Nuovo assetto normativo per il settore sanitario

Con il provvedimento del 7 marzo 2019 (“Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”) il Garante Privacy ha fornito utili elementi interpretativi del nuovo assetto normativo per il settore sanitario, con particolare riferimento agli operatori del settore e ai responsabili della protezione dei dati (DPO).

In particolare il Garante chiarisce che il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.

Consenso del paziente

Invece il consenso del paziente (o eventuale altro presupposto di liceità) sarà essenziale per quei trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, quali:

– utilizzo di App mediche
– trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di raccolta punti
– trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza)
– trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali 
– trattamenti effettuati attraverso il Fascicolo sanitario elettronico
– trattamenti effettuati attraverso il Dossier sanitario (come previsto dalle Linee guida in materia di Dossier sanitario del 4 giugno 2015)

 refertazione on line (in tal caso il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto)

Trattamento dei dati

Alla luce del nuovo quadro giuridico, sarà il Garante ad individuare, nell’ambito delle misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, i trattamenti che possono essere effettuati senza il consenso dell’interessato per le “finalità di cura” ( ”finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali” effettuate da – o sotto la responsabilità di – un professionista sanitario soggetto al segreto professionale o da altra persona soggetta all’obbligo di segretezza).

Con riferimento alle informazioni da fornire ai pazienti, il Garante ribadisce che il principio di trasparenza impone ai titolari di informare l’interessato sui principali elementi del trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro, fermo restando il rispetto dell’obbligo di comunicare tutti gli elementi di cui agli artt. 13 e 14 del GDPR.

Sul punto, il Garante ricorda che le informative redatte prima del GDPR possono essere semplicemente aggiornate e integrate con riferimento agli elementi informativi di novità, tra cui il periodo di conservazione dei dati o l’indicazione dei criteri utilizzati per determinarlo.

Al riguardo, con riferimento alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione che rimangono pienamente in vigore, tra cui:

– documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica: almeno cinque anni
– conservazione delle cartelle cliniche unitamente ai relativi referti: conservazione illimitata
– documentazione iconografica radiologica: almeno dieci anni

Nei casi non disciplinati dalle normative di settore, il titolare del trattamento, in virtù del principio di accountability, dovrà individuare tali periodi nel rispetto del principio di limitazione della conservazione.

Il ruolo del titolare

Con riferimento alle informazioni da fornire ai pazienti, il Garante chiarisce che spetta al titolare scegliere le modalità più appropriate al caso di specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato.

In relazione alle attività poste in essere da titolari operanti in ambito sanitario che effettuano una pluralità di operazioni di particolare complessità (es. aziende sanitarie), il Garante suggerisce poi di fornire ai pazienti le informazioni previste dal GDPR in modo progressivo, fornendo – ad esempio – alla generalità dei pazienti solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie e fornendo le informazioni relative a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) in un secondo momento, solo ai pazienti effettivamente interessati da tali ulteriori trattamenti.

Lo scopo è quello di concentrare l’attenzione dei pazienti sulle informazioni veramente rilevanti, al fine di permettere una piena consapevolezza circa gli aspetti più significativi del trattamento.

La figura del DPO

Con riferimento alla figura del DPO, il Garante conferma l’obbligatorietà della nomina del DPO sia per le aziende sanitarie appartenenti al SSN che per il settore sanitario privato (es. ospedale privato, casa di cura, residenza sanitaria assistenziale – RSA) ritenendo che il trattamento dei dati relativi a pazienti di queste strutture possa rientrare, in linea generale, nel concetto di larga scala.

Non sono invece tenuti alla designazione del DPO i soggetti che non effettuano trattamenti di dati personali su larga scala, quali il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, le farmacie, le parafarmacie, le aziende ortopediche e sanitarie.

Infine il Garante ribadisce la necessità della tenuta del registro delle attività del trattamento quale strumento di accountability e di gestione del rischio anche per i singoli professionisti sanitari in libera professione, i medici di medicina generale/pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.

Leggi il provvedimento completo >

L’Uganda firma la legge privacy sulla protezione dei dati

Il 25 febbraio 2019, il presidente dell’Uganda Yoweri Kaguta Museveni ha firmato la legge sulla protezione dei dati e sulla privacy.

La legge, che amplia il mandato della National Information Authority Uganda (NITA-U), consentirà di proteggere la privacy dell’individuo e dei dati personali regolando la raccolta e l’elaborazione delle informazioni personali.

Gli obiettivi della nuova legge

La nuova legge dell’Uganda sulla protezione  dei dati e sulla privacy prevede una serie di obiettivi, in particolare:

– Proteggere la privacy dei dati personali e individuali
– Regolare la raccolta e il trattamento delle informazioni personali
– Preservare i diritti delle persone i cui dati vengono raccolti
– Definire obblighi per i responsabili della raccolta e del trattamento dei dati
– Regolamentare l’uso o la divulgazione di informazioni personali

James Saaka, l’Executive Director di NITA-U, ha accolto favorevolmente la firma della legge come garanzia di sicurezza per i cittadini nell’impegno del governo per portare tutti i servizi online e promuovere la crescita nel settore IT.

Scopri di più >
 

L’Italia firma la “convenzione 108+”

Verso una più forte #protezione dei dati

Il 5 marzo 2019 l’Italia è diventata il 26° Paese ad aver firmato il Protocollo che aggiorna la #Convenzione108 o Convenzione di Strasburgo.

Emanata nel 1981 e ad oggi ratificata da 54 Paesi, la Convenzione è nata come strumento vincolante a livello internazionale in grado di creare solide basi per una #protezione dei #dati personali trattati in modo automatizzato sia nel settore privato, sia pubblico.

La Convenzione 108+, presentata nel corso della 128° Ministeriale del Consiglio d’Europa il 17 e 18 maggio 2018, rafforza la precedente anche cercando di creare un raccordo con i principi che hanno posto le basi del Reg. UE 2016/679.

Tra le novità recepite:

– maggiori tutele per il trattamento dei #datigenetici, #biometrici, e relative ad iscrizione a sindacati (art. 6.1);
– #accountability del Titolare e/o del Responsabile (art. 7.1 e 10);
– notifica dei #databreach (art. 7.2);
– trasparenza del trattamento (art. 8);
– maggiori diritti per l’Interessato tra cui quello di non essere sottoposto ad un trattamento #automatizzato (art. 9);
– valutazione dei rischi connessi al trattamento (art. 10.2);
– #privacybydesign (art. 10.3)
– garanzie per il #trasferimento dati in Paesi non aderenti (art. 14);
– maggiori poteri e attività di #awareness riconosciuti in capo alle autorità di controllo (art. 15).

Per saperne di più e rimanere aggiornato chiedi ai nostri esperti, #AssoDPO.

Fonte: Garante Privacy e Consiglio d’Europa

Videosorveglianza: nuovo accordo sindacale?

È necessario rinnovare le procedure di accordo sindacale se, per intervenuti processi di modifica degli assetti proprietari (fusioni, cessioni, affitto ramo d’azienda), si verifica un cambio di titolarità dell’impresa che ha installato “impianti audiovisivi”?

L’Ispettorato Nazionale del Lavoro è intervenuto sul tema con Circolare n. 1881 del 25 febbraio 2019, ritenendo che, qualora gli strumenti/impianti siano stati installati seguendo le procedure indicate dall’art. 4 dello Statuto dei Lavoratori e non siano intervenuti cambiamenti in merito ai presupposti legittimanti e modalità di funzionamento, non sarà necessario un rinnovo dell’autorizzazione.

L’Ispettorato Nazionale del Lavoro ritiene opportuno, comunque, che il titolare subentrante comunichi la variazione di titolarità all’Ufficio che ha rilasciato l’autorizzazione e che renda una dichiarazione nella quale si attesti che non è stato apportato nessun cambiamento né all’impianto né ai presupposti legittimanti.

#Bulgaria: l’Autorità Garante pubblica l’elenco dei trattamenti da sottoporre a #DPIA

La Commissione Per La Protezione Dei Dati Personali bulgara (Комисията за защита на личните данни, www.CPDP.bg)  ha pubblicato l’elenco delle tipologie di trattamenti soggetti al requisito di una #valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del #Regolamento (UE) n. 2016/679. L’elenco, che non è esaustivo e potrà essere aggiornato, riguarda i Titolari del trattamento che hanno stabilimento principale o unico in Bulgaria. Di seguito l’elenco dei trattamenti individuati dall’Autorità:  

  1. Trattamento di dati biometrici su larga scala, finalizzati all’identificazione in modo univoco dell’interessato, che non siano sporadici.
  2. Trattamenti di dati genetici a fini di profilazione dell’interessato, che producono effetti giuridici per l’interessato o analogamente influiscono in modo significativo su di lui.
  3. Trattamenti di dati relativi all’ubicazione a fini di profilazione dell’interessato, che producono effetti giuridici per l’interessato o analogamente influiscono in modo significativo su di lui.
  4. Trattamenti per i quali fornire l’informativa agli interessati, ai sensi dell’art. 14 GDPR, si riveli impossibile oppure implichi uno sforzo sproporzionato oppure rischi di pregiudicare gravemente il conseguimento delle finalità di tale trattamento, quando i trattamenti sono effettuati su larga scala.
  5. Trattamenti di dati personali effettuati da un Titolare non stabilito nell’UE, quando è stato designato un rappresentante nell’Unione ubicato in Bulgaria.
  6. Trattamenti di dati personali, regolari e sistematici, per i quali fornire le informazioni di cui all’art. 19 GDPR agli interessati, si riveli impossibile o implichi uno sforzo sproporzionato per il Titolare.
  7. Trattamenti di dati personali di minori, in relazione all’offerta diretta di servizi della società dell’informazione ai minori stessi.
  8. Trattamenti di dati personali su larga scala che comportino una migrazione dei dati da tecnologie esistenti a nuove tecnologie.

Fonte: CPDP