L’implementazione del regolamento GDPR nelle aziende sanitariePasquale Lopriore
Presentazione, al Forum Risk Management in sanità -Firenze 2017, dell'approccio che sta adottando InnovaPuglia S.p.A., società in house della Regione puglia, per adempiere alle disposizioni dettate dal Regolamento UE 2016/679
Le più importanti novità in tema di gestione e conservazione dei documenti sanitari digitalizzati, con particolare riferimento al Fascicolo Sanitario Elettronico e alla Cartella Clinica Elettronica. Relatore Avv. Luigi Foglia.
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
Docenti Avv. Andrea Lisi - Avv. Graziano Garrisi
ARGOMENTI
I parte
La natura giuridica della Cartella Clinica
I documenti che compongono la Cartella Clinica Elettronica
La conservazione della Cartella Clinica Elettronica e il d.lgs. 179/2012
FOCUS: il consenso privacy e il consenso informato al trattamento medico
II parte
Trattamento dei dati personali in ambito sanitario
Il consenso al trattamento dei dati personali e le modalità di acquisizione
Oscuramento dei dati
Autenticazione e autorizzazione per l’accesso alla CCE
Sicurezza della Cartella Clinica Elettronica: riservatezza, integrità e disponibilità dei dati
Modalità di consegna dei referti tramite web, posta elettronica certificata e altre modalità digitali
Problematiche privacy legate alla gestione
digitalizzata dei dati sanitari, analizzando lo stato dell'arte della normativa.
Relatore Avv. Graziano Garrisi.
L’implementazione del regolamento GDPR nelle aziende sanitariePasquale Lopriore
Presentazione, al Forum Risk Management in sanità -Firenze 2017, dell'approccio che sta adottando InnovaPuglia S.p.A., società in house della Regione puglia, per adempiere alle disposizioni dettate dal Regolamento UE 2016/679
Le più importanti novità in tema di gestione e conservazione dei documenti sanitari digitalizzati, con particolare riferimento al Fascicolo Sanitario Elettronico e alla Cartella Clinica Elettronica. Relatore Avv. Luigi Foglia.
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
Docenti Avv. Andrea Lisi - Avv. Graziano Garrisi
ARGOMENTI
I parte
La natura giuridica della Cartella Clinica
I documenti che compongono la Cartella Clinica Elettronica
La conservazione della Cartella Clinica Elettronica e il d.lgs. 179/2012
FOCUS: il consenso privacy e il consenso informato al trattamento medico
II parte
Trattamento dei dati personali in ambito sanitario
Il consenso al trattamento dei dati personali e le modalità di acquisizione
Oscuramento dei dati
Autenticazione e autorizzazione per l’accesso alla CCE
Sicurezza della Cartella Clinica Elettronica: riservatezza, integrità e disponibilità dei dati
Modalità di consegna dei referti tramite web, posta elettronica certificata e altre modalità digitali
Problematiche privacy legate alla gestione
digitalizzata dei dati sanitari, analizzando lo stato dell'arte della normativa.
Relatore Avv. Graziano Garrisi.
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
“Regole deontologiche relative ai trattamenti dei dati personali ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 (Informativa e consenso)”. Slide della relazione presentata dall'Avv. Silvia Di Napoli in occasione del convegno “La Privacy negli Studi Legali alla luce delle Regole Deontologiche approvate dal Garante per la Protezione dei Dati” tenutosi il 3 maggio 2019 alle ore 14.30 presso il Seminario Vescovile in Sala Longhin a Treviso. L'evento è stato organizzato dalla Camera Civile Degli Avvocati Di Treviso con il patrocinio dell’Ordine degli Avvocati di Treviso.
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
Docenti Avv. Andrea Lisi - Avv. Graziano Garrisi
ARGOMENTI
I parte
La natura giuridica della Cartella Clinica
I documenti che compongono la Cartella Clinica Elettronica
La conservazione della Cartella Clinica Elettronica e il d.lgs. 179/2012
FOCUS: il consenso privacy e il consenso informato al trattamento medico
II parte
Trattamento dei dati personali in ambito sanitario
Il consenso al trattamento dei dati personali e le modalità di acquisizione
Oscuramento dei dati
Autenticazione e autorizzazione per l’accesso alla CCE
Sicurezza della Cartella Clinica Elettronica: riservatezza, integrità e disponibilità dei dati
Modalità di consegna dei referti tramite web, posta elettronica certificata e altre modalità digitali
L’ AICQ (Associazione Italiana Cultura Qualità) sezione Triveneta e il Comitato AICQ
per la “Qualità del Software e dei Servizi IT” il 17 novembre 2011 hanno organizzato a Padova, nell’ambito della "Settimana della Qualità”, un convegno dal titolo: Videosorveglianza problematiche di Privacy, gestione della videoregistrazione, centrali di
televideosorveglianza …
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
DICHIARAZIONE SOSTITUTIVA RELATIVA AL CANONE DI ABBONAMENTO ALLA TELEVISIONE ...Dario d'Elia
Dichiarazione sostitutiva di non detenzione di un apparecchio TV, da parte di alcun componente
della famiglia anagrafica, in alcuna delle abitazioni in cui il dichiarante è titolare di utenza
elettrica
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
Meet Forum 2019 | Mediterranean European Economic Tourism Forum
Smart tourism e Cybersecurity: un futuro di ICT e knowledge management per la competitività e la sicurezza impresa turistica
Forte Village, in Sardegna | Sabato 5 ottobre
Banco di Sardegna Hall | 16.45 : 17.25
https://www.meetforum.it/programma-2019/
Privacy e compliance GDPR settore turistico alberghiero
Massimo Simbula
Founder Studio Legale Simbola
https://www.meetforum.it/speaker/massimo-simbula/
Meet Forum 2019 | Mediterranean European Economic Tourism Forum, a Forte Village, uno dei resort più premiati al mondo: sabato 5 e domenica 6 ottobre un formidabile appuntamento con conference, Laboratori d'Innovazione Turistica e Tavoli al Lavoro, il tema è lo sviluppo economico delle Destinazioni Turistiche del Mediterraneo.
https://www.meetforum.it
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
“Regole deontologiche relative ai trattamenti dei dati personali ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 (Informativa e consenso)”. Slide della relazione presentata dall'Avv. Silvia Di Napoli in occasione del convegno “La Privacy negli Studi Legali alla luce delle Regole Deontologiche approvate dal Garante per la Protezione dei Dati” tenutosi il 3 maggio 2019 alle ore 14.30 presso il Seminario Vescovile in Sala Longhin a Treviso. L'evento è stato organizzato dalla Camera Civile Degli Avvocati Di Treviso con il patrocinio dell’Ordine degli Avvocati di Treviso.
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
Docenti Avv. Andrea Lisi - Avv. Graziano Garrisi
ARGOMENTI
I parte
La natura giuridica della Cartella Clinica
I documenti che compongono la Cartella Clinica Elettronica
La conservazione della Cartella Clinica Elettronica e il d.lgs. 179/2012
FOCUS: il consenso privacy e il consenso informato al trattamento medico
II parte
Trattamento dei dati personali in ambito sanitario
Il consenso al trattamento dei dati personali e le modalità di acquisizione
Oscuramento dei dati
Autenticazione e autorizzazione per l’accesso alla CCE
Sicurezza della Cartella Clinica Elettronica: riservatezza, integrità e disponibilità dei dati
Modalità di consegna dei referti tramite web, posta elettronica certificata e altre modalità digitali
L’ AICQ (Associazione Italiana Cultura Qualità) sezione Triveneta e il Comitato AICQ
per la “Qualità del Software e dei Servizi IT” il 17 novembre 2011 hanno organizzato a Padova, nell’ambito della "Settimana della Qualità”, un convegno dal titolo: Videosorveglianza problematiche di Privacy, gestione della videoregistrazione, centrali di
televideosorveglianza …
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
DICHIARAZIONE SOSTITUTIVA RELATIVA AL CANONE DI ABBONAMENTO ALLA TELEVISIONE ...Dario d'Elia
Dichiarazione sostitutiva di non detenzione di un apparecchio TV, da parte di alcun componente
della famiglia anagrafica, in alcuna delle abitazioni in cui il dichiarante è titolare di utenza
elettrica
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
Meet Forum 2019 | Mediterranean European Economic Tourism Forum
Smart tourism e Cybersecurity: un futuro di ICT e knowledge management per la competitività e la sicurezza impresa turistica
Forte Village, in Sardegna | Sabato 5 ottobre
Banco di Sardegna Hall | 16.45 : 17.25
https://www.meetforum.it/programma-2019/
Privacy e compliance GDPR settore turistico alberghiero
Massimo Simbula
Founder Studio Legale Simbola
https://www.meetforum.it/speaker/massimo-simbula/
Meet Forum 2019 | Mediterranean European Economic Tourism Forum, a Forte Village, uno dei resort più premiati al mondo: sabato 5 e domenica 6 ottobre un formidabile appuntamento con conference, Laboratori d'Innovazione Turistica e Tavoli al Lavoro, il tema è lo sviluppo economico delle Destinazioni Turistiche del Mediterraneo.
https://www.meetforum.it
Ricostruzione ed analisi del decreto legislativo del 10 agosto 2018 n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679
Slide commentate nel Convengo sul Regolamento 679/2016. Si affronta, partendo da casi concreti, la nuova disciplina del data breach e si analizzano le indicazioni del GDPR in materia di risarcimento del danno in conseguenza di violazioni di dati.
A pochi mesi dalla piena applicazione del nuovo Regolamento europeo in materia di protezione dati personali (GDPR), è quanto mai opportuno fare il punto sullo scenario attuale della normativa e sulle principali questioni pratiche, anche alla luce della nuova formulazione del Codice privacy del 2003 aggiornato, da ultimo, con le modifiche del c.d. "decreto di adeguamento" (D.Lgs. 101/2018).
Nel corso del seminario si tratteranno i profili giuridici e tecnologici del sistema privacy aziendale e delle strategie più efficaci per mantenere nel tempo la compliance del sottostante modello organizzativo.
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Simone Chiarelli
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy ed elementi di informatica giuridica
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
Presentazione delle principali novità introdotte in Italia dal nuovo Regolamento per la Protezione dei Dati (RGPD - UE 679/2016) detto anche nuovo regolamento Privacy o GDPR.
La presentazione, che utilizzo per i miei corsi di formazione, offre una sintesi dei nuovi diritti dell'interessato, descrive le caratteristiche delle figure coinvolte (titolare, responsabile, responsabile protezione dati DPO), indica i casi in cui è obbligatorio tenere il registro trattamenti e quando è obbligatoria la nomina del DPO. Viene illustrato il principio della privacy by design e si pone particolare attenzione agli aspetti di sicurezza dei dati
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy, i trattamenti della polizia locale e focus sulla videosorveglianza
Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019ITER srl
Dopo il primo anno di servizio del GDPR, come procedono le attività di marketing? Abbiamo fatto il punto della situazione a partire dai più tipici dilemmi del marketing digitale e non solo. Guarda le slide
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
L’avvio di una start up rischia di trascurare questioni di compliance legale che rivestono un’importanza primaria, che acquisiranno sempre maggior rilievo in relazione al progresso scientifico e tecnologico cui ogni settore sta andando incontro.
Il seminario si propone, pertanto, di evidenziare i profili giuridici più rilevanti per poter adeguatamente definire le scelte strategiche che contribuiscono alla massimizzazione del profitto, come ad esempio quelle connesse alla costituzione della start up, alla tutela della proprietà intellettuale e alle dinamiche contrattuali. Nel novero delle questioni, la tutela della privacy (tanto degli utenti quanto dei dipendenti) riveste un ruolo fondamentale e di indiscutibile centralità.
Saranno pertanto illustrate le principali questioni giuridiche e individuati alcuni accorgimenti che le startup dovrebbero adottare per evitare di incorrere nelle responsabilità previste in materia dal GDPR e dal d.lgs. 101/2018.
Similar to SMAU PADOVA 2019 Franco Cardin (ANORC) (20)
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazione professionale: gamification e apprendimento continuo
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots: nemici o alleati dei business game? 5 requisiti di un “buon” business game di marketing strategico, potenzialmente integrabile proprio con strumenti di IA, come antidoto alla crescente disabitudine al problem solving e al pensiero critico, al lavoro di gruppo e all'orientamento strategico
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU PADOVA 2019 Franco Cardin (ANORC)
1. Il trattamento dei dati personali
in ambito sanitario dopo l’entrata
in vigore del D. Lgs. 101/2018
2. 2
Franco Cardin
EXPERT
Tessera n°9
PROFESSIONISTA
DELLA PRIVACY
L’iscrizione ad ANORC Professioni è da intendersi quale attestazione di qualità e di qualificazione
professionale dei servizi prestati dall’associato conforme ai requisiti previsti dagli articoli 4, 7, 8 della Legge
4/2013 (Disposizioni in materia di professioni non organizzate in ordini o collegi).
Il presente tesserino professionale è rilasciato il 16/01/2019 e firmato digitalmente dalla Direzione
2019
3. Il quadro giuridico di riferimento non è rappresentato
solo dal GDPR
3
Considerando 8 del GDPR
Ove il presente regolamento preveda specificazioni o limitazioni delle sue
norme ad opera del diritto degli Stati membri, gli stessi possono, nella
misura necessaria per la coerenza e per rendere le disposizioni nazionali
comprensibili alle persone cui si applicano, integrare elementi del
presente regolamento nel proprio diritto nazionale.
4. Il quadro giuridico di riferimento non è rappresentato
solo dal GDPR
4
Considerando 10 del GDPR
………Il presente regolamento prevede anche un margine di
manovra degli Stati membri per precisarne le norme, anche con
riguardo al trattamento di categorie particolari di dati personali
(«dati sensibili»). In tal senso, il presente regolamento non
esclude che il diritto degli Stati membri stabilisca le condizioni per
specifiche situazioni di trattamento, anche determinando con
maggiore precisione le condizioni alle quali il trattamento di dati
personali è lecito.
5. Il quadro giuridico di riferimento non è rappresentato
solo dal GDPR
5
Art. 9, paragrafo 4, del GDPR
Gli Stati membri possono mantenere o introdurre ulteriori condizioni,
comprese limitazioni, con riguardo al trattamento di dati genetici,
dati biometrici o dati relativi alla salute.
6. Adeguamento del quadro normativo nazionale al GDPR
6
Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni
per l’adeguamento della normativa nazionale alle disposizioni del
regolamento (UE) 2016/679 (in G.U. 4 settembre 2018, n. 205)
in vigore dal 19 settembre 2018
7. Il quadro giuridico di riferimento in materia di protezione
dei dati personali dopo il 19/09/2018
7
Ø Regolamento (UE) 2016/679 (GDPR) aggiornato alle rettifiche
pubblicate sulla GU UE n. 127 del 23/5/2018
Ø D.Lgs. 196/2003 (Codice privacy) come modificato, dal D.Lgs.
101/2018 (attenzione alle disposizioni transitorie)
9. Art. 2 sexies del D.Lgs. 196/03 (Trattamento di categorie particolari di dati
personali necessario per motivi di interesse pubblico rilevante)
9
Si considerano di rilevante interesse pubblico, i trattamenti effettuati da soggetti (sia pubblici che privati) che svolgono
compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
…………
• attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi
incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
• compiti del SSN e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di
lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
• programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la
gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati
con il SSN;
• vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione
di medicinali e di altri prodotti di rilevanza sanitari;
• tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione
sociale e diritti dei disabili;
• trattamenti effettuati per fini di ricerca scientifica.
11. Trattamento di categorie particolari di dati personali (art. 9.3 del GDPR)
11
3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui
al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità
di un professionista soggetto al segreto professionale conformemente al diritto
dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali
competenti o da altra persona anch'essa soggetta all'obbligo di segretezza
conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite
dagli organismi nazionali competenti.
12. Art. 2 septies del D.Lgs. 196/03 (Misure di garanzia per il
trattamento dei dati genetici, biometrici e relativi alla salute)
12
I dati genetici, biometrici e relativi alla salute, possono essere trattati in presenza
di una delle condizioni di cui all’art. 9, paragrafo 2, del GDPR ed in conformità
alle misure di garanzia disposte dal Garante, per ciascuna categoria di tali dati
personali, con provvedimento almeno biennale, da sottoporre a consultazione
pubblica per due mesi, che tenga conto:
a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate
dal Comitato europeo per la protezione dei dati;
b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure
(stato dell’arte);
c) dell’interesse alla libera circolazione dei dati personali nell’UE;
13. Art. 2 septies del D.Lgs. 196/03 (Misure di garanzia per il
trattamento dei dati genetici, biometrici e relativi alla salute)
13
Le misure di garanzia:
Ø devono riguardare anche le cautele da adottare relativamente ai profili organizzativi e
gestionali in ambito sanitario (cfr. l’abrogato art. 83 del D.Lgs. 196/03), le modalità per la
comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute
(cfr. l’abrogato art. 84 del D.Lgs. 196/03) e le prescrizioni di medicinali (cfr. gli abrogati
artt. 87, 88 e 89 del D.Lgs. 196/03);
Ø individuano le misure di sicurezza (comprese le tecniche di cifratura e di
pseudonimizzazione), le misure di minimizzazione, le modalità per l’accesso selettivo ai
dati e per rendere le informazioni agli interessati, nonché eventuali altre misure
necessarie a garantire i diritti degli interessati;
Ø possono individuare, per il trattamento dei dati genetici che comporta un elevato livello
di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato o
altre cautele specifiche;
Ø divieto assoluto di diffusione dei dati genetici, biometrici e relativi alla salute.
14. Art. 22, comma 11, del D.Lgs. 101/2018
(Altre disposizioni transitorie e finali)
14
Le disposizioni del codice in materia di protezione dei dati personali, di
cui al decreto legislativo n. 196 del 2003, relative al trattamento di dati
genetici, biometrici o relativi alla salute continuano a trovare
applicazione, in quanto compatibili con il Regolamento (UE) 2016/679,
sino all’adozione delle corrispondenti misure di garanzia di cui all’articolo
2 - septies del citato codice, introdotto dall’articolo 2, comma 1, lett. e)
del presente decreto.
15. Titolo V del D.Lgs. 196/03
“Trattamento di dati personali in ambito sanitario”
come modificato dal D.Lgs. 101/2018
15
16. Articoli del titolo V del D.Lgs. 196/2003
abrogati dal D.Lgs. 101/2018
16
Ø Art. 76 - Esercenti professioni sanitarie e organismi sanitari pubblici;
Ø Art. 81 - Prestazione del consenso;
Ø Art. 83 - Altre misure per il rispetto dei diritti degli interessati;
Ø Art. 84 - Comunicazione di dati all’interessato;
Ø Artt. 85 e 86 - Finalità di rilevante interesse pubblico rientranti nei compiti
del SSN (cfr. art. 2-sexies del D. Lgs. 196/03)
Ø Artt. 87, 88 e 89 - Prescrizioni mediche
Ø Art. 90 - Trattamento dei dati genetici e donatori di midollo osseo;
Ø Art. 91 - Dati trattati mediante carte;
Ø Art. 94 - Banche di dati, registri e schedari in ambito sanitario;
17. 17
Art. 75 (Specifiche condizioni in ambito sanitario)
Il trattamento dei dati personali effettuato per finalità di tutela della salute e
incolumità fisica dell'interessato o di terzi o della collettività deve essere
effettuato ai sensi:
Ø dell'articolo 9, paragrafi 2, lettere h) ed i), e 3 del Regolamento,
Ø dell'articolo 2-septies del presente codice (garanzie adeguate),
Ø nonché nel rispetto delle specifiche disposizioni di settore (es. FSE,
refertazione on line, Dossier sanitario).
18. 18
Art. 77 (Modalità particolari)
I soggetti che possono avvalersi delle modalità particolari per informare
l’interessato ai sensi degli articoli 13 e 14 del GDPR e per il trattamento dei dati
personali in ambito sanitario sono:
Ø Le strutture pubbliche e private, che erogano prestazioni sanitarie e socio-
sanitarie (cfr. art. 79)
Ø gli esercenti le professioni sanitarie (cfr. art. 78 per MMG e PLS)
Ø I servizi o strutture di soggetti pubblici operanti in ambito sanitario o della
protezione e sicurezza sociale (cfr. art. 80).
19. 19
Art. 82 (Emergenza e tutela della salute e dell’incolumità fisica)
L’informativa pùò essere resa senza ritardo, successivamente alla prestazione, nel caso di:
Ø emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato
un’ordinanza contingibile ed urgente;
Ø impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato, quando
non è possibile rendere le informazioni, nei casi previsti, a chi esercita legalmente la
rappresentanza, ovvero a un prossimo congiunto, a un familiare, a un convivente o unito civilmente
ovvero a un fiduciario ai sensi dell'articolo 4 della legge 22 dicembre 2017, n. 219 o, in loro
assenza, al responsabile della struttura presso cui dimora l'interessato;
Ø rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato;
20. 20
Art. 89-bis. (Prescrizioni di medicinali)
Per le prescrizioni di medicinali, laddove non è necessario inserire il
nominativo dell'interessato, si adottano cautele particolari in relazione a
quanto disposto dal Garante nelle misure di garanzia di cui all'articolo
2-septies, anche ai fini del controllo della correttezza della prescrizione
ovvero per finalità amministrative o per fini di ricerca scientifica nel
settore della sanità pubblica.
21. 21
Art. 92, comma 1 - (Cartelle cliniche)
Le strutture, pubbliche e private, che erogano prestazioni sanitarie e socio-
sanitarie, nel redigere e conservare una cartella clinica in conformità alla
disciplina applicabile, devono adottare opportuni accorgimenti per:
Ø assicurare la comprensibilità dei dati;
Ø tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri
interessati, ivi comprese informazioni relative a nascituri;
Si applica la sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 4, del GDPR
22. 22
Art. 92, comma 2 - (Cartelle cliniche)
Eventuali richieste di presa visione o di rilascio di copia della cartella e dell’acclusa SDO, da parte di
soggetti diversi dall’interessato, possono essere accolte in tutto o in parte , solo se la richiesta è
giustificata dalla documentata necessità di:
Ø esercitare o difendere un diritto in sede giudiziaria ai sensi dell’art. 9, paragrafo 2, lett. f) del GDPR,
di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro
diritto o libertà fondamentale;
Ø tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione
giuridicamente rilevante di rango pari a quella dell’interessato, ovvero consistente in un diritto della
personalità o in un altro diritto o libertà fondamentale;
Si applica la sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del GDPR
23. 23
Art. 93 (Certificato di assistenza al parto)
Comma 1 – ai fini della dichiarazione di nascita il certificato di assistenza al parto è sempre sostituito
da una semplice attestazione contenente i soli dati richiesti nei registri di nascita (sanzione
amministrativa pecuniaria prevista dall’art. 83, paragrafo 4, del GDPR);
Comma 2 – se il certificato di assistenza al parto o la cartella clinica, comprendono informazioni che
rendono identificabile la madre che si è avvalsa della facoltà di rimanere anonima, ai sensi dell’art. 30,
comma 1, del DPR 396/2000, possono essere rilasciati in copia integrale a chi vi abbia interesse, in
conformità alla legge, decorsi 100 anni dalla formazione del documento;
Comma 3 – prima dei 100 anni la richiesta di accesso può essere accolta previa cancellazione dei
dati identificativi della madre
Per la violazione dei commi 2 e 3 si applica la sanzione amministrativa pecuniaria prevista
dall’art. 83, paragrafo 5, del GDPR
24. Art. 110 del D.Lgs. 196/03 (Ricerca medica, biomedica ed
epidemiologica) come modificato dall’art. 8 del D.Lgs. 101/2018
24
Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di
ricerca scientifica in campo medico, biomedico o epidemiologico, non è
necessario quando la ricerca è effettuata in base a disposizioni di legge o di
regolamento o al diritto dell’Unione europea in conformità all’articolo 9,
paragrafo 2, lettera j) , del GDPR, o rientra in un programma di ricerca
biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del D.Lgs. 502/1992,
ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli
articoli 35 e 36 del GDPR;
25. Art. 110 del D.Lgs. 196/03 (Ricerca medica, biomedica ed
epidemiologica) come modificato dall’art. 8 del D.Lgs. 101/2018
25
Il consenso non è inoltre necessario quando, a causa di particolari ragioni,
informare gli interessati risulta impossibile o implica uno sforzo sproporzionato,
oppure rischia di rendere impossibile o di pregiudicare gravemente il
conseguimento delle finalità della ricerca. In tali casi:
Ø il titolare del trattamento adotta misure appropriate per tutelare i diritti, le
libertà e i legittimi interessi dell’interessato;
Ø il programma di ricerca è oggetto di motivato parere favorevole del
competente comitato etico a livello territoriale e deve essere sottoposto a
preventiva consultazione del Garante ai sensi dell’articolo 36 del GDPR.
26. Provvedimento del Garante n. 55 del 7 marzo 2019 “Chiarimenti
sull’applicazione della disciplina per il trattamento dei dati relativi
alla salute in ambito sanitario
26
Ø I trattamenti che sono essenziali per una o più finalità connesse alla
cura della salute NON richiedono il consenso da parte dell’interessato;
Ø E’ possibile trattare dati sanitari SOLO con il consenso dell’ineteressato
per:
• consultazione del FSE;
• consegna referto on line;
• utilizzo di app mediche;
• fidelizzazione della clientela;
• finalità promozionali o commerciali.
27. Provvedimento del Garante n. 55 del 7 marzo 2019 “Chiarimenti
sull’applicazione della disciplina per il trattamento dei dati relativi
alla salute in ambito sanitario
27
L’informativa deve essere concisa, trasparente, intelligibile e facilmente
accessibile, scritta con linguaggio semplice e chiaro
Il paradosso informativo:
troppe informazioni disinformano
inoltre
Informazioni disorganizzate disinformano
28. Provvedimento del Garante n. 55 del 7 marzo 2019 “Chiarimenti
sull’applicazione della disciplina per il trattamento dei dati relativi
alla salute in ambito sanitario
28
Qualora i tempi di conservazione dei dati personali (e dei documenti che li
contengono) non siano fissati da specifiche norme, spetta al titolare definirli
in base alla finalità del trattamento. In ogni caso devono essere indicati
nell’informativa
Sapete esattamente cosa state conservando nei vostri archivi cartacei e informatici?
30. Comunicazione della Commissione al Parlamento europeo
e al Consiglio - Bruxelles, 24.1.2018 COM(2018)
30
«Il regolamento non ha modificato in modo sostanziale i concetti e i
principi fondamentali della legislazione in materia di protezione dei
dati introdotta nel 1995. La grande maggioranza dei titolari del
trattamento e dei responsabili del trattamento che rispettano già le
attuali disposizioni dell'UE non dovrà quindi introdurre importanti
modifiche nelle proprie operazioni di trattamento dei dati per
conformarsi al regolamento»
31. Comunicato stampa del 5 marzo del Garante della protezione dei dati
personali sui risultati dell’indagine effettuata in tutte le Regioni e
Province autonome, nonché le rispettive società controllate
31
“I risultati dell’indagine confermano che c’è ancora molto
da fare affinchè i principi a tutela della privacy vengano
declinati correttamente nelle pratiche quotidiane, nei
processi organizzativi e lungo tutta la catena decisionale
del settore pubblico e in quello privato”.
32. Il principio di accountability
32
Ø Il Regolamento UE 2016/679 rovescia la prospettiva della disciplina in
materia di protezione dei dati personali in quanto tutto il nuovo quadro
normativo è prevalentemente incentrato sui doveri e sulla
responsabilizzazione del titolare del trattamento (accountability);
Ø Il titolare, quale soggetto che determina le finalità e i mezzi del
trattamento, nonché le misure di sicurezza, ha maggiore
discrezionalità nel decidere come conformarsi alle disposizioni del
nuovo regolamento, ma ha l’onere di dimostrare le ragioni a supporto
di tali decisioni e le motivazioni per cui ritiene che le medesime siano
compliance con il regolamento.
33. Il principio di accountability
33
Un elemento fondamentale dell’accountability è la revisione dei processi
Ø Art. 24.1: il titolare deve riesaminare e aggiornare le misure tecniche
ed organizzative adottate
Ø Art. 32.1.b): titolare e responsabile devono assicurare su base
permanente riservatezza, integrità, disponibilità e resilienza dei
sistemi e dei servizi di trattamento
Ø Art. 35.11: il titolare deve riesaminare il DPIA almeno quando
insorgono variazioni del rischio
34. Il principio di accountability
34
Il rischio per i diritti e le libertà dell’interessato è la vera chiave di volta
(cfr. considerandi 75 e 85)
Ø perdita del controllo dei dati personali;
Ø limitazione di diritti;
Ø discriminazione;
Ø furto o usurpazione d'identità;
Ø perdite finanziarie;
Ø decifratura non autorizzata pseudonimizzazione;
Ø pregiudizio alla reputazione;
Ø compromissione del segreto professionale;
Ø qualsiasi altro danno economico o sociale significativo alla persona fisica;
35. Il principio di accountability
35
Chi vi è tenuto?
tutti, non solo il titolare del trattamento. Anche i
responsabili, il DPO e il personale incaricato: cfr. artt. 28.1
(“garanzie sufficienti”); 37.5 (“conoscenza specialistica della
materia e delle prassi”); 39.1.b) (“formazione e
sensibilizzazione del personale”)
36. Privacy by
design e
privacy by
default
Art. 25
Registri delle
attività di
trattamento
Art. 30
Responsabile
della protezione
dei dati (DPO)
Artt. 37, 38 e 39
Consultazione
preventiva
Art. 36
Notifica e
comunicazione
“data breach”
Artt. 33 e 34
Sicurezza dei
dati
Art. 32
Valutazione
d’impatto sulla
protezione dei
dati Art. 35
Le principali obbligazioni di compliance previste nel GDPR
37. Che cos’è il GDPR?
37
Il GDPR non e' solo (e nemmeno "soprattutto") un apparato
normativo.
è prima di tutto una METODOLOGIA
L'errore piu grande che si può fare é considerarlo solo come fonte
di adempimenti "burocratici".
E' molto, molto di più. Ma proprio molto di più
Prof. Franco Pizzetti