Organi statutari
Aziende associate
|
Organi statutari |
Aziende associate |
|
|
Valutazione Gratuita sulla Conformità al Codice D. Lgs 196/03 La riservatezza dei dati personali: una nuova sfida nella sanità |
A partire dal 1996 di privacy si è parlato molto, ma senza effettivi risvolti pratici, almeno apparenti. Al suono di questa parola viene evocato nella nostra mente il riferimento ad episodi in cui personaggi famosi intenti a vivere qualche momento di vita normale sono stati sorpresi dai “paparazzi”. Per il resto, raramente, ci viene da pensare che la privacy possa coinvolgere persone comuni.
Nella realtà non è così: la privacy è un diritto di ognuno di noi.
Ancora meglio: la riservatezza dei dati personali (questa è la definizione corretta anziché privacy) è un diritto di tutti ed è uno dei diritti fondamentali che appartiene all’uomo. La privazione della riservatezza dei dati personali non è meno importante della privazione della libertà di pensiero, di espressione, ecc. Ne è la dimostrazione il fatto che nei regimi totalitari e dittatoriali non esiste il diritto di riservatezza verso chi esercita il potere. Questo porta a considerare i dati personali come un patrimonio il cui valore va difeso.
Ma mentre siamo tutti concordi nel ritenere un valore i dati relativi al nostro conto corrente bancario ci risulta più complicato capire il valore dei dati personali.
Cerchiamo, allora, di dare un contributo nel definire cosa sono i dati personali. I dati personali sono tutte le informazioni, di qualsiasi natura (il nome, la statura, le preferenze sul gusto, il numero del telefono portatile, i valori del colesterolo, l’ultima vacanza fatta, ecc.), che riguardano una specifica persona. Queste informazioni (o dati) sono classificate in dati comuni e dati sensibili. I dati sensibili sono dati di particolari delicatezza che potrebbero portare a discriminazioni o mettere l’interessato in condizioni di debolezza verso gli altri. Si pensi alle informazioni relative alle convinzioni politiche, alle credenze religiose, allo stato di salute, ecc.
Sia i dati comuni che i dati sensibili sono riservati, anche se per i dati sensibili è richiesto un livello maggiore di riservatezza. In ogni caso entrambi costituisco il patrimonio di dati personali dell’interessato. Come ogni altro tipo di patrimonio, chi lo detiene deve essere legittimato al possesso ed ha la responsabilità di garantirne la correttezza, l’incolumità e la riservatezza: proprio come una banca a cui affidiamo i nostri soldi ha la responsabilità che le somme che movimentiamo siano corrette, che queste non vadano perse nel tempo e che ci venga garantito che nessuno, che non ne abbia la legittima necessità, possa venire a conoscenza o appropriarsi delle nostre disponibilità.
Bene, se abbiamo contribuito a rendere più chiaro il significato di dati personali allora il nostro scopo è stato raggiunto. Proviamo a capire come si ottiene la riservatezza dei dati personali e cosa la normativa impone al fine di dare garanzie a ciascuno di noi. Ovviamente tutto ciò non può esaurirsi all’interno del nostro piccolo capitolo, ma è un ottimo modo per iniziare ad entrare all’interno di un mondo tutto da esplorare.
Partiamo dalla parte più pesante: i riferimenti normativi, ma limitandoci al minimo indispensabile (il resto può essere recuperato nell’appendice in cui sono riportati i principali riferimenti normativi e il relativo stato).
Il primo passo normativo è proprio ciò che comunemente è stata chiamata la legge sulla privacy, ovvero la Legge del 31.12.1996 n. 675. Questa legge già faceva presagire una certa complessità nella sua applicazione, ma prometteva anche ulteriori norme che sarebbero nate successivamente. A tenere fede a queste promesse arriva il DPR 318 del 1999.
In questo modo il quadro normativo è pressoché completo: abbiamo una norma che abbraccia tutti gli aspetti nel “trattamento” dei dati personali (sotto ogni forma), un impianto sanzionatorio di natura penale (a rimarcare la delicatezza dell’argomento), un’autorità vigilante (il Garante per la Privacy). L’unico punto debole poteva essere l’organo ispettivo, ma il Garante ha voluto l’autorevolezza della Guardia di Finanza a svolgere questo compito.
Tutto ciò è avvenuto in sei anni a partire dal ’96 riscontrando nella giovane norma incoerenze ed incompletezze che sono state, in gran parte, sanate con una nuova legge che ha sostituito le precedenti: il Decreto Legislativo del 30.06.2003 n. 196 denominato “CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI” in vigore dal 1° gennaio 2004.
Nelle 186 pagine della nuova norma sono condensate tutte le esperienze degli anni precedenti, introdotte novità importanti e riprodotte semplificazioni ed inasprimenti di modalità operative per la protezione dei dati con le relative sanzioni.
Nella sostanza non cambiano i concetti principali, ma solo le modalità operative ed alcuni adempimenti.
Cosa comporta il nuovo Codice in materia di protezione dei dati personali per chi esercita l’attività sanitaria? Quali adempimenti bisogna rispettare?
Prima di dare risposte a queste domande premettiamo che non è nostro scopo trattare temi inerenti la deontologia professionale del personale medico lasciando ad altri ambiti tali compiti.
Il nostro sforzo sarà rivolto nel tentare di capire i concetti chiave sulla protezione dei dati personali nell’esercizio delle attività sanitarie, per lo più presso strutture come ospedali, ASL, ambulatori, assistenza domiciliare, ecc. e quali sono le azioni da intraprendere per realizzare l’impianto di un sistema di protezione adeguato.
Per maggiore comodità e per rendere il più possibile universale le considerazioni che seguiranno faremo riferimento ad una struttura complessa, come una clinica o un poliambulatorio, in modo che sia agevole fare le dovute semplificazioni per strutture più piccole fino allo studio medico.
Veniamo al dunque!
Chi opera nella sanità tratta prevalentemente dati sensibili poiché tratta informazioni che riguardano lo stato di salute dei propri utenti.
Non importa se parliamo di un pronto soccorso o di una clinica che svolge interventi estetici: parliamo sempre di dati sensibili. Quindi ci troviamo nell’area di trattamento dove è richiesta maggiore responsabilità ed accuratezza nel trattamento dei dati personali. Per dirlo in modo più esplicito: i trattamenti nell’ambito sanitario sono tra quelli con maggiore livello di complessità e richiedono adempimenti da metter in atto in modo molto accurato.
Prima di poter effettuare il trattamento di dati personali sensibili (a seconda della specificità dei dati) bisogna avere l’autorizzazione del Garante tramite una notifica che avviene per via telematica. A seguito della notifica, se la tipologia dei dati, l’ambito di trattamento, le modalità e le finalità risultano coerenti e legittime per l’attività dichiarata si ottiene l’autorizzazione al trattamento da parte del Garante.
In caso contrario non è legittimo effettuare il trattamento dei dati. Da tener presente che, in questo caso, anche l’assenza di risposta equivale al diniego di autorizzazione al trattamento.
Pertanto, il primo adempimento da svolgere da parte del Titolare del trattamento dei dati è verificare se si rientra tra quanti hanno la necessità di notifica al Garante per la protezione dei dati personali secondo quanto stabilito dal nuovo D.Lvo 196/03.
Una volta che si è legittimati al trattamento, è opportuno, per il Titolare, nominare i Responsabili del trattamento dei dati personali. Questa figura non è obbligatoria, ma diventa necessaria in strutture di particolare complessità in quanto permettono di suddividere il trattamento in processi più semplici e meglio controllabili.
I Responsabili, a loro volta, nomineranno gli Incaricati del trattamento. Quella degli incaricati è una figura obbligatoria e serve a definire chi è autorizzato al trattamento dei dati personali, le modalità del trattamento e le finalità ritenute legittime.
Questa nomina, come tutte le altre, deve avvenire in modo formale e deve prevedere tutte le istruzioni ed indicazioni a cui l’Incaricato del trattamento si deve attenere.
Le nomine rappresentano un carico di responsabilità per chi le riceve, ma anche una maggiore certezza nello svolgimento del proprio compito in quanto vengono definiti in modo formale gli ambiti di legittimità del trattamento.
Di contro, non bisogna pensare che chi assegna una nomina perda responsabilità poiché permane l’onere della correttezza della scelta (l’incaricato deve essere in grado di seguire le istruzioni impartite nella nomina) e la responsabilità della vigilanza sull’operato degli incaricati. Resta comunque il fatto che in ambito penale le responsabilità non sono trasferibili, ma restano in capo a chi ha oggettivamente il controllo di un particolare evento.
Un altro compito del Titolare del trattamento dei dati è nella stesura del Documento Programmatico sulla Riservatezza dei Dati Personali.
Tale Documento deve essere aggiornato almeno una volta l’anno entro il 31 marzo.
Il Documento ha dei contenuti minimi, riportati nell’allegato B del Codice, e contiene tutte le misure che il Titolare mette in campo per garantire la protezione dei dati personali. Anche questo è un documento obbligatorio e la sua assenza è già un reato.
All’interno del Documento programmatico vanno inserite tutte le informazioni che riguardano il sistema di protezione dei dati personali adottato. In altri termini significa che bisogna stilare una sorta di regolamento interno in cui vengono descritte le modalità che la struttura adotta per garantire la protezione dei dati personali.
Per fare ciò è necessario un censimento dei rischi potenziali a cui i dati sono soggetti e le relative misure di prevenzione adeguate a ridurre o eliminare i rischi individuati.
L’opera va completata con il piano di adozione delle misure non ancora messe in atto, ma che si ritengono necessarie e con il piano di formazione degli Incaricati del trattamento.
Se leggendo questa descrizione su come si compone il Documento Programmatico sulla Sicurezza dei Dati Personali si ha l’impressione che sia una cosa abbastanza semplice, allora siamo riusciti nell’intento di semplificare e rendere più vicina l’attuazione della normativa. Ma non illudiamoci: l’impianto di un sistema di protezione dei dati personali è un processo che richiede svariati mesi ed un impegno intenso di risorse umane. D’altra parte, non è possibile farne a meno poiché questo significherebbe non avere i requisiti minimi obbligatori per l’erogazione dei servizi sanitari. In altre parole è come non avere le condizioni igieniche adeguate o l’abilitazione all’esercizio della professione e lo si capisce bene dalle sanzioni inflitte per i trasgressori che arrivano a tre anni di reclusione e sessantamila euro di ammenda elevabile fino a tre volte. Oltre alla possibilità di sospensione dell’attività e tutto il resto che ne consegue in ambito penale e civile.
Proprio per questi motivi, nella quasi totalità dei casi, per l’ambito sanitario, si ricorre ad un partner esterno che garantisca un pieno rispetto della normativa.
Anche questo, non sempre rappresenta un momento positivo. Infatti, gli interlocutori più gettonati sono i consulenti informatici, i consulenti per la certificazione qualità ed i consulenti legali.
Il vero problema di questi partners per l’impianto del sistema di protezione dei dati personali risiede nel fatto che ognuno di loro si occupa solo di una parte minimale del sistema e non ha il know-how per intervenire in modo completo sul sistema di protezione, pur riconoscendo che sono i partners più vicini alla struttura su tali temi. Ma vediamo nel dettaglio i punti di criticità di ciascuna delle scelte elencate.
I consulenti informatici sono molto bravi e preparati nell’impianto di sistemi di sicurezza, prevenzione e protezione da accessi non autorizzati o salvataggio e preservazione dell’integrità dei dati. Ma il loro intervento si concentra bene sulle tecnologie informatiche e non sul resto del sistema. Per un informatico la protezione dei dati ha un significato ben preciso, ma questo non coincide con quello a cui si riferisce la normativa che attribuisce un significato più ampio che entra all’interno dell’organizzazione, del sistema di nomine formali, della logistica, ecc. Sarà difficile incontrare un informatico che ci possa dare supporto nel definire come inquadrare la nomina del fornitore in outsourcing del personale di prenotazione delle visite specialistiche o della cooperativa di infermieri. Non meno critica è la scelta a favore dei consulenti per la certificazione di qualità: molto bravi nella definizione di procedure operative, ma poco allenati con la normativa e con gli aspetti tecnologici. Basti pensare che la maggior parte delle strutture che hanno la certificazione di qualità o che sono in iter di certificazione, da quanto risulta da una indagine svolta nella sanità da un’associazione di consumatori, non hanno redatto il Documento sulla sicurezza de dati. Questo è un fatto abbastanza serio tanto da spingere il Sincert ad intervenire con una risoluzione in merito. Infine, la soluzione di natura squisitamente legale ci aiuta nella formalizzazione delle nomine e degli altri atti formali, ma difficilmente potremo ottenere un affiancamento nella soluzione degli aspetti tecnologici o un ausilio nella stesura del regolamento interno. Detto questo, va aggiunto che il maggior problema di queste scelte risiede nel fatto che questi interlocutori, anche se molto vicini ai temi in trattazione, svolgono abitualmente un’altra attività su cui sono concentrati e, spesso, non trovano opportuno specializzarsi e creare il know-how interno su un tema così delicato e specifico nella sanità.
Ma allora, come scegliere il partner giusto?
Il partner ideale è un’azienda che in primo luogo abbia una comprovata esperienza e know-how in tema di protezione dei dati personali. A questo deve necessariamente essere aggiunto il settore di attività: se i clienti già acquisiti non sono prevalentemente nell’area sanitaria difficilmente avrà maturato un’adeguata esperienza nella soluzione di problemi specifici. Ma ancora non basta: il nostro partner deve avere la capacità di intervenire in tutte le aree di attività poiché non è pensabile un supporto frammentato ed incompleto. A tutto ciò si deve necessariamente aggiungere una documentata pluralità nell’applicazione di soluzioni presso svariati clienti nell’area sanitaria di eguale, se non superiore, tipologia.
Sul mercato esistono fornitori di soluzioni specializzati nell’area sanitaria che aderiscono a protocolli sulle modalità di impianto del sistema di protezione dei dati personali. Questo garantisce la struttura poiché le soluzioni da noi applicate vengono attuate anche da altre strutture analoghe alla nostra con evidenti vantaggi nel rendere legittima la soluzione specifica.
Ovviamente, per la specificità del tema, non sono molti i fornitori con le caratteristiche necessarie, ma stiamo parlando della nostra attività principale, della sua continuità e di obblighi di legge ben definiti: non possiamo permetterci di essere superficiali.
Già qualche ASL ha richiesto alle strutture autorizzate ad esercitare attività sanitaria un’autodichiarazione sugli adempimenti adottati in tema di protezione dei dati sanitari. Stessa dichiarazione è diventata obbligatoria in occasione di presentazione del bilancio all’interno della relazione accompagnatoria in modo da rendere immediatamente evidente quanti non sono a norma.
Cosa dobbiamo chiede ancora al nostro partner?
Una prima richiesta riguarda la dichiarazione di conformità dell’impianto di protezione rispetto alla normativa, così come previsto al punto 25 del nuovo Codice: “il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.”
Questo vale per il partner che ci aiuta nell’impianto del sistema di protezione dei dati personali, ma vale anche per tutti i fornitori che, con i loro prodotti o servizi, impattano sul sistema di protezione stesso.
Inoltre, dobbiamo pretendere assistenza nelle fasi più delicate del percorso di impianto e mantenimento del sistema tra cui:
Assistenza Tecnico-Organizzativa;
Assistenza Tecnologico-Informatica;
Assistenza Logico-Procedurale;
Software Gestionale per la manutenzione e gestione del sistema di protezione dei dati personali;
Corsi di Formazione alle figure previste dalla normativa;
Piano delle revisioni annuali e degli adeguamenti;
Assistenza in sede di controlli e ispezioni da parte dell’Ufficio del Garante, del Nucleo Ispettivo della Guardia di Finanza, da parte della ASL o di altro organo supervisore nominato dal Garante;
Assistenza in sede di contenzioso verso gli utenti e/o Associazione di utenti;
Assistenza in sede di valutazione della conformità delle forniture rispetto alle disposizioni del Codice;
Supporto Legale.
Oltre alle indicazioni già date, va aggiunto che il Documento in questione deve contenere delle sezioni apposite in cui vengono trattati argomenti predefiniti che il Codice chiama “idonee informazioni” che vedremo in breve.
l’elenco dei trattamenti di dati personali:
è l’elenco di tutti i trattamenti dei dati personali così come riportati
nella notifica al Garante ivi incluso le modalità di trattamento, le
tipologie di dati, le categorie di interessati, le finalità del
trattamento, ecc.;
la distribuzione dei compiti e delle responsabilità nell’ambito
delle strutture preposte al trattamento dei dati:
si tratta di un vero e proprio organigramma delle responsabilità a cui fa
capo il Titolare del trattamento ed include tutte le figure previste dalla
normativa;
l’analisi dei rischi che incombono sui dati:
ne abbiamo già parlato in precedenza e prevede un’attenta analisi sui
rischi potenziali a cui sono soggetti i dati personali; i rischi sono
classificati in logici, fisici e tecnologici;
le misure da adottare per garantire l’integrità e la disponibilità
dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini
della loro custodia e accessibilità:
è la naturale conseguenza del punto precedente che ad ogni potenziale
rischio abbina una misura finalizzata a eliminare o ridurre il rischio
censito;
la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento in caso di
danneggiamento dei dati o degli strumenti elettronici, in tempi certi
compatibili con i diritti degli interessati e non superiori a sette giorni:
si fa riferimento alle specifiche misure per il recupero dei dati in caso di
eventi che ne compromettano la coerenza ed integrità; è onere del Titolare
garantire anche il tempo minimo indispensabile al fine di salvaguardare gli
interessi dell’interessato;
la previsione di
interventi formativi degli incaricati del trattamento, per renderli edotti
dei rischi che incombono sui dati, delle misure disponibili per prevenire
eventi dannosi, dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per aggiornarsi sulle
misure minime adottate dal titolare. La formazione è programmata già al
momento dell’ingresso in servizio, nonché in occasione di cambiamenti di
mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali:
elemento focale della normativa è il ruolo degli incaricati che tramite il
loro operato, dopo un’adeguata formazione, diventano garanti del processo
di protezione dei dati personali in ogni sua fase;
la descrizione dei criteri da adottare per garantire l’adozione
delle misure minime di sicurezza in caso di trattamenti di dati personali
affidati, in conformità al codice, all’esterno della struttura del
titolare:
riguarda la prassi, molto diffusa, di affidare a data-service (fornitori di
servizi sui dati: dai servizi di assistenza tecnica ai servizi di housing
veri e propri) il trattamento di dati o di permetter loro l’accesso ai
dati personali; la normativa richiede la definizione di procedure che
permettano di garantire il livello di protezione dei dati personali anche
fuori della struttura stessa del titolare;
per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale, l’individuazione dei criteri da adottare per la cifratura o per
la separazione di tali dati dagli altri dati personali dell’interessato:
poiché questi dati hanno una particolare criticità, in nessun caso, tranne
in quelli espressamente previsti, deve essere possibile ricondurre le
informazioni alla persona a cui fanno riferimento e questo deve essere
garantito tramite la cifratura degli archivi o tramite la separazione fisica
dei dati sanitari da quelli anagrafici.
Altre indicazioni sono ancora necessarie alla stesura del Documento sulla sicurezza, ma la trattazione sarebbe talmente lunga da richiedere un intero volume. Crediamo, invece, che la finalità di iniziare ad approfondire il tema trattato possa essere soddisfatta con le poche indicazioni fornite in questo contesto.
Per approfondimenti sulla normativa: http://www.nuoviprogetti.com/unilavoro/318/01_PrimaPagina.htm
Per richiesta informazioni: