�ݺ�ߣ

Studio Legale Avv. Stefano Corsini - Pordenone
Avv. Stefano Corsini
Consulente in Diritto delle nuove tecnologie
www.avvocatocorsini.it
La tutela della riservatezza in
ambito sanitario

Chiunque ha diritto alla protezione dei
propri dati personali *
Art. 1
* Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad
una funzione pubblica e la relativa valutazione non sono oggetto di protezione della
riservatezza personale. (L. 15/2009)

 I sistemi informativi e informatici devono utilizzare al
minimo dati personali e identificativi quando le finalità
perseguite possono essere realizzate mediante:
- l’utilizzo di dati anonimi;
- modalità di identificazione diretta“solo in caso di
necessità”;
PRINCIPIO DI NECESSITÀ NEL
TRATTAMENTO DEI DATI

Trattamento
qualsiasi complesso organizzato di dati personali
ripartito in una o più unità dislocate in uno o più siti
Qualunque operazione o complesso di operazioni,
effettuati con e senza l’ausilio di strumenti elettronici,
concernenti la
raccolta – registrazione – organizzazione – conservazione
– consultazione – elaborazione – modificazione –
selezione – estrazione – raffronto – utilizzo –
interconnessione – blocco – comunicazione – diffusione –
cancellazione - distruzione
di dati anche se non registrati in una banca dati

Definizione di interessato
la persona fisica, la persona
giuridica, l'ente o l'associazione cui si
riferiscono i dati personali
Anche un’azienda è titolare dei diritti previsti dal Codice privacy!

La persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare,
le decisioni in ordine a:
1)finalità;
2)modalità del trattamento di dati personali;
3)strumenti utilizzati;
4)profilo della sicurezza.
DEFINIZIONE di titolare

E’ colui che effettua le operazioni sotto l’autorità del
titolare o responsabile attenendosi alle istruzioni
ricevute.
E’ nominato con atto scritto anche tramite la
preposizione a unità organizzativa che tratta dati (es.
ufficio personale).
Nell’atto di nomina va specificato l’ambito di trattamento
consentito.
(art. 4 - 30)
INCARICATO
Chi non è incaricato è considerato “terzo” rispetto al trattamento, e non può
utilizzare o consultare i dati.

 è designato dal titolare (in piena libertà)
 Il responsabile deve offrire garanzia di
esperienza, capacità, affidabilità (culpa in
eligendo)
 possono essere designati responsabili più
soggetti tra cui poter suddividere i compiti
 i compiti devono essere analiticamente
specificati per iscritto dal titolare
 il responsabile si attiene alle istruzioni del
titolare, che vigila sulla loro osservanza (culpa
in vigilando)
(art. 4 - 29)
RESPONSABILE

Qualunque informazione relativa a persona
fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di
identificazione personale.
Dato personale
Anche: suoni, immagini, numeri di telefono, ecc.

I dati personali idonei a rivelare:
 l'origine razziale ed etnica;
 le convinzioni religiose, filosofiche o di altro genere,
 le opinioni politiche;
 l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o
sindacale; garanzia costituzionale
 i dati personali idonei a rivelare lo stato di salute (detti
anche “dati sanitari”) e la vita sessuale.
Dati sensibili
Elenco tassativo
Appartenenza per nascita
e discendenza ad un popolo
o razza

I dati personali idonei a rivelare :
 provvedimenti iscritti nel casellario giudiziale,
 provvedimenti iscritti nell’anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti,
 la qualità di imputato o di indagato
Dato giudiziario

Dati diversi da sensibili e giudiziari
Dati per definizione né sensibili né giudiziari che
possono presentare rischi specifici in relazione a:
 Natura dei dati;
 Modalità del trattamento;
 Effetti del trattamento;
“Clausola di salvaguardia”!!! - prior checking -
Es. dati sulla solvibilità economica.
Art. 17

TIPOLOGIE DI DATI
 personali
 sensibili
 giudiziari
 identificativi principio di necessità
 biometrici (notificazione)
 di ubicazione/traffico
 multidato (o dato individuale universale) id. card elettronica
 comuni
 anonimi (esclusi dall’applicazione del Codice) e semi anonimi
 genetici
Rischi specifici
Per libertà e diritti
individuali

Dati identificativi
di dipendenti, di familiari di dipendenti (per
l’erogazione delle agevolazioni fiscali), di
collaboratori, consulenti, agenti e
rappresentanti società, enti, soci: nome,
cognome, indirizzo, sede, data di nascita,
tel., fax, e-mail, P. IVA, ecc.
Dati relativi all’attività
economica, commerciale,
finanziaria
dati contabili, ordini, spedizioni, contratti,
dati bancari
Dati relativi alla gestione
del rapporto di lavoro
occupazione attuale e precedente,
retribuzioni, note di qualifica, ecc.
Alcuni esempi di dati personali trattati in azienda

Alcuni esempi di dati sensibili trattati in azienda
Dati idonei a rivelare le convinzioni
religiose, filosofiche o di altro
genere
fruizione di permessi e festività
religiose o di servizi di mensa,
manifestazione dell’obiezione di
coscienza
Dati idonei a rivelare le opinioni
politiche, l’adesione a partiti,
sindacati, associazioni a carattere
politico o sindacale
esercizio di funzioni pubbliche o di
incarichi politici per permessi o
aspettative riconosciute dalla legge
o dai contratti, organizzazione di
iniziative pubbliche, attività o incarichi
sindacali, trattenute per il
versamento delle quote sindacali o
delle quote di iscrizione ad
organizzazioni politiche o sindacali
nelle paghe, 8 per mille

Dati idonei a rivelare lo
stato di salute
Curriculum vitae
Tutti i tipi di dati sensibili
Dati sulle malattie anche professionali, invalidità,
infermità, infortunio, gravidanza, puerperio,
allattamento, esposizione a fattori di rischio,
idoneità psico-fisica alla mansione specifica,
appartenenza a categorie protette
Hobbies, preferenze, appartenenza a categorie
protette, etnia, razza, religione
Log file di navigazione (vedi Provvedimento
Garante sull’utilizzo di internet e posta elettronica).
Alcuni esempi di dati sensibili trattati in azienda

E’ OBBLIGATORIA SOLO PER CHI TRATTA DATI:
 genetici, biometrici e sulla posizione geografica di
persone e oggetti mediante rete elettronica
 sensibili, a fini di procreazione assistita, di trapianto
di organi e tessuti, di indagine epidemiologica, di
rilevazione di malattie mentali, infettive, diffusive o di
sieropositività
 sensibili, a fini di prestazione di servizi sanitari per via
telematica
NOTIFICAZIONE

E’ OBBLIGATORIA SOLO PER CHI TRATTA DATI:
 sulla vita sessuale e sfera psichica trattatati da
associazioni, ed enti a carattere politico, filosofico,
religioso o sindacale
 per la profilazione
 dati sensibili per selezione personale (conto terzi)
 registrati in banche dati relativi al rischio di solvibilità
economica, sulla situazione patrimoniale, solvibilità,
ecc.
NOTIFICAZIONE

 Liceità e correttezza
 Raccolta e registrazione per scopi:
 determinati
 espliciti
 legittimi
I dati devono essere pertinenti, completi, non
eccedenti le finalità della loro raccolta e conservati
per il tempo necessario.
MODALITÀ del TRATTAMENTO (art. 11)
PENA LA LORO INUTILIZZABILITA’ (e conseguenti sanzioni)

INFORMATIVA
 È fornita preventivamente e preferibilmente in
forma scritta
 Ha forma chiara ed intelligibile e deve contenere:
 finalità e modalità trattamento
 obbligatorietà o facoltatività del conferimento
 conseguenze eventuale rifiuto
 soggetti cui i dati possono essere comunicati
 diritti dell’interessato (art. 7)
 estremi del titolare, responsabile, rappresentante (in Italia),
responsabile del riscontro alle richieste ex art. 7
 può non contenere elementi già noti alla persona o la cui
conoscenza è di ostacolo alla sicurezza dello Stato, o per la
prevenzione e repressione reati

Nell'informativa i soggetti pubblici
devono indicare la normativa che
prevede gli obblighi o i compiti in
base alla quale è effettuato il
trattamento dei dati sensibili e
giudiziari.

Se i dati personali non sono raccolti presso l’interessato, l’informativa è
data al medesimo interessato all’atto della registrazione dei dati o,
quando è prevista la loro comunicazione, non oltre la prima
comunicazione.
 i dati sono trattati in base ad un obbligo previsto dalla legge, da
un regolamento o dalla normativa comunitaria;
 i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397, o,
comunque, per far valere o difendere un diritto in sede
giudiziaria;
 l'informativa all'interessato comporta un impiego di mezzi che il
Garante, prescrivendo eventuali misure appropriate, dichiari
manifestamente sproporzionati rispetto al diritto tutelato, ovvero
si riveli, a giudizio del Garante, impossibile.
tranne quando

CONSENSO
 i privati e gli enti pubblici economici possono
trattare i dati personali solo con il consenso
espresso dell’interessato
 il consenso può riguardare l’intero trattamento o
una o più operazioni (modulare).
 il consenso deve essere espresso liberamente e
deve essere specifico
 per i dati sensibili il consenso va dato per iscritto

Qualunque trattamento di dati personali da parte
di soggetti pubblici è consentito soltanto per lo
svolgimento delle funzioni istituzionali.
Limiti: Codice Privacy, Leggi, Regolamenti.
Anche in relazione alla natura dei dati
Art. 18

Funzioni istituzionali
Il trattamento da
parte di un
soggetto pubblico
riguardante
dati personali
(diversi da quelli
sensibili e
giudiziari)
CONSENTITO
Art. 19
a) le funzioni previste dalla legge, dallo
Statuto, dai regolamenti;
b) le funzioni svolte per mezzo di
convenzioni, accordi, intese e strumenti
di programmazione negoziata previsti
dalla legislazione vigente;
Anche in mancanza di
una norma di legge o di
regolamento che lo
preveda espressamente

Il trattamento da
parte di un
soggetto pubblico
riguardante
Dati sensibili
CONSENTITO
solo se autorizzato
da una legge che
specifica:
1) i tipi di dati che
possono
essere trattati;
2) operazioni
eseguibili;
3) le finalità di
rilevante interesse
pubblico perseguite

Finalità di rilevante interesse pubblico:
 Interventi anche di rilievo sanitario in favore di soggetti
non autosufficienti o incapaci, compresi i servizi di
accompagnamento e soccorso;
 Istruzione
 Accesso ai documenti amministrativi
 Art. 85 - Compiti del Servizio sanitario nazionale

FINALITA' DI RILEVANTE INTERESSE PUBBLICO
Finalità di r.i.p. che rientrano nei compiti del S.S.N. e degli altri organismi sanitari pubblici relative alle seguenti attività:
a) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e
riabilitazione dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa
l'assistenza degli stranieri in Italia e dei cittadini italiani all'estero, nonché di
assistenza sanitaria erogata al personale navigante ed aeroportuale;
b) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria;
c) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione
all'immissione in commercio e all'importazione di medicinali e di altri prodotti di
rilevanza sanitaria;
d) attività certificatorie;
e) l'applicazione della normativa in materia di igiene e sicurezza nei luoghi di
lavoro e di sicurezza e salute della popolazione;
f) le attività amministrative correlate ai trapianti d'organo e di tessuti, nonché
alle trasfusioni di sangue umano, anche in applicazione della legge 4 maggio
1990, n. 107;
g) instaurazione, gestione, pianificazione e controllo dei rapporti tra
l'amministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario
nazionale. Art. 85

All'identificazione dei tipi di dati idonei a rivelare lo
stato di salute e di operazioni su essi eseguibili è
assicurata ampia pubblicità, anche tramite
affissione di una copia o di una guida illustrativa
presso le aziende sanitarie e presso gli studi dei
medici di medicina generale e dei pediatri di libera
scelta.
Art. 85

Altre finalità di rilevante interesse pubblico
 1. Fuori dei casi di cui agli artt. 76 e 85, si considerano di rilevante interesse
pubblico, ai sensi degli artt. 20 e 21, le finalità, perseguite mediante trattamento
di dati sensibili e giudiziari, relative alle attività amministrative correlate
all'applicazione della disciplina in materia di:
 a) tutela sociale della maternità e di interruzione volontaria della gravidanza, con
particolare riferimento a quelle svolte per la gestione di consultori familiari e
istituzioni analoghe, per l'informazione, la cura e la degenza delle madri, nonché
per gli interventi di interruzione della gravidanza;
 b) stupefacenti e sostanze psicotrope, con particolare riferimento a quelle svolte
al fine di assicurare, anche avvalendosi di enti ed associazioni senza fine di
lucro, i servizi pubblici necessari per l'assistenza socio-sanitaria ai
tossicodipendenti, gli interventi anche di tipo preventivo previsti dalle leggi e
l'applicazione delle misure amministrative previste;
 c) assistenza, integrazione sociale e diritti delle persone handicappate effettuati,
in particolare, al fine di:
 1) accertare l'handicap ed assicurare la funzionalità dei servizi terapeutici e
riabilitativi, di aiuto personale e familiare, nonché interventi economici integrativi
ed altre agevolazioni;
 2) …; 3) …; 4) …
 2. Ai trattamenti di cui al presente articolo si applicano le disposizioni di cui
all'art. 85, comma 4.
Art. 86

se c’è legge che specifica finalità ma non dati e operazioni,
il sogg. pubbl. emana Regolamento (Dir. 11 febbraio 2005);
oppure
se il trattamento non è previsto espress. da norma di
legge, si chiede al Garante di individuare le attività che
perseguono finalità rilevanti, fermo restando l’obbligo di
emanare Regolamento per i dati sensibili.

Se la norma individua le finalità, ma non i
dati e le operazioni eseguibili
REGOLAMENTO

Atto regolamentare: procedimento
ricognitivo che sfocia in un atto interno
ma con efficacia verso l’esterno.
 tipi di dati;
 operazioni
effettuabili;
 finalità.
resi pubblici

Comunicazione di dati “comuni” fra
soggetti pubblici:
previsione di legge o regolamento;
o
comunque per finalità istituzionale con
comunicazione al Garante dall’esito
positivo (art. 19 - 39);
previa informativa
Da pubblico
A privato
SOLO

Comunicazione di dati sensibili e giudiziari fra
soggetti pubblici e da pubblico a privato:
legge che specifica i tipi di dati e operazioni e le
finalità di rilevante interesse pubblico;
regolamento;
provvedimento del Garante.
previa informativa

È fatta salva la comunicazione o diffusione di dati
richieste, in conformità alla legge, da forze di polizia,
dall’autorità giudiziaria, da organismi di informazione e
sicurezza o da altri soggetti pubblici ai sensi dell’articolo
58, comma 2, per finalità di:
 difesa o sicurezza dello Stato;
 prevenzione, accertamento o repressione di reati.

I dati idonei a rivelare lo stato di salute
non possono essere diffusi
REGOLA GENERALE

I soggetti pubblici conformano il trattamento dei dati
sensibili e giudiziari secondo modalità volte a prevenire
violazioni dei diritti, delle libertà fondamentali e della
dignità dell'interessato.
Es.
 colloqui riservati;
 distanze di cortesia;
 conservazione adeguata;
 anonimato dell’ospite se lo richiede;
Vedi Delibera Garante su Strutture Sanitarie Nov. 2005

- esattezza e
aggiornamento dei dati
sensibili e giudiziari;
- loro pertinenza,
completezza, non
eccedenza e
indispensabilità rispetto
alle finalità perseguite nei
singoli casi (anche con
riferimento ai dati che
l'interessato fornisce di propria
iniziativa)
Verifica periodica

 I dati idonei a rivelare lo stato di salute e la vita
sessuale sono conservati separatamente da altri
dati personali trattati per finalità che non richiedono
il loro utilizzo.
 I medesimi dati, trattati sia con che senza l’ausilio di
strumenti elettronici, sono trattati con tecniche tali da
renderli leggibili solo in casi di effettiva necessità.

TRATTAMENTO IN AMBITO SANITARIO
DEROGA
INFORMATIVA e CONSENSO sempre!!

Gli organismi sanitari pubblici trattano i dati
idonei a rivelare lo stato di salute
 CON il consenso dell’interessato, anche senza
l’autorizzazione del Garante: se il trattamento
riguarda operazioni indispensabili per perseguire
una finalità di tutela della salute o dell’incolumità
fisica dell’interessato;
 SENZA il consenso dell’interessato, ma con
l’autorizzazione del Garante: trattamento riguarda
operazioni indispensabili per perseguire finalità di
tutela della salute o dell’incolumità fisica di un
terzo o della collettività.

Gli organismi sanitari pubblici e privati:
INFORMATIVA e CONSENSO
semplificati
Per pluralità di prestazioni
erogate anche da distinti
reparti ed unità dello stesso
organismo, o più strutture
ospedaliere o territoriali
specificamente indicati
Annotazione per rendere conoscibile alle altre strutture o reparti
Condizione: adeguate misure organizzative

L’INFORMATIVA
se non diversamente specificato, riguarda anche il
trattamento correlato a quello effettuato
dall’organismo sanitario o da altri soggetti quali
farmacisti – specialisti – sostituti.
è fornita preferibilmente per iscritto e può riguardare il
complessivo trattamento di dati personali necessario
per fini di prevenzione, cura, riabilitazione.
Art. 78

Art. 80
Informativa da parte di altri soggetti pubblici
Sono i i competenti servizi o strutture di soggetti pubblici
operanti in ambito sanitario o della prevenzione e sicurezza
del lavoro.
Rilasciano un’unica informativa per una pluralità di
trattamenti
A fini amministrativi e in tempi diversi.
Presenza di appositi e idonei cartelli ed avvisi agevolmente
visibili al pubblico, affissi e diffusi anche nell'ambito di
pubblicazioni istituzionali e mediante reti di comunicazione
elettronica, in particolare per quanto riguarda attività
amministrative di rilevante interesse pubblico che non
richiedono il consenso degli interessati.

IL CONSENSO
manifestato con un'unica dichiarazione, anche oralmente
può essere annotato a cura dell’organismo/profess. sanitario
riferito al trattamento di cui all’informativa
Art. 81

L’INFORMATIVA e IL CONSENSO
Possono essere differiti, senza ritardo, ad un momento
successivo alla prestazione in caso di:
 Impossibilità fisica, incapacità di agire, incapacità
di intendere e volere dell’interessato e impossibilità di
acquisire il consenso da familiari, coniugi, ecc.
 rischio grave, imminente ed irreparabile per la
salute o l’incolumità fisica dell’interessato.
 prestazione medica che può essere pregiudicata
dall'acquisizione preventiva del consenso, in termini di
tempestività o efficacia.

COMUNICAZIONE DI DATI “SANITARI”
 Vanno fatte solo tramite un medico designato
dal paziente o dal titolare
 Sono esclusi da questa prescrizione i dati
direttamente forniti dall’interessato
 Esercenti le professioni sanitarie (diversi dal
medico) che intrattengono rapporti con il
paziente: possono essere autorizzati per iscritto
da titolare o responsabile a rendere noti dati
personali sulla salute
Art. 84

a) chiamata con numero identificativo e non nominativa
b) distanze di cortesia, tenendo conto dell'eventuale uso di
apparati vocali o di barriere;
c) colloqui riservati;
d) rilascio di documentazione in contesti di non promiscuità;
e) il rispetto della dignità dell'interessato;
f) opportuni accorgimenti volti ad assicurare che, ove
necessario, possa essere data correttamente notizia o conferma
anche telefonica, ai soli terzi legittimati, di una prestazione di
pronto soccorso;
Altre misure per il rispetto dei diritti degli interessati
Art. 83

g) la formale previsione, in conformità agli ordinamenti interni
delle strutture ospedaliere e territoriali, di adeguate modalità per
informare i terzi legittimati in occasione di visite sulla dislocazione
degli interessati nell'ambito dei reparti, informandone
previamente gli interessati e rispettando eventuali loro contrarie
manifestazioni legittime di volontà;
h) la messa in atto di procedure, anche di formazione del
personale, dirette a prevenire nei confronti di estranei
un'esplicita correlazione tra l'interessato e reparti o strutture,
indicativa dell'esistenza di un particolare stato di salute;
i) la sottoposizione degli incaricati che non sono tenuti per legge
al segreto professionale a regole di condotta analoghe al
segreto professionale.
Altre misure per il rispetto dei diritti degli interessati
Art. 83

Codice deontologico
 Articolo 9 - Segreto professionale;
 Articolo 10 - Documentazione e tutela dei dati;
 Articolo 11 - Comunicazione e diffusione di dati;
 Articolo 31 - Informazione a terzi;

 ottenere conferma dell’esistenza o meno di dati che lo riguardano e
conoscere la loro origine
 delle finalità e modalità di trattamento
 della logica (anche elettronica) di trattamento
 degli estremi del titolare e dei soggetti o categorie cui possono
essere comunicati
 aggiornamenti o rettifiche
 cancellazione, o trasformazione anonima o blocco
 di opporsi per motivi legittimi al trattamento
 di opporsi al trattamento che persegue scopi pubblicitari o di vendita
o di ricerche di mercato (per qualsiasi motivo)
DIRITTI DELL’INTERESSATO art. 7
l'attestazione di aver notiziato
della richiesta coloro ai quali i
dati sono stati comunicati o
diffusi

PERIZIE MEDICHE
L’interessato ha diritto di accesso, può
prendere visione, chiedere la rettificazione
di informazioni inesatte, ma non può
pretendere la modifica dell’autore, in
quanto valutazione soggettiva;
Idem per le note di qualifica.

Cartelle cliniche
- nei casi in cui organismi sanitari redigano e
conservino cartelle cliniche, sono adottati opportuni
accorgimenti per assicurare la comprensibilità dei
dati.
- richieste di presa visione o rilascio copia
se e solo se
a) necessità di far valere diritto in sede giudiziaria di
pari rango a quello dell’interessato;
b) necessità di tutelare situazione giuridicamente
rilevante di pari rango a quella dell’interessato.
Art. 92

Legge 5 giugno 1990, n. 135
 Gli operatori sanitari che, nell'esercizio della loro professione, vengano
a conoscenza di un caso di AIDS, ovvero di un caso di infezione da
HIV, anche non accompagnato da stato morboso, sono tenuti a
prestare la necessaria assistenza adottando tutte le misure
occorrenti per la tutela della riservatezza della persona assistita.
 Fatto salvo …. la rilevazione statistica della infezione da HIV deve
essere comunque effettuata con modalità che non consentano
l'identificazione della persona.
 Sono consentite analisi di accertamento di infezione da HIV,
nell'ambito di programmi epidemiologici, soltanto quando i campioni da
analizzare siano stati resi anonimi con assoluta impossibilità di
pervenire alla identificazione delle persone interessate.
 La comunicazione di risultati di accertamenti diagnostici diretti o
indiretti per infezione da HIV può essere data esclusivamente alla
persona cui tali esami sono riferiti.

QUALI ADEMPIMENTI ?
1) Informativa
2) Atto di Nomina
3) Misure di sicurezza
a) Ospiti
b) Dipendenti
c) Fornitori di beni o servizi
a) Incaricati
b) Responsabile/i (facoltativo)
a) Documento programmatico
b) Formazione degli incaricati
c) Adozione delle misure minime

Studio Legale Avv. Stefano Corsini - Pordenone
Avv. Stefano Corsini
Vicolo Chiuso di Corso Vittorio Emanuele, 5 – PORDENONE
E-mail: info@avvocatocorsini.it
Sito web: www.avvocatocorsini.it
Grazie dell’attenzione!

�ݺ�ߣ

Privacy Sanità

Recommended

More Related Content

What's hot (20)

Similar to Privacy Sanità (20)

More from Stefano Corsini (8)

Privacy Sanità