SlideShare a Scribd company logo

Privacy by design in sanità - GDPR e GNUHealth

Adriano Bertolino
Adriano Bertolino

Vantaggi nell'implementazione di processi Privacy by Design in ambito sanitario ai sensi del Regolamento Europeo 2016/679 - GNUHealth

Health & Medicine
1 of 24
Download to read offline
Privacy By Design in ambito sanitario nel REGOLAMENTO UE (2016/679) GnuHealth Linux Meeting 2017 Palermo – 5 maggio 2017 Teatro Gregotti Università degli Studi di Palermo
CHI SONO? Adriano Bertolino it.linkedin.com/in/adrianobertolino about.me/adrianobertolino Data Protection Officer (DPO)| Consulente della Privacy Consulente e formatore in materia di protezione dei dati personali Dal 2001 mio occupo di consulenza e formazione in materia di privacy per enti pubblici e privati, imprese, startup e professionisti. Nello mio lavoro di supporto pongo particolare attenzione alla protezione legale del cliente, utilizzando gli strumenti normativi quali criteri per l'organizzazione e la gestione conforme dei dati personali trattati, considerandoli quale risorsa primaria ed essenziale per lo sviluppo di qualunque attività. Certificato TÜV Italia n° CDP_272 conforme ISO/IEC 17024:2012 a.bertolino@neostudio.it
EVOLUZIONE NORMATIVA Direttiva Europea n. 95/46/CE Legge n. 675/96 Legge sulla Privacy D.Lgs. n. 196/2003 Codice della Privacy REGOLAMENTO (UE) n. 2016/679
REGOLAMENTO (UE) 2016/679 Disciplina unica in tutti gli Stati a protezione dei cittadini europei anche in Extra-UE
Temi disciplinati dal Regolamento UE 2016/679 Privacy by Default Trasferimenti Extra-UE Profilazione on line Trasparenza Data Breach Threats Portabilità dei Dati Social e Minori Privacy Impact Assessement (DPIA) Dirittto all’oblio Threats Privacy by Design Accountability One Stop Shop Data Protection Officer (DPO) Consenso Esplicito Misure di Sicurezza Idonee Sanzioni Amministrative elevate
Applicabilità del Diritto nazionale GDPR - Consid. (10) […Il presente regolamento prevede anche un margine di manovra degli Stati membri […] con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso,[…] il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.]
DATO PERSONALE • Nome; • Numero identificazione; (C.F./Matricola) • Dati relativi all'ubicazione; (GPS, tag RFID) • Identificativo online; (Login, IP, Cookies) • Elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Impronta, Iride, Comportamento, Etnia, Status sociale e Economico) «Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); […], direttamente o indirettamente»
TRATTAMENTO DEL DATO PERSONALE • raccolta, • registrazione, • organizzazione, • strutturazione, • conservazione, • adattamento o modifica, • estrazione, • consultazione, • uso, • comunicazione mediante trasmissione, • diffusione o qualsiasi altra forma di messa a disposizione, • raffronto o interconnessione, • limitazione, • cancellazione o distruzione; Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
Come devono essere Trattati? – art.5 del GDPR «Trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali» Il Titolare del trattamento è responsabile della compliance di ogni trattamento effettuato e deve essere in grado di comprovarlo («accountability»)
Privacy by Design Protezione dei dati personali già dalla fase di ideazione e progettazione di un trattamento, in modo da prevenire possibili rischi di violazione [art. 25 - GDPR]
I 7 principi fondanti della Privacy by Design 1. Sicurezza Proattiva e non reattiva / Preventiva e non correttiva; 2. Impostazioni di protezione dei dati di default; 3. Tutela dei dati personali inclusa nel progetto; 4. Massima funzionalità di protezione dei dati ( e non =); 5. Sicurezza durante tutto il ciclo del trattamento, dalla raccolta alla distruzione; 6. Trasparenza nelle informazioni all’interessato; 7. Centralità dell'utente nel trattamento (User Centric);
Privacy by Design art. 25.1 – General Data Protection Regulation ‘‘Tenuto conto dello stato dell’arte e dei costi di attuazione,[…]delle finalità del trattamento, come anche dei rischi di probabilità e gravità, al momento di determinare i mezzi del trattamento e all’atto del trattamento stesso, il Titolare mette in atto misure tecniche ed organizzative adeguate quali la pseudoanonimizzazione e la minimizzazione.’’
Pseudoanonimizzazione vs Anonimizzazione Pseudoanonimizzazione • Restano Dati Personali • Possono essere utilizzati per Analisi Generale da parte dello stesso Titolare • La decrittazione non autorizzata è un rischio da considerare nel DPIA Anonimizzazione • Non si applica il GDPR • Utilizzati per statistiche generali • Non è presente il rischio di re- identificazione
Privacy by Design art. 4 -5) Pseudoanonimizzazione: Una misura di protezione dei dati personali in modo che tali dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive. DATI IDENTIFICATIVI DATI PERSONALI Titolare
Privacy by Design Minimizzazione dei dati Limitazione nel trattamento dei dati: • Adeguati; • Pertinenti; • Limitati; Solo i dati necessari rispetto alle finalità perseguite
Valore del mercato della sanità digitale in Italia
Lo stato dell’eHealth in Italia
PER NON RISCHIARE… Identificazione delle finalità del trattamento; Valutazione d’impatto privacy (DPIA); Selezione solo di partner conformi alle norme privacy (Outsourcing); Adeguate misure di sicurezza dei dati, nei sistemi tecnologici e nei processi aziendali; Nomina del Data Protection Officer qualificato (DPO); Compliance ai provvedimenti delle Autorità Garanti
Linee guida sul dossier sanitario elettronico Provv. n. 331 del 4 giugno 2015 TUTELA DEI PAZIENTI • Possibilità di scegliere, in piena libertà, se far costituire o meno il dossier sanitario • Stessa possibilità di accedere alle cure mediche richieste anche in mancanza del DSE • E’ necessario un consenso specifico per inserire nel DSE informazioni particolarmente delicate (Hiv, Interruzione volontaria della gravidanza, Atti di violenza sessuale o pedofilia) • Il paziente dovrà essere informato in modo chiaro e semplice sulle modalità di costituzione del DSE, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. PRESCRIZIONIPERLESTRUTTURESANITARIE • L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. • Garantire la possibilità al paziente di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier. Anche la semplice consultazione, dovrà essere tracciata e registrata in appositi log, conservati per almeno 24 mesi. • Garantire la possibilità al paziente di "oscurare" alcuni dati o documenti sanitari. • Adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e crittografati. • Obbligo di comunicare al Garante eventuali violazioni di dati o incidenti informatici (DATA BREACH) entro 48 ore dalla conoscenza del fatto.
I Vantaggi del “Privacy by Design” • Individuazione in anticipo di potenziali difetti o anomalie, quando la correzione è spesso più semplice e meno costosa; • Riduzione dei rischi di Data Breach o di eventuali eventi dannosi sui dati personali; • Crescita di affidabilità e di fiducia negli stakeolders, con conseguente creazione di valore economico; • Maggiore consapevolezza del concetto di privacy e protezione dei dati sia nell’organizzazione che negli utenti;
Diritti e Responsabilità Art. 82 – GDPR - Diritto al risarcimento e responsabilità 1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. ma… 3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, […] SOLO se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
Quattro spicci… art. 83 - GDPR 4. Fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 5. Fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Questions & Answers What? Who? Where? When? Why? How?
a.bertolino@neostudio.it – mobile +39 3477167484 NEO STUDIO 2000 S.R.L. Largo Villaura, 27 – PALERMO Tel. 091 364924 - neostudio@neostudio.it 25

Recommended

Flussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big DataFlussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big Data
Adriano Bertolino
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
Adriano Bertolino
 
GDPR
GDPRGDPR
GDPR
Pasquale Tarallo
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Adriano Bertolino
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
Claudio De Luca
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
Marco Marcellini
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 

Recommended

Flussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big DataFlussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big Data
Adriano Bertolino
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
Adriano Bertolino
 
GDPR
GDPRGDPR
GDPR
Pasquale Tarallo
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Adriano Bertolino
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
Claudio De Luca
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
Marco Marcellini
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
Giacomo Giovanelli
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Maurizio Taglioretti
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
Porto4CulturaLegaled
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
M2 Informatica
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
Paolo Calvi
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
Interlogica
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
jamboo
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
EuroPrivacy
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Andrea Ballandino
 
Smau Torino 2016 - Paola Generali, Assintel
Smau Torino 2016 - Paola Generali, AssintelSmau Torino 2016 - Paola Generali, Assintel
Smau Torino 2016 - Paola Generali, Assintel
SMAU
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticità
Pietro Calorio
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
M2 Informatica
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
Andrea Maggipinto [+1k]
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Pietro Calorio
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
M2 Informatica
 
[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6
Andrea Praitano
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
Redazione InnovaPuglia
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
ThinkOpen
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
Stiip Srl
 

More Related Content

What's hot

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 

What's hot (19)

Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapere
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
Smau Torino 2016 - Paola Generali, Assintel
Smau Torino 2016 - Paola Generali, AssintelSmau Torino 2016 - Paola Generali, Assintel
Smau Torino 2016 - Paola Generali, Assintel
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticità
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6
 

Similar to Privacy by design in sanità - GDPR e GNUHealth

GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
Stiip Srl
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
Polaris informatica
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
CentoCinquanta srl
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
gmrinaldi
 

Similar to Privacy by design in sanità - GDPR e GNUHealth (20)

2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
 
2022.03 slide privacy by design
2022.03 slide privacy by design2022.03 slide privacy by design
2022.03 slide privacy by design
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
Dbb webinar il gdpr e il marketing online - un webinar per gli addetti ai la...
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
Gdpr privacy-v.3
Gdpr privacy-v.3Gdpr privacy-v.3
Gdpr privacy-v.3
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei DatiGDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
GDPR - Il Nuovo Regolamento Generale sulla Protezione dei Dati
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
I principi del GDPR e i modelli per l'adeguamento
I principi del GDPR e i modelli per l'adeguamentoI principi del GDPR e i modelli per l'adeguamento
I principi del GDPR e i modelli per l'adeguamento
 
GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!GDPR: Fare Marketing Digitale ancora meglio!
GDPR: Fare Marketing Digitale ancora meglio!
 

Privacy by design in sanità - GDPR e GNUHealth

  • 1. Privacy By Design in ambito sanitario nel REGOLAMENTO UE (2016/679) GnuHealth Linux Meeting 2017 Palermo – 5 maggio 2017 Teatro Gregotti Università degli Studi di Palermo
  • 2. CHI SONO? Adriano Bertolino it.linkedin.com/in/adrianobertolino about.me/adrianobertolino Data Protection Officer (DPO)| Consulente della Privacy Consulente e formatore in materia di protezione dei dati personali Dal 2001 mio occupo di consulenza e formazione in materia di privacy per enti pubblici e privati, imprese, startup e professionisti. Nello mio lavoro di supporto pongo particolare attenzione alla protezione legale del cliente, utilizzando gli strumenti normativi quali criteri per l'organizzazione e la gestione conforme dei dati personali trattati, considerandoli quale risorsa primaria ed essenziale per lo sviluppo di qualunque attività. Certificato TÜV Italia n° CDP_272 conforme ISO/IEC 17024:2012 a.bertolino@neostudio.it
  • 3. EVOLUZIONE NORMATIVA Direttiva Europea n. 95/46/CE Legge n. 675/96 Legge sulla Privacy D.Lgs. n. 196/2003 Codice della Privacy REGOLAMENTO (UE) n. 2016/679
  • 4. REGOLAMENTO (UE) 2016/679 Disciplina unica in tutti gli Stati a protezione dei cittadini europei anche in Extra-UE
  • 5. Temi disciplinati dal Regolamento UE 2016/679 Privacy by Default Trasferimenti Extra-UE Profilazione on line Trasparenza Data Breach Threats Portabilità dei Dati Social e Minori Privacy Impact Assessement (DPIA) Dirittto all’oblio Threats Privacy by Design Accountability One Stop Shop Data Protection Officer (DPO) Consenso Esplicito Misure di Sicurezza Idonee Sanzioni Amministrative elevate
  • 6. Applicabilità del Diritto nazionale GDPR - Consid. (10) […Il presente regolamento prevede anche un margine di manovra degli Stati membri […] con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso,[…] il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.]
  • 7. DATO PERSONALE • Nome; • Numero identificazione; (C.F./Matricola) • Dati relativi all'ubicazione; (GPS, tag RFID) • Identificativo online; (Login, IP, Cookies) • Elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Impronta, Iride, Comportamento, Etnia, Status sociale e Economico) «Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); […], direttamente o indirettamente»
  • 8. TRATTAMENTO DEL DATO PERSONALE • raccolta, • registrazione, • organizzazione, • strutturazione, • conservazione, • adattamento o modifica, • estrazione, • consultazione, • uso, • comunicazione mediante trasmissione, • diffusione o qualsiasi altra forma di messa a disposizione, • raffronto o interconnessione, • limitazione, • cancellazione o distruzione; Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
  • 9. Come devono essere Trattati? – art.5 del GDPR «Trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali» Il Titolare del trattamento è responsabile della compliance di ogni trattamento effettuato e deve essere in grado di comprovarlo («accountability»)
  • 10. Privacy by Design Protezione dei dati personali già dalla fase di ideazione e progettazione di un trattamento, in modo da prevenire possibili rischi di violazione [art. 25 - GDPR]
  • 11. I 7 principi fondanti della Privacy by Design 1. Sicurezza Proattiva e non reattiva / Preventiva e non correttiva; 2. Impostazioni di protezione dei dati di default; 3. Tutela dei dati personali inclusa nel progetto; 4. Massima funzionalità di protezione dei dati ( e non =); 5. Sicurezza durante tutto il ciclo del trattamento, dalla raccolta alla distruzione; 6. Trasparenza nelle informazioni all’interessato; 7. Centralità dell'utente nel trattamento (User Centric);
  • 12. Privacy by Design art. 25.1 – General Data Protection Regulation ‘‘Tenuto conto dello stato dell’arte e dei costi di attuazione,[…]delle finalità del trattamento, come anche dei rischi di probabilità e gravità, al momento di determinare i mezzi del trattamento e all’atto del trattamento stesso, il Titolare mette in atto misure tecniche ed organizzative adeguate quali la pseudoanonimizzazione e la minimizzazione.’’
  • 13. Pseudoanonimizzazione vs Anonimizzazione Pseudoanonimizzazione • Restano Dati Personali • Possono essere utilizzati per Analisi Generale da parte dello stesso Titolare • La decrittazione non autorizzata è un rischio da considerare nel DPIA Anonimizzazione • Non si applica il GDPR • Utilizzati per statistiche generali • Non è presente il rischio di re- identificazione
  • 14. Privacy by Design art. 4 -5) Pseudoanonimizzazione: Una misura di protezione dei dati personali in modo che tali dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive. DATI IDENTIFICATIVI DATI PERSONALI Titolare
  • 15. Privacy by Design Minimizzazione dei dati Limitazione nel trattamento dei dati: • Adeguati; • Pertinenti; • Limitati; Solo i dati necessari rispetto alle finalità perseguite
  • 18. PER NON RISCHIARE… Identificazione delle finalità del trattamento; Valutazione d’impatto privacy (DPIA); Selezione solo di partner conformi alle norme privacy (Outsourcing); Adeguate misure di sicurezza dei dati, nei sistemi tecnologici e nei processi aziendali; Nomina del Data Protection Officer qualificato (DPO); Compliance ai provvedimenti delle Autorità Garanti
  • 19. Linee guida sul dossier sanitario elettronico Provv. n. 331 del 4 giugno 2015 TUTELA DEI PAZIENTI • Possibilità di scegliere, in piena libertà, se far costituire o meno il dossier sanitario • Stessa possibilità di accedere alle cure mediche richieste anche in mancanza del DSE • E’ necessario un consenso specifico per inserire nel DSE informazioni particolarmente delicate (Hiv, Interruzione volontaria della gravidanza, Atti di violenza sessuale o pedofilia) • Il paziente dovrà essere informato in modo chiaro e semplice sulle modalità di costituzione del DSE, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. PRESCRIZIONIPERLESTRUTTURESANITARIE • L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. • Garantire la possibilità al paziente di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier. Anche la semplice consultazione, dovrà essere tracciata e registrata in appositi log, conservati per almeno 24 mesi. • Garantire la possibilità al paziente di "oscurare" alcuni dati o documenti sanitari. • Adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e crittografati. • Obbligo di comunicare al Garante eventuali violazioni di dati o incidenti informatici (DATA BREACH) entro 48 ore dalla conoscenza del fatto.
  • 20. I Vantaggi del “Privacy by Design” • Individuazione in anticipo di potenziali difetti o anomalie, quando la correzione è spesso più semplice e meno costosa; • Riduzione dei rischi di Data Breach o di eventuali eventi dannosi sui dati personali; • Crescita di affidabilità e di fiducia negli stakeolders, con conseguente creazione di valore economico; • Maggiore consapevolezza del concetto di privacy e protezione dei dati sia nell’organizzazione che negli utenti;
  • 21. Diritti e Responsabilità Art. 82 – GDPR - Diritto al risarcimento e responsabilità 1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. ma… 3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, […] SOLO se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
  • 22. Quattro spicci… art. 83 - GDPR 4. Fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 5. Fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
  • 23. Questions & Answers What? Who? Where? When? Why? How?
  • 24. a.bertolino@neostudio.it – mobile +39 3477167484 NEO STUDIO 2000 S.R.L. Largo Villaura, 27 – PALERMO Tel. 091 364924 - neostudio@neostudio.it 25