Embed Size (px)
Citation preview
PRIVACY:IL DIRITTO ALLA DIRITTO ALLA RISERVATEZZA
IN AMBITO SANITARIO
Floriana Quaranta
NUTRIZIONE E MEDICINA INTERNA: FALSI MITI E REALTÀ NEL TERZO MILLENNIO UOC MEDICINA CARDIOVASCOLARE E DISMETABOLICA, IPAS OBESITÀ
La sottoscritta Quaranta Floriana
ai sensi dell’art. 3.3 sul Conflitto di Interessi, pag. 17 del Reg. Applicativo dell’Accordo Stato-Regione del 5 novembre 2009,
dichiara
che negli ultimi due anni NON ha avuto rapporti diretti di finanziamento con che negli ultimi due anni NON ha avuto rapporti diretti di finanziamento con soggetti portatori di interessi commerciali in campo sanitario
Relatori: Floriana Quaranta e Gabriele Paglialonga
La privacy è il diritto di ogni persona di fare in modo che i propri dati personali vengano dati e gestiti solo a chi ne ha ottenuto l’autorizzazione e che altri possano accedere a quei dati solo in caso di necessità .caso di necessità .
attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute" (art. 4 GDPR). di salute" (art. 4 GDPR).
dati soggetti a trattamento speciale (art. 9 GDPR), in quanto in grado di rivelare dettagli molto intimi della persona
Decreto legislativo 196/2003 con le sue componenti:
•Gli “allegati” al codice stesso.•Le autorizzazioni generali del garante•I provvedimenti del garante
Regolamento UE 2016/679 che abroga la Regolamento UE 2016/679 che abroga la precedente direttiva CE 95/46
Attualmente dal 24 maggio 2018 esiste un’unica legislazione che coinvolge 28 nazioni appartenenti all’ UE.
Secondo la carta dei diritti fondamentali dell’Ue è importante garantire a ogni persona il diritto alla protezione dei propri dati personali.Viene formato un acronimo molto importante:
RGPD: REGOLAMENTO GENERALE DATI PERSONALIRGPD: REGOLAMENTO GENERALE DATI PERSONALI
GDPR: GENERAL DATA PROTECTION REGULATION
La direttiva 95/46/Ce creava un forte onere amministrativo e finanziario e non era utile alla protezione dei dati personali.
Il GDPR si incentra più sulla tutela dei d.p. e all’eliminazione dei rischi.
Il RGPD protegge qualsiasi persona fisica ovunque nel mondo. Invece, esso non si applica al trattamento dati personali relativi a:
•persone giuridiche ( imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i dati di contatto compresi il nome e la forma della persona giuridica e i dati di contatto di essa).•Esercizio di attività e politiche di controllo alle frontiere,asilo e immigrazione•Persone che hanno commesso reati e che minano la sicurezza pubblica.•La corrispondenza e gli indirizzari.•L’uso di social network e attività on-line ( a patto che non vengano divulgati dati di terzi soggetti senza autorizzazione)
Utilizzo esclusivo:
• finalità di cura• finalità di governo ( supervisione del SSN)• finalità di ricerca nel pubblico interesse
Una volta che il cittadino ha deciso di sottoporsi ad una cura non occorre il consenso al trattamento dei suoi dati a fini di cura e diagnosi.
I dati però possono essere usati se "sono trattati da o sotto la responsabilità di un professionista soggetto al seg reto professionale conformemente al diritto dell'Unione o degli Stati membri”.
-esercenti una professione sanitaria;- organismi Sanitari pubblici.
Gli esercenti una professione sanitaria, in base alle leggi vigenti (l. 24/2017), sono:- farmacista ex d.lgs. 258/1991;- medico chirurgo ex d.lgs. 368/1999;- medico chirurgo ex d.lgs. 368/1999;- odontoiatra ex l.409/1985;- veterinario ex l. 750/1984;- psicologo ex l. 56/1989;- infermiere ex l. 905/1980;- ostetrico ex l. 296/1985;- infermiere pediatrico ex d.l. 70/1997;- esercente professioni sanitarie riabilitative.Sono esclusi l'operatore di interesse sanitario (l. 403/1971 e l. 43/2006) e arti ausiliari delle professioni sanitarie.
• affidamento dei trattamenti sanitari all’estero;• trattamenti preordinati alla fidelizzazione della cliente la, effettuati dalle farmacie;• trattamenti connessi all’utilizzo di App mediche , attraverso le quali • trattamenti connessi all’utilizzo di App mediche , attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, (software house, cooperative di oss ecc);• trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali;• trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;• trattamenti effettuati attraverso il Fascicolo sanitario elettronico ( Alla luce del nuovo quadro giuridico, sarà il Garante ad individuare i trattamenti che, possono essere effettuati senza il consenso dell’interessato.
Il consenso deve essere ottenuto prima del trattamento dei dati, ma vi sono casi in cui è possibile ottenerlo successivamente:
•se vi è impossibilità fisica, incapacità di agire o di intendere e volere dell’interessato e non vi sia una persona abilitata al consenso;
•se sussiste un grave rischio per la salute o l’incolumità dell’interessato;•se sussiste un grave rischio per la salute o l’incolumità dell’interessato;
•se vi sono esigenze di urgenza medica.
•Automatizzato ( strumenti elettronici)
•Parzialmente automatizzato( misto)
•Non automatizzato (manuale, cartaceo). Ad esempio •Non automatizzato (manuale, cartaceo). Ad esempio contenuti destinati ad un archivio.
Persona fisica non deceduta, identificabile
•Nominale e biometrico(es: nome, cognome e data di nascita, impronte digitali)•Genetico (es: affetto da sindrome di down)•Iconografico (es: referto tac che evidenzia un tumore cerebrale)•Salute fisica e mentale•Vita sessuale e orientamento sessuale.
Art. 13
Primariamente fornire all’interessato l’informativa sull’utilizzo dei dati:
•alla prestazione di un consenso libero e consapevole;
•alla conoscenza e all’esercizio dei diritti riconosciuti all’interessato, in primis del diritto di accesso;
•alla conoscenza di rischi, norme e garanzie relativi al tr.;
•in generale, al controllo sui propri dati personali.
successivamente:
•raccolta : deve essere azionata con la massima cura verificandone l’esattezza, la completezza e la pertinenza rispetto alla finalità del trattamentotrattamento
•registrazione dei dati (su dischetti, cartelle ecc.);
•conservazione dei documenti in cui sono contenuti i dati in archivi con accesso controllato. Il responsabile del trattamento può adottare i provvedimenti necessari affinché venga escluso un accesso ad archivi ed a dati da parte di soggetti che non siano incaricati del trattamento;
• utilizzo : i dati sensibili devono essere utilizzati solo da chi è espressamente incaricato al trattamento;
• comunicazione : si intende “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.consultazione”.
• diffusione : far conoscere i dati personali a soggetti indeterminati, in qualunque forma.
•il rispetto della vita privata e familiare;
•del domicilio e delle comunicazioni;
•la protezione dei dati personali;
•la libertà di pensiero, di coscienza e di religione;•la libertà di pensiero, di coscienza e di religione;
•la libertà di espressione e d’informazione;
•la libertà d’impresa;
•il diritto a un ricorso effettivo e a un giudice imparziale;
•la diversità culturale, religiosa e linguistica.
Per poter garantire la corretta tutela dei d.p degli utenti sanitari è necessario:
IN ATTESA
-la distanza di cortesia ;
-che le notizie al pronto soccorso o nei reparti (sulla presenza o meno di una persona) vengano date solamente a persone legittimate (es. famigliari e conoscenti) previo accordo con l’interessato;
-il rispetto durante le chiamate in sala d’attesa : di norma non si dovrebbero chiamare le persone per nome, ma attraverso un numero ad esempio.
• non divulgare liste di pazienti negli ambienti aperti o rendere visibili documenti o cartelle infermieristiche al letto di degenza;
UTILIZZO DEGLI STRUMENTI ELETTRONICI
•computer : tutte le volte che si abbandona la propria postazione di lavoro si deve aver cura di porre il pc/terminale in condizione da rendere i dati non si deve aver cura di porre il pc/terminale in condizione da rendere i dati non accessibili ad estranei non autorizzati.
• e-mail ed uso internet: occorrerà proteggere il contenuto del file dall’accesso e dalla visione di soggetti non autorizzati o non legittimati al trattamento diversi dai destinatari delle comunicazioni elettroniche considerate. (’uso di tecniche di criptazione o di cifratura dei messaggi)
• file di log: per ragioni di sicurezza bisogna installare dispositivi automatizzati di registrazione delle operazioni svolte con elaboratori elettronici.
• telefono : non fornire per mezzo telefono dati ed informazioni di carattere sanitario o di natura comunque riservata qualora non si conosca o non si abbia verosimilmente cognizione dell’identità o della legittimazione ad ottenere i dati richiesti del soggetto chiamante.
• scanner : verificare la leggibilità dei dati trasmessi.
• supporti informatici (cd rom) devono essere conservati in contenitori muniti di serratura affinché non vengano persi.
• spedizione di documenti contenenti dati personali a mezzo posta : la documentazione contenente dati sensibili o giudiziari deve essere trasferita, in busta chiusa, sarebbe opportuno che i lembi della busta fossero sigillati e firmati.
• uso di software : è fatto divieto assoluto scaricare software pirata che possano nuocere alla sicurezza dei d.p.
RAPPORTI DI FRONT- OFFICE E GESTIONE DI DOCUMENTI CARTACEI
• identificazione dell’interessato : per verificare l’esattezza del dato è necessario richiedere il documento d’identità o riconoscimento.
•controllo dell’esattezza del dato : fare attenzione alla digitazione e •controllo dell’esattezza del dato : fare attenzione alla digitazione e all’inserimento nei portali dei dati identificativi.
• tenuta cartelle e fascicoli : si consiglia di fare attenzione a rivoltare le cartelle o di inserire sul frontespizio delle stesse dati ed informazioni che non permettano a terzi estranei di percepire l’identità dei soggetti interessati dal trattamento.
• distruzione delle copie cartacee : prima di gettare la documentazione nel cestino della carta provvedere a renderne non comprensibile il contenuto.
SICUREZZA DEGLI STRUMENTI ELETTRONICI
• password : deve essere adeguata non di facile composizione e modificata ogni 6 mesi.
• back up e antivirus : aggiornare settimanalmente se non vi • back up e antivirus : aggiornare settimanalmente se non vi è un sistema centralizzato.
• conservazione strumenti rimovibili (cd rom) : si consiglia di conservare tali dispositivi in luoghi muniti di serratura
INFORMAZIONI SULLA SALUTE
• Può un sanitario informare altre persone sullo stat o di salute dell’assistito? SI. ma il paziente deve aver indicato a chi desidera che siano fornite tali informazioni.
• Se una persona viene portata al pronto soccorso o r icoverata chi può avere notizie? L’organismo sanitario può dare informazioni, anche per telefono, avere notizie? L’organismo sanitario può dare informazioni, anche per telefono, sulla presenza di una persona al pronto soccorso o sui degenti presenti nei reparti solo ai terzi legittimati, come parenti, familiari, conviventi, conoscenti, personale volontario e solo su volontà del paziente.
• Le associazioni di volontariato possono ricevere inf ormazioni sui loro assistiti? Si , ma devono seguire tutte le regole sulla privacy e segreto professionale.
• L’esito delle analisi o le cartelle cliniche da chi possono essere ritirati? possono essere consegnati in busta chiusa anche a persone diverse dai diretti interessati purché munite di delega scritta.
• E’ possibile conoscere i dati contenuti nella carte lla clinica di un defunto? Può accedere ai dati personali del defunto chi abbia un interesse proprio, o agisca a tutela della persona deceduta o per ragioni familiari meritevoli di protezione.
LA SALUTE DEI DIPENDENTI
• Il datore di lavoro può chiedere che nei certificat i medici sia indicata la • Il datore di lavoro può chiedere che nei certificat i medici sia indicata la diagnosi della malattia del dipendente ? Il dipendente è tenuto a fornire il certificato di malattia con la sola prognosi e durata della stessa.
•Quali informazioni devono essere contenute nei certi ficati medici che attestino l’idoneità al servizio? deve essere riportato il solo giudizio medico legale senza diagnosi .
Il datore di lavoro può pubblicare informazioni sull a salute dei dipendenti? Sia le imprese private, sia la Pubblica Amministrazione devono tutelare con la massima diligenza le informazioni sulla salute dei propri dipendenti.
TELECAMERE ED INTERNET
• Possono essere installate delle telecamere in osped ali e luoghi di cura?devono essere limitati ai casi di comprovata indispensabilità, derivante da specifiche esigenze di cure e tutela della salute degli interessati.
• Chi può vedere le immagini riprese nei luoghi di cu ra? consentita solo al personale autorizzato (ad es. medici ed infermieri) ed ai familiari dei ricoverati. personale autorizzato (ad es. medici ed infermieri) ed ai familiari dei ricoverati. Particolare attenzione deve essere riservata alle modalità di accesso alle riprese video di ricoverati in reparti dove non sia consentito a parenti ed amici di recarsi personalmente (Es. rianimazione)
• Il paziente può ottenere la copia della registrazione video del proprio intervento? Si, può accedere a tutti i propri dati (documento, supporto visivo o archivio) senza dare giustificazioni.
• E’ possibile caricare foto o altre informazioni rela tive a degenti sulla propria pagina di facebook o di altri social network ? E’ vietato.
SANITA’ ELETTRONICA
• Il paziente è obbligato ad adottare il fascicolo san itario elettronico? NO.Deve ricevere un’adeguata informativa che chiarisca chi ha accesso ai suoi dati e come possono essere utilizzati ed ha il diritto di oscurare alcuni eventi clinici.
• Chi può accedere al fascicolo sanitario elettronico ? Dal paziente e da personale sanitario autorizzato ( prevenzione, diagnosi, cura e riabilitazione). Non possono accedere: periti, compagnie assicurative e datori di lavoro.possono accedere: periti, compagnie assicurative e datori di lavoro.
• I referti medici possono essere inviati all’assisti to tramite internet? SI. L’assistito dovrà dare il suo consenso sulla base di una informativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di consultazione o consegna on line dei referti.
Quanto tempo potranno essere conservati on line i re ferti? Il referto potrà rimanere consultabile on line solo per un periodo di tempo limitato di quarantacinque (45) giorni.
•Interessato : la persona fisica cui si riferiscono i dati personali ( i pazienti)•Organizzazione interna (Es serie di norme sulla privacy che l’ASL deve seguire e far seguire ai dipendenti affinché essa venga garantita)•Titolare del trattamento : la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo le quali determinano le finalità e i mezzi del trattamento di dati personali (data controller: DC es ASL)(data controller: DC es ASL)Responsabile del trattamento : colui che tratta dati personali per conto del titolare del trattamento(data processor DP ). •Responsabile della protezione dei dati : persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (data protection officer:DPO ).•incaricato : le persone fisiche autorizzate dal titolare o dal responsabile a compiere operazioni di trattamento dei dati ( es medico o infermiere)
Art 29 <<il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del tra ttamento >>
• Garante : è l’autorità che tutela i cittadini in relazione all'uso da parte di soggetti pubblici e privati dei dati che li riguardano. Ha il compito di proteggere i dati personali e di svolgere Ha il compito di proteggere i dati personali e di svolgere controlli sulla correttezza dell’uso dei dati.
la direttiva (UE 2016/680) riguarda i trattamenti in ambito penale:•effettuati dalle autorità competenti;•per finalità di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di minacce alla sicurezza pubblica.
Sanzioni Sanzioni •la violazione, da parte del TDTR e del RDTR, degli obblighi è soggetta alla sanzione amministrativa pecunaria fino a 10.000.000 di euro, ovvero – per le imprese- fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ( art 83.4 a).
•la violazione dei principi di base del trattamento, dei diritti degli interessati e dei trasferimenti verso l’estero è soggetta alla sanzione amministrativa pecunaria fino a 20.000.000 di euro, ovvero – per le imprese- fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore ( art. 83.5).
•Responsabile della protezione dei dati personali (DP O): figura disciplinata dall’art. 39 del Regolamento UE 2016/679 che supporta il Titolare o Responsabile dell’applicazione del regolamento e ne assicura l’osservanza.•Manager privacy : figura che coordina trasversalmente i soggetti coinvolti nel trattamento dei dati personali, al fine di garantire il rispetto delle norme di legge applicabili e il raggiungimento nonché il mantenimento del livello di protezione adeguato in base allo specifico trattamento di dati personali effettuato.•Valutatore Privacy : figura indipendente con conoscenze e competenze nel •Valutatore Privacy : figura indipendente con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridica/organizzativa che conduce attività di audit sulla conformità dei trattamenti di dati personali avvalendosi, se necessario, di specialistici in entrambi gli ambiti.
•Specialista Privacy: figura “operativa” che supporta il DPO e/o il Manager Privacy nel mettere a punto idonee misure tecniche e organizzative ai fini del trattamento di dati personali e cura la corretta attuazione del trattamento di dati personali. ( coordinatore infermieristico o direttore medico)La certificazione per ogni profilo privacy ha una validità di 4 anni con tacito rinnovo
Relatori: Floriana Quaranta e Gabriele Paglialonga
