Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
Tutela dei dati personali sanità aprile_2010
1. Tutela dei dati personali
D. Lgs. n. 196/2003
T.U. Privacy
Avv. Pasquale Lopriore
Specialist in Legal Information Technology
2. “Dato personale”
Qualunque informazione relativa a persona
fisica, persona giuridica, ente od
associazione, identificati o identificabili,
anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso
un numero di identificazione personale.
3. “Dati sensibili"
Dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale
4. “Dati giudiziari"
I dati personali idonei a rivelare
provvedimenti di cui all'articolo 3, comma 1,
lettere da a) a o) e da r) a u), del d.P.R. 14
novembre 2002, n. 313, in materia di
casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato
e dei relativi carichi pendenti, o la qualità di
imputato o di indagato ai sensi degli articoli
60 e 61 del codice di procedura penale
5. Ambito di applicazione
La normativi sulla privacy si applica a tutti i
soggetti che trattano dati personali
attraverso:
- strumenti elettronici;
- supporto cartaceo.
6. Principio di necessità nel
trattamento dei dati
I sistemi informativi e i programmi informatici
sono configurati riducendo al minimo
l’utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei
singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di
identificare l’interessato solo in caso di
necessità.
7. Principio di correttezza
Secondo cui le caratteristiche essenziali dei
trattamenti devono essere rese note ai lavoratori
(art. 11, comma 1, lett. a), del Codice).
Le tecnologie dell'informazione (in modo più
marcato rispetto ad apparecchiature tradizionali)
permettono di svolgere trattamenti ulteriori rispetto a
quelli connessi ordinariamente all'attività lavorativa.
Ciò, all'insaputa o senza la piena consapevolezza
dei lavoratori, considerate anche le potenziali
applicazioni di regola non adeguatamente
conosciute dagli interessati
8. I trattamenti devono essere effettuati per
finalità determinate esplicite e legittime
Principio di pertinenza e non eccedenza
Il datore di lavoro deve trattare i dati "nella misura
meno invasiva possibile“
Le attività di monitoraggio devono essere svolte
solo da soggetti preposti ed essere "mirate
sull'area di rischio, tenendo conto della normativa
sulla protezione dei dati e, se pertinente, del
principio di segretezza della corrispondenza"
9. DIRITTI DELL’INTERESSATO
art. 7
L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora registrati, e la loro
comunicazione in forma intelligibile.
L’interessato, in particolare, ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti
elettronici;
d) degli estremi identificativi del titolare, dei responsabili;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati.
10. L’interessato ha diritto di
ottenere:
a) l'aggiornamento, la rettificazione, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o
il blocco dei dati trattati in violazione di legge;
c) l'attestazione che le operazioni di cui alle lettere a) e b)
sono state portate a conoscenza, di coloro ai quali i dati
sono stati comunicati o diffusi.
11. L’interessato ha diritto di
opporsi:
a) per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché pertinenti
allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano
a fini di invio di materiale pubblicitario o di
vendita diretta o per il compimento di ricerche di
mercato o di comunicazione commerciale.
12. I diritti dell’interessato non
possono essere esercitati:
a) in materia di riciclaggio;
b) in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'art. 82 Cost.;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad
espressa disposizione di legge, per esclusive finalità inerenti alla politica
monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari
e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio
effettivo e concreto per lo svolgimento delle investigazioni difensive o per
l’esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico
relativamente a comunicazioni telefoniche in entrata;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio
superiore della magistratura o il Ministero della giustizia;
13. Modalità di esercizio dei diritti
dell'interessato
La richiesta rivolta al titolare o al responsabile può essere trasmessa
anche mediante lettera raccomandata, telefax o posta elettronica.
Il titolare del trattamento è tenuto ad adottare idonee misure volte, in
particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche
attraverso l'impiego di appositi programmi per elaboratore finalizzati ad
un'accurata selezione dei dati che riguardano singoli interessati
identificati o identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al
richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con
il pubblico
14. Modalità del trattamento e
requisiti dei dati
I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre
operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o
successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo
di tempo non superiore a quello necessario agli scopi per i quali essi sono stati
raccolti o successivamente trattati.
15. Informativa art. 13
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e del responsabile.
16. Cessazione del trattamento
In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purché destinati ad un trattamento in termini
compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una
comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o
scientifici, in conformità alla legge, ai regolamenti, alla normativa
comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai
sensi dell'articolo 12.
17. Consenso art. 23
Il trattamento di dati personali da parte di privati o di enti
pubblici economici è ammesso solo con il consenso espresso
dell'interessato.
Il consenso può riguardare l'intero trattamento ovvero una o
più operazioni dello stesso.
Il consenso è validamente prestato solo se è espresso
liberamente e specificamente in riferimento ad un trattamento
chiaramente individuato, se è documentato per iscritto, e se
sono state rese all'interessato le informazioni di cui all'art. 13.
Il consenso è manifestato in forma scritta quando il
trattamento riguarda dati sensibili .
18. Casi nei quali può essere effettuato il
trattamento senza consenso
a) è necessario per adempiere ad un obbligo previsto dalla legge;
b) è necessario per eseguire obblighi derivanti da un contratto del
quale è parte l'interessato o per adempiere, prima della conclusione
del contratto, a specifiche richieste dell’interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque;
d) riguarda dati relativi allo svolgimento di attività economiche,
trattati nel rispetto della vigente normativa in materia di segreto
aziendale e industriale;
19. Altri casi
e) è necessario per la salvaguardia della vita o dell'incolumità fisica
di un terzo;
f) con esclusione della diffusione, è necessario ai fini dello
svolgimento delle investigazioni difensive;
g) nei casi individuati dal Garante;
h) è effettuato da associazioni, enti od organismi senza scopo di
lucro, anche non riconosciuti, in riferimento a soggetti che hanno
con essi contatti regolari o ad aderenti, per il perseguimento di
scopi determinati e legittimi individuati dall’atto costitutivo, dallo
statuto
20. Titolare del trattamento
Quando il trattamento è effettuato da una persona
giuridica, da una pubblica amministrazione o da un
qualsiasi altro ente, associazione od organismo,
titolare del trattamento è l’entità nel suo
complesso o l’unità od organismo periferico
che esercita un potere decisionale del tutto
autonomo sulle finalità e sulle modalità del
trattamento, ivi compreso il profilo della sicurezza.
21. Responsabile del trattamento
art. 29
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per
iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite
dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni
22. Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate solo
da incaricati che operano sotto la diretta autorità del titolare o
del responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua
puntualmente l’ambito del trattamento consentito .
Si considera tale anche la documentata preposizione della
persona fisica ad una unità per la quale è individuato, per
iscritto, l’ambito del trattamento consentito agli addetti all’unità
medesima.
23. MISURE DI SICUREZZA
Art. 31
I dati personali oggetto di trattamento sono custoditi e
controllati, in relazione:
alle conoscenze acquisite in base al progresso tecnico;
alla natura dei dati;
alle specifiche caratteristiche del trattamento.
In modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati stessi, di
accesso non autorizzato o di trattamento non consentito o
non conforme alle finalità della raccolta.
24. MISURE MINIME DI SICUREZZA
Art. 33
Nel quadro dei più generali obblighi di sicurezza di
cui all’articolo 31, o previsti da speciali disposizioni,
i titolari del trattamento sono comunque tenuti ad
adottare le misure minime individuate volte ad
assicurare un livello minimo di protezione dei dati
personali.
25. Trattamenti senza l’ausilio di
strumenti elettronici
Il trattamento di dati personali effettuato senza l’ausilio di
strumenti elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell’allegato B), le
seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati o alle unità
organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti
affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in
archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all’identificazione degli incaricati.
26. Trattamenti con strumenti
elettronici
Il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell’allegato B), le seguenti misure minime :
a) autenticazione informatica:
L’insieme degli strumenti elettronici e delle procedure per la
verifica anche indiretta dell’identità.
b) adozione di procedure di gestione delle credenziali di autenticazione:
I dati ed i dispositivi, in possesso di una persona, da questa
conosciuti o ad essa univocamente correlati, utilizzati per
l’autenticazione informatica.
c) utilizzazione di un sistema di autorizzazione:
L’insieme degli strumenti e delle procedure che abilitano
l’accesso ai dati e alle modalità di trattamento degli stessi, in
funzione del profilo di autorizzazione del richiedente
27. Altre misure minime
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza DPS;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari ”dati sensibili”.
28. Legge n° 133/2008 (D.L. n° 122/2008, ovvero la c.d. “manovra d’estate”)
Per i soggetti che trattano:
soltanto dati personali non sensibili;
come unici dati sensibili quelli costituiti dallo stato di salute o
malattia dei propri dipendenti e collaboratori anche a progetto, senza
indicazione della relativa diagnosi, ovvero dall'adesione ad
organizzazioni sindacali o a carattere sindacale.
La tenuta di un aggiornato documento programmatico sulla
sicurezza è sostituita dall'obbligo di autocertificazione.
Resa dal titolare del trattamento ai sensi dell'articolo 47 del testo
unico di cui al D.P.R. 28 dicembre 2000, n. 445, di trattare soltanto
tali dati in osservanza delle altre misure di sicurezza prescritte.
29. Contenuto
dell’autocertificazione
L’autocertificazione deve contenere due dichiarazioni:
Che l’azienda tratta solo dati sensibili relativi allo
stato di salute o malattia dei propri
dipendenti/collaboratori a progetto (ovvero dati che
attengono alla loro adesione ad organizzazioni
sindacali o a carattere sindacale);
di aver adottato tutte le altre misure di sicurezza
previste dal Codice Privacy.
30. Cambia la fattispecie delittuosa
Il Titolare del trattamento non incorre nella
violazione dell’art. 169, bensì quella dell’art.
168 del D.lgs. 196/2003 .
Tale ipotesi di reato attiene alle “falsità nelle
dichiarazioni e notificazione rese al Garante” la cui
violazione comporta la reclusione da 6 mesi a 3 anni.
Prevede, pertanto, una pena superiore rispetto al
mancato adeguamento del DPS che comportava
l’arresto sino a due anni.
32. Principali prescrizioni per il
settore sanitario
Misure per il rispetto dei diritti del paziente : distanze di cortesia, modalità per
appelli in sale di attesa, certezze e cautele nelle informazioni telefoniche e nelle
informazioni sui ricoverati, estensione delle esigenze di riservatezza anche agli
operatori sanitari non tenuti al segreto professionali.
Ricette impersonali, la possibilità di non rendere sempre e in ogni caso
immediatamente identificabili in farmacia gli intestatari di ricette attraverso un
tagliando predisposto su carta copiativa che, oscurando il nome e l’indirizzo
dell’assistito, consente comunque la visione di tali dati da parte del farmacista nei casi
in cui sia necessario.
Dati genetici viene previsto il rilascio di un’apposita autorizzazione da parte del
Garante, sentito il Ministro della salute.
Cartelle cliniche sono previste particolari misure per distinguere i dati relativi al
paziente da quelli eventualmente riguardanti altri interessati (comprese le
informazioni relative ai nascituri), ma anche specifiche cautele per il rilascio delle
cartelle cliniche a persone diverse dall'interessato.
33. Art. 76 Esercenti professioni
sanitarie e organismi sanitari
pubblici
Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche
nell'ambito di un'attività di rilevante interesse pubblico ai sensi
dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute:
1. con il consenso dell'interessato (con le modalità semplificate) e anche
senza l'autorizzazione del Garante se il trattamento riguarda dati e
operazioni indispensabili per perseguire una finalità di tutela
della salute o dell'incolumità fisica dell'interessato ;
2. anche senza il consenso dell'interessato e previa autorizzazione
del Garante (rilasciata, salvi i casi di particolare urgenza, sentito il
Consiglio superiore di sanità.) se la finalità di cui alla lettera a) riguardano
un terzo o la collettività .
34. Art. 85
Attività di rilevante interesse
pubblico
1) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei
soggetti assistiti dal Servizio sanitario nazionale, ivi compresa l'assistenza degli stranieri in
Italia e dei cittadini italiani all'estero, nonché di assistenza sanitaria erogata al personale
navigante ed aeroportuale;
2) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria;
3) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in
commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;
4) attività certificatorie;
5) l'applicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di
sicurezza e salute della popolazione;
6) le attività amministrative correlate ai trapianti d'organo e di tessuti, nonché alle trasfusioni
di sangue umano, anche in applicazione della legge 4 maggio 1990, n. 107;
7) instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i
soggetti accreditati o convenzionati del Servizio sanitario nazionale.
35. MODALITÀ SEMPLIFICATE
PER INFORMATIVA E
CONSENSO
L’informativa da rilasciare agli interessati che consente di manifestare il
necessario consenso al trattamento dei dati con
un’unica dichiarazione resa al medico di
famiglia o all’organismo sanitario
(il consenso vale anche per la pluralità di trattamenti a fini di salute erogati da distinti
reparti e unità dello stesso organismo, da più strutture ospedaliere e territoriali).
Ambito di applicazione:
a) dagli organismi sanitari pubblici;
b) dagli altri organismi privati e dagli esercenti le professioni sanitarie;
Utilizzo dei dati:
a) per informare l'interessato relativamente ai dati personali raccolti presso il
medesimo interessato o presso terzi, ai sensi dell'articolo 13, commi 1 e 4;
b) per manifestare il consenso al trattamento dei dati personali;
c) per il trattamento dei dati personali.
36. Art. 78 Informativa del medico di
medicina generale o del pediatra
1. Il medico di medicina generale o il pediatra di libera scelta informano
l'interessato relativamente al trattamento dei dati personali, in forma
chiara e tale da rendere agevolmente comprensibili gli elementi indicati
nell'articolo 13, comma 1.
2. L'informativa può essere fornita per il complessivo trattamento dei dati
personali necessario per attività di prevenzione, diagnosi, cura e
riabilitazione, svolte dal medico o dal pediatra a tutela della salute o
dell'incolumità fisica dell'interessato, su richiesta dello stesso o di cui
questi è informato in quanto effettuate nel suo interesse.
3. L'informativa può riguardare, altresì, dati personali eventualmente
raccolti presso terzi, ed è fornita preferibilmente per iscritto, anche
attraverso carte tascabili con eventuali allegati pieghevoli, includendo
almeno gli elementi indicati dal Garante ai sensi dell'articolo 13, comma 3,
eventualmente integrati anche oralmente in relazione a particolari
caratteristiche del trattamento.
37. Trattamento dei dati da soggetti
diversi e casi particolari
L'informativa riguarda anche il trattamento di dati correlato a quello
effettuato dal medico di medicina generale o dal pediatra di libera scelta,
effettuato da un professionista o da altro soggetto, parimenti individuabile in
base alla prestazione richiesta, che:
a) sostituisce temporaneamente il medico o il pediatra;
b) fornisce una prestazione specialistica su richiesta del medico e del pediatra;
c) può trattare lecitamente i dati nell'ambito di un'attività professionale prestata
in formaassociata;
d) fornisce farmaci prescritti;
e) comunica dati personali al medico o pediatra in conformità alla disciplina
applicabile.
38. Art. 79 Informativa da parte di
organismi sanitari
Gli organismi sanitari pubblici e privati possono avvalersi delle modalità semplificate
relative all'informativa e al consenso di cui agli articoli 78 e 81 in riferimento:
ad una pluralità di prestazioni erogate anche da distinti reparti ed unità dello stesso
organismo o di più strutture ospedaliere o territoriali specificamente identificati.
l'organismo o le strutture annotano l'avvenuta informativa e il consenso con modalità
uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità
che, anche in tempi diversi, trattano dati relativi al medesimo interessato.
Le modalità semplificate di cui agli articoli 78 e 81 possono essere utilizzate in modo
omogeneo e coordinato in riferimento all'insieme dei trattamenti di dati personali
effettuati nel complesso delle strutture facenti capo alle aziende sanitarie.
Sulla base di adeguate misure organizza tive in applicazione del comma 3, le
modalità semplificate possono essere utilizzate per più trattamenti di dati effettuati
nei casi di cui al presente articolo e dai soggetti di cui all'articolo 80.
39. Art. 80 Informativa da parte
di altri soggetti pubblici
Servizi o strutture di soggetti pubblici operanti in ambito sanitario o della
prevenzione e sicurezza del lavoro.
Oltre a quanto previsto dall'articolo 79, possono avvalersi della facoltà di
fornire un'unica informativa per una pluralità di trattamenti di dati effettuati,
a fini amministrativi e in tempi diversi, rispetto a dati raccolti presso
l'interessato e presso terzi, i competenti.
L'informativa è integrata con appositi e idonei cartelli ed avvisi agevolmente
visibili al pubblico, affissi e diffusi anche nell'ambito di pubblicazioni
istituzionali e mediante reti di comunicazione elettronica, in particolare per
quanto riguarda attività amministrative di rilevante interesse pubblico che
non richiedono il consenso degli interessati.
40. Art. 81 Prestazione del
consenso
Il consenso al trattamento dei dati idonei a rivelare lo stato di salute
può essere manifestato con un'unica dichiarazione, anche
oralmente.
In tal caso il consenso è documentato, anziché con atto scritto
dell'interessato, con annotazione dell'esercente la professione sanitaria
o dell'organismo sanitario pubblico, riferita al trattamento di dati
effettuato da uno o più soggetti e all'informativa all'interessato, nei modi
indicati negli articoli 78, 79 e 80.
Quando il medico o il pediatra fornisce l'informativa per conto di più
professionisti il consenso è reso conoscibile ai medesimi professionisti
con adeguate modalità, anche attraverso menzione, annotazione o
apposizione di un bollino o tagliando su una carta elettronica o sulla
tessera sanitaria, contenente un richiamo al medesimo articolo 78,
comma 4, e alle eventuali diverse specificazioni apposte all'informativa
ai sensi del medesimo comma.
41. Art. 82 Emergenze e tutela della
salute e dell'incolumità fisica
L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo,
successivamente alla prestazione , nel caso di emergenza sanitaria o di igiene
pubblica per la quale la competente autorità ha adottato un'ordinanza contingibile ed urgente
L'informativa e il consenso al trattamento dei dati personali possono altresì intervenire senza
ritardo, successivamente alla prestazione, in caso di:
impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato,
quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero da
un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile
della struttura presso cui dimora l'interessato;
rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato.
L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo,
successivamente alla prestazione, anche in caso di prestazione medica che può essere
pregiudicata dall'acquisizione preventiva del consenso, in termini di tempestività o efficacia.
Dopo il raggiungimento della maggiore età l'informativa è fornita all'interessato anche ai fini
della acquisizione di una nuova manifestazione del consenso quando questo è necessario.
42. Art. 92 Cartelle cliniche
Nei casi in cui organismi sanitari pubblici e privati redigono e conservano una
cartella clinica in conformità alla disciplina applicabile, sono adottati opportuni
accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi
al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese
informazioni relative a nascituri.
Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa
scheda di dimissione ospedaliera da parte di soggetti diversi dall'interessato
possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla
documentata necessità:
di far valere o difendere un diritto in sede giudiziaria di rango pari a quello
dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto
o libertà fondamentale e inviolabile;
di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una
situazione giuridicamente rilevante di rango pari a quella dell'interessato, ovvero
consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e
inviolabile.
43. Art. 94 Banche di dati, registri
e schedari in ambito sanitario
Il trattamento di dati idonei a rivelare lo stato di salute contenuti in banche di dati, schedari,
archivi o registri tenuti in ambito sanitario, è effettuato nel rispetto dell'articolo 3 anche presso
banche di dati, schedari, archivi o registri già istituiti alla data di entrata in vigore del presente
codice e in riferimento ad accessi di terzi previsti dalla disciplina vigente alla medesima data,
in particolare presso:
a) il registro nazionale dei casi di mesotelioma asbesto-correlati istituito presso l'Istituto
superiore per la prevenzione e la sicurezza del lavoro (Ispesl);
b) la banca di dati in materia di sorveglianza della malattia di Creutzfeldt-Jakob o delle varianti e
sindromi ad essa correlate, di cui al decreto del Ministro della salute in data 21/12/2001;
c) il registro nazionale delle malattie rare;
d) i registri dei donatori di midollo osseo;
e) gli schedari dei donatori di sangue di cui all'articolo 15 del decreto del Ministro della sanità in
data 26/01/2001.
44. Linee guida in tema di Fascicolo
sanitario elettronico (Fse) e
di dossier sanitario - 16 luglio 2009
Parte I: Il Fascicolo sanitario elettronico e il dossier sanitario
1. la sanità elettronica: profili generali;
2. ambito di applicazione delle Linee guida.
Parte II: Le garanzie per l'interessato
3. diritto alla costituzione di un Fascicolo sanitario elettronico e di un dossier sanitario;
4. individuazione dei soggetti che possono trattare i dati;
5. accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel dossier sanitario;
6. diritti dell'interessato sui propri dati personali (art. 7 del Codice);
7. limiti alla diffusione e al trasferimento all'estero dei dati.
8. informativa e consenso;
9. comunicazione al Garante;
10. misure di sicurezza.
45. Contenuto del provvedimento
Il provvedimento del Garante stabilisce:
- il paziente deve poter scegliere, in piena libertà, se far costituire o meno un fascicolo sanitario
elettronico, con tutte o solo alcune delle informazioni sanitarie che lo riguardano;
- deve poter manifestare un consenso autonomo e specifico, distinto da quello che si presta a
fini di cura della salute;
- al paziente deve essere inoltre garantita la possibilità di "oscurare" la visibilità di alcuni eventi
clinici.
Per poter esprimere scelte consapevoli il paziente deve essere adeguatamente informato.
Con un linguaggio comprensibile e dettagliato l'informativa deve quindi indicare chi (medici di
base, del reparto ove è ricoverato, farmacisti) ha accesso ai suoi dati e che tipo di operazioni
può compiere.
Il fascicolo sanitario elettronico potrà essere consultato dal paziente con modalità adeguate (ad
es. tramite smart card) e dal personale sanitario strettamente autorizzato, solo per finalità
sanitarie. Non potranno accedervi invece periti, compagnie di assicurazione, datori di lavoro.
46. A cosa serve il Fascicolo
Sanitario
Elettronico (FSE)
Raccogliere elettronicamente le informazioni
cliniche relative alla Persona, informazioni
che possono essere state originate in
qualunque struttura sanitaria (italiana, per
cominciare, ma europea, come già prevedono
i progetti UE) in modo da renderle disponibili
ad ogni altro operatore sul territorio
(nazionale e poi europeo) che debba prestare
ulteriori cure a quella Persona.
47. Il diritto alla costituzione di un
Fascicolo sanitario elettronico o di
un dossier sanitario
Le finalità perseguite attraverso il Fse o il dossier sono
riconducibili alla documentazione di una "memoria storica"
degli eventi di rilievo sanitario relativi a un medesimo individuo
consultabile dal medico curante.
Il trattamento dei dati personali effettuato mediante il Fse o il
dossier, perseguendo le menzionate finalità di prevenzione,
diagnosi, cura e riabilitazione, deve uniformarsi al principio
di autodeterminazione (artt. 75 e ss. del Codice).
Anche con la possibilità che i dati sanitari restino disponibili
solo al professionista o organismo sanitario che li ha redatti,
senza la loro necessaria inclusione in tali strumenti.
48. Individuazione dei soggetti
che possono trattare i dati
Il trattamento di dati personali effettuato attraverso il
Fse/dossier, deve essere posto in essere esclusivamente da
parte di soggetti operanti in ambito sanitario, con esclusione di
periti, compagnie di assicurazione, datori di lavoro,
associazioni o organizzazioni scientifiche e organismi
amministrativi anche operanti in ambito sanitario.
Analogamente, l'accesso è precluso anche al personale
medico nell'esercizio di attività medico-legale (es. visite per
l'accertamento dell'idoneità lavorativa o alla guida), in quanto,
sebbene figure professionali di tipo sanitario, tali professionisti
svolgono la loro attività professionale nell'ambito
dell'accertamento di idoneità o status, e non anche all'interno
di un processo di cura dell'interessato.
49. Accesso ai dati personali contenuti
nel Fascicolo sanitario elettronico e
nel Dossier sanitario
Il titolare deve valutare attentamente quali dati pertinenti, non
eccedenti e indispensabili inserire nel Fse/dossier in relazione
alle necessità di prevenzione, diagnosi, cura e riabilitazione.
Devono essere, pertanto, preferite soluzioni che consentano
un'organizzazione modulare di tali strumenti in modo da
limitare l'accesso dei diversi soggetti abilitati alle sole
informazioni (e, quindi, al modulo di dati) indispensabili.
I titolari del trattamento, nel costituire il Fse/dossier e
nell'individuare la tipologia di informazioni che possono esservi
anche successivamente riportate, devono rispettare le
disposizioni normative a tutela dell'anonimato della persona tra
cui quelle a tutela delle vittime di atti di violenza sessuale o di
pedofilia.
50. Comunicazione al
Garante
Il Fse, costituendo un insieme logico di informazioni e
documenti sanitari volto a documentare la storia clinica di un
individuo condiviso da più titolari del trattamento, deve essere
improntato a criteri di massima trasparenza nella sua
strutturazione e nel suo funzionamento.
A garanzia di tale evidenza i trattamenti di dati personali
effettuati attraverso il Fse devono essere resi noti al Garante
mediante una apposta comunicazione da effettuarsi secondo
un modello che sarà adottato dall'Autorità con specifico
provvedimento.
51. "Linee guida in tema di referti on
line"
approvate dal Garante per la Privacy con la Deliberazione 19 novembre
2009, n. 36 pubblicata in Gazzetta Ufficiale 11 dicembre 2009, n. 288.
Il provvedimento fissa rigorose misure a
protezione dei dati sanitari dei pazienti che
intendono utilizzare questo servizio, ricevendo
il referto via mail o “scaricando” gli esami clinici
direttamente dal sito web della struttura
sanitaria.
52. Punti principali stabiliti dalle Linee guida
l’adesione al servizio dovrà essere facoltativa;
il referto elettronico non sostituirà quello cartaceo che rimarrà comunque
disponibile l’assistito dovrà dare il suo consenso sulla base di una informativa
chiara e trasparente che spieghi tutte le caratteristiche del servizio di
“refertazione on line”;
il referto resterà a disposizione on line per un massimo di 45 giorni e dovrà
essere accompagnato da un giudizio scritto e dalla disponibilità del medico a
fornire ulteriori indicazioni su richiesta dell’interessato;
per fornire il servizio, le strutture sanitarie pubbliche e private dovranno adottare
elevate misure di sicurezza tecnologica (utilizzo di standard crittografici, sistemi
di autenticazione forte, convalida degli indirizzi e-mail con verifica on line, uso di
password per l’apertura del file) e, nel caso offrano la possibilità di archiviare e
continuare a consultare via web i referti, dovranno anche sottoporre ai pazienti
una ulteriore specifica informativa e acquisire un autonomo consenso.
54. Provvedimento del 2 ottobre 2009 del
Garante per la protezione dei dati personali.
Lavoro: anonimato per la diagnosi HIV
I certificati medico-legali attestanti l’idoneità del lavoratore non possono
contenere l’indicazione delle patologie cui è eventualmente affetto lo stesso,
divieto da osservarsi con maggior rigore se concernono dati sensibili, quali
la sieropositività all’HIV.
Lo ha affermato il Garante della Privacy, intervenendo in merito al reclamo
avanzato da un dipendente del Ministero della difesa nell'ambito
dell'accertamento di idoneità al servizio cui l'interessato si era sottoposto
presso la commissione medico legale del Comando di appartenenza.
L’esito della visita, con la diagnosi "sbarrata e omessa", in modo da renderla
però facilmente desumibile era circolato all’interno dell’amministrazione,
nonostante l’opposizione dell’interessato che aveva invocato il rispetto della
normativa vigente a tutela della riservatezza delle persone sieropositive,
giungendo a conoscenza di vari settori, quali Ispettorato di sanità della
Marina militare, Ufficio generale del personale e Comando di appartenenza.
55. Contenuto del
Provvedimento
In merito, il Garante ha rilevato che l’amministrazione nell'utilizzare per una finalità
lecita i dati sensibili relativi allo stato di salute dei lavoratori, ha l'obbligo di
conformare il loro trattamento "secondo modalità volte a prevenire
violazioni dei diritti, delle libertà fondamentali e della dignità
dell'interessato medesimo."
Nel caso di specie, il Garante ha sottolineato che l’amministrazione doveva adottare
ogni soluzione idonea a tutelare la riservatezza del lavoratore interessato per
documentare gli accertamenti eseguiti, atteso che i giudizi diagnostici riguardino
l'infezione da HIV, attestando, ad esempio, la relativa diagnosi in un atto riservato in
luogo del verbale da trasmettere all'amministrazione di appartenenza del lavoratore,
ovvero riportando tale diagnosi sul predetto verbale e trasmettendo
all'amministrazione un diverso attestato dal quale questa non sia desumibile.
All'esito delle predette visite mediche, volte a verificare l'idoneità al servizio –
prosegue il Garante – i collegi medici devono trasmettere all'amministrazione di
appartenenza dell'interessato il verbale con la sola indicazione del giudizio medico-
legale, con la dicitura “idoneo” ovvero “non idoneo” omettendo qualsiasi altra
informazione attinente allo stato di salute dei lavoratori interessati, non pertinente e
non realmente indispensabile rispetto alle finalità perseguite.
56. Provvedimento 25 giugno 2009
emanato dal Garante per la Privacy
Bloccata la diffusione di dati sanitari di una dipendente provinciale pubblicati
sul sito dell'ente locale e liberamente reperibili in Internet.
Lo ha stabilito il Provvedimento 25 giugno 2009 emanato dal Garante per la
Privacy a seguito della segnalazione di una dipendente che, attraverso un
motore di ricerca, aveva rinvenuto on line alcuni atti della provincia in cui
erano riportati i suoi dati anagrafici e delicate informazioni sul suo stato di
salute, la cui diffusione è vietata dal Codice della Privacy.
Nel disporre il blocco dei dati sanitari trattati in modo illecito, l'Autorità ha
ribadito che "le amministrazioni locali, fermo restando il rispetto degli obblighi
di legge sulla trasparenza delle deliberazioni dell'ente, devono selezionare
con estrema attenzione i dati personali da diffondere, non solo alla luce dei
principi di pertinenza, non eccedenza e indispensabilità rispetto alle finalità
perseguite dai singoli provvedimenti, ma anche in relazione al divieto di
diffusione dei dati idonei a rivelare lo stato di salute".
57. Provvedimento 2 aprile 2009 del Garante
della Privacy
Gli organi di informazione, nel far riferimento allo stato di salute di una determinata
persona, identificata o identificabile, sono tenuti al rispetto della dignità e del diritto
alla riservatezza e al decoro personale, specialmente quando si tratta di malattie
gravi o terminali, casi in cui è dovere del giornalista astenersi dal pubblicare dati
analitici di interesse strettamente personale.
E' quanto ha stabilito il Provvedimento 2 aprile 2009 con il quale il Garante della
Privacy è intervenuto su segnalazione di un interessato in relazione ad un articolo
(pubblicato sul sito web di un quotidiano nazionale) che, narrando la vicenda
riguardante una clinica milanese nella quale sarebbero stati effettuati alcuni interventi
chirurgici al seno non ritenuti necessari, riportava i nomi delle donne che hanno
subito l'intervento chirurgico insieme ad altre descrizioni particolareggiate sulle
modalità dell'operazione e le patologie di cui le donne erano affette.
L'Autorità ha vietato al quotidiano l'ulteriore diffusione, anche tramite il sito web, delle
generalità delle persone alle quali si riferiscono i dati sensibili e ha disposto l'invio del
provvedimento al Consiglio nazionale dell'Ordine dei giornalisti per le valutazioni di
competenza.
58. Fascicolo sanitario elettronico (Fse): le
prime linee guida in materia di privacy
Garante Privacy , (comunicato stampa 26.03.2009)
Il fascicolo sanitario elettronico dovrà essere costituito esclusivamente per il perseguimento di
finalità di prevenzione, diagnosi, cura e riabilitazione. Sarà consultabile dall’interessato con
modalità adeguate (ad es., tramite smart card) e dal personale sanitario, strettamente
autorizzato e solo per finalità sanitarie. on potranno accedervi invece periti, compagnie di
assicurazione, datori di lavoro.
E' quanto illustra il Comunicato 26 marzo 2009 con il quale il Garante della privacy ha
emanato le prime linee guida in materia per la protezione dei dati e a garanzia delle persone.
In particolare le nuove regole sul documento elettronico di raccolta dei dati sanitari, già in
sperimentazione in alcune regioni, prevedono:
libertà di scelta del paziente sul far costituire o meno un fascicolo sanitario elettronico, con
tutte o solo alcune informazioni sanitarie che lo riguardano;
informativa al paziente con l'indicazione di chi (medici di base, del reparto ove è ricoverato,
farmacisti) ha accesso ai dati, che tipo di operazioni può compiere, ecc.;
adozione di specifici accorgimenti tecnici per assicurare elevati livelli di sicurezza che limitino
il più possibile i rischi di accesso abusivo, furto, smarrimento.
59. Paziente può avere accesso agli
atti di indagine interna delle ASL
TAR Lazio, sentenza 06.12.2006 n° 1600
Il Giudice Amministrativo ha ritenuto che la visione degli atti fosse da considerarsi
strumentale al fine di tutela dell'interesse del paziente, e che, comunque, non si
ravviserebbero particolari esigenze di riservatezza, in quanto la documentazione
relativa all'inchiesta potrebbe essere effettuata "omettendo di ostendere dati sensibili
relativi a persone o singoli episodi ininfluenti ai fini della tutela richiesta".
La decisione del TAR, seppur condivisibile, non sembra tenere conto della disciplina
del codice della Privacy in tema di richiesta di accesso agli atti riguardanti dati idonei
a rilevare lo stato di salute (art. 60, 71 e 92 D.lgs 196/2003).
L'art. 60 dispone infatti che "quando il trattamento concerne dati idonei a rivelare lo
stato di salute o la vita sessuale, il trattamento è consentito se la situazione
giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai
documenti amministrativi è di rango almeno pari ai diritti dell'interessato”
Il Garante, anche durante il vigore della L. 675/96, aveva peraltro emanato il
Provvedimento Generale del 9/3/2003, nel quale regolamentava la materia
dell'accesso ai dati idonei a rilevare lo stato di salute, e sottolineava come il
trattamento di tali dati fosse consentito solo se il diritto da far valere o difendere sia
di rango almeno pari a quello dell’interessato.
60. Privacy: l'autorizzazione relativa ai dati sulla
salute e la vita sessuale Garante Privacy
(Provvedimento 21.12.2005, G.U. 03.01.2006)
Autorizza
a) gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni
siano indispensabili per tutelare l'incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia
prestato o non possa essere prestato per effettiva irreperibilità;
b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, a trattare con il consenso i dati idonei a
rivelare lo stato di salute e la vita sessuale;
c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorché agiscano nella
qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano
contemporaneamente le seguenti condizioni:
1. il trattamento sia finalizzato alla tutela dell'incolumità fisica e della salute di un terzo o della collettività;
2. manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere
prestato per effettiva irreperibilità;
3. non si tratti di attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art.
85, commi 1 e 2, del Codice;
d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita
sessuale, qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la
medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica,
per incapacità di agire o per incapacità d'intendere o di volere, il consenso è manifestato da chi esercita legalmente
la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile
61. Strutture sanitarie e privacy: rispetto della
dignità del paziente Garante Privacy
(Provvedimento 09.11.2005)
Al cittadino che entra in contatto con le strutture sanitarie per diagnosi, cure, prestazioni mediche,
operazioni amministrative deve essere garantita la più assoluta riservatezza e il più ampio rispetto
dei suoi diritti fondamentali e della sua dignità.
Lo ha ribadito il Garante della privacy prescrivendo ad organismi sanitari pubblici e privati (aziende
sanitarie territoriali, aziende ospedaliere, case di cura, osservatori epidemiologici regionali, servizi di
prevenzione e sicurezza sul lavoro) una serie di misure da adottare per adeguare il funzionamento e
l'organizzazione delle strutture sanitarie.
In particolare gli organismi sanitari devono garantire:
la tutela della dignità del paziente, soprattuto con riguardo a fasce deboli (disabili, minori, anziani),
ma anche a pazienti sottoposti a trattamenti medici invasivi o per i quali è doverosa una particolare
attenzione (es. interruzione della gravidanza);
la riservatezza nei colloqui e delle informazioni sulla salute, sulle prescrizioni mediche e sulle
cartelle cliniche;
distanze di cortesia distanze di cortesia per operazioni amministrative allo sportello (prenotazioni)
o al momento dell'acquisizione di informazioni sullo stato di salute, sensibilizzando anche gli utenti
con cartelli, segnali ed inviti;
non visibilità ad estranei liste di pazienti in attesa di intervento.
62. Privacy: la trasmissione di dati sanitari
deve avvenire in busta chiusa
Garante Privacy , newsletter 18.10.2004
La trasmissione dei dati sanitari deve sempre avvenire in busta
chiusa, mentre gli allegati alle note di trasmissione devono
essere presenti soltanto se indispensabili.
Lo ha segnalato il Garante della Privacy, nella newsletter 18-
31 ottobre 2004, riportando il caso di un cittadino che, dopo
essersi sottoposto ad accertamenti sanitari per il
riconoscimento di infermità da causa di servizio, lamentava il
fatto che i referti gli fossero stati comunicati
dall'amministrazione di appartenenza, tramite il messo
comunale, dall'amministrazione di appartenenza spillati ad una
nota di accompagnamento, anziché custoditi in busta chiusa.
64. Sanzioni
Amministrative
L’organo competente ad irrogare le sanzioni è il
Garante .
L’omessa o inidonea informativa all’interessato
(art. 13)
E’ punita con la sanzione amministrativa
da €. 6.000 a €. 36.000
65. Art. 162
Altre fattispecie
Cessione dei dati
Sanzione amministrativa da €. 10.000 a €. 60.000
Dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato o
prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile
della struttura presso cui dimora l'interessato; da parte di esercenti le professioni sanitarie ed
organismi sanitari, solo per il tramite di un medico designato dall'interessato o dal titolare.
Sanzione amministrativa da €. 1.000 a €. 6.000
Violazione delle misure minime art. 33 o per l’illecito trattamento dei dati art. 167
Sanzione amministrativa da €. 20.000 a €. 120.000
Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.
L’inosservanza dei provvedimenti del Garante:
che rendono il trattamento conforme alle disposizioni vigenti
di vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o
disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla
disciplina applicabile al trattamento dei dati
Sanzione amministrativa da €. 30.000 a €. 180.000
66. Art. 162-bis. Sanzioni in materia di
conservazione dei dati di traffico
Violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis
Sanzione amministrativa da €. 10.000 a €. 50.000 .
Dati relativi al traffico telefonico, sono conservati dal fornitore per
24 mesi dalla data della comunicazione
Dati relativi al traffico telematico sono conservati dal fornitore per
12 mesi dalla data della comunicazione
Per finalità di accertamento e repressione dei reati.
I dati relativi alle chiamate senza risposta sono conservati per 30
giorni
67. Omessa informazione o
esibizione al Garante
Chi omette di fornire le informazioni o di
esibire i documenti richiesti dal Garante ai
sensi degli articoli 150, comma 2, e 157
Sanzione amministrativa €. 10.000 a €.
60.000
68. Casi di minore gravità e
ipotesi aggravate
Violazioni amministrative di minore gravità.
Avuto altresí riguardo alla natura anche economica
o sociale dell'attività svolta, sono applicati in
misura pari a due quinti.
In altri casi di maggiore gravità
Maggiore rilevanza del pregiudizio per uno o più
interessati, ovvero quando la violazione coinvolge
numerosi interessati, sono applicati in misura pari
al doppio.
69. Illeciti penali
Salvo che il fatto costituisca più grave reato, chiunque,
al fine di trarne per sé o per altri profitto o di recare ad
altri un danno, procede al trattamento di dati personali
è punito, se dal fatto deriva nocumento,
reclusione da sei a diciotto mesi
se il fatto consiste nella comunicazione o diffusione,
reclusione da sei a ventiquattro mesi .
70. Falsità nelle dichiarazioni e
notificazioni al Garante art. 168
Chiunque, nella notificazione di cui all'articolo 37 o
in comunicazioni, atti, documenti o dichiarazioni
resi o esibiti in un procedimento dinanzi al Garante
o nel corso di accertamenti, dichiara o attesta
falsamente notizie o circostanze o produce atti o
documenti falsi, è punito, salvo che il fatto
costituisca più grave reato.
Rientra l’autocertificazione delle misure minime di
cui all’art. 34 comma 1 bis.
Reclusione da sei mesi a tre anni.
71. Misure di sicurezza art. 169
Chiunque, essendovi tenuto, omette di adottare le misure minime
(D.P.S.) previste dall’articolo 33 è punito con:
l'arresto sino a due anni o con l'ammenda da €. 10.000 a €.
50.000.
All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche
con successivo atto del Garante, è impartita una prescrizione fissando un
termine per la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare complessità o
per l’oggettiva difficoltà dell’adempimento e comunque non superiore a 6
mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta
l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a
pagare una somma pari al quarto del massimo dell'ammenda stabilita per la
contravvenzione.
72. Inosservanza di provvedimenti
del Garante
Chiunque, essendovi tenuto, non osserva il
provvedimento adottato dal Garante :
- Autorizzazione al trattamento dei dati sensibili, Il
trattamento dei dati genetici;
- Provvedimenti a seguito del ricorso;
- Provvedimento che dispone il blocco o vieta, in tutto
o in parte, il trattamento.
è punito con la reclusione da tre mesi a due anni .
73. Come tutelare i propri diritti in caso di
violazione dei propri dati personali?
2 vie possibili:
- Amministrativa Garante della
Privacy
- Giudiziaria Tribunale ordinario
74. Forme di tutela dinanzi al Garante della Privacy
“Tutela amministrativa”
Art. 141 Codice Privacy
L’interessato può rivolgersi al Garante mediante:
a) Reclamo circostanziato
per rappresentare una violazione della disciplina rilevante in
materia di trattamento di dati personali;
b) Segnalazione
se non è possibile presentare un reclamo circostanziato al fine di
sollecitare un controllo da parte del Garante;
c) Ricorso
se intende far valere gli specifici diritti di cui all’articolo 7 “diritto di
accesso ai dati personali ed altri diritti”.
75. TUTELA ALTERNATIVA A QUELLA
GIURISDIZIONALE
I diritti di cui all'articolo 7 possono essere fatti valere dinanzi
- autorità giudiziaria;
- con ricorso al Garante.
Il ricorso al Garante non può essere proposto se, per il medesimo
oggetto e tra le stesse parti, è stata già adita l'autorità giudiziaria.
La presentazione del ricorso al Garante rende improponibile
un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse
parti e per il medesimo oggetto.
76. Art. 146
Interpello preventivo
Il ricorso al Garante può essere proposto:
- Dopo che è stata avanzata richiesta sul medesimo oggetto al
titolare o al responsabile;
- Siano decorsi 15 giorni dal suo ricevimento e di 30 giorni in
caso le procedure siano complesse;
- Diniego anche parziale della richiesta.
77. Presentazione del ricorso
- con plico raccomandato;
- per via telematica
firma digitale e alla conferma del ricevimento;
- presentato direttamente presso il Garante.
78. Provvedimenti del Garante
- In via provvisoria, il blocco in tutto o in parte di taluno dei dati, ovvero
l'immediata sospensione di una o più operazioni del
trattamento
- Cessazione del comportamento illegittimo , indicando le misure
necessarie a tutela dei diritti dell'interessato e assegnando un termine per
la loro adozione.
Tecnica del silenzio rigetto
La mancata pronuncia sul ricorso, decorsi 60 giorni dalla data di presentazione,
equivale a rigetto.
Comunicazione dei provvedimenti deve essere fatto entro dieci giorni e anche
mediante posta elettronica o telefax.
79. Il titolare o l'interessato possono fare
opposizione avverso il provvedimento
espresso o il rigetto tacito
Ricorso al Tribunale
L'opposizione non sospende l'esecuzione del
provvedimento.
80. Art. 152
TUTELA
GIURISDIZIONALE
1. Tutte le controversie che riguardano l'applicazione delle
disposizioni del codice privacy, comprese quelle inerenti
ai provvedimenti del Garante sono attribuite all'autorità
giudiziaria ordinaria.
2. Per tutte le controversie, l’azione si propone con ricorso
depositato nella cancelleria del tribunale del luogo ove
risiede il titolare del trattamento.
3. Il tribunale decide in ogni caso in composizione
monocratica.
81. Procedimento
Decreto di fissazione dell’udienza di comparizione
Il ricorrente deve notificarlo alle parti e al Garante
Tra il giorno della notificazione e l'udienza di comparizione intercorrono
non meno di 30 giorni.
Udienza di comparizione
Concessione di eventuali note difensive
Udienza per la discussione
Pronuncia della sentenza
La sentenza non è appellabile, ma è ammesso il ricorso per cassazione.
82. Procedimento d’urgenza
Quando sussiste pericolo imminente di un danno grave ed irreparabile.
Con il decreto di fissazione dell’udienza di comparizione il giudice
emana i provvedimenti necessari.
Udienza di comparizione entro 15 giorni
In tale udienza, con ordinanza, il giudice conferma, modifica o revoca i
provvedimenti emanati con decreto.
83. Competenza Territoriale
L’azione si propone con ricorso depositato nella
cancelleria del tribunale del luogo ove risiede il
titolare del trattamento
"titolare", persona fisica, giuridica, P.A. e qualsiasi
altro ente, associazione od organismo cui
competono le decisioni in ordine alle finalità, alle
modalità del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della
sicurezza
84. Difetto di giurisdizione
Con ordinanza del 25 maggio 2005, il T.A.R.
Lazio ha respinto la domanda di sospensione
presentata dai ricorrenti, rimettendo ogni
decisione, anche in ordine alla questione della
giurisdizione, alla fase di merito.
Difetto di competenza territoriale
Vari giudizi introdotti, in particolare, nel 2005
avanti al Giudice di pace di Taranto.
85. Orientamento giurisprudenziale
sulla competenza territoriale
Tribunale di Roma
(sentenza del 10 gennaio 2006)
Tribunale di Viterbo
(sentenza n. 767 del 7 settembre 2005).
Tribunale di Napoli
(sentenza n. 11727 del 25 novembre 2005)
86. Corte di Cassazione Civile
Ordinanza 31/05/2006, n.12980
Non applicabilità del foro del consumatore
ex. art. 1469 bis. (sostituito dall’art. 63 del
D.Lgs n. 206/2005).
Poiché non può concorrere con il foro
individuato dall’art. 152 co. 2° T.U. Privacy
Competenza a carattere esclusivo
87. Motivi della decisione
Non si può assimilare la disciplina della
tutela del consumatore a quella
dell'interessato al trattamento dei dati
personali
Sono due materie che presentano una "ratio"
ben diversa e per le quali l'ordinamento
88. Due interessi diversi da tutelare
Consumatore
si apprestano strumenti di tutela nei confronti del
"professionista" che trovano la loro ragione d'essere
nella differente forza contrattuale delle parti.
Trattamento dei dati personali
la "ratio" si rinviene esclusivamente nella particolare
natura dell'attività di trattamento d'informazioni
relative a soggetti identificati o identificabili,
indipendentemente dalla posizione delle parti e dai
loro rapporti di forza, attività che si assume come
potenzialmente lesiva dei diritti individuali.
89. GRAZIE PER
L’ATTENZIONE
ARRIVEDERCI
Avv. Pasquale Lopriore
Specialist in Legal Information Technology
___________________________________
Sito web: http://p.lopriore.googlepages.com
E-mail: p.lopriore@libero.it