SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU PADOVA 2019 Franco Cardin (ANORC)
1. Il trattamento dei dati personali
in ambito sanitario dopo l’entrata
in vigore del D. Lgs. 101/2018
2. 2
Franco Cardin
EXPERT
Tessera n°9
PROFESSIONISTA
DELLA PRIVACY
L’iscrizione ad ANORC Professioni è da intendersi quale attestazione di qualità e di qualificazione
professionale dei servizi prestati dall’associato conforme ai requisiti previsti dagli articoli 4, 7, 8 della Legge
4/2013 (Disposizioni in materia di professioni non organizzate in ordini o collegi).
Il presente tesserino professionale è rilasciato il 16/01/2019 e firmato digitalmente dalla Direzione
2019
3. Il quadro giuridico di riferimento non è rappresentato
solo dal GDPR
3
Considerando 8 del GDPR
Ove il presente regolamento preveda specificazioni o limitazioni delle sue
norme ad opera del diritto degli Stati membri, gli stessi possono, nella
misura necessaria per la coerenza e per rendere le disposizioni nazionali
comprensibili alle persone cui si applicano, integrare elementi del
presente regolamento nel proprio diritto nazionale.
4. Il quadro giuridico di riferimento non è rappresentato
solo dal GDPR
4
Considerando 10 del GDPR
………Il presente regolamento prevede anche un margine di
manovra degli Stati membri per precisarne le norme, anche con
riguardo al trattamento di categorie particolari di dati personali
(«dati sensibili»). In tal senso, il presente regolamento non
esclude che il diritto degli Stati membri stabilisca le condizioni per
specifiche situazioni di trattamento, anche determinando con
maggiore precisione le condizioni alle quali il trattamento di dati
personali è lecito.
5. Il quadro giuridico di riferimento non è rappresentato
solo dal GDPR
5
Art. 9, paragrafo 4, del GDPR
Gli Stati membri possono mantenere o introdurre ulteriori condizioni,
comprese limitazioni, con riguardo al trattamento di dati genetici,
dati biometrici o dati relativi alla salute.
6. Adeguamento del quadro normativo nazionale al GDPR
6
Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni
per l’adeguamento della normativa nazionale alle disposizioni del
regolamento (UE) 2016/679 (in G.U. 4 settembre 2018, n. 205)
in vigore dal 19 settembre 2018
7. Il quadro giuridico di riferimento in materia di protezione
dei dati personali dopo il 19/09/2018
7
Ø Regolamento (UE) 2016/679 (GDPR) aggiornato alle rettifiche
pubblicate sulla GU UE n. 127 del 23/5/2018
Ø D.Lgs. 196/2003 (Codice privacy) come modificato, dal D.Lgs.
101/2018 (attenzione alle disposizioni transitorie)
9. Art. 2 sexies del D.Lgs. 196/03 (Trattamento di categorie particolari di dati
personali necessario per motivi di interesse pubblico rilevante)
9
Si considerano di rilevante interesse pubblico, i trattamenti effettuati da soggetti (sia pubblici che privati) che svolgono
compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
…………
• attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi
incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
• compiti del SSN e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di
lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
• programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la
gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati
con il SSN;
• vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione
di medicinali e di altri prodotti di rilevanza sanitari;
• tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione
sociale e diritti dei disabili;
• trattamenti effettuati per fini di ricerca scientifica.
11. Trattamento di categorie particolari di dati personali (art. 9.3 del GDPR)
11
3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui
al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità
di un professionista soggetto al segreto professionale conformemente al diritto
dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali
competenti o da altra persona anch'essa soggetta all'obbligo di segretezza
conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite
dagli organismi nazionali competenti.
12. Art. 2 septies del D.Lgs. 196/03 (Misure di garanzia per il
trattamento dei dati genetici, biometrici e relativi alla salute)
12
I dati genetici, biometrici e relativi alla salute, possono essere trattati in presenza
di una delle condizioni di cui all’art. 9, paragrafo 2, del GDPR ed in conformità
alle misure di garanzia disposte dal Garante, per ciascuna categoria di tali dati
personali, con provvedimento almeno biennale, da sottoporre a consultazione
pubblica per due mesi, che tenga conto:
a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate
dal Comitato europeo per la protezione dei dati;
b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure
(stato dell’arte);
c) dell’interesse alla libera circolazione dei dati personali nell’UE;
13. Art. 2 septies del D.Lgs. 196/03 (Misure di garanzia per il
trattamento dei dati genetici, biometrici e relativi alla salute)
13
Le misure di garanzia:
Ø devono riguardare anche le cautele da adottare relativamente ai profili organizzativi e
gestionali in ambito sanitario (cfr. l’abrogato art. 83 del D.Lgs. 196/03), le modalità per la
comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute
(cfr. l’abrogato art. 84 del D.Lgs. 196/03) e le prescrizioni di medicinali (cfr. gli abrogati
artt. 87, 88 e 89 del D.Lgs. 196/03);
Ø individuano le misure di sicurezza (comprese le tecniche di cifratura e di
pseudonimizzazione), le misure di minimizzazione, le modalità per l’accesso selettivo ai
dati e per rendere le informazioni agli interessati, nonché eventuali altre misure
necessarie a garantire i diritti degli interessati;
Ø possono individuare, per il trattamento dei dati genetici che comporta un elevato livello
di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato o
altre cautele specifiche;
Ø divieto assoluto di diffusione dei dati genetici, biometrici e relativi alla salute.
14. Art. 22, comma 11, del D.Lgs. 101/2018
(Altre disposizioni transitorie e finali)
14
Le disposizioni del codice in materia di protezione dei dati personali, di
cui al decreto legislativo n. 196 del 2003, relative al trattamento di dati
genetici, biometrici o relativi alla salute continuano a trovare
applicazione, in quanto compatibili con il Regolamento (UE) 2016/679,
sino all’adozione delle corrispondenti misure di garanzia di cui all’articolo
2 - septies del citato codice, introdotto dall’articolo 2, comma 1, lett. e)
del presente decreto.
15. Titolo V del D.Lgs. 196/03
“Trattamento di dati personali in ambito sanitario”
come modificato dal D.Lgs. 101/2018
15
16. Articoli del titolo V del D.Lgs. 196/2003
abrogati dal D.Lgs. 101/2018
16
Ø Art. 76 - Esercenti professioni sanitarie e organismi sanitari pubblici;
Ø Art. 81 - Prestazione del consenso;
Ø Art. 83 - Altre misure per il rispetto dei diritti degli interessati;
Ø Art. 84 - Comunicazione di dati all’interessato;
Ø Artt. 85 e 86 - Finalità di rilevante interesse pubblico rientranti nei compiti
del SSN (cfr. art. 2-sexies del D. Lgs. 196/03)
Ø Artt. 87, 88 e 89 - Prescrizioni mediche
Ø Art. 90 - Trattamento dei dati genetici e donatori di midollo osseo;
Ø Art. 91 - Dati trattati mediante carte;
Ø Art. 94 - Banche di dati, registri e schedari in ambito sanitario;
17. 17
Art. 75 (Specifiche condizioni in ambito sanitario)
Il trattamento dei dati personali effettuato per finalità di tutela della salute e
incolumità fisica dell'interessato o di terzi o della collettività deve essere
effettuato ai sensi:
Ø dell'articolo 9, paragrafi 2, lettere h) ed i), e 3 del Regolamento,
Ø dell'articolo 2-septies del presente codice (garanzie adeguate),
Ø nonché nel rispetto delle specifiche disposizioni di settore (es. FSE,
refertazione on line, Dossier sanitario).
18. 18
Art. 77 (Modalità particolari)
I soggetti che possono avvalersi delle modalità particolari per informare
l’interessato ai sensi degli articoli 13 e 14 del GDPR e per il trattamento dei dati
personali in ambito sanitario sono:
Ø Le strutture pubbliche e private, che erogano prestazioni sanitarie e socio-
sanitarie (cfr. art. 79)
Ø gli esercenti le professioni sanitarie (cfr. art. 78 per MMG e PLS)
Ø I servizi o strutture di soggetti pubblici operanti in ambito sanitario o della
protezione e sicurezza sociale (cfr. art. 80).
19. 19
Art. 82 (Emergenza e tutela della salute e dell’incolumità fisica)
L’informativa pùò essere resa senza ritardo, successivamente alla prestazione, nel caso di:
Ø emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato
un’ordinanza contingibile ed urgente;
Ø impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato, quando
non è possibile rendere le informazioni, nei casi previsti, a chi esercita legalmente la
rappresentanza, ovvero a un prossimo congiunto, a un familiare, a un convivente o unito civilmente
ovvero a un fiduciario ai sensi dell'articolo 4 della legge 22 dicembre 2017, n. 219 o, in loro
assenza, al responsabile della struttura presso cui dimora l'interessato;
Ø rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato;
20. 20
Art. 89-bis. (Prescrizioni di medicinali)
Per le prescrizioni di medicinali, laddove non è necessario inserire il
nominativo dell'interessato, si adottano cautele particolari in relazione a
quanto disposto dal Garante nelle misure di garanzia di cui all'articolo
2-septies, anche ai fini del controllo della correttezza della prescrizione
ovvero per finalità amministrative o per fini di ricerca scientifica nel
settore della sanità pubblica.
21. 21
Art. 92, comma 1 - (Cartelle cliniche)
Le strutture, pubbliche e private, che erogano prestazioni sanitarie e socio-
sanitarie, nel redigere e conservare una cartella clinica in conformità alla
disciplina applicabile, devono adottare opportuni accorgimenti per:
Ø assicurare la comprensibilità dei dati;
Ø tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri
interessati, ivi comprese informazioni relative a nascituri;
Si applica la sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 4, del GDPR
22. 22
Art. 92, comma 2 - (Cartelle cliniche)
Eventuali richieste di presa visione o di rilascio di copia della cartella e dell’acclusa SDO, da parte di
soggetti diversi dall’interessato, possono essere accolte in tutto o in parte , solo se la richiesta è
giustificata dalla documentata necessità di:
Ø esercitare o difendere un diritto in sede giudiziaria ai sensi dell’art. 9, paragrafo 2, lett. f) del GDPR,
di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro
diritto o libertà fondamentale;
Ø tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione
giuridicamente rilevante di rango pari a quella dell’interessato, ovvero consistente in un diritto della
personalità o in un altro diritto o libertà fondamentale;
Si applica la sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del GDPR
23. 23
Art. 93 (Certificato di assistenza al parto)
Comma 1 – ai fini della dichiarazione di nascita il certificato di assistenza al parto è sempre sostituito
da una semplice attestazione contenente i soli dati richiesti nei registri di nascita (sanzione
amministrativa pecuniaria prevista dall’art. 83, paragrafo 4, del GDPR);
Comma 2 – se il certificato di assistenza al parto o la cartella clinica, comprendono informazioni che
rendono identificabile la madre che si è avvalsa della facoltà di rimanere anonima, ai sensi dell’art. 30,
comma 1, del DPR 396/2000, possono essere rilasciati in copia integrale a chi vi abbia interesse, in
conformità alla legge, decorsi 100 anni dalla formazione del documento;
Comma 3 – prima dei 100 anni la richiesta di accesso può essere accolta previa cancellazione dei
dati identificativi della madre
Per la violazione dei commi 2 e 3 si applica la sanzione amministrativa pecuniaria prevista
dall’art. 83, paragrafo 5, del GDPR
24. Art. 110 del D.Lgs. 196/03 (Ricerca medica, biomedica ed
epidemiologica) come modificato dall’art. 8 del D.Lgs. 101/2018
24
Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di
ricerca scientifica in campo medico, biomedico o epidemiologico, non è
necessario quando la ricerca è effettuata in base a disposizioni di legge o di
regolamento o al diritto dell’Unione europea in conformità all’articolo 9,
paragrafo 2, lettera j) , del GDPR, o rientra in un programma di ricerca
biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del D.Lgs. 502/1992,
ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli
articoli 35 e 36 del GDPR;
25. Art. 110 del D.Lgs. 196/03 (Ricerca medica, biomedica ed
epidemiologica) come modificato dall’art. 8 del D.Lgs. 101/2018
25
Il consenso non è inoltre necessario quando, a causa di particolari ragioni,
informare gli interessati risulta impossibile o implica uno sforzo sproporzionato,
oppure rischia di rendere impossibile o di pregiudicare gravemente il
conseguimento delle finalità della ricerca. In tali casi:
Ø il titolare del trattamento adotta misure appropriate per tutelare i diritti, le
libertà e i legittimi interessi dell’interessato;
Ø il programma di ricerca è oggetto di motivato parere favorevole del
competente comitato etico a livello territoriale e deve essere sottoposto a
preventiva consultazione del Garante ai sensi dell’articolo 36 del GDPR.
26. Provvedimento del Garante n. 55 del 7 marzo 2019 “Chiarimenti
sull’applicazione della disciplina per il trattamento dei dati relativi
alla salute in ambito sanitario
26
Ø I trattamenti che sono essenziali per una o più finalità connesse alla
cura della salute NON richiedono il consenso da parte dell’interessato;
Ø E’ possibile trattare dati sanitari SOLO con il consenso dell’ineteressato
per:
• consultazione del FSE;
• consegna referto on line;
• utilizzo di app mediche;
• fidelizzazione della clientela;
• finalità promozionali o commerciali.
27. Provvedimento del Garante n. 55 del 7 marzo 2019 “Chiarimenti
sull’applicazione della disciplina per il trattamento dei dati relativi
alla salute in ambito sanitario
27
L’informativa deve essere concisa, trasparente, intelligibile e facilmente
accessibile, scritta con linguaggio semplice e chiaro
Il paradosso informativo:
troppe informazioni disinformano
inoltre
Informazioni disorganizzate disinformano
28. Provvedimento del Garante n. 55 del 7 marzo 2019 “Chiarimenti
sull’applicazione della disciplina per il trattamento dei dati relativi
alla salute in ambito sanitario
28
Qualora i tempi di conservazione dei dati personali (e dei documenti che li
contengono) non siano fissati da specifiche norme, spetta al titolare definirli
in base alla finalità del trattamento. In ogni caso devono essere indicati
nell’informativa
Sapete esattamente cosa state conservando nei vostri archivi cartacei e informatici?
30. Comunicazione della Commissione al Parlamento europeo
e al Consiglio - Bruxelles, 24.1.2018 COM(2018)
30
«Il regolamento non ha modificato in modo sostanziale i concetti e i
principi fondamentali della legislazione in materia di protezione dei
dati introdotta nel 1995. La grande maggioranza dei titolari del
trattamento e dei responsabili del trattamento che rispettano già le
attuali disposizioni dell'UE non dovrà quindi introdurre importanti
modifiche nelle proprie operazioni di trattamento dei dati per
conformarsi al regolamento»
31. Comunicato stampa del 5 marzo del Garante della protezione dei dati
personali sui risultati dell’indagine effettuata in tutte le Regioni e
Province autonome, nonché le rispettive società controllate
31
“I risultati dell’indagine confermano che c’è ancora molto
da fare affinchè i principi a tutela della privacy vengano
declinati correttamente nelle pratiche quotidiane, nei
processi organizzativi e lungo tutta la catena decisionale
del settore pubblico e in quello privato”.
32. Il principio di accountability
32
Ø Il Regolamento UE 2016/679 rovescia la prospettiva della disciplina in
materia di protezione dei dati personali in quanto tutto il nuovo quadro
normativo è prevalentemente incentrato sui doveri e sulla
responsabilizzazione del titolare del trattamento (accountability);
Ø Il titolare, quale soggetto che determina le finalità e i mezzi del
trattamento, nonché le misure di sicurezza, ha maggiore
discrezionalità nel decidere come conformarsi alle disposizioni del
nuovo regolamento, ma ha l’onere di dimostrare le ragioni a supporto
di tali decisioni e le motivazioni per cui ritiene che le medesime siano
compliance con il regolamento.
33. Il principio di accountability
33
Un elemento fondamentale dell’accountability è la revisione dei processi
Ø Art. 24.1: il titolare deve riesaminare e aggiornare le misure tecniche
ed organizzative adottate
Ø Art. 32.1.b): titolare e responsabile devono assicurare su base
permanente riservatezza, integrità, disponibilità e resilienza dei
sistemi e dei servizi di trattamento
Ø Art. 35.11: il titolare deve riesaminare il DPIA almeno quando
insorgono variazioni del rischio
34. Il principio di accountability
34
Il rischio per i diritti e le libertà dell’interessato è la vera chiave di volta
(cfr. considerandi 75 e 85)
Ø perdita del controllo dei dati personali;
Ø limitazione di diritti;
Ø discriminazione;
Ø furto o usurpazione d'identità;
Ø perdite finanziarie;
Ø decifratura non autorizzata pseudonimizzazione;
Ø pregiudizio alla reputazione;
Ø compromissione del segreto professionale;
Ø qualsiasi altro danno economico o sociale significativo alla persona fisica;
35. Il principio di accountability
35
Chi vi è tenuto?
tutti, non solo il titolare del trattamento. Anche i
responsabili, il DPO e il personale incaricato: cfr. artt. 28.1
(“garanzie sufficienti”); 37.5 (“conoscenza specialistica della
materia e delle prassi”); 39.1.b) (“formazione e
sensibilizzazione del personale”)
36. Privacy by
design e
privacy by
default
Art. 25
Registri delle
attività di
trattamento
Art. 30
Responsabile
della protezione
dei dati (DPO)
Artt. 37, 38 e 39
Consultazione
preventiva
Art. 36
Notifica e
comunicazione
“data breach”
Artt. 33 e 34
Sicurezza dei
dati
Art. 32
Valutazione
d’impatto sulla
protezione dei
dati Art. 35
Le principali obbligazioni di compliance previste nel GDPR
37. Che cos’è il GDPR?
37
Il GDPR non e' solo (e nemmeno "soprattutto") un apparato
normativo.
è prima di tutto una METODOLOGIA
L'errore piu grande che si può fare é considerarlo solo come fonte
di adempimenti "burocratici".
E' molto, molto di più. Ma proprio molto di più
Prof. Franco Pizzetti