Tutela dei dati personali sanità aprile_2010

  • 1,518 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,518
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
39
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Tutela dei dati personali D. Lgs. n. 196/2003 T.U. PrivacyAvv. Pasquale LoprioreSpecialist in Legal Information Technology
  • 2. “Dato personale”Qualunque informazione relativa a personafisica, persona giuridica, ente odassociazione, identificati o identificabili,anche indirettamente, mediante riferimentoa qualsiasi altra informazione, ivi compresoun numero di identificazione personale.
  • 3. “Dati sensibili"Dati personali idonei a rivelare loriginerazziale ed etnica, le convinzioni religiose,filosofiche o di altro genere, le opinionipolitiche, ladesione a partiti, sindacati,associazioni od organizzazioni a caratterereligioso, filosofico, politico o sindacale,nonché i dati personali idonei a rivelare lostato di salute e la vita sessuale
  • 4. “Dati giudiziari"I dati personali idonei a rivelareprovvedimenti di cui allarticolo 3, comma 1,lettere da a) a o) e da r) a u), del d.P.R. 14novembre 2002, n. 313, in materia dicasellario giudiziale, di anagrafe dellesanzioni amministrative dipendenti da reatoe dei relativi carichi pendenti, o la qualità diimputato o di indagato ai sensi degli articoli60 e 61 del codice di procedura penale
  • 5. Ambito di applicazioneLa normativi sulla privacy si applica a tutti isoggetti che trattano dati personaliattraverso:- strumenti elettronici;- supporto cartaceo.
  • 6. Principio di necessità nel trattamento dei datiI sistemi informativi e i programmi informaticisono configurati riducendo al minimol’utilizzazione di dati personali e di datiidentificativi, in modo da escluderne iltrattamento quando le finalità perseguite neisingoli casi possono essere realizzatemediante, rispettivamente, dati anonimi odopportune modalità che permettano diidentificare l’interessato solo in caso dinecessità.
  • 7. Principio di correttezzaSecondo cui le caratteristiche essenziali deitrattamenti devono essere rese note ai lavoratori(art. 11, comma 1, lett. a), del Codice).Le tecnologie dellinformazione (in modo piùmarcato rispetto ad apparecchiature tradizionali)permettono di svolgere trattamenti ulteriori rispetto aquelli connessi ordinariamente allattività lavorativa.Ciò, allinsaputa o senza la piena consapevolezzadei lavoratori, considerate anche le potenzialiapplicazioni di regola non adeguatamenteconosciute dagli interessati
  • 8. I trattamenti devono essere effettuati per finalità determinate esplicite e legittime  Principio di  pertinenza  e  non eccedenza   Il datore di lavoro deve trattare i dati  "nella misura meno invasiva possibile“ Le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere "mirate sullarea di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza"  
  • 9. DIRITTI DELL’INTERESSATO art. 7Linteressato ha diritto di ottenere la conferma dellesistenza o meno di datipersonali che lo riguardano, anche se non ancora registrati, e la lorocomunicazione in forma intelligibile.L’interessato, in particolare, ha diritto di ottenere l’indicazione:a) dell’origine dei dati personali;b) delle finalità e modalità del trattamento;c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumentielettronici;d) degli estremi identificativi del titolare, dei responsabili;e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono esserecomunicati o che possono venirne a conoscenza in qualità di responsabili oincaricati.
  • 10. L’interessato ha diritto di ottenere:a) laggiornamento, la rettificazione, lintegrazione dei dati;b) la cancellazione, la trasformazione in forma anonima oil blocco dei dati trattati in violazione di legge;c) lattestazione che le operazioni di cui alle lettere a) e b)sono state portate a conoscenza, di coloro ai quali i datisono stati comunicati o diffusi.
  • 11. L’interessato ha diritto di opporsi:a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
  • 12. I diritti dell’interessato non possono essere esercitati:a) in materia di riciclaggio;b) in materia di sostegno alle vittime di richieste estorsive;c) da Commissioni parlamentari dinchiesta istituite ai sensi dellart. 82 Cost.;d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;e) limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l’esercizio del diritto in sede giudiziaria;f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata;g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o il Ministero della giustizia;
  • 13. Modalità di esercizio dei diritti dellinteressato La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:a) ad agevolare laccesso ai dati personali da parte dellinteressato, anche attraverso limpiego di appositi programmi per elaboratore finalizzati ad unaccurata selezione dei dati che riguardano singoli interessati identificati o identificabili;b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nellambito di uffici o servizi preposti alle relazioni con il pubblico
  • 14. Modalità del trattamento e requisiti dei dati I dati personali oggetto di trattamento sono:a) trattati in modo lecito e secondo correttezza;b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;c) esatti e, se necessario, aggiornati;d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;e) conservati in una forma che consenta lidentificazione dellinteressato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
  • 15. Informativa art. 131. Linteressato o la persona presso la quale sono raccolti i dati personali sonopreviamente informati oralmente o per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati i dati;b) la natura obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personali possono esserecomunicati o che possono venirne a conoscenza in qualità di responsabili oincaricati, e lambito di diffusione dei dati medesimi;e) i diritti di cui allarticolo 7;f) gli estremi identificativi del titolare e del responsabile.
  • 16. Cessazione del trattamentoIn caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:a) distrutti;b) ceduti ad altro titolare, purché destinati ad un trattamento in terminicompatibili agli scopi per i quali i dati sono raccolti;c) conservati per fini esclusivamente personali e non destinati ad unacomunicazione sistematica o alla diffusione;d) conservati o ceduti ad altro titolare, per scopi storici, statistici oscientifici, in conformità alla legge, ai regolamenti, alla normativacomunitaria e ai codici di deontologia e di buona condotta sottoscritti aisensi dellarticolo 12.
  • 17. Consenso art. 23Il trattamento di dati personali da parte di privati o di entipubblici economici è ammesso solo con il consenso espressodellinteressato.Il consenso può riguardare lintero trattamento ovvero una opiù operazioni dello stesso.Il consenso è validamente prestato solo se è espressoliberamente e specificamente in riferimento ad un trattamentochiaramente individuato, se è documentato per iscritto, e sesono state rese allinteressato le informazioni di cui allart. 13.Il consenso è manifestato in forma scritta quando iltrattamento riguarda dati sensibili .
  • 18. Casi nei quali può essere effettuato il trattamento senza consensoa) è necessario per adempiere ad un obbligo previsto dalla legge;b) è necessario per eseguire obblighi derivanti da un contratto delquale è parte linteressato o per adempiere, prima della conclusionedel contratto, a specifiche richieste dell’interessato;c) riguarda dati provenienti da pubblici registri, elenchi, atti odocumenti conoscibili da chiunque;d) riguarda dati relativi allo svolgimento di attività economiche,trattati nel rispetto della vigente normativa in materia di segretoaziendale e industriale;
  • 19. Altri casie) è necessario per la salvaguardia della vita o dellincolumità fisica di un terzo;f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive;g) nei casi individuati dal Garante;h) è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto
  • 20. Titolare del trattamentoQuando il trattamento è effettuato da una personagiuridica, da una pubblica amministrazione o da unqualsiasi altro ente, associazione od organismo,titolare del trattamento è l’entità nel suocomplesso o l’unità od organismo perifericoche esercita un potere decisionale del tuttoautonomo sulle finalità e sulle modalità deltrattamento, ivi compreso il profilo della sicurezza.
  • 21. Responsabile del trattamento art. 291. Il responsabile è designato dal titolare facoltativamente.2. Se designato, il responsabile è individuato tra soggetti che peresperienza, capacità ed affidabilità forniscano idonea garanzia del pienorispetto delle vigenti disposizioni in materia di trattamento, ivi compreso ilprofilo relativo alla sicurezza.3. Ove necessario per esigenze organizzative, possono essere designatiresponsabili più soggetti, anche mediante suddivisione di compiti.4. I compiti affidati al responsabile sono analiticamente specificati periscritto dal titolare.5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartitedal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntualeosservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni
  • 22. Incaricati del trattamento1. Le operazioni di trattamento possono essere effettuate soloda incaricati che operano sotto la diretta autorità del titolare odel responsabile, attenendosi alle istruzioni impartite.2. La designazione è effettuata per iscritto e individuapuntualmente l’ambito del trattamento consentito .Si considera tale anche la documentata preposizione dellapersona fisica ad una unità per la quale è individuato, periscritto, l’ambito del trattamento consentito agli addetti all’unitàmedesima.
  • 23. MISURE DI SICUREZZA Art. 31 I dati personali oggetto di trattamento sono custoditi e controllati, in relazione: alle conoscenze acquisite in base al progresso tecnico; alla natura dei dati; alle specifiche caratteristiche del trattamento. In modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
  • 24. MISURE MINIME DI SICUREZZA Art. 33Nel quadro dei più generali obblighi di sicurezza dicui all’articolo 31, o previsti da speciali disposizioni,i titolari del trattamento sono comunque tenuti adadottare le misure minime individuate volte adassicurare un livello minimo di protezione dei datipersonali.
  • 25. Trattamenti senza l’ausilio di strumenti elettronici Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
  • 26. Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime :a) autenticazione informatica: L’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità.b) adozione di procedure di gestione delle credenziali di autenticazione: I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica.c) utilizzazione di un sistema di autorizzazione: L’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente
  • 27. Altre misure minimed) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;g) tenuta di un aggiornato documento programmatico sulla sicurezza DPS;h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari ”dati sensibili”.
  • 28. Legge n° 133/2008 (D.L. n° 122/2008, ovvero la c.d. “manovra d’estate”) Per i soggetti che trattano: soltanto dati personali non sensibili; come unici dati sensibili quelli costituiti dallo stato di salute omalattia dei propri dipendenti e collaboratori anche a progetto, senzaindicazione della relativa diagnosi, ovvero dalladesione adorganizzazioni sindacali o a carattere sindacale. La tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dallobbligo di autocertificazione. Resa dal titolare del trattamento ai sensi dellarticolo 47 del testounico di cui al D.P.R. 28 dicembre 2000, n. 445, di trattare soltantotali dati in osservanza delle altre misure di sicurezza prescritte.
  • 29. Contenuto dell’autocertificazioneL’autocertificazione deve contenere due dichiarazioni: Che l’azienda tratta solo dati sensibili relativi allo stato di salute o malattia dei propri dipendenti/collaboratori a progetto (ovvero dati che attengono alla loro adesione ad organizzazioni sindacali o a carattere sindacale); di aver adottato tutte le altre misure di sicurezza previste dal Codice Privacy.
  • 30. Cambia la fattispecie delittuosaIl Titolare del trattamento non incorre nellaviolazione dell’art. 169, bensì quella dell’art.168 del D.lgs. 196/2003 .Tale ipotesi di reato attiene alle “falsità nelledichiarazioni e notificazione rese al Garante” la cuiviolazione comporta la reclusione da 6 mesi a 3 anni.Prevede, pertanto, una pena superiore rispetto almancato adeguamento del DPS che comportaval’arresto sino a due anni.
  • 31. "TRATTAMENTI DI DATI PERSONALIIN AMBITO SANITARIO"
  • 32. Principali prescrizioni per il settore sanitarioMisure per il rispetto dei diritti del paziente : distanze di cortesia, modalità perappelli in sale di attesa, certezze e cautele nelle informazioni telefoniche e nelleinformazioni sui ricoverati, estensione delle esigenze di riservatezza anche aglioperatori sanitari non tenuti al segreto professionali.Ricette impersonali, la possibilità di non rendere sempre e in ogni casoimmediatamente identificabili in farmacia gli intestatari di ricette attraverso untagliando predisposto su carta copiativa che, oscurando il nome e l’indirizzodell’assistito, consente comunque la visione di tali dati da parte del farmacista nei casiin cui sia necessario.Dati genetici viene previsto il rilascio di un’apposita autorizzazione da parte delGarante, sentito il Ministro della salute.Cartelle cliniche sono previste particolari misure per distinguere i dati relativi alpaziente  da quelli eventualmente riguardanti altri interessati (comprese leinformazioni relative ai nascituri), ma anche specifiche cautele per il rilascio dellecartelle cliniche a persone diverse dallinteressato.
  • 33. Art. 76 Esercenti professioni sanitarie e organismi sanitari pubblici  Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nellambito di unattività di rilevante interesse pubblico ai sensi dellarticolo 85, trattano i dati personali idonei a rivelare lo stato di salute:1. con il consenso dellinteressato (con le modalità semplificate) e anche senza lautorizzazione del Garante se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dellincolumità fisica dellinteressato ;2. anche senza il consenso dellinteressato e previa autorizzazione del Garante (rilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superiore di sanità.) se la finalità di cui alla lettera a) riguardano un terzo o la collettività .
  • 34. Art. 85 Attività di rilevante interesse pubblico1) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa lassistenza degli stranieri in Italia e dei cittadini italiani allestero, nonché di assistenza sanitaria erogata al personale navigante ed aeroportuale;2) programmazione, gestione, controllo e valutazione dellassistenza sanitaria;3) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione allimmissione in commercio e allimportazione di medicinali e di altri prodotti di rilevanza sanitaria;4) attività certificatorie;5) lapplicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute della popolazione;6) le attività amministrative correlate ai trapianti dorgano e di tessuti, nonché alle trasfusioni di sangue umano, anche in applicazione della legge 4 maggio 1990, n. 107;7) instaurazione, gestione, pianificazione e controllo dei rapporti tra lamministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario nazionale.
  • 35. MODALITÀ SEMPLIFICATE PER INFORMATIVA E CONSENSOL’informativa da rilasciare agli interessati che consente di manifestare ilnecessario consenso al trattamento dei dati con un’unica dichiarazione resa al medico di famiglia o all’organismo sanitario(il consenso vale anche  per la pluralità di trattamenti a fini di salute erogati da distintireparti e unità dello stesso organismo, da più strutture ospedaliere e territoriali).Ambito di applicazione:a) dagli organismi sanitari pubblici;b) dagli altri organismi privati e dagli esercenti le professioni sanitarie;Utilizzo dei dati:a) per informare linteressato relativamente ai dati personali raccolti presso ilmedesimo interessato o presso terzi, ai sensi dellarticolo 13, commi 1 e 4;b) per manifestare il consenso al trattamento dei dati personali;c) per il trattamento dei dati personali.
  • 36. Art. 78 Informativa del medico di medicina generale o del pediatra1. Il medico di medicina generale o il pediatra di libera scelta informano linteressato relativamente al trattamento dei dati personali, in forma chiara e tale da rendere agevolmente comprensibili gli elementi indicati nellarticolo 13, comma 1.2. Linformativa può essere fornita per il complessivo trattamento dei dati personali necessario per attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico o dal pediatra a tutela della salute o dellincolumità fisica dellinteressato, su richiesta dello stesso o di cui questi è informato in quanto effettuate nel suo interesse.3. Linformativa può riguardare, altresì, dati personali eventualmente raccolti presso terzi, ed è fornita preferibilmente per iscritto, anche attraverso carte tascabili con eventuali allegati pieghevoli, includendo almeno gli elementi indicati dal Garante ai sensi dellarticolo 13, comma 3, eventualmente integrati anche oralmente in relazione a particolari caratteristiche del trattamento.
  • 37. Trattamento dei dati da soggetti diversi e casi particolari Linformativa riguarda anche il trattamento di dati correlato a quello effettuato dal medico di medicina generale o dal pediatra di libera scelta, effettuato da un professionista o da altro soggetto, parimenti individuabile in base alla prestazione richiesta, che:a) sostituisce temporaneamente il medico o il pediatra;b) fornisce una prestazione specialistica su richiesta del medico e del pediatra;c) può trattare lecitamente i dati nellambito di unattività professionale prestata in formaassociata;d) fornisce farmaci prescritti;e) comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.
  • 38. Art. 79 Informativa da parte di organismi sanitariGli organismi sanitari pubblici e privati possono avvalersi delle modalità semplificaterelative allinformativa e al consenso di cui agli articoli 78 e 81 in riferimento:ad una pluralità di prestazioni erogate anche da distinti reparti ed unità dello stessoorganismo o di più strutture ospedaliere o territoriali specificamente identificati.lorganismo o le strutture annotano lavvenuta informativa e il consenso con modalitàuniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unitàche, anche in tempi diversi, trattano dati relativi al medesimo interessato.Le modalità semplificate di cui agli articoli 78 e 81 possono essere utilizzate in modoomogeneo e coordinato in riferimento allinsieme dei trattamenti di dati personalieffettuati nel complesso delle strutture facenti capo alle aziende sanitarie. Sulla base di adeguate misure organizza tive in applicazione del comma 3, lemodalità semplificate possono essere utilizzate per più trattamenti di dati effettuatinei casi di cui al presente articolo e dai soggetti di cui allarticolo 80.
  • 39. Art. 80 Informativa da parte di altri soggetti pubbliciServizi o strutture di soggetti pubblici operanti in ambito sanitario o dellaprevenzione e sicurezza del lavoro.Oltre a quanto previsto dallarticolo 79, possono avvalersi della facoltà difornire ununica informativa per una pluralità di trattamenti di dati effettuati,a fini amministrativi e in tempi diversi, rispetto a dati raccolti pressolinteressato e presso terzi, i competenti. Linformativa è integrata con appositi e idonei cartelli ed avvisi agevolmentevisibili al pubblico, affissi e diffusi anche nellambito di pubblicazioniistituzionali e mediante reti di comunicazione elettronica, in particolare perquanto riguarda attività amministrative di rilevante interesse pubblico chenon richiedono il consenso degli interessati.
  • 40. Art. 81 Prestazione del consensoIl consenso al trattamento dei dati idonei a rivelare lo stato di salutepuò essere manifestato con ununica dichiarazione, ancheoralmente.In tal caso il consenso è documentato, anziché con atto scrittodellinteressato, con annotazione dellesercente la professione sanitariao dellorganismo sanitario pubblico, riferita al trattamento di datieffettuato da uno o più soggetti e allinformativa allinteressato, nei modiindicati negli articoli 78, 79 e 80.Quando il medico o il pediatra fornisce linformativa per conto di piùprofessionisti il consenso è reso conoscibile ai medesimi professionisticon adeguate modalità, anche attraverso menzione, annotazione oapposizione di un bollino o tagliando su una carta elettronica o sullatessera sanitaria, contenente un richiamo al medesimo articolo 78,comma 4, e alle eventuali diverse specificazioni apposte allinformativaai sensi del medesimo comma.
  • 41. Art. 82 Emergenze e tutela della salute e dellincolumità fisicaLinformativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo,successivamente alla prestazione , nel caso di emergenza sanitaria o di igienepubblica per la quale la competente autorità ha adottato unordinanza contingibile ed urgenteLinformativa e il consenso al trattamento dei dati personali possono altresì intervenire senzaritardo, successivamente alla prestazione, in caso di:impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dellinteressato,quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero daun prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabiledella struttura presso cui dimora linteressato; rischio grave, imminente ed irreparabile per la salute o lincolumità fisica dellinteressato. Linformativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo,successivamente alla prestazione, anche in caso di prestazione medica che può esserepregiudicata dallacquisizione preventiva del consenso, in termini di tempestività o efficacia. Dopo il raggiungimento della maggiore età linformativa è fornita allinteressato anche ai finidella acquisizione di una nuova manifestazione del consenso quando questo è necessario.
  • 42. Art. 92 Cartelle cliniche Nei casi in cui organismi sanitari pubblici e privati redigono e conservano una cartella clinica in conformità alla disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri. Eventuali richieste di presa visione o di rilascio di copia della cartella e dellacclusa scheda di dimissione ospedaliera da parte di soggetti diversi dallinteressato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità: di far valere o difendere un diritto in sede giudiziaria di rango pari a quello dellinteressato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; di tutelare, in conformità alla disciplina sullaccesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dellinteressato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.
  • 43. Art. 94 Banche di dati, registri e schedari in ambito sanitario Il trattamento di dati idonei a rivelare lo stato di salute contenuti in banche di dati, schedari, archivi o registri tenuti in ambito sanitario, è effettuato nel rispetto dellarticolo 3 anche presso banche di dati, schedari, archivi o registri già istituiti alla data di entrata in vigore del presente codice e in riferimento ad accessi di terzi previsti dalla disciplina vigente alla medesima data, in particolare presso:a) il registro nazionale dei casi di mesotelioma asbesto-correlati istituito presso lIstituto superiore per la prevenzione e la sicurezza del lavoro (Ispesl);b) la banca di dati in materia di sorveglianza della malattia di Creutzfeldt-Jakob o delle varianti e sindromi ad essa correlate, di cui al decreto del Ministro della salute in data 21/12/2001;c) il registro nazionale delle malattie rare;d) i registri dei donatori di midollo osseo;e) gli schedari dei donatori di sangue di cui allarticolo 15 del decreto del Ministro della sanità in data 26/01/2001.
  • 44. Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di  dossier  sanitario - 16 luglio 2009Parte I: Il Fascicolo sanitario elettronico e il dossier sanitario1. la sanità elettronica: profili generali;2. ambito di applicazione delle Linee guida.Parte II: Le garanzie per linteressato3. diritto alla costituzione di un Fascicolo sanitario elettronico e di un  dossier sanitario;4. individuazione dei soggetti che possono trattare i dati;5. accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel  dossier sanitario;6. diritti dellinteressato sui propri dati personali (art. 7 del Codice);7. limiti alla diffusione e al trasferimento allestero dei dati.8. informativa e consenso;9. comunicazione al Garante;10. misure di sicurezza.
  • 45. Contenuto del provvedimentoIl provvedimento del Garante stabilisce:- il paziente deve poter scegliere, in piena libertà, se far costituire o meno un fascicolo sanitarioelettronico, con tutte o solo alcune delle informazioni sanitarie che lo riguardano;- deve poter manifestare un consenso autonomo e specifico, distinto da quello che si presta afini di cura della salute;- al paziente deve essere inoltre garantita la possibilità di "oscurare" la visibilità di alcuni eventiclinici.Per poter esprimere scelte consapevoli il paziente deve essere adeguatamente informato.Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici dibase, del reparto ove è ricoverato, farmacisti) ha accesso ai suoi dati e che tipo di operazionipuò compiere.Il fascicolo sanitario elettronico potrà essere consultato dal paziente con modalità adeguate (ades. tramite smart card) e dal personale sanitario strettamente autorizzato, solo per finalitàsanitarie. Non potranno accedervi invece periti, compagnie di assicurazione, datori di lavoro. 
  • 46. A cosa serve il Fascicolo Sanitario Elettronico  (FSE)Raccogliere elettronicamente le informazionicliniche relative alla Persona, informazioniche possono essere state originate inqualunque struttura sanitaria (italiana, percominciare, ma europea, come già prevedonoi progetti UE) in modo da renderle disponibiliad ogni altro operatore sul territorio(nazionale e poi europeo) che debba prestareulteriori cure a quella Persona.  
  • 47. Il diritto alla costituzione di un Fascicolo sanitario elettronico o di un dossier sanitarioLe finalità perseguite attraverso il Fse o il dossier sonoriconducibili alla documentazione di una "memoria storica"degli eventi di rilievo sanitario relativi a un medesimo individuoconsultabile dal medico curante.Il trattamento dei dati personali effettuato mediante il Fse o ildossier, perseguendo le menzionate finalità di prevenzione,diagnosi, cura e riabilitazione, deve uniformarsi al principiodi autodeterminazione (artt. 75 e ss. del Codice).Anche con la possibilità che i dati sanitari restino disponibilisolo al professionista o organismo sanitario che li ha redatti,senza la loro necessaria inclusione in tali strumenti.
  • 48. Individuazione dei soggetti che possono trattare i datiIl trattamento di dati personali effettuato attraverso ilFse/dossier, deve essere posto in essere esclusivamente daparte di soggetti operanti in ambito sanitario, con esclusione diperiti, compagnie di assicurazione, datori di lavoro,associazioni o organizzazioni scientifiche e organismiamministrativi anche operanti in ambito sanitario.Analogamente, laccesso è precluso anche al personalemedico nellesercizio di attività medico-legale (es. visite perlaccertamento dellidoneità lavorativa o alla guida), in quanto,sebbene figure professionali di tipo sanitario, tali professionistisvolgono la loro attività professionale nellambitodellaccertamento di idoneità o status, e non anche allinternodi un processo di cura dellinteressato.
  • 49. Accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel Dossier sanitarioIl titolare deve valutare attentamente quali dati pertinenti, noneccedenti e indispensabili inserire nel Fse/dossier in relazionealle necessità di prevenzione, diagnosi, cura e riabilitazione.Devono essere, pertanto, preferite soluzioni che consentanounorganizzazione modulare di tali strumenti in modo dalimitare laccesso dei diversi soggetti abilitati alle soleinformazioni (e, quindi, al modulo di dati) indispensabili.I titolari del trattamento, nel costituire il Fse/dossier enellindividuare la tipologia di informazioni che possono esservianche successivamente riportate, devono rispettare ledisposizioni normative a tutela dellanonimato della persona tracui quelle a tutela delle vittime di atti di violenza sessuale o dipedofilia.
  • 50. Comunicazione al GaranteIl Fse, costituendo un insieme logico di informazioni edocumenti sanitari volto a documentare la storia clinica di unindividuo condiviso da più titolari del trattamento, deve essereimprontato a criteri di massima trasparenza nella suastrutturazione e nel suo funzionamento.A garanzia di tale evidenza i trattamenti di dati personalieffettuati attraverso il Fse devono essere resi noti al Garantemediante una apposta comunicazione da effettuarsi secondoun modello che sarà adottato dallAutorità con specificoprovvedimento.
  • 51. "Linee guida in tema di referti on line" approvate dal Garante per la Privacy con la Deliberazione 19 novembre 2009, n. 36 pubblicata in Gazzetta Ufficiale 11 dicembre 2009, n. 288.Il provvedimento fissa rigorose misure aprotezione dei dati sanitari dei pazienti cheintendono utilizzare questo servizio, ricevendoil referto via mail o “scaricando” gli esami clinicidirettamente dal sito web della strutturasanitaria.
  • 52. Punti principali stabiliti dalle Linee guida l’adesione al servizio dovrà essere facoltativa; il referto elettronico non sostituirà quello cartaceo che rimarrà comunque disponibile l’assistito dovrà dare il suo consenso sulla base di una informativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di “refertazione on line”; il referto resterà a disposizione on line per un massimo di 45 giorni e dovrà essere accompagnato da un giudizio scritto e dalla disponibilità del medico a fornire ulteriori indicazioni su richiesta dell’interessato; per fornire il servizio, le strutture sanitarie pubbliche e private dovranno adottare elevate misure di sicurezza tecnologica (utilizzo di standard crittografici, sistemi di autenticazione forte, convalida degli indirizzi e-mail con verifica on line, uso di password per l’apertura del file) e, nel caso offrano la possibilità di archiviare e continuare a consultare via web i referti, dovranno anche sottoporre ai pazienti una ulteriore specifica informativa e acquisire un autonomo consenso.
  • 53. Interventi delGarante della Privacy
  • 54. Provvedimento del 2 ottobre 2009 del Garante per la protezione dei dati personali. Lavoro: anonimato per la diagnosi HIVI certificati medico-legali attestanti l’idoneità del lavoratore non possonocontenere l’indicazione delle patologie cui è eventualmente affetto lo stesso,divieto da osservarsi con maggior rigore se concernono dati sensibili, qualila sieropositività all’HIV.Lo ha affermato il Garante della Privacy, intervenendo in merito al reclamoavanzato da un dipendente del Ministero della difesa nellambitodellaccertamento di idoneità al servizio cui linteressato si era sottopostopresso la commissione medico legale del Comando di appartenenza.L’esito della visita, con la diagnosi "sbarrata e omessa", in modo da renderlaperò facilmente desumibile era circolato all’interno dell’amministrazione,nonostante l’opposizione dell’interessato che aveva invocato il rispetto dellanormativa vigente a tutela della riservatezza delle persone sieropositive,giungendo a conoscenza di vari settori, quali Ispettorato di sanità dellaMarina militare, Ufficio generale del personale e Comando di appartenenza.
  • 55. Contenuto del ProvvedimentoIn merito, il Garante ha rilevato che l’amministrazione nellutilizzare per una finalitàlecita i dati sensibili relativi allo stato di salute dei lavoratori, ha lobbligo diconformare il loro trattamento "secondo modalità volte a prevenireviolazioni dei diritti, delle libertà fondamentali e della dignitàdellinteressato medesimo."Nel caso di specie, il Garante ha sottolineato che l’amministrazione doveva adottareogni soluzione idonea a tutelare la riservatezza del lavoratore interessato perdocumentare gli accertamenti eseguiti, atteso che i giudizi diagnostici riguardinolinfezione da HIV, attestando, ad esempio, la relativa diagnosi in un atto riservato inluogo del verbale da trasmettere allamministrazione di appartenenza del lavoratore,ovvero riportando tale diagnosi sul predetto verbale e trasmettendoallamministrazione un diverso attestato dal quale questa non sia desumibile.Allesito delle predette visite mediche, volte a verificare lidoneità al servizio –prosegue il Garante – i collegi medici devono trasmettere allamministrazione diappartenenza dellinteressato il verbale con la sola indicazione del giudizio medico-legale, con la dicitura “idoneo” ovvero “non idoneo” omettendo qualsiasi altrainformazione attinente allo stato di salute dei lavoratori interessati, non pertinente enon realmente indispensabile rispetto alle finalità perseguite.
  • 56. Provvedimento 25 giugno 2009 emanato dal Garante per la PrivacyBloccata la diffusione di dati sanitari di una dipendente provinciale pubblicatisul sito dellente locale e liberamente reperibili in Internet.Lo ha stabilito il Provvedimento 25 giugno 2009 emanato dal Garante per laPrivacy a seguito della segnalazione di una dipendente che, attraverso unmotore di ricerca, aveva rinvenuto on line alcuni atti della provincia in cuierano riportati i suoi dati anagrafici e delicate informazioni sul suo stato disalute, la cui diffusione è vietata dal Codice della Privacy.Nel disporre il blocco dei dati sanitari trattati in modo illecito, lAutorità haribadito che "le amministrazioni locali, fermo restando il rispetto degli obblighidi legge sulla trasparenza delle deliberazioni dellente, devono selezionarecon estrema attenzione i dati personali da diffondere, non solo alla luce deiprincipi di pertinenza, non eccedenza e indispensabilità rispetto alle finalitàperseguite dai singoli provvedimenti, ma anche in relazione al divieto didiffusione dei dati idonei a rivelare lo stato di salute".
  • 57. Provvedimento 2 aprile 2009 del Garante della PrivacyGli organi di informazione, nel far riferimento allo stato di salute di una determinatapersona, identificata o identificabile, sono tenuti al rispetto della dignità e del dirittoalla riservatezza e al decoro personale, specialmente quando si tratta di malattiegravi o terminali, casi in cui è dovere del giornalista astenersi dal pubblicare datianalitici di interesse strettamente personale.E quanto ha stabilito il Provvedimento 2 aprile 2009 con il quale il Garante dellaPrivacy è intervenuto su segnalazione di un interessato in relazione ad un articolo(pubblicato sul sito web di un quotidiano nazionale) che, narrando la vicendariguardante una clinica milanese nella quale sarebbero stati effettuati alcuni interventichirurgici al seno non ritenuti necessari, riportava i nomi delle donne che hannosubito lintervento chirurgico insieme ad altre descrizioni particolareggiate sullemodalità delloperazione e le patologie di cui le donne erano affette.LAutorità ha vietato al quotidiano lulteriore diffusione, anche tramite il sito web, dellegeneralità delle persone alle quali si riferiscono i dati sensibili e ha disposto linvio delprovvedimento al Consiglio nazionale dellOrdine dei giornalisti per le valutazioni dicompetenza.
  • 58. Fascicolo sanitario elettronico (Fse): le prime linee guida in materia di privacy Garante Privacy , (comunicato stampa 26.03.2009)Il fascicolo sanitario elettronico dovrà essere costituito esclusivamente per il perseguimento difinalità di prevenzione, diagnosi, cura e riabilitazione. Sarà consultabile dall’interessato conmodalità adeguate (ad es., tramite smart card) e dal personale sanitario, strettamenteautorizzato e solo per finalità sanitarie. on potranno accedervi invece periti, compagnie diassicurazione, datori di lavoro.E quanto illustra il Comunicato 26 marzo 2009 con il quale il Garante della privacy haemanato le prime linee guida in materia per la protezione dei dati e a garanzia delle persone.In particolare le nuove regole sul documento elettronico di raccolta dei dati sanitari, già insperimentazione in alcune regioni, prevedono:libertà di scelta del paziente sul far costituire o meno un fascicolo sanitario elettronico, contutte o solo alcune informazioni sanitarie che lo riguardano;informativa al paziente con lindicazione di chi (medici di base, del reparto ove è ricoverato,farmacisti) ha accesso ai dati, che tipo di operazioni può compiere, ecc.; adozione di specifici accorgimenti tecnici per assicurare elevati livelli di sicurezza che limitinoil più possibile i rischi di accesso abusivo, furto, smarrimento.
  • 59. Paziente può avere accesso agli atti di indagine interna delle ASL TAR Lazio, sentenza 06.12.2006 n° 1600Il Giudice Amministrativo ha ritenuto che la visione degli atti fosse da considerarsistrumentale al fine di tutela dellinteresse del paziente, e che, comunque, non siravviserebbero particolari esigenze di riservatezza, in quanto la documentazionerelativa allinchiesta potrebbe essere effettuata "omettendo di ostendere dati sensibilirelativi a persone o singoli episodi ininfluenti ai fini della tutela richiesta".La decisione del TAR, seppur condivisibile, non sembra tenere conto della disciplinadel codice della Privacy in tema di richiesta di accesso agli atti riguardanti dati idoneia rilevare lo stato di salute (art. 60, 71 e 92 D.lgs 196/2003).Lart. 60 dispone infatti che "quando il trattamento concerne dati idonei a rivelare lostato di salute o la vita sessuale, il trattamento è consentito se la situazionegiuridicamente rilevante che si intende tutelare con la richiesta di accesso aidocumenti amministrativi è di rango almeno pari ai diritti dellinteressato”Il Garante, anche durante il vigore della L. 675/96, aveva peraltro emanato ilProvvedimento Generale del 9/3/2003, nel quale regolamentava la materiadellaccesso ai dati idonei a rilevare lo stato di salute, e sottolineava come iltrattamento di tali dati fosse consentito solo se il diritto da far valere o difendere siadi rango almeno pari a quello dell’interessato.
  • 60. Privacy: lautorizzazione relativa ai dati sulla salute e la vita sessuale Garante Privacy (Provvedimento 21.12.2005, G.U. 03.01.2006)Autorizzaa) gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili per tutelare lincolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità;b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di salute e la vita sessuale;c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorché agiscano nella qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano contemporaneamente le seguenti condizioni:1. il trattamento sia finalizzato alla tutela dellincolumità fisica e della salute di un terzo o della collettività;2. manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere prestato per effettiva irreperibilità;3. non si tratti di attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dellart. 85, commi 1 e 2, del Codice;d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora il trattamento sia necessario per la salvaguardia della vita o dellincolumità fisica di un terzo. Se la medesima finalità riguarda linteressato e questultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità dintendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile
  • 61. Strutture sanitarie e privacy: rispetto della dignità del paziente Garante Privacy (Provvedimento 09.11.2005)Al cittadino che entra in contatto con le strutture sanitarie per diagnosi, cure, prestazioni mediche,operazioni amministrative deve essere garantita la più assoluta riservatezza e il più ampio rispettodei suoi diritti fondamentali e della sua dignità.Lo ha ribadito il Garante della privacy prescrivendo ad organismi sanitari pubblici e privati (aziendesanitarie territoriali, aziende ospedaliere, case di cura, osservatori epidemiologici regionali, servizi diprevenzione e sicurezza sul lavoro) una serie di misure da adottare per adeguare il funzionamento elorganizzazione delle strutture sanitarie.In particolare gli organismi sanitari devono garantire: la tutela della dignità del paziente, soprattuto con riguardo a fasce deboli (disabili, minori, anziani),ma anche a pazienti sottoposti a trattamenti medici invasivi o per i quali è doverosa una particolareattenzione (es. interruzione della gravidanza); la riservatezza nei colloqui e delle informazioni sulla salute, sulle prescrizioni mediche e sullecartelle cliniche; distanze di cortesia distanze di cortesia per operazioni amministrative allo sportello (prenotazioni)o al momento dellacquisizione di informazioni sullo stato di salute, sensibilizzando anche gli utenticon cartelli, segnali ed inviti; non visibilità ad estranei liste di pazienti in attesa di intervento.
  • 62. Privacy: la trasmissione di dati sanitari deve avvenire in busta chiusa Garante Privacy , newsletter 18.10.2004La trasmissione dei dati sanitari deve sempre avvenire in bustachiusa, mentre gli allegati alle note di trasmissione devonoessere presenti soltanto se indispensabili.Lo ha segnalato il Garante della Privacy, nella newsletter 18-31 ottobre 2004, riportando il caso di un cittadino che, dopoessersi sottoposto ad accertamenti sanitari per ilriconoscimento di infermità da causa di servizio, lamentava ilfatto che i referti gli fossero stati comunicatidallamministrazione di appartenenza, tramite il messocomunale, dallamministrazione di appartenenza spillati ad unanota di accompagnamento, anziché custoditi in busta chiusa.
  • 63. Sanzioni e procedimentogiudiziario e amministrativo
  • 64. Sanzioni AmministrativeL’organo competente ad irrogare le sanzioni è ilGarante .L’omessa o inidonea informativa all’interessato(art. 13)E’ punita con la sanzione amministrativada €. 6.000 a €. 36.000
  • 65. Art. 162 Altre fattispecie Cessione dei datiSanzione amministrativa da €. 10.000 a €. 60.000 Dati personali idonei a rivelare lo stato di salute possono essere resi noti allinteressato o prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora linteressato; da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato dallinteressato o dal titolare.Sanzione amministrativa da €. 1.000 a €. 6.000 Violazione delle misure minime art. 33 o per l’illecito trattamento dei dati art. 167Sanzione amministrativa da €. 20.000 a €. 120.000 Nei casi di cui allarticolo 33 è escluso il pagamento in misura ridotta. L’inosservanza dei provvedimenti del Garante: che rendono il trattamento conforme alle disposizioni vigenti di vietare anche dufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dellarticolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei datiSanzione amministrativa da €. 30.000 a €. 180.000
  • 66. Art. 162-bis. Sanzioni in materia di conservazione dei dati di traffico  Violazione delle disposizioni di cui allart. 132, commi 1 e 1-bisSanzione amministrativa da €. 10.000 a €. 50.000 . Dati relativi al traffico telefonico, sono conservati dal fornitore per 24 mesi dalla data della comunicazione Dati relativi al traffico telematico sono conservati dal fornitore per 12 mesi dalla data della comunicazione Per finalità di accertamento e repressione dei reati. I dati relativi alle chiamate senza risposta sono conservati per 30 giorni
  • 67. Omessa informazione o esibizione al Garante  Chi omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157Sanzione amministrativa €. 10.000 a €. 60.000
  • 68. Casi di minore gravità e ipotesi aggravateViolazioni amministrative di minore gravità. Avuto altresí riguardo alla natura anche economica o sociale dellattività svolta, sono applicati in misura pari a due quinti.In altri casi di maggiore gravità Maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, sono applicati in misura pari al doppio.
  • 69. Illeciti penaliSalvo che il fatto costituisca più grave reato, chiunque,al fine di trarne per sé o per altri profitto o di recare adaltri un danno, procede al trattamento di dati personaliè punito, se dal fatto deriva nocumento,reclusione da sei a diciotto mesise il fatto consiste nella comunicazione o diffusione,reclusione da sei a ventiquattro mesi .
  • 70. Falsità nelle dichiarazioni e notificazioni al Garante art. 168 Chiunque, nella notificazione di cui allarticolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato. Rientra l’autocertificazione delle misure minime di cui all’art. 34 comma 1 bis.Reclusione da sei mesi a tre anni.
  • 71. Misure di sicurezza art. 169Chiunque, essendovi tenuto, omette di adottare le misure minime(D.P.S.) previste dall’articolo 33 è punito con:larresto sino a due anni o con lammenda da €. 10.000 a €.50.000.All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anchecon successivo atto del Garante, è impartita una prescrizione fissando untermine per la regolarizzazione non eccedente il periodo di tempotecnicamente necessario, prorogabile in caso di particolare complessità oper l’oggettiva difficoltà dell’adempimento e comunque non superiore a 6mesi.Nei sessanta giorni successivi allo scadere del termine, se risultal’adempimento alla prescrizione, lautore del reato è ammesso dal Garante apagare una somma pari al quarto del massimo dellammenda stabilita per lacontravvenzione.
  • 72. Inosservanza di provvedimenti del Garante Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante :- Autorizzazione al trattamento dei dati sensibili, Il trattamento dei dati genetici;- Provvedimenti a seguito del ricorso;- Provvedimento che dispone il blocco o vieta, in tutto o in parte, il trattamento.è punito con la reclusione da tre mesi a due anni .
  • 73. Come tutelare i propri diritti in caso di violazione dei propri dati personali?2 vie possibili:- Amministrativa Garante della Privacy- Giudiziaria Tribunale ordinario
  • 74. Forme di tutela dinanzi al Garante della Privacy “Tutela amministrativa” Art. 141 Codice Privacy L’interessato può rivolgersi al Garante mediante:a) Reclamo circostanziatoper rappresentare una violazione della disciplina rilevante inmateria di trattamento di dati personali;b) Segnalazionese non è possibile presentare un reclamo circostanziato al fine disollecitare un controllo da parte del Garante;c) Ricorsose intende far valere gli specifici diritti di cui all’articolo 7 “diritto diaccesso ai dati personali ed altri diritti”.
  • 75. TUTELA ALTERNATIVA A QUELLA GIURISDIZIONALEI diritti di cui allarticolo 7 possono essere fatti valere dinanzi- autorità giudiziaria;- con ricorso al Garante.Il ricorso al Garante non può essere proposto se, per il medesimooggetto e tra le stesse parti, è stata già adita lautorità giudiziaria.La presentazione del ricorso al Garante rende improponibileunulteriore domanda dinanzi allautorità giudiziaria tra le stesseparti e per il medesimo oggetto.
  • 76. Art. 146 Interpello preventivoIl ricorso al Garante può essere proposto:- Dopo che è stata avanzata richiesta sul medesimo oggetto altitolare o al responsabile;- Siano decorsi 15 giorni dal suo ricevimento e di 30 giorni incaso le procedure siano complesse;- Diniego anche parziale della richiesta.
  • 77. Presentazione del ricorso- con plico raccomandato;- per via telematicafirma digitale e alla conferma del ricevimento;- presentato direttamente presso il Garante.
  • 78. Provvedimenti del Garante- In via provvisoria, il blocco in tutto o in parte di taluno dei dati, ovvero limmediata sospensione di una o più operazioni del trattamento- Cessazione del comportamento illegittimo , indicando le misure necessarie a tutela dei diritti dellinteressato e assegnando un termine per la loro adozione. Tecnica del silenzio rigetto La mancata pronuncia sul ricorso, decorsi 60 giorni dalla data di presentazione, equivale a rigetto. Comunicazione dei provvedimenti deve essere fatto entro dieci giorni e anche mediante posta elettronica o telefax.
  • 79. Il titolare o linteressato possono fare opposizione avverso il provvedimento espresso o il rigetto tacito Ricorso al TribunaleLopposizione non sospende lesecuzione delprovvedimento.
  • 80. Art. 152 TUTELA GIURISDIZIONALE1. Tutte le controversie che riguardano lapplicazione delle disposizioni del codice privacy, comprese quelle inerenti ai provvedimenti del Garante sono attribuite allautorità giudiziaria ordinaria.2. Per tutte le controversie, l’azione si propone con ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento.3. Il tribunale decide in ogni caso in composizione monocratica.
  • 81. Procedimento Decreto di fissazione dell’udienza di comparizione Il ricorrente deve notificarlo alle parti e al GaranteTra il giorno della notificazione e ludienza di comparizione intercorrononon meno di 30 giorni. Udienza di comparizione Concessione di eventuali note difensive Udienza per la discussione Pronuncia della sentenzaLa sentenza non è appellabile, ma è ammesso il ricorso per cassazione.
  • 82. Procedimento d’urgenzaQuando sussiste pericolo imminente di un danno grave ed irreparabile.Con il decreto di fissazione dell’udienza di comparizione il giudiceemana i provvedimenti necessari. Udienza di comparizione entro 15 giorniIn tale udienza, con ordinanza, il giudice conferma, modifica o revoca iprovvedimenti emanati con decreto.
  • 83. Competenza TerritorialeL’azione si propone con ricorso depositato nellacancelleria del tribunale del luogo ove risiede iltitolare del trattamento"titolare", persona fisica, giuridica, P.A. e qualsiasialtro ente, associazione od organismo cuicompetono le decisioni in ordine alle finalità, allemodalità del trattamento di dati personali e aglistrumenti utilizzati, ivi compreso il profilo dellasicurezza
  • 84. Difetto di giurisdizioneCon ordinanza del 25 maggio 2005, il T.A.R.Lazio ha respinto la domanda di sospensionepresentata dai ricorrenti, rimettendo ognidecisione, anche in ordine alla questione dellagiurisdizione, alla fase di merito.Difetto di competenza territorialeVari giudizi introdotti, in particolare, nel 2005avanti al Giudice di pace di Taranto.
  • 85. Orientamento giurisprudenziale sulla competenza territoriale Tribunale di Roma(sentenza del 10 gennaio 2006) Tribunale di Viterbo(sentenza n. 767 del 7 settembre 2005). Tribunale di Napoli(sentenza n. 11727 del 25 novembre 2005)
  • 86. Corte di Cassazione Civile Ordinanza 31/05/2006, n.12980Non applicabilità del foro del consumatoreex. art. 1469 bis. (sostituito dall’art. 63 delD.Lgs n. 206/2005).Poiché non può concorrere con il foroindividuato dall’art. 152 co. 2° T.U. Privacy Competenza a carattere esclusivo
  • 87. Motivi della decisioneNon si può assimilare la disciplina dellatutela del consumatore a quelladellinteressato al trattamento dei datipersonaliSono due materie che presentano una "ratio"ben diversa e per le quali lordinamento
  • 88. Due interessi diversi da tutelareConsumatore si apprestano strumenti di tutela nei confronti del "professionista" che trovano la loro ragione dessere nella differente forza contrattuale delle parti.Trattamento dei dati personali la "ratio" si rinviene esclusivamente nella particolare natura dellattività di trattamento dinformazioni relative a soggetti identificati o identificabili, indipendentemente dalla posizione delle parti e dai loro rapporti di forza, attività che si assume come potenzialmente lesiva dei diritti individuali.
  • 89. GRAZIE PER L’ATTENZIONE ARRIVEDERCI Avv. Pasquale Lopriore Specialist in Legal Information Technology___________________________________ Sito web: http://p.lopriore.googlepages.com E-mail: p.lopriore@libero.it