Gestione del contesto privacy– Chiara individuazione dei ruoli• Formazione degli incaricati– Individuazione dei dati trattati– Conservazione dei dati– Predisposizione di idonea informativa– Raccolta del consenso• Delega– Notificazione del trattamento al Garante– Adozione di misure minime di sicurezza – anche logistiche• Predisposizione di idonee misure contrattuali, anche alla luce del contesto privacy tratteggiato– Contratto con il fornitore dell’infrastruttura– Contratto con il fornitore del servizio mediato– Contratto con l’utente finale• Segreto professionale• Nel caso di front-office telematico– Identificazione dell’utente– Raccolta del consenso per il trattamento dei dati sensibili– Sottoscrizione di clausole vessatorie
  • 129. Criticità specifiche• Ogni singolo servizio attivato richiedeun’analisi specifica sia dal profilonormativo, sia da quello contrattuale sia –soprattutto – dal profilo del correttotrattamento dei dati personaliPrenotazione delle prestazionidi assistenza specialistica ambulatorialea) Informativa e raccolta del consenso: «In questa prima fase, viene illustrataall’assistito l’informativa di cui all’art. 13 del decreto legislativo 30 giugno2003, n. 196, e successive modificazioni, e viene raccolto il relativo consensoal trattamento dei dati. La raccolta del consenso verrà annotata al fine ditenerne memoria per gli accessi successivi per finalità analoghe, anchepresso altre farmacie. Nel caso in cui il Sistema CUP preveda l’invio di SMS omessaggi di posta elettronica per ricordare all’assistito gli estremi dellaprenotazione ovvero per la conferma o la disdetta della stessa e invio diattestazioni di pagamento, occorrerà esplicitarlo nell’informativa e raccogliereseparato consenso. In ogni caso le comunicazioni all’assistito attraverso SMSo posta elettronica non dovranno contenere indicazioni di dettaglio circa latipologia di prestazione, l’esito e le credenziali d’accesso».b) Riconoscimento dell’assistito: «La farmacia deve assicurare il corretto edunivoco riconoscimento dell’assistito che richiede l’accesso ai servizi delSistema CUP. Ai fini dell’identificazione l’identità dell’assistito è verificata sullabase di idonei elementi di valutazione, anche mediante atti o documentidisponibili o esibizione di un documento di riconoscimento. Ai fini dell’accessoal servizio il cittadino dovrà esibire la Tessera Sanitaria». In punto saràinteressante capire il funzionamento – se possibile – dei meccanismi didelega.
  • 130. Prenotazione delle prestazionidi assistenza specialistica ambulatorialec) Prenotazione: «Ai fini della prenotazione occorre esibire la prescrizione medica [...]».d) Servizio di pagamento: «Presso la farmacia, quale canale di accesso ai servizi delSistema CUP, deve essere consentito il pagamento, anche mediante sistemi elettronicidi pagamento, della quota di partecipazione a carico del cittadino, calcolata sulla basedelle informazioni rilevate dalla prescrizione».e) Spedizione e ritiro dei referti: «Il Sistema CUP può consentire al cittadino la possibilitàdi richiedere la consegna presso la farmacia dei referti corrispondenti alle prestazionieffettuate presso le strutture sanitarie pubbliche e private accreditate. Di tale modalitàdeve essere data indicazione nell’informativa relativa al trattamento dei dati e acquisitospecifico consenso per la singola prestazione. Nel caso in cui il cittadino si avvalgadell’opzione di consegna del referto presso la farmacia, il ritiro avviene mediante laconsegna all’assistito del referto da parte dell’operatore della farmacia incaricato di taleservizio. Il referto può essere sia l’originale cartaceo in busta chiusa sia, qualora lastruttura sanitaria presso la quale è stata effettuata la prestazione preveda talepossibilità, una copia stampata del referto digitale, avente valore legale ai sensi dell’art.23 del decreto legislativo 7 marzo 2005, n. 82. In ogni caso devono essere adottatimisure e accorgimenti atti a garantire che l’accesso dell’operatore al referto digitale siaeffettuato solo ai fini della consegna dello stesso all’interessato, nonché ad impedire lacreazione di banche dati di referti digitali presso la farmacia. Il ritiro del referto puòessere effettuato anche mediante delega ad un terzo, purché questi produca unadelega scritta del delegante accompagnata dalla copia di un documento di identità dellostesso e un proprio documento d’identità in corso di validità».Prenotazione delle prestazionidi assistenza specialistica ambulatoriale• L’articolo 6 dispone, inoltre, che il farmacista titolare della farmacia o ildirettore responsabile della farmacia, ovvero l’operatore dellafarmacia nominato incaricato del trattamento (nell’ambito del sistemaCUP) rispondono degli «eventuali errori nel processo di prenotazione,pagamento e consegna referti» qualora siano dovuti a carenze nellagestione del servizio, a loro imputabili. In punto sarà interessanteapprofondire ad esempio su chi spetti il compito di procedere allaadeguata formazione del personale preposto alla erogazione deiservizi del sistema CUP.• In merito all’operatore della farmacia, ove lo stesso (pur nominatoincaricato del trattamento) non sia tenuto al segreto professionale, alfine di garantire il rispetto della riservatezza delle informazioni trattatenella fornitura dei servizi in argomento, dovrà essere sottoposto (dallafarmacia?) a regole di condotta analoghe al segreto professionale
  • 131. 4.- Advertising eReputatione onlineTecniche (esempi)• Sito, Blog, Social Network• Email, Mailing list, newsgroup, chat• Link, banner, etc.• Video, canale Youtube, etc.• Forum di discussione• Servizi di posizionamento a pagamento– Keywords-advertising– Facebook (affitto pagine, acquisto like, etc.)• Strumenti di tracciamento comportamentale– Campagne promozionali ad personam• Advertising mobile
  • 132. Reputazione online• Creazione di una immagine online• Analisi della reputazione online– Ambiti:• motori di ricerca• piattaforme di social networking• forum di discussione• blog e siti web personali• news e siti dei quotidiani online• siti di associazioni di categoria, siti specializzati• Definizione di una campagna di marketing– Oggetti:• visibilità del marchio aziendale• opinioni dei clienti• opinioni espresse dai dipendenti• fatti e informazioni aziendali pubblicate online• reputazione dei manager e delle persone apicali• visibilità e reputazione goduta nei confronti dell’opinione locale• Riposizionamento dell’immagine• Monitoring costanteBrainstorming e domande?
  • 133. Michele MartoniContract Professorat the University of Bologna,Ph.D. In IT Law, Lawyer+39 348 4900232 | michele.martoni@unibo.itwww.unibo.it | www.michelemartoni.it