1. 08/05/2012
Oggetto dell’educazione non
è dare all’allievo una quantità
CORSO DI INFORMATICA GIURIDICA AVANZATA A.A. 2011-2012
sempre maggiore di nozioni,
TRATTAMENTO DI DATI PERSONALI IN
ma costituire in lui uno stato [..]
AMBITO SANITARIO..
che orienti l’allievo in un senso
..E SISTEMA INFORMATIVO SOCIO- definito.
SANITARIO DI REGIONE LOMBARDIA
Interrompete per
domande di
approfondimento o
chiarimenti
DOTT.SSA DANIELA QUETTI
E. Morin, La testa ben fatta. Riforma dell'insegnamento e riforma del pensiero, Cortina, Milano 2000.
3 maggio 2012 Università degli Studi di Milano 2
AGENDA
1. Definizioni
2. Trattamento dei dati in ambito sanitario (adempimenti verso il
Garante, adempimenti verso l’interessato, misure organizzative, misure di sicurezza,..)
3. Dati Sanitari e WEB
DEFINIZIONI
4. Introduzione Fascicolo Sanitario Elettronico o Electronic Health
Record (EHR) e dossier sanitario
5. Sistema Informativo Socio Sanitario (SISS) (Fascicolo Sanitario Elettronico,
trattamenti aventi finalità amministrative)
Università degli Studi di Milano 3 Università degli Studi di Milano 4
1
2. 08/05/2012
DEFINIZIONI DEFINIZIONI
TRATTAMENTO DI DATI PERSONALI IN AMBITO SANITARIO TRATTAMENTO DI DATI PERSONALI IN AMBITO SANITARIO
CHE COS’È UN TRATTAMENTO? QUALI SONO I DATI PERSONALI ?
Art. 4 lettera a) Art. 4 lettera b)
qualunque operazione o complesso di operazioni, effettuati anche
senza l'ausilio di strumenti elettronici, concernenti: qualunque informazione relativa a
persona fisica,
la raccolta, la registrazione, l'organizzazione,
• identificata
la conservazione, la consultazione, l'elaborazione,
la modificazione, la selezione, l'estrazione, • o identificabile,
il raffronto, l'utilizzo, l'interconnessione, anche indirettamente, mediante
il blocco, la comunicazione, la diffusione, riferimento a qualsiasi altra informazione,
la cancellazione, la distruzione
ivi compreso un numero di identificazione
personale
di dati, anche se non registrati in una banca di dati.
Università degli Studi di Milano 5 Università degli Studi di Milano 6
DEFINIZIONI DEFINIZIONI
TRATTAMENTO DI DATI PERSONALI IN AMBITO SANITARIO TRATTAMENTO DI DATI PERSONALI IN AMBITO SANITARIO
QUALI SONO I DATI ANONIMI ? QUALI SONO I DATI SENSIBILI ?
Art. 4 lettera d)
Art. 4 lettera n)
i dati personali idonei a rivelare l'origine razziale
il dato che in origine, o a seguito di trattamento, non può essere ed etnica, le convinzioni religiose, filosofiche o
associato ad un interessato identificato o identificabile di altro genere, le opinioni politiche, l'adesione
a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita
sessuale
Università degli Studi di Milano 7 Università degli Studi di Milano 8
2
3. 08/05/2012
DEFINIZIONI PRECISAZIONE
DATI SENSIBILI AVENTI COME CONTENUTO INFORMAZIONI SANITARIE
TRATTAMENTO DI DATI PERSONALI IN AMBITO SANITARIO (es. prescrizioni, prenotazioni di prestazioni ambulatoriali, esenzioni alla spesa
sanitaria, eventi sanitari, ecc…)
COSA SI INTENDE PER AMBITO SANITARIO?
Finalità
Finalità di cura
Amministrative
prevenire, diagnosticare e curare consentire la pianificazione ed il
il Cittadino e fornire la relativa monitoraggio della spesa sanitaria,
assistenza le ricerche epidemiologiche ecc..
Esercenti professioni Organismi
sanitarie sanitari
Università degli Studi di Milano 9 Università degli Studi di Milano 10
ESEMPIO RICHIAMO ART. 3: DATI SANITARI SU CARTE
DEFINIZIONI: RICHIAMO PRINCIPI – D.LGS. 196/2003
Il trattamento in ogni forma di dati idonei a rivelare lo stato di salute o
I sistemi informativi e i programmi informatici sono configurati riducendo
la vita sessuale eventualmente registrati su carte anche non
al minimo l'utilizzazione di dati personali e di dati identificativi, in modo
elettroniche, compresa la carta nazionale dei servizi, o trattati
da escluderne il trattamento quando le finalità perseguite nei singoli casi
mediante le medesime carte è consentito se necessario ai sensi
possono essere realizzate mediante, rispettivamente,
dell'articolo 3 D.Lgs. 196/2003
• dati anonimi od
• opportune modalità
che permettano di identificare l'interessato solo in caso di necessità. Un esempio:
Dati necessari ed indispensabili Altri dati
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
Art. 3 Principio di necessità nel trattamento dei dati Art. 91. Dati trattati mediante carte
Università degli Studi di Milano 11 Università degli Studi di Milano 12
3
4. 08/05/2012
DEFINIZIONI: RICHIAMO PRINCIPI – D.LGS. 196/2003 DEFINIZIONI: RICHIAMO PRINCIPI – D.LGS. 196/2003
Ogni trattamento dei dati, oltre che compiersi in modo lecito e
secondo correttezza dovrà avvenire: I dati idonei a rivelare lo stato di salute non possono essere diffusi.
• per scopi espliciti e legittimi
• in termini compatibili con detti scopi (non è possibile raccogliere
un dato con una finalità e poi utilizzarlo per una finalità differente).
Inoltre il trattamento deve avvenire su dati:
• esatti, garantendone quindi l’aggiornamento;
• pertinenti;
• completi;
• non eccedenti rispetto alle finalità per cui sono stati raccolti
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
Art. 11 Modalità del trattamento e requisiti dei dati Art. 22. comma 8 Principi applicabili al trattamento di dati sensibili e giudiziari
Università degli Studi di Milano 13 Università degli Studi di Milano 14
NORME DI RIFERIMENTO
TRATTAMENTO DEI DATI TRATTAMENTO DI DATI PERSONALI IN AMBITO SANITARIO
IN AMBITO SANITARIO
Tipologia di dato personale: idonei a
1. ADEMPIMENTI VERSO IL GARANTE – NOTIFICAZIONE rivelare lo stato di salute
2. ADEMPIMENTI VERSO L’INTERESSATO – I NFORMATIVA E MODALITÀ Titolo V
SEMPLIFICATE Art. dal 75 al 94
3. ADEMPIMENTI VERSO L’INTERESSATO – CONSENSO AL TRATTAMENTO DEI Finalità del trattamento: di
DATI PERSONALI E MODALITÀ SEMPLIFICATE cura
4. AUTORIZZAZIONI GENERALI
5. REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI PER FINALITÀ
AMMINISTRATIVE + altre norme
Luogo trattamento: ambito
6. M ISURE ORGANIZZATIVE E M ISURE DI SICUREZZA del D.Lgs. 196/2003 sanitario
Università degli Studi di Milano 15 Università degli Studi di Milano 16
4
5. 08/05/2012
NOTIFICAZIONE AL GARANTE
TRATTAMENTO DEI DATI dovuta nei soli casi di cui all'art. 37 del Codice
IN AMBITO SANITARIO
1. ADEMPIMENTI VERSO IL GARANTE – NOTIFICAZIONE
2. ADEMPIMENTI VERSO L’INTERESSATO – I NFORMATIVA E MODALITÀ
SEMPLIFICATE
3. ADEMPIMENTI VERSO L’INTERESSATO – CONSENSO AL TRATTAMENTO DEI
DATI PERSONALI E MODALITÀ SEMPLIFICATE La notificazione è una dichiarazione con la quale un soggetto pubblico
4. AUTORIZZAZIONI GENERALI o privato rende nota al Garante per la protezione dei dati personali
5. REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI PER FINALITÀ l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali,
AMMINISTRATIVE
svolta quale autonomo titolare del trattamento.
6. M ISURE ORGANIZZATIVE E M ISURE DI SICUREZZA
Garante per la protezione dei dati personali, Provvedimento 9 novembre
2005, Strutture sanitarie: rispetto della dignità
Università degli Studi di Milano 17 Università degli Studi di Milano 18
ESEMPI DI TRATTAMENTI SOGGETTI A NOTIFICAZIONE REGISTRO NOTIFICAZIONI
a) dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di
procreazione assistita, prestazione di servizi sanitari per via telematica
relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche,
rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto
di organi e tessuti e monitoraggio della spesa sanitaria;
Riferimenti D.Lgs. 196/2003: art. 37 Riferimenti D.Lgs. 196/2003: art. 37
(cfr. anche provvedimento del Garante n. 1/2004 recante i casi da sottrarre all'obbligo di (cfr. anche provvedimento del Garante n. 1/2004 recante i casi da sottrarre all'obbligo di
notificazione); notificazione);
Università degli Studi di Milano 19 Università degli Studi di Milano 20
5
6. 08/05/2012
PREMESSA: MODALITÀ SEMPLIFICATE PER INFORMATIVA E CONSENSO
TRATTAMENTO DEI DATI CHI:
• organismi sanitari pubblici,
IN AMBITO SANITARIO • altri organismi privati,
• gli esercenti le professioni sanitarie;
• soggetti pubblici operanti in ambito sanitario o
• della prevenzione e sicurezza del lavoro
1. ADEMPIMENTI VERSO IL GARANTE – NOTIFICAZIONE
2. ADEMPIMENTI VERSO L’INTERESSATO – INFORMATIVA E MODALITÀ Possono usare le modalità semplificate:
SEMPLIFICATE
3. ADEMPIMENTI VERSO L’INTERESSATO – CONSENSO AL TRATTAMENTO DEI a) per informare l'interessato;
DATI PERSONALI E MODALITÀ SEMPLIFICATE
4. ADEMPIMENTI VERSO L’INTERESSATO – ART. 7 b) per manifestare il consenso al trattamento
5. AUTORIZZAZIONI GENERALI dei dati personali;
6. REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI PER FINALITÀ
c) per il trattamento dei dati personali.
AMMINISTRATIVE
7. M ISURE ORGANIZZATIVE E M ISURE DI SICUREZZA
Riferimenti D.Lgs. 196/2003:
Art. 77. Casi di semplificazione
Università degli Studi di Milano 21 Università degli Studi di Milano 22
INFORMATIVA: INFORMATIVA MMG/PDF
2. INFORMATIVA
MMG e PDF deve fornire l’informativa:
Informativa da fornire agli interessati art. 13 del Codice
In modo chiaro
A. le finalità e le modalità del trattamento cui sono destinati i dati;
B. la natura obbligatoria o facoltativa del conferimento dei dati; per il complessivo trattamenti
C. le conseguenze di un eventuale rifiuto di rispondere;
D. i soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati preferibilmente per iscritto, anche
E. i diritti di cui all'articolo 7; attraverso carte tascabili
F. gli estremi identificativi del titolare del rappresentante e del
responsabile.
Garante per la protezione dei dati personali, Provvedimento 9 novembre
2005, Strutture sanitarie: rispetto della dignità Riferimenti D.Lgs. 196/2003:
Art. 78. Informativa del medico di medicina generale o del pediatra
Università degli Studi di Milano 23 Università degli Studi di Milano 24
6
7. 08/05/2012
INFORMATIVA: INFORMATIVA MMG/PDF INFORMATIVA: INFORMATIVAVA ORGANISMI SANITARI
Gli organismi sanitari pubblici e privati possono avvalersi delle modalità
L'informativa evidenzia analiticamente trattamenti effettuati: semplificate relative all'informativa e al consenso :
per scopi scientifici • In riferimento ad una Attività di prevenzione
pluralità di prestazioni (es esami laboratorio)
erogate
Attività diagnostiche (es
nell'ambito della teleassistenza o visita specialistica)
telemedicina;
Attività di cura (es
trattamenti )
per fornire altri beni o servizi
all'interessato attraverso una rete di
comunicazione elettronica. Assistenza riabilitativa
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
Art. 78. Informativa del medico di medicina generale o del pediatra Art. 79. Informativa da parte di organismi sanitari
Università degli Studi di Milano 25 Università degli Studi di Milano 26
INFORMATIVA: INFORMATIVAVA ORGANISMI SANITARI INFORMATIVA: INFORMATIVAVA ORGANISMI SANITARI
Gli organismi sanitari pubblici e privati possono avvalersi delle modalità Gli organismi sanitari pubblici e privati possono avvalersi delle modalità
semplificate relative all'informativa e al consenso : semplificate relative all'informativa e al consenso :
• In riferimento In riferimento ad una
• In riferimento ad una Cardiochirurgia pluralità di prestazioni erogate anche AO Sant’anna Como
pluralità di prestazioni da distinti reparti ed unità dello stesso
erogate anche da distinti organismo o di più strutture
Oncologia
reparti ospedaliere o territoriali Poliambulatorio
specificamente identificati. Olgiate
Ortopedia
Struttura Cantù
Chirurgia Generale
Medicina Generale Struttura Menaggio
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
Art. 79. Informativa da parte di organismi sanitari Art. 79. Informativa da parte di organismi sanitari
Università degli Studi di Milano 27 Università degli Studi di Milano 28
7
8. 08/05/2012
3. CONSENSO PER I TRATTAMENTI DI DATI PERSONALI
TRATTAMENTO DEI DATI Il Consenso per il trattamento di dati personali è richiesto per
trattamenti connessi all'erogazione delle prestazioni e dei servizi per
IN AMBITO SANITARIO svolgere attività:
di prevenzione,
1. ADEMPIMENTI VERSO IL GARANTE – NOTIFICAZIONE diagnosi,
2. ADEMPIMENTI VERSO L’INTERESSATO – I NFORMATIVA E MODALITÀ cura,
SEMPLIFICATE riabilitazione
3. ADEMPIMENTI VERSO L’INTERESSATO – CONSENSO AL TRATTAMENTO DEI
(artt. 22, 26 e 76 del Codice)
DATI PERSONALI E MODALITÀ SEMPLIFICATE
4. AUTORIZZAZIONI GENERALI
5. REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI PER FINALITÀ
AMMINISTRATIVE
6. M ISURE ORGANIZZATIVE E M ISURE DI SICUREZZA
Garante per la protezione dei dati personali, Provvedimento 9 novembre
2005, Strutture sanitarie: rispetto della dignità
Università degli Studi di Milano 29 Università degli Studi di Milano 30
CONSENSO: MODALITÀ DICHIARAZIONE VERIFICA INFORMATIVA E CONSENSO
REGOLA GENERALE (ART. 26): PECULIARITA’ AMBITO SANITARIO:
Il consenso al trattamento dei L’Azienda Sanitaria annota l'avvenuta informativa e il consenso con
I dati sensibili possono essere dati idonei a rivelare lo stato di modalità uniformi e tali da permettere una verifica al riguardo da parte
oggetto di trattamento solo salute, può essere manifestato di altri reparti ed unità che, anche in tempi diversi, trattano dati relativi
con il consenso scritto con un'unica dichiarazione, al medesimo interessato.
dell'interessato e previa anche oralmente.
autorizzazione del Garante In tal caso il consenso e'
documentato, anzichè con atto
scritto dell'interessato, con
annotazione
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
art. 81 Prestazione del consenso Art. 79. Informativa da parte di organismi sanitari
Università degli Studi di Milano 31 Università degli Studi di Milano 32
8
9. 08/05/2012
PRECISAZIONE 1 PRECISAZIONE 2
Finalità
Finalità di cura
Amministrative
Consenso al
trattamento dei dati
ex D.Lgs. 196/2003
“Consenso
Informato” dell’art.
33 Codice Solo con il Senza il
Deontologico Medico consenso dell’Interessato consenso dell’Interessato
Università degli Studi di Milano 33 Università degli Studi di Milano 34
CONSENSO: EMERGENZA
Consenso al
Informativa trattamento dei dati
TRATTAMENTO DEI DATI
personali IN AMBITO SANITARIO
possono intervenire senza ritardo, successivamente alla prestazione 1. ADEMPIMENTI VERSO IL GARANTE – NOTIFICAZIONE
2. ADEMPIMENTI VERSO L’INTERESSATO – I NFORMATIVA E MODALITÀ
La prestazione SEMPLIFICATE
Impossibilità di rischio grave, medica che puo' 3. ADEMPIMENTI VERSO L’INTERESSATO – CONSENSO AL TRATTAMENTO DEI
caso di emergenza raccogliere il imminente ed essere
DATI PERSONALI E MODALITÀ SEMPLIFICATE
sanitaria o di igiene consenso irreparabile per la pregiudicata
pubblica (dall’interessato, dal salute o dall'acquisizione 4. AUTORIZZAZIONI GENERALI
tutore, ecc..) dell'interessato preventiva del 5. REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI PER FINALITÀ
consenso AMMINISTRATIVE
6. M ISURE ORGANIZZATIVE E M ISURE DI SICUREZZA
Riferimenti D.Lgs. 196/2003:
art. 82 Emergenze e tutela della salute e dell'incolumità fisica
Università degli Studi di Milano 35 Università degli Studi di Milano 36
9
10. 08/05/2012
4. AUTORIZZAZIONI GENERALI AUTORIZZAZIONI GENERALI
strumento per prescrivere:
I titolari del trattamento in ambito sanitario devono rispettare le
autorizzazioni generali rilasciate dal Garante • misure uniformi a garanzia degli interessati
• i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili • per garantire il rispetto di alcuni principi volti a ridurre al
solo previa autorizzazione dell’Autorità Garante (l’art. 26 del Codice) minimo i rischi di danno o di pericolo che i trattamenti
• gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, possono
potrebbero comportare per i diritti e le libertà
trattare i dati personali idonei a rivelare lo stato di salute anche senza il fondamentali, nonché per la dignità delle persone.
consenso dell'interessato ma previa autorizzazione del Garante se il
trattamento riguarda dati e operazioni indispensabili per perseguire una La Commissione europea ha
finalità di tutela della salute o dell'incolumità fisica di un terzo o della proposto una riforma globale della
collettività (l'art. 76 del Codice) normativa UE del 1995 Un
regolamento, che istituisce un
quadro generale e Una direttiva
Garante per la protezione dei dati personali, Provvedimento 9 novembre Riferimenti D.Lgs. 196/2003:
2005, Strutture sanitarie: rispetto della dignità Art. 90. Trattamento dei dati genetici e donatori di midollo osseo
Università degli Studi di Milano 37 Università degli Studi di Milano 38
AUTORIZZAZIONI GENERALI: AUTORIZZAZIONI GENERALI:
DATI IDONEI A RIVELARE LO STATO DI SALUTE E LA VITA
DATI GENETICI
SESSUALE
il trattamento dei dati genetici da chiunque effettuato è consentito nei
soli casi previsti da apposita autorizzazione rilasciata dal Garante
[doc. web n. 1822577] [doc. web n. 1822650]
Autorizzazione n. 2/2011 al trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale Autorizzazione generale al trattamento dei dati
- 24 giugno 2011 genetici - 24 giugno 2011
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
Art. 90. Trattamento dei dati genetici e donatori di midollo osseo Art. 90. Trattamento dei dati genetici e donatori di midollo osseo
Università degli Studi di Milano 39 Università degli Studi di Milano 40
10
11. 08/05/2012
AUTORIZZAZIONI GENERALI:
TRATTAMENTO DEI DATI PERSONALI PER SCOPI DI
RICERCA SCIENTIFICA
TRATTAMENTO DEI DATI
Incide sui dati raccolti, anche, per finalità di cura IN AMBITO SANITARIO
1. ADEMPIMENTI VERSO IL GARANTE – NOTIFICAZIONE
2. ADEMPIMENTI VERSO L’INTERESSATO – I NFORMATIVA E MODALITÀ
SEMPLIFICATE
[[doc. web n. 1878276] 3. ADEMPIMENTI VERSO L’INTERESSATO – CONSENSO AL TRATTAMENTO DEI
DATI PERSONALI E MODALITÀ SEMPLIFICATE
Autorizzazione generale al trattamento dei dati 4. AUTORIZZAZIONI GENERALI
personali effettuato per scopi di ricerca scientifica 5. REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI PER FINALITÀ
- 1° marzo 2012 AMMINISTRATIVE
6. M ISURE ORGANIZZATIVE E M ISURE DI SICUREZZA
Riferimenti D.Lgs. 196/2003:
Art. 90. Trattamento dei dati genetici e donatori di midollo osseo
Università degli Studi di Milano 41 Università degli Studi di Milano 42
5. REGOLAMENTO PER IL TRATTAMENTO DEI DATI REGOLAMENTO PER IL TRATTAMENTO DEI DATI
SENSIBILI PER FINALITÀ AMMINISTRATIVE SENSIBILI PER FINALITÀ AMMINISTRATIVE
il trattamento dei dati Sensibili da parte dei soggetti pubblici è consentito
laddove vi sia un’espressa previsione di Legge
I titolari del trattamento in ambito sanitario devono rispettare le
disposizioni contenute nel regolamento per il trattamento dei dati
sensibili per finalità amministrative adottato ai sensi dell'art. 20 del
Codice
Se la Legge individua solo
La Legge deve definire le finalità il soggetto
• tipologia di dati, pubblico può identificare
• operazioni eseguibili tipologia di dati e
• finalità di rilevante interesse operazioni eseguibili
pubblico attraverso un
perseguite. ATTO REGOLAMENTARE
Garante per la protezione dei dati personali, Provvedimento 9 novembre
2005, Strutture sanitarie: rispetto della dignità Riferimenti D.Lgs. 196/2003:
art. 20 Principi applicabili al trattamento di dati sensibili
Università degli Studi di Milano 43 Università degli Studi di Milano 44
11
12. 08/05/2012
REGOLAMENTO PER IL TRATTAMENTO DEI DATI
R.R. 9/2006
SENSIBILI PER FINALITÀ AMMINISTRATIVE
Il Regolamento Regionale individua tipologia dei dati,
finalità perseguite e operazioni eseguibili in schede di
trattamento distinte.
ATTO REGOLAMENTARE
Ogni scheda di trattamento, oltre all’identificativo
numerico e la denominazione del trattamento è
composta dalle seguenti parti:
Regolamento Regionale 18 luglio 2006 , n. 9 fonti normative che giustificano il trattamento (fonti legislative,
regionali, altre fonti);
“Regolamento per il trattamento dei dati sensibili e giudiziari di indicazione della finalità del trattamento;
competenza della Giunta regionale, delle aziende sanitarie, degli enti e la tipologia dei dati trattati;
agenzie regionali, degli enti vigilati dalla Regione Lombardia la modalità di trattamento;
la tipologia delle operazioni eseguite;
la descrizione del trattamento e del flusso informativo.
Riferimenti D.Lgs. 196/2003:
art. 20 Principi applicabili al trattamento di dati sensibili Regolamento Regionale 18 luglio 2006 , n. 9
Università degli Studi di Milano 45 Università degli Studi di Milano 46
6. MISURE ORGANIZZATIVE
TRATTAMENTO DEI DATI
Art. 83 prevedere specifiche modalità per il
IN AMBITO SANITARIO rispetto dei diritti degli Interessati, prescrizioni
che comportano
1. ADEMPIMENTI VERSO IL GARANTE – NOTIFICAZIONE adeguate misure organizzative
2. ADEMPIMENTI VERSO L’INTERESSATO – I NFORMATIVA E MODALITÀ
SEMPLIFICATE per garantire il più ampio rispetto dei diritti e
3. ADEMPIMENTI VERSO L’INTERESSATO – CONSENSO AL TRATTAMENTO DEI delle libertà fondamentali e della dignità degli
DATI PERSONALI E MODALITÀ SEMPLIFICATE interessati, nonché del segreto professionale.
4. AUTORIZZAZIONI GENERALI
5. REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI PER FINALITÀ
AMMINISTRATIVE
6. MISURE ORGANIZZATIVE E MISURE DI SICUREZZA
Riferimenti D.Lgs. 196/2003:
art. 83 Altre misure per il rispetto dei diritti degli interessati
Università degli Studi di Milano 47 Università degli Studi di Milano 48
12
13. 08/05/2012
MISURE DI SICUREZZA – ORGANIZZATIVE MISURE DI SICUREZZA – ORGANIZZATIVE
a) soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad
b) l'istituzione di appropriate distanze di cortesia, tenendo conto
adempimenti amministrativi preceduti da un periodo di attesa all'interno
dell'eventuale uso di apparati vocali o di barriere;
di strutture, un ordine di precedenza e di chiamata degli interessati
prescindendo dalla loro individuazione nominativa
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
art. 83 Altre misure per il rispetto dei diritti degli interessati art. 83 Altre misure per il rispetto dei diritti degli interessati
Università degli Studi di Milano 49 Università degli Studi di Milano 50
MISURE DI SICUREZZA – ORGANIZZATIVE MISURE DI SICUREZZA – ORGANIZZATIVE
Università degli Studi di Milano 51 Università degli Studi di Milano 52
13
14. 08/05/2012
MISURE DI SICUREZZA DEFINIZIONI: RICHIAMO MISURE DI SICUREZZA
I dati personali oggetto di trattamento sono custoditi e controllati in
modo da ridurre al minimo, mediante l'adozione di idonee e preventive
misure di sicurezza:
i rischi di distruzione;
i rischi di perdita, anche accidentale;
i rischi di accesso non autorizzato;
In materia di trattamento dei dati personali in ambito sanitario, il i rischi di trattamento non consentito;
Codice prevede che gli organismi sanitari pubblici e privati adottino i rischi di trattamento non conforme alle
finalità della raccolta.
misure ed accorgimenti di carattere supplementare rispetto a quelle
già previste per il trattamento dei dati sensibili e per il rispetto delle
misure di sicurezza.
Garante per la protezione dei dati personali, Prescrizioni Strutture sanitarie: Riferimenti D.Lgs. 196/2003:
rispetto della dignità - 9 novembre 2005 Art. 31 Codice Obblighi di sicurezza
Università degli Studi di Milano 53 Università degli Studi di Milano 54
ULTERIORI MISURE DI SICUREZZA ULTERIORI MISURE DI SICUREZZA
PER DATI IDONEI A RIVELARE LO STATO DI SALUTE O VITA SESSUALE PER DATI IDONEI A RIVELARE LO STATO DI SALUTE O VITA SESSUALE
Gli organismi sanitari e gli esercenti professioni
sanitarie effettuano il trattamento dei dati
idonei a rivelare lo stato di salute e la vita
sessuale contenuti in elenchi, registri o
Per trattamenti di dati idonei a rivelare lo stato di salute o la vita banche dati con le modalità del 22 comma 6
sessuale effettuati da organismi sanitari il trattamento con strumenti anche al fine di consentire il trattamento
elettronici è consentito solo se sono adottate: disgiunto dei medesimi dati dagli altri dati I dati sensibili e giudiziari contenuti in
elenchi, registri o banche di dati, tenuti
personali che permettono di identificare con l'ausilio di strumenti elettronici,
• tecniche di cifratura direttamente gli interessati sono trattati con tecniche di cifratura o
mediante l'utilizzazione di codici
identificativi o di altre soluzioni che,
• o di codici identificativi considerato il numero e la natura dei
dati trattati, li rendono
temporaneamente inintelligibili anche
a chi è autorizzato ad accedervi e
permettono di identificare gli
interessati solo in caso di necessità (art.
22 comma 6)
Riferimenti D.Lgs. 196/2003: Riferimenti D.Lgs. 196/2003:
art. 34 lettera h) allegato b) punto 24
Università degli Studi di Milano 55 Università degli Studi di Milano 56
14
15. 08/05/2012
ULTERIORI MISURE DI SICUREZZA
PER DATI IDONEI A RIVELARE LO STATO DI SALUTE O VITA SESSUALE
Art. 22 (comma 7), come già anticipato, prevede che i dati idonei a
rivelare lo stato di salute e la vita sessuale siano conservati separatamente
da altri dati personali che non richiedano il loro utilizzo.
DATI SANITARI SUL WEB
Dati Dati
Personali Sanitari
Riferimenti D.Lgs. 196/2003:
art. 22 comma 7
Università degli Studi di Milano 57 Università degli Studi di Milano 58
PATIENT TO OPINION CARTELLE ON-LINE
Nel Regno Unito si è molto diffuso il sito “patient to opinion” dove il
paziente può inserire la propria storia, pareri, testimonianze. La maggiori multinazionali del WEB (es.
La finalità dichiarata è quella di raccogliere le criticità del Sistema google) hanno creato dei servizi di
Sanitario ma.. In realtà si è trasformato in un database sanitario dei sussidio “immaginario” per i pazienti.
cittadini Britannici.
I Cittadini possono creare le proprie
cartelle ambulatoriali e le proprie
cartelle cliniche ed accedere ai dati
ovunque.
Dove sono Chi può
archiviati i accedere ai
miei dati? dati?
Quali misure di
Chi e come è sicurezza sono
garantita la implementate
disponibilità ?
del dato?
Università degli Studi di Milano 59 Università degli Studi di Milano 60
15
16. 08/05/2012
SITI WEB DEDICATI ALLA SALUTE: LINEE GUIDA
[doc. web n. 1870212]]
Linee guida in tema di trattamento di dati personali per finalità di
pubblicazione e diffusione nei siti web esclusivamente
dedicati alla salute - 25 gennaio 2012 INTRODUZIONE
Si applica a FASCICOLO SANITARIO ELETTRONICO O
• specifici forum e blog;
• specifiche sezioni di portali che contengono informazioni sanitari; ELECTRONIC HEALTH RECORD (EHR) E DOSSIER
• social network che si occupano di tematiche sulla salute
attraverso specifici profili;
aperti con finalità di sensibilizzazione e confronto anche con
riferimento ai consigli o alle "consulenze" mediche che vengono dagli
stessi richieste.
Università degli Studi di Milano 61 Università degli Studi di Milano 62
PREMESSA : FASCICOLO SANITARIO ELETTRONICO IL DOSSIER SANITARIO
LINEE GUIDA GARANTE
Il Fse e il dossier contengono diverse informazioni inerenti allo Cardiochirurgia
stato di salute di un individuo relative ad eventi clinici presenti
e trascorsi (es.: referti, documentazione relativa a ricoveri, Oncologia
accessi al pronto soccorso), volte a documentarne la storia
clinica Ortopedia Dossier
dell’interessato X
Chirurgia Generale AO
Medicina Generale
[doc. web n. 1634116]
Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier
sanitario - 16 luglio 2009
Università degli Studi di Milano 63 Università degli Studi di Milano 64
16
17. 08/05/2012
IL FASCICOLO SANITARIO ELETTRONICO IL FASCICOLO SANITARIO ELETTRONICO
ASL “x”
Regioni con un FSE
AO “x”
Regioni con progetti pilota di FSE
AO “x”
FSE
dell’Interessato X
Fondazione IRCCS “x”
EGPA “x”
Fonte: cup2000
Cartina in aggiornamento
Università degli Studi di Milano 65 Università degli Studi di Milano 66
PREMESSA : FASCICOLO SANITARIO ELETTRONICO
MINISTERO SANITÀ
SISTEMA INFORMATIVO SOCIO SANITARIO (SISS)
E FSE DI REGIONE LOMBARDIA
Università degli Studi di Milano 67 Università degli Studi di Milano 68
17
18. 08/05/2012
SISTEMA INFORMATIVO SOCIO SANITARIO DI IL SISS GRAFICAMENTE
REGIONE LOMBARDIA 34 Aziende Ospedaliere
15 Aziende Sanitarie Locali
Il SISS è una piattaforma informatica che permette di connettere in 150.000 Operatori Socio-Sanitari AO
rete i Medici di Medicina Generale, i Pediatri di Famiglia e tutte le
strutture socio-sanitarie regionali creando un unico sistema Farmacia MMG/PDF
informativo che raccoglie, archivia e rende disponibili agli operatori
autorizzati tutte le informazioni cliniche relative ai singoli assistiti.
Farmacia
AO
AO MMG/
PDF
ASL
9.500.000 Cittadini
Università degli Studi di Milano 69 70
70
SISS SISS
GLI ADERENTI OBIETTIVI
• aumentare • Sono le
l’efficacia e informazioni e non
l’efficienza i Cittadini a
Azienda Sanitaria Locale (ASL) dell’azione clinica circolare
Enti Erogatori (EE)
Continuità
•Ente Erogatore pubblico
•Azienda Ospedaliera AO Fondazione IRCCS e qualità Informazioni
•Ente Erogatore privato accreditato (EEPA) della cura
•Casa di Cura Fondazione IRCCS
Attività Socio Sanitarie Integrate (ASSI)
•RSA - Residenze Socio Assistenziali per Anziani CDI - Centri Diurni Integrati
•RSD - Residenze Socio Assistenziali per Disabili; CDD - Centro Diurni per Disabili Governo
Semplificazione
•CSS - Comunità Socio Sanitarie Consultori Famigliari sanitario e
dei processi della
•Servizi Dipendenze Residenziali e Semiresidenziali SERT - Servizi Dipendenze sul pianificazione Socio-Sanità
Territorio
della spesa
Medici di Medicina Generale e Pediatri di Famiglia • informazioni • Comunicazioni
amministrative su semplici e veloci
base regionale
Farmacie
Università degli Studi di Milano 71 Università degli Studi di Milano 72
18
19. 08/05/2012
SISS
LE CARTE
SERVIZI SOCIO-SANITARI ON LINE
PER IL CITTADINO
CARTA OPERATORI SISS CARTA REGIONALE DEI SERVIZI
• Permette l’autenticazione dell’operatore al • CF
SISS • TEAM (Tessera Europea di Assicurazione
• Firma digitale Malattia )
• Tessera Sanitaria Nazionale
• Carta Nazionale dei Servizi
• Permette di effettuare la firma elettronica
• Costituisce una modalità di accesso ai servizi
erogati in rete dalle pubbliche
amministrazioni ex art. 64 del CAD
Università degli Studi di Milano 73 Università degli Studi di Milano 74
WWW.CRS.REGIONE.LOMBARDIA.IT SERVIZI SOCIO-SANITARI ON LINE
Università degli Studi di Milano 75 Università degli Studi di Milano 76
19
20. 08/05/2012
SERVIZI SOCIO-SANITARI ON LINE CONSULTA I TUOI DATI ANAGRAFICI
Dati Anagrafici Esenzioni
• I dati anagrafici possono essere modificati ed aggiornati dagli
Uffici dell’Agenzia delle Entrate del Ministero delle Finanze.
• Titolare del trattamento dei dati relativi alle esenzioni è l’ASL.
Università degli Studi di Milano 77 Università degli Studi di Milano 78
SERVIZI SOCIO-SANITARI ON LINE SERVIZIO SCELTA DEL MEDICO
• Il Cittadino non deve più recarsi presso lo sportello di Scelta e
Revoca dell’ASL
• La scelta, del Pediatra di Famiglia, può essere fatta anche dal
Genitore per l’interessato Minorenne
Università degli Studi di Milano 79 Università degli Studi di Milano 80
20
21. 08/05/2012
SERVIZI SOCIO-SANITARI ON LINE ESENZIONI PER REDDITO
Il Decreto Ministero della Salute del 11 dicembre 2009 ha variato le modalità
di accesso all’esenzione dalla partecipazione alla spesa sanitaria in base al
reddito per le prestazioni di assistenza specialistica ambulatoriale .
Il servizio permette al Cittadino di presentare le relative autocertificazioni
senza recarsi presso l’ASL.
Università degli Studi di Milano 81 Università degli Studi di Milano 82
SERVIZI SOCIO-SANITARI ON LINE PRENOTAZIONI ON LINE
Prenotare una visita specialistica
Visionare le agende
Consultare/Annullare
appuntamenti
Università degli Studi di Milano 83 Università degli Studi di Milano 84
21
22. 08/05/2012
PRENOTAZIONI SANITARIE
FSE
IN REGIONE LOMBARDIA
Università degli Studi di Milano 85 Università degli Studi di Milano 86
[doc. web n. 1634116]
FSE LOMBARDO GRAFICAMENTE INFORMATIVA
AL TRATTAMENTO DEI DATI EFFETTUATO CON IL FASCICOLO SANITARIO
ELETTRONICO
Università degli Studi di Milano 88
87
22
23. 08/05/2012
CONSENSO AL TRATTAMENTO DEI DATI FSE CONSENSO AL TRATTAMENTO DEI DATI FSE
M ODALITÀ PER PRESTARE IL CONSENSO I LIVELLO DI CONTROLLO
Modulo cartaceo On –line con operatore On –line in autonomia
Il cittadino ha prestato il proprio consenso
al trattamento dei dati tramite FSE?
SI NO
+ PIN + Il consenso prestato
non deve essere
rinnovato e può
essere revocato in
ogni momento.
Università degli Studi di Milano 89 Università degli Studi di Milano 90
ART. 7 DEL D.LGS. 196/2003 RIEPILOGO
I STANZE DI REVOCA E GENERICHE I LIVELLO DI CONTROLLO
SI
Io sottoscritto Mario Rossi nato a….
Chiede la revoca del consenso al
trattamento dei dati tramite
Fascicolo Sanitario Elettronico…
… utilizzando come … utilizzando il modello … scrivendola
riferimento il testo riportato
reperibile sul sito su carta
sul sito dell’Autorità semplice
internet Garante per
www.crs.regione.o la Privacy all’indirizzo
mbardia.it www.garanteprivacy.it
Università degli Studi di Milano 91 Università degli Studi di Milano 92
23
24. 08/05/2012
CHI ACCEDE AL FSE? ART. 82 EMERGENZE
II LIVELLO DI CONTROLLO
Può trattare i dati sanitari di un Cittadino, raccolti nel suo FSE, solo Nei casi eccezionali di emergenza sanitaria per il
l’operatore scelto dal Cittadino stesso come “Medico che lo ha in Cittadino, di rischio grave, imminente ed irreparabile
cura” per la sua salute, i medici possono accedere al FSE
del Cittadino, indipendentemente dal “ruolo” rivestito.
il Cittadino “sceglie” il proprio Medico di Medicina Generale
recandosi all’Ufficio Scelta/Revoca della propria ASL. Tale
“scelta” vale fino all’eventuale successiva “revoca”; Nota:
la “scelta” può avvenire anche implicitamente: è il caso del
medico che opera nel reparto ospedaliero nel quale il Cittadino
è eventualmente ricoverato. Tale “scelta” vale per il solo tempo L’Operatore Medico,
del ricovero; Interessato deve aver
autenticato al SISS con Notifica dell’avvenuto
la “scelta” avviene quando il Cittadino consegna prestato il Consenso
strong authentication, accesso all’ufficio
esplicitamente ad un medico la sua carta CRS. Tale scelta vale al Trattamento FSE e
per il solo tempo della consegna; firma digitalmente la Privacy SISS ed al
quindi è stato
dichiarazione di MMG dell’interessato
la “scelta” avviene attraverso una “designazione nominale” costituito il suo FSE
che il Cittadino può effettuare. Anche tale scelta ha una emergenza
durata temporale.
Riferimenti D.Lgs. 196/2003:
art. 82 Emergenze e tutela della salute e dell'incolumità fisica
Università degli Studi di Milano 93 Università degli Studi di Milano 94
FASCICOLO SANITARIO ELETTRONICO RIEPILOGO RETI PATOLOGIA
RETI DI PATOLOGIA II LIVELLO DI CONTROLLO
Accede, il medico che,
La “Rete di Patologia” è un Esempi di "Reti di Patologia" sono: esercitando la propria attività SI
raggruppamento di strutture
nel contesto di una “Rete di
sanitarie particolarmente •la Rete Malattie Rare (RMR); Patologia”, opera in una delle
competenti sullo specifico •la Rete per l'Epilessia (Epinetwork); Unità Operative che la
tema, istituito ed autorizzato •la Rete Oncologica Lombarda (ROL); compongono e che
dalla Regione Lombardia con •la Rete Udito. l’interessato ha scelto
l’obiettivo di sviluppare il
nominalmente
miglior trattamento di tale
patologia.
L’accesso da parte di questo
L’interessato può dare o
medico è limitato ai soli dati
revocare in qualsiasi momento
sanitari di quella specifica
l’autorizzazione al medico
patologia.
all’accesso ai propri dati.
Al momento dell’adesione alla Rete di Patologia,
all’interessato verrà fornita opportuna
informativa sulla finalità della Rete e sulle
modalità di trattamento dei dati.
Università degli Studi di Milano 95 Università degli Studi di Milano 96
24
25. 08/05/2012
IL FARMACISTA CHI ACCEDE AL FSE?
II LIVELLO DI CONTROLLO
CONDIZIONE: Accede in autonomia al proprio FSE l’interessato
L’interessato deve aver prestato il consenso al “Trattamento FSE”.
II Farmacista potrà accedere solo in presenza
della Carta CRS del Cittadino, al solo +
erogato farmaceutico dello stesso Cittadino di
un predefinito arco di tempo.
+ +
Università degli Studi di Milano 97 Università degli Studi di Milano 98
RIEPILOGO OSCURAMENTO
II LIVELLO DI CONTROLLO
LINEE GUIDA GARANTE
[…] deve essere garantita la possibilità di non far confluire nel
SI FSE alcune informazioni sanitarie relative a singoli eventi clinici
(ad es., con riferimento all'esito di una specifica visita
specialistica o alla prescrizione di un farmaco).
L'"oscuramento" dell'evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali da garantire che,
almeno in prima battuta, tutti (o alcuni) soggetti abilitati all'accesso non possano venire automaticamente (anche
temporaneamente) a conoscenza del fatto che l'interessato ha effettuato tale scelta ("oscuramento dell'oscuramento").
[doc. web n. 1634116]
Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier
sanitario - 16 luglio 2009
Università degli Studi di Milano 99 Università degli Studi di Milano 100
25