Embed Size (px)
Citation preview
La tutela della privacy dei dati personali e sensibili
nellrsquoAzienda Sanitaria Provinciale di Cosenza
Manuale per Responsabili e Incaricati dei Trattamenti dei dati personali
dellrsquoAzienda Sanitaria provinciale di Cosenza per adeguarsi alla privacy
attraverso il buon senso e secondo gli obblighi di legge
a cura di Maria Francesca Lucanto Responsabile Ufficio Privacy ASP Cosenza
Prefazione Il diritto alla privacy nella nostra Azienda Sanitaria territoriale abbraccia una pluralitagrave drsquointeressati utenti dipendenti collaboratori Unrsquoattenzione particolare egrave stata rivolta alla protezione dei dati personali e ldquosensibilirdquo degli utenti che usufruiscono dei nostri servizi di prevenzione diagnosi cura e riabilitazione La necessitagrave di proteggere i loro dati e renderli consapevoli della tutela della propria privacy come tutela dello stesso diritto alla libertagrave di cura e di salute ha innescato un processo culturale di cambiamento negli atteggiamenti e nei comportamenti degli operatori sanitari e nellrsquoorganizzazione stessa dellrsquoerogazione dei servizi che ha determinato un nuovo corso virtuoso del nostro modo di erogare sanitagrave Siamo consapevoli che il percorso egrave appena iniziato e dovragrave costantemente adattarsi alle innovazioni continue cui il Codice sulla Protezione dei dati personali (testo unico) egrave soggetto innovazioni che provengono a un tempo dallrsquoevoluzione della normativa sanitaria e dagli aggiustamenti continui della tecnologia informatica al governo della res pubblica Oggi la pubblica amministrazione egrave inesorabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale sono legate sempre piugrave allrsquoevoluzione della telemedicina e della sanitagrave elettronica si pensi allrsquointroduzione del fascicolo sanitario elettronico del cittadino (FSE) alla certificazione on-line di malattia e alla ricetta elettronica Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizione di tutti gli operatori sanitari di loro scelta e beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono perograve molti rischi per la protezione e sicurezza dei dati In questo delicato contesto la protezione dei dati continueragrave ad assumere per noi un ruolo guida nella definizione di standard e di regole di comportamento oltre ad essere scelto come indicatore essenziale della qualitagrave dei nostri servizi e del livello di soddisfazione dei nostri utenti
Il Direttore Generale Gianfranco Scarpelli
Il Direttore UOC Affari Generali Avv Carlo Baldini
Un diritto che viene da lontano La privacy egrave un concetto e un diritto che ha origini lontane nasce dal pensiero di uno scrittore saggista e filosofo statunitense Ralph Emerson che nel 1870 scrisse ldquoSocietagrave e solitudinerdquo testo in cui egrave contenuta la frase ldquoEgrave facile nel mondo vivere secondo lopinione del mondo egrave facile in solitudine vivere secondo noi stessi ma luomo grande egrave colui che in mezzo alla folla conserva con perfetta serenitagrave lindipendenza della solitudinerdquo La solitudine dunque come criterio e fonte di libertagrave La lettura dellrsquoopera di questo grande filosofo ispirograve Louis Brandeis vissuto tra il 1856 e il 1941 avvocato e giurista statunitense membro della corte suprema degli Stati Uniti che fu probabilmente il primo al mondo a formulare il concetto di privacy
Egli con Samuel Warren diede alle stampe un saggio intitolato The Right of Privacy (il diritto di privacy) I due avvocati stavano preparando una causa contro le indiscrezioni da parte della stampa sulla vita matrimoniale dello stesso Warren il quale aveva sposato la figlia di un senatore Lrsquoira di Warren che invocograve lrsquoaiuto del suo amico avvocato fu forse derivante dal fatto che la stampa descriveva lo sposo come un tipo senzrsquoarte neacute parte che a stento meritava di essere citato in confronto alla potente famiglia della sposa
Molto probabilmente se Samuel Warren non avesse sposato una persona cosigrave in vista il diritto alla privacy non avrebbe trovato uno dei suoi fondatori Cosigrave i due avvocati e con piugrave lungimiranza soprattutto Brandeis affermarono nel loro saggio la necessitagrave che lrsquoordinamento giuridico proteggesse questo nuovo diritto della persona il diritto alla privacy definito nel loro saggio come ldquoil diritto a essere lasciati in pacerdquo almeno tra le mura domestiche della propria vita privata La privacy diventa nel saggio la necessitagrave di proteggere la stessa natura spirituale della persona sentimenti emozioni e pensieri privati I due avvocati cosigrave scrivevano ldquoSiamo insomma arrivati a riconoscere il valore giuridico della sensibilitagrave umanahelliphellip Ormai si egrave capito che solo una parte del piacere del dolore della soddisfazione della vita deriva per gli uomini dai beni materiali Pensieri emozioni e sensazioni richiedono dunque un riconoscimento giuridicordquo Dopo il saggio di Warren e Brandeis il diritto alla privacy egrave stato per circa settanta anni oggetto di discussione ma anche di resistenze e aggiramenti da parte del mondo giuridico Tra il 1890 e il 1960 nelle aule dei tribunali ottanta casi citavano lrsquoarticolo dei due giuristi fino ad arrivare a 400 nel periodo dal 1960 al 2007 In tutto questo percorso perograve il concetto di privacy ha esteso il suo significato Dal diritto alla riservatezza a quello della protezione dei dati personali Nel corso del 900 si afferma il diritto alla protezione dei dati di carattere personale distinto e autonomo dal diritto alla riservatezza Anche in Europa nel momento in cui il concetto di privacy ha assunto una veste giuridica si egrave usata lespressione data protection protezione dei dati La Convenzione di Strasburgo del 1981 egrave espressamente dedicata ldquoalla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personalerdquo da garantire sul territorio di ogni paese a ogni persona fisica qualunque siano la sua cittadinanza o residenza Il diritto alla privacy continua in Europa ad affermarsi con lrsquo Accordo di Schengen firmato il 14 giugno 1985 tra alcuni paesi europei con il quale srsquointendeva abolire i controlli sistematici delle persone alle frontiere comuni e introdurre un regime di libera circolazione dei cittadini
In questrsquoaccordo hanno trovato un significativo spazio la tutela della riservatezza e dellidentitagrave personale Laccordo difatti ha imposto ai Paesi aderenti ladozione entro il 31 dicembre 1996 di una legge di tutela rispetto al trattamento dei dati personali La Direttiva 9546CE in particolare del Parlamento europeo e del Consiglio del 24 ottobre 1995 che ha il titolo ldquoTutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazionerdquo egrave il provvedimento che per primo porta allintroduzione negli Stati membri dellUnione Europea di una normativa precisa sul trattamento dei dati personali La direttiva chiede a ciascun Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati Ma il successo del diritto privacy egrave stato soprattutto consacrato dallart 8 (ldquoDiritto al rispetto della vita privata e familiarerdquo) della Convenzione Europea per la salvaguardia dei diritti delluomo e delle libertagrave fondamentali ratificata da gran parte degli stati membri del Consiglio dEuropa e dalla Carta dei diritti fondamentali dellUnione Europea proclamata una prima volta nel 2000 a Nizza e una seconda volta nel 2007 a Strasburgo dal Parlamento dal Consiglio e dalla Commissione europea Lrsquoarticolo Articolo otto della Carta dal titolo ldquoProtezione dei dati di carattere personalerdquo proclama ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano Tali dati devono essere trattati secondo il principio di lealtagrave per finalitagrave determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica Il rispetto di tali regole egrave soggetto al controllo di unautoritagrave indipendente Il percorso privacy in Italia In Italia per lungo tempo non egrave giuridicamente esistito un diritto alla privacy Bisogna rifarsi ad alcune sentenze della Corte di Cassazione che hanno riguardato alcuni personaggi noti come il tenore Enrico
Caruso Claretta Petacci Soraya solo uno dei quali e precisamente Soraya vide riconosciuto il proprio diritto alla riservatezza con la sent n 2199 del 1975 La causa era stata instaurata da Soraya contro alcuni giornali che avevano pubblicato delle fotografie ritraenti lex-imperatrice in atteggiamenti intimi con un uomo Con questa sentenza la Corte identifica il diritto alla riservatezza ldquonella tutela di quelle situazioni e vicende strettamente personali e familiari le quali anche se verificatesi fuori dal domicilio domestico non hanno per i terzi un interesse socialmente apprezzabilerdquo
Un altro passo avanti nella formazione di una normativa adeguata anche se notevolmente in ritardo egrave fatto per rispetto di obblighi internazionali Con la legge n 98 del 21 febbraio 1989 viene infatti ratificata in Italia la Convenzione di Strasburgo sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale La direttiva Europea 9546CE determinograve poi ladozione della legge n 675 del 31 dicembre 1996 che oltre a considerare il trattamento dei dati personali cosigrave come previsto dallUnione Europea istituisce la figura del Garante per la protezione dei dati personali Attualmente egrave in vigore il Decreto legislativo 30 giugno 2003 n 196 ldquoCodice in materia di protezione dei dati personalirdquo Il concetto odierno di Privacy Il concetto di libertagrave ci porta al concetto odierno di Privacy che si egrave necessariamente e ulteriormente allargato
Esso non riguarda solo Il diritto a che nessuno invada il nostro mondo precostituito e Il diritto alla protezione dei dati personali ma anche il diritto a che ciascuno possa liberamente esprimere le proprie aspirazioni piugrave profonde e realizzarle attingendo liberamente e pienamente a ogni propria potenzialitagrave Oggi siamo in presenza dunque di un nuovo positivopropositivo concetto di privacy
autodeterminazione e sovranitagrave su di seacute come ha affermato Stefano Rodotagrave o anche diritto a essere io come ha sottolineato Giuseppe Fortunato direttore del Laboratorio Privacy Sviluppo e autore di un libro che sta suscitando una grande dibattito in Italia che ha titolo ldquoLa svolta dal desiderio alla realtagraverdquo Il testo propone il sistema attraverso cui avere fiducia nelle proprie capacitagrave ed essere consapevoli della propria ricchezza individuale per agire e
diventare protagonisti della propria vita e come punto di partenza per partecipare alle decisioni della vita pubblica Il Laboratorio Privacy Sviluppo egrave unrsquoiniziativa costituita nel 2006 presso il Garante per la protezione dei dati personali italiano con la partecipazione degli omologhi Garanti sia di paesi dellUnione Europea sia di paesi extra-Unione Esso studia laspetto espansivo della privacy intesa come spinta allo sviluppo delle capacitagrave attive del ldquoCivesrdquo del cittadino per la piena realizzazione della sua personalitagrave nella sfera sociale economica politica Da qui lrsquoevoluzione del concetto di democrazia in quello di civicrazia intesa come partecipazione dei cittadini al governo della cosa pubblica Dalla rete nata dal laboratorio che comprende circa 4000 tra istituzioni associazioni culturali e di categoria egrave nato il movimento Civicratico che si raccorda con lrsquo Albo nazionale dei Difensori Civici comunali nellrsquoottica della creazione di un adeguato ldquocontropotererdquo dei cittadini contropotere spontaneo come quello auspicato nella ldquoomnicraziardquo potere di tutti di Aldo Capitini storica utopia degli anni lsquo60 Il Codice in materia di protezione dei dati personali Il Codice sulla protezione dei dati personali entrato in vigore nellordinamento italiano il 1deg gennaio del 2004 racchiude in un unico testo organico e unitario lintera disciplina della materia Ersquo un teso in continuo aggiornamento ed evoluzione Un capitolo speciale della legge egrave dedicato al sistema sanitario il 13 per cento dellrsquointero e corposo testo di legge
Lrsquoarticolo uno del Codice egrave lapidario chiunque ha diritto alla protezione dei dati personali che lo riguardano Il diritto alla protezione dei propri dati egrave definito anche diritto allrsquoautodeterminazione informativa
bull In particolare il codice stabilisce delle norme che dovrebbero garantire il controllo da parte del soggetto interessato delle informazioni che lo riguardano in modo tale che i propri dati personali non siano ldquooggetto di perdita divulgazione o manipolazionerdquo
Il Segreto privacy egrave diverso ed egrave piugrave complesso del segreto drsquoufficio e del segreto professionale Le violazioni del segreto drsquoufficio e del segreto professionale possono essere perseguite solo dietro denuncia della parte lesa Per le violazioni del segreto privacy si puograve invece ldquoprocedere drsquoufficiordquo LrsquoArticolo due del Codice stabilisce la finalitagrave della normativa garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertagrave fondamentali e della dignitagrave dellinteressato con particolare riferimento alla riservatezza allidentitagrave personale e al diritto alla protezione dei dati personali Lrsquoarticolo tre introduce un concetto nuovo e importantissimo che costituisce il filo rosso di tutta la normativa il principio di necessitagrave I dati personali si usano solo quando sono necessari Secondo tale principio i sistemi informativi soprattutto informatici devono utilizzare al minimo i dati personali e identificativi
Va escluso il trattamento quando se ne puograve fare a meno privilegiando lrsquoanonimitagrave del dato mentre le modalitagrave identificative vanno utilizzate solo in caso di necessitagrave Dati personali comuni identificativi sensibili
Ma di quali dati parliamo Nellrsquoarticolo quattro il Codice dagrave alcune definizioni importanti Innanzitutto quella di dato personale comune qualunque informazione relativa a una persona fisica o giuridica (ente associazione ecc) che permette di identificarla in modo diretto (carta di identitagrave) o indiretto (ci si riferisce pure alle immagini e a dati biometrici come le impronte digitali) Particolare attenzione il Codice riserva ai cosiddetti dati sensibili che
riguardano la sfera personalissima dei singoli e cioegrave quei dati idonei a rivelare lrsquoorigine razziale ed etnica le convinzioni religiose o filosofiche le opinioni politiche lrsquoadesione a partiti sindacati associazioni o organizzazioni a carattere religioso filosofico politico o sindacale Sono dati sensibili infine anzi supersensibili i dati personali idonei a rivelare lo stato di salute e la vita sessuale che ricevono dalla norma una particolare protezione Il trattamento dei dati Il trattamento dei dati egrave individuato dal Codice in sedici precise operazioni che si possono compiere sui dati personali la raccolta cioegrave lrsquoacquisizione delle informazioni personali la registrazione cioegrave lrsquoinserimento delle informazioni personali su un supporto cartaceo (schede cartelle ecc) o magnetico (computer) lrsquoorganizzazione dei dati personali ad esempio la composizione di una pratica la conservazione come la tenuta di archivi lrsquoelaborazione cioegrave la ricostruzione e lrsquointerpretazione dei dati personali per terminare un procedimento e la consultazione degli stessi la modificazione la selezione o lrsquoindividuazione di alcuni dati allrsquointerno di una banca dati o di un documento lrsquointerconnessione tipica dei controlli incrociati usati nelle ricerche e nelle indagini epidemiologiche il blocco cioegrave la conservazione dei dati personali con sospensione temporanea di ogni altra operazione di trattamento la comunicazione cioegrave il dare conoscenza dei dati personali a uno o piugrave soggetti determinati diversi dallrsquointeressato la diffusione quasi sempre vietata cioegrave il dare conoscenza dei dati personali a soggetti indeterminati la cancellazione la distruzione ad esempio le procedure di scarto periodico dei documenti lrsquoestrazione il raffronto lrsquoutilizzo Gli attori della privacy
Lrsquoorganigramma della privacy egrave costituito dal Garante per la Protezione dei Dati Personali dal Titolare dei Trattamenti dei dati personali dal Responsabile aziendale privacy dal Responsabile o i Responsabili dei Trattamenti dei dati personali dagli Incaricati dei trattamenti dei dati personali
bull La struttura egrave verticistica e le relative responsabilitagrave in tema di adempimenti privacy sono a cascata Dalla parte opposta crsquoegrave lrsquoInteressato il primo fra gli attori della privacy Lrsquointeressato egrave la persona fisica nel nostro caso soprattutto lrsquoutente del SSN ma anche la persona giuridica lente o lassociazione cui si riferiscono i dati personali Il Garante per la protezione dei dati personali risiede a Piazza di Montecitorio e ha un suo sito che egrave wwwgaranteprivacyit Ersquo un organo collegiale costituito da quattro membri eletti due dalla Camera dei Deputati e due dal Senato della Repubblica esperti in diritto o in informatica che eleggono nel loro ambito un presidente e un vicepresidente Il primo Presidente egrave stato Stefano Rodotagrave Tra i diversi compiti del Garante (art 154 del Codice) rientrano quelli di controllare che i trattamenti siano effettuati
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Manuale per Responsabili e Incaricati dei Trattamenti dei dati personali
dellrsquoAzienda Sanitaria provinciale di Cosenza per adeguarsi alla privacy
attraverso il buon senso e secondo gli obblighi di legge
a cura di Maria Francesca Lucanto Responsabile Ufficio Privacy ASP Cosenza
Prefazione Il diritto alla privacy nella nostra Azienda Sanitaria territoriale abbraccia una pluralitagrave drsquointeressati utenti dipendenti collaboratori Unrsquoattenzione particolare egrave stata rivolta alla protezione dei dati personali e ldquosensibilirdquo degli utenti che usufruiscono dei nostri servizi di prevenzione diagnosi cura e riabilitazione La necessitagrave di proteggere i loro dati e renderli consapevoli della tutela della propria privacy come tutela dello stesso diritto alla libertagrave di cura e di salute ha innescato un processo culturale di cambiamento negli atteggiamenti e nei comportamenti degli operatori sanitari e nellrsquoorganizzazione stessa dellrsquoerogazione dei servizi che ha determinato un nuovo corso virtuoso del nostro modo di erogare sanitagrave Siamo consapevoli che il percorso egrave appena iniziato e dovragrave costantemente adattarsi alle innovazioni continue cui il Codice sulla Protezione dei dati personali (testo unico) egrave soggetto innovazioni che provengono a un tempo dallrsquoevoluzione della normativa sanitaria e dagli aggiustamenti continui della tecnologia informatica al governo della res pubblica Oggi la pubblica amministrazione egrave inesorabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale sono legate sempre piugrave allrsquoevoluzione della telemedicina e della sanitagrave elettronica si pensi allrsquointroduzione del fascicolo sanitario elettronico del cittadino (FSE) alla certificazione on-line di malattia e alla ricetta elettronica Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizione di tutti gli operatori sanitari di loro scelta e beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono perograve molti rischi per la protezione e sicurezza dei dati In questo delicato contesto la protezione dei dati continueragrave ad assumere per noi un ruolo guida nella definizione di standard e di regole di comportamento oltre ad essere scelto come indicatore essenziale della qualitagrave dei nostri servizi e del livello di soddisfazione dei nostri utenti
Il Direttore Generale Gianfranco Scarpelli
Il Direttore UOC Affari Generali Avv Carlo Baldini
Un diritto che viene da lontano La privacy egrave un concetto e un diritto che ha origini lontane nasce dal pensiero di uno scrittore saggista e filosofo statunitense Ralph Emerson che nel 1870 scrisse ldquoSocietagrave e solitudinerdquo testo in cui egrave contenuta la frase ldquoEgrave facile nel mondo vivere secondo lopinione del mondo egrave facile in solitudine vivere secondo noi stessi ma luomo grande egrave colui che in mezzo alla folla conserva con perfetta serenitagrave lindipendenza della solitudinerdquo La solitudine dunque come criterio e fonte di libertagrave La lettura dellrsquoopera di questo grande filosofo ispirograve Louis Brandeis vissuto tra il 1856 e il 1941 avvocato e giurista statunitense membro della corte suprema degli Stati Uniti che fu probabilmente il primo al mondo a formulare il concetto di privacy
Egli con Samuel Warren diede alle stampe un saggio intitolato The Right of Privacy (il diritto di privacy) I due avvocati stavano preparando una causa contro le indiscrezioni da parte della stampa sulla vita matrimoniale dello stesso Warren il quale aveva sposato la figlia di un senatore Lrsquoira di Warren che invocograve lrsquoaiuto del suo amico avvocato fu forse derivante dal fatto che la stampa descriveva lo sposo come un tipo senzrsquoarte neacute parte che a stento meritava di essere citato in confronto alla potente famiglia della sposa
Molto probabilmente se Samuel Warren non avesse sposato una persona cosigrave in vista il diritto alla privacy non avrebbe trovato uno dei suoi fondatori Cosigrave i due avvocati e con piugrave lungimiranza soprattutto Brandeis affermarono nel loro saggio la necessitagrave che lrsquoordinamento giuridico proteggesse questo nuovo diritto della persona il diritto alla privacy definito nel loro saggio come ldquoil diritto a essere lasciati in pacerdquo almeno tra le mura domestiche della propria vita privata La privacy diventa nel saggio la necessitagrave di proteggere la stessa natura spirituale della persona sentimenti emozioni e pensieri privati I due avvocati cosigrave scrivevano ldquoSiamo insomma arrivati a riconoscere il valore giuridico della sensibilitagrave umanahelliphellip Ormai si egrave capito che solo una parte del piacere del dolore della soddisfazione della vita deriva per gli uomini dai beni materiali Pensieri emozioni e sensazioni richiedono dunque un riconoscimento giuridicordquo Dopo il saggio di Warren e Brandeis il diritto alla privacy egrave stato per circa settanta anni oggetto di discussione ma anche di resistenze e aggiramenti da parte del mondo giuridico Tra il 1890 e il 1960 nelle aule dei tribunali ottanta casi citavano lrsquoarticolo dei due giuristi fino ad arrivare a 400 nel periodo dal 1960 al 2007 In tutto questo percorso perograve il concetto di privacy ha esteso il suo significato Dal diritto alla riservatezza a quello della protezione dei dati personali Nel corso del 900 si afferma il diritto alla protezione dei dati di carattere personale distinto e autonomo dal diritto alla riservatezza Anche in Europa nel momento in cui il concetto di privacy ha assunto una veste giuridica si egrave usata lespressione data protection protezione dei dati La Convenzione di Strasburgo del 1981 egrave espressamente dedicata ldquoalla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personalerdquo da garantire sul territorio di ogni paese a ogni persona fisica qualunque siano la sua cittadinanza o residenza Il diritto alla privacy continua in Europa ad affermarsi con lrsquo Accordo di Schengen firmato il 14 giugno 1985 tra alcuni paesi europei con il quale srsquointendeva abolire i controlli sistematici delle persone alle frontiere comuni e introdurre un regime di libera circolazione dei cittadini
In questrsquoaccordo hanno trovato un significativo spazio la tutela della riservatezza e dellidentitagrave personale Laccordo difatti ha imposto ai Paesi aderenti ladozione entro il 31 dicembre 1996 di una legge di tutela rispetto al trattamento dei dati personali La Direttiva 9546CE in particolare del Parlamento europeo e del Consiglio del 24 ottobre 1995 che ha il titolo ldquoTutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazionerdquo egrave il provvedimento che per primo porta allintroduzione negli Stati membri dellUnione Europea di una normativa precisa sul trattamento dei dati personali La direttiva chiede a ciascun Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati Ma il successo del diritto privacy egrave stato soprattutto consacrato dallart 8 (ldquoDiritto al rispetto della vita privata e familiarerdquo) della Convenzione Europea per la salvaguardia dei diritti delluomo e delle libertagrave fondamentali ratificata da gran parte degli stati membri del Consiglio dEuropa e dalla Carta dei diritti fondamentali dellUnione Europea proclamata una prima volta nel 2000 a Nizza e una seconda volta nel 2007 a Strasburgo dal Parlamento dal Consiglio e dalla Commissione europea Lrsquoarticolo Articolo otto della Carta dal titolo ldquoProtezione dei dati di carattere personalerdquo proclama ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano Tali dati devono essere trattati secondo il principio di lealtagrave per finalitagrave determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica Il rispetto di tali regole egrave soggetto al controllo di unautoritagrave indipendente Il percorso privacy in Italia In Italia per lungo tempo non egrave giuridicamente esistito un diritto alla privacy Bisogna rifarsi ad alcune sentenze della Corte di Cassazione che hanno riguardato alcuni personaggi noti come il tenore Enrico
Caruso Claretta Petacci Soraya solo uno dei quali e precisamente Soraya vide riconosciuto il proprio diritto alla riservatezza con la sent n 2199 del 1975 La causa era stata instaurata da Soraya contro alcuni giornali che avevano pubblicato delle fotografie ritraenti lex-imperatrice in atteggiamenti intimi con un uomo Con questa sentenza la Corte identifica il diritto alla riservatezza ldquonella tutela di quelle situazioni e vicende strettamente personali e familiari le quali anche se verificatesi fuori dal domicilio domestico non hanno per i terzi un interesse socialmente apprezzabilerdquo
Un altro passo avanti nella formazione di una normativa adeguata anche se notevolmente in ritardo egrave fatto per rispetto di obblighi internazionali Con la legge n 98 del 21 febbraio 1989 viene infatti ratificata in Italia la Convenzione di Strasburgo sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale La direttiva Europea 9546CE determinograve poi ladozione della legge n 675 del 31 dicembre 1996 che oltre a considerare il trattamento dei dati personali cosigrave come previsto dallUnione Europea istituisce la figura del Garante per la protezione dei dati personali Attualmente egrave in vigore il Decreto legislativo 30 giugno 2003 n 196 ldquoCodice in materia di protezione dei dati personalirdquo Il concetto odierno di Privacy Il concetto di libertagrave ci porta al concetto odierno di Privacy che si egrave necessariamente e ulteriormente allargato
Esso non riguarda solo Il diritto a che nessuno invada il nostro mondo precostituito e Il diritto alla protezione dei dati personali ma anche il diritto a che ciascuno possa liberamente esprimere le proprie aspirazioni piugrave profonde e realizzarle attingendo liberamente e pienamente a ogni propria potenzialitagrave Oggi siamo in presenza dunque di un nuovo positivopropositivo concetto di privacy
autodeterminazione e sovranitagrave su di seacute come ha affermato Stefano Rodotagrave o anche diritto a essere io come ha sottolineato Giuseppe Fortunato direttore del Laboratorio Privacy Sviluppo e autore di un libro che sta suscitando una grande dibattito in Italia che ha titolo ldquoLa svolta dal desiderio alla realtagraverdquo Il testo propone il sistema attraverso cui avere fiducia nelle proprie capacitagrave ed essere consapevoli della propria ricchezza individuale per agire e
diventare protagonisti della propria vita e come punto di partenza per partecipare alle decisioni della vita pubblica Il Laboratorio Privacy Sviluppo egrave unrsquoiniziativa costituita nel 2006 presso il Garante per la protezione dei dati personali italiano con la partecipazione degli omologhi Garanti sia di paesi dellUnione Europea sia di paesi extra-Unione Esso studia laspetto espansivo della privacy intesa come spinta allo sviluppo delle capacitagrave attive del ldquoCivesrdquo del cittadino per la piena realizzazione della sua personalitagrave nella sfera sociale economica politica Da qui lrsquoevoluzione del concetto di democrazia in quello di civicrazia intesa come partecipazione dei cittadini al governo della cosa pubblica Dalla rete nata dal laboratorio che comprende circa 4000 tra istituzioni associazioni culturali e di categoria egrave nato il movimento Civicratico che si raccorda con lrsquo Albo nazionale dei Difensori Civici comunali nellrsquoottica della creazione di un adeguato ldquocontropotererdquo dei cittadini contropotere spontaneo come quello auspicato nella ldquoomnicraziardquo potere di tutti di Aldo Capitini storica utopia degli anni lsquo60 Il Codice in materia di protezione dei dati personali Il Codice sulla protezione dei dati personali entrato in vigore nellordinamento italiano il 1deg gennaio del 2004 racchiude in un unico testo organico e unitario lintera disciplina della materia Ersquo un teso in continuo aggiornamento ed evoluzione Un capitolo speciale della legge egrave dedicato al sistema sanitario il 13 per cento dellrsquointero e corposo testo di legge
Lrsquoarticolo uno del Codice egrave lapidario chiunque ha diritto alla protezione dei dati personali che lo riguardano Il diritto alla protezione dei propri dati egrave definito anche diritto allrsquoautodeterminazione informativa
bull In particolare il codice stabilisce delle norme che dovrebbero garantire il controllo da parte del soggetto interessato delle informazioni che lo riguardano in modo tale che i propri dati personali non siano ldquooggetto di perdita divulgazione o manipolazionerdquo
Il Segreto privacy egrave diverso ed egrave piugrave complesso del segreto drsquoufficio e del segreto professionale Le violazioni del segreto drsquoufficio e del segreto professionale possono essere perseguite solo dietro denuncia della parte lesa Per le violazioni del segreto privacy si puograve invece ldquoprocedere drsquoufficiordquo LrsquoArticolo due del Codice stabilisce la finalitagrave della normativa garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertagrave fondamentali e della dignitagrave dellinteressato con particolare riferimento alla riservatezza allidentitagrave personale e al diritto alla protezione dei dati personali Lrsquoarticolo tre introduce un concetto nuovo e importantissimo che costituisce il filo rosso di tutta la normativa il principio di necessitagrave I dati personali si usano solo quando sono necessari Secondo tale principio i sistemi informativi soprattutto informatici devono utilizzare al minimo i dati personali e identificativi
Va escluso il trattamento quando se ne puograve fare a meno privilegiando lrsquoanonimitagrave del dato mentre le modalitagrave identificative vanno utilizzate solo in caso di necessitagrave Dati personali comuni identificativi sensibili
Ma di quali dati parliamo Nellrsquoarticolo quattro il Codice dagrave alcune definizioni importanti Innanzitutto quella di dato personale comune qualunque informazione relativa a una persona fisica o giuridica (ente associazione ecc) che permette di identificarla in modo diretto (carta di identitagrave) o indiretto (ci si riferisce pure alle immagini e a dati biometrici come le impronte digitali) Particolare attenzione il Codice riserva ai cosiddetti dati sensibili che
riguardano la sfera personalissima dei singoli e cioegrave quei dati idonei a rivelare lrsquoorigine razziale ed etnica le convinzioni religiose o filosofiche le opinioni politiche lrsquoadesione a partiti sindacati associazioni o organizzazioni a carattere religioso filosofico politico o sindacale Sono dati sensibili infine anzi supersensibili i dati personali idonei a rivelare lo stato di salute e la vita sessuale che ricevono dalla norma una particolare protezione Il trattamento dei dati Il trattamento dei dati egrave individuato dal Codice in sedici precise operazioni che si possono compiere sui dati personali la raccolta cioegrave lrsquoacquisizione delle informazioni personali la registrazione cioegrave lrsquoinserimento delle informazioni personali su un supporto cartaceo (schede cartelle ecc) o magnetico (computer) lrsquoorganizzazione dei dati personali ad esempio la composizione di una pratica la conservazione come la tenuta di archivi lrsquoelaborazione cioegrave la ricostruzione e lrsquointerpretazione dei dati personali per terminare un procedimento e la consultazione degli stessi la modificazione la selezione o lrsquoindividuazione di alcuni dati allrsquointerno di una banca dati o di un documento lrsquointerconnessione tipica dei controlli incrociati usati nelle ricerche e nelle indagini epidemiologiche il blocco cioegrave la conservazione dei dati personali con sospensione temporanea di ogni altra operazione di trattamento la comunicazione cioegrave il dare conoscenza dei dati personali a uno o piugrave soggetti determinati diversi dallrsquointeressato la diffusione quasi sempre vietata cioegrave il dare conoscenza dei dati personali a soggetti indeterminati la cancellazione la distruzione ad esempio le procedure di scarto periodico dei documenti lrsquoestrazione il raffronto lrsquoutilizzo Gli attori della privacy
Lrsquoorganigramma della privacy egrave costituito dal Garante per la Protezione dei Dati Personali dal Titolare dei Trattamenti dei dati personali dal Responsabile aziendale privacy dal Responsabile o i Responsabili dei Trattamenti dei dati personali dagli Incaricati dei trattamenti dei dati personali
bull La struttura egrave verticistica e le relative responsabilitagrave in tema di adempimenti privacy sono a cascata Dalla parte opposta crsquoegrave lrsquoInteressato il primo fra gli attori della privacy Lrsquointeressato egrave la persona fisica nel nostro caso soprattutto lrsquoutente del SSN ma anche la persona giuridica lente o lassociazione cui si riferiscono i dati personali Il Garante per la protezione dei dati personali risiede a Piazza di Montecitorio e ha un suo sito che egrave wwwgaranteprivacyit Ersquo un organo collegiale costituito da quattro membri eletti due dalla Camera dei Deputati e due dal Senato della Repubblica esperti in diritto o in informatica che eleggono nel loro ambito un presidente e un vicepresidente Il primo Presidente egrave stato Stefano Rodotagrave Tra i diversi compiti del Garante (art 154 del Codice) rientrano quelli di controllare che i trattamenti siano effettuati
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Prefazione Il diritto alla privacy nella nostra Azienda Sanitaria territoriale abbraccia una pluralitagrave drsquointeressati utenti dipendenti collaboratori Unrsquoattenzione particolare egrave stata rivolta alla protezione dei dati personali e ldquosensibilirdquo degli utenti che usufruiscono dei nostri servizi di prevenzione diagnosi cura e riabilitazione La necessitagrave di proteggere i loro dati e renderli consapevoli della tutela della propria privacy come tutela dello stesso diritto alla libertagrave di cura e di salute ha innescato un processo culturale di cambiamento negli atteggiamenti e nei comportamenti degli operatori sanitari e nellrsquoorganizzazione stessa dellrsquoerogazione dei servizi che ha determinato un nuovo corso virtuoso del nostro modo di erogare sanitagrave Siamo consapevoli che il percorso egrave appena iniziato e dovragrave costantemente adattarsi alle innovazioni continue cui il Codice sulla Protezione dei dati personali (testo unico) egrave soggetto innovazioni che provengono a un tempo dallrsquoevoluzione della normativa sanitaria e dagli aggiustamenti continui della tecnologia informatica al governo della res pubblica Oggi la pubblica amministrazione egrave inesorabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale sono legate sempre piugrave allrsquoevoluzione della telemedicina e della sanitagrave elettronica si pensi allrsquointroduzione del fascicolo sanitario elettronico del cittadino (FSE) alla certificazione on-line di malattia e alla ricetta elettronica Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizione di tutti gli operatori sanitari di loro scelta e beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono perograve molti rischi per la protezione e sicurezza dei dati In questo delicato contesto la protezione dei dati continueragrave ad assumere per noi un ruolo guida nella definizione di standard e di regole di comportamento oltre ad essere scelto come indicatore essenziale della qualitagrave dei nostri servizi e del livello di soddisfazione dei nostri utenti
Il Direttore Generale Gianfranco Scarpelli
Il Direttore UOC Affari Generali Avv Carlo Baldini
Un diritto che viene da lontano La privacy egrave un concetto e un diritto che ha origini lontane nasce dal pensiero di uno scrittore saggista e filosofo statunitense Ralph Emerson che nel 1870 scrisse ldquoSocietagrave e solitudinerdquo testo in cui egrave contenuta la frase ldquoEgrave facile nel mondo vivere secondo lopinione del mondo egrave facile in solitudine vivere secondo noi stessi ma luomo grande egrave colui che in mezzo alla folla conserva con perfetta serenitagrave lindipendenza della solitudinerdquo La solitudine dunque come criterio e fonte di libertagrave La lettura dellrsquoopera di questo grande filosofo ispirograve Louis Brandeis vissuto tra il 1856 e il 1941 avvocato e giurista statunitense membro della corte suprema degli Stati Uniti che fu probabilmente il primo al mondo a formulare il concetto di privacy
Egli con Samuel Warren diede alle stampe un saggio intitolato The Right of Privacy (il diritto di privacy) I due avvocati stavano preparando una causa contro le indiscrezioni da parte della stampa sulla vita matrimoniale dello stesso Warren il quale aveva sposato la figlia di un senatore Lrsquoira di Warren che invocograve lrsquoaiuto del suo amico avvocato fu forse derivante dal fatto che la stampa descriveva lo sposo come un tipo senzrsquoarte neacute parte che a stento meritava di essere citato in confronto alla potente famiglia della sposa
Molto probabilmente se Samuel Warren non avesse sposato una persona cosigrave in vista il diritto alla privacy non avrebbe trovato uno dei suoi fondatori Cosigrave i due avvocati e con piugrave lungimiranza soprattutto Brandeis affermarono nel loro saggio la necessitagrave che lrsquoordinamento giuridico proteggesse questo nuovo diritto della persona il diritto alla privacy definito nel loro saggio come ldquoil diritto a essere lasciati in pacerdquo almeno tra le mura domestiche della propria vita privata La privacy diventa nel saggio la necessitagrave di proteggere la stessa natura spirituale della persona sentimenti emozioni e pensieri privati I due avvocati cosigrave scrivevano ldquoSiamo insomma arrivati a riconoscere il valore giuridico della sensibilitagrave umanahelliphellip Ormai si egrave capito che solo una parte del piacere del dolore della soddisfazione della vita deriva per gli uomini dai beni materiali Pensieri emozioni e sensazioni richiedono dunque un riconoscimento giuridicordquo Dopo il saggio di Warren e Brandeis il diritto alla privacy egrave stato per circa settanta anni oggetto di discussione ma anche di resistenze e aggiramenti da parte del mondo giuridico Tra il 1890 e il 1960 nelle aule dei tribunali ottanta casi citavano lrsquoarticolo dei due giuristi fino ad arrivare a 400 nel periodo dal 1960 al 2007 In tutto questo percorso perograve il concetto di privacy ha esteso il suo significato Dal diritto alla riservatezza a quello della protezione dei dati personali Nel corso del 900 si afferma il diritto alla protezione dei dati di carattere personale distinto e autonomo dal diritto alla riservatezza Anche in Europa nel momento in cui il concetto di privacy ha assunto una veste giuridica si egrave usata lespressione data protection protezione dei dati La Convenzione di Strasburgo del 1981 egrave espressamente dedicata ldquoalla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personalerdquo da garantire sul territorio di ogni paese a ogni persona fisica qualunque siano la sua cittadinanza o residenza Il diritto alla privacy continua in Europa ad affermarsi con lrsquo Accordo di Schengen firmato il 14 giugno 1985 tra alcuni paesi europei con il quale srsquointendeva abolire i controlli sistematici delle persone alle frontiere comuni e introdurre un regime di libera circolazione dei cittadini
In questrsquoaccordo hanno trovato un significativo spazio la tutela della riservatezza e dellidentitagrave personale Laccordo difatti ha imposto ai Paesi aderenti ladozione entro il 31 dicembre 1996 di una legge di tutela rispetto al trattamento dei dati personali La Direttiva 9546CE in particolare del Parlamento europeo e del Consiglio del 24 ottobre 1995 che ha il titolo ldquoTutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazionerdquo egrave il provvedimento che per primo porta allintroduzione negli Stati membri dellUnione Europea di una normativa precisa sul trattamento dei dati personali La direttiva chiede a ciascun Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati Ma il successo del diritto privacy egrave stato soprattutto consacrato dallart 8 (ldquoDiritto al rispetto della vita privata e familiarerdquo) della Convenzione Europea per la salvaguardia dei diritti delluomo e delle libertagrave fondamentali ratificata da gran parte degli stati membri del Consiglio dEuropa e dalla Carta dei diritti fondamentali dellUnione Europea proclamata una prima volta nel 2000 a Nizza e una seconda volta nel 2007 a Strasburgo dal Parlamento dal Consiglio e dalla Commissione europea Lrsquoarticolo Articolo otto della Carta dal titolo ldquoProtezione dei dati di carattere personalerdquo proclama ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano Tali dati devono essere trattati secondo il principio di lealtagrave per finalitagrave determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica Il rispetto di tali regole egrave soggetto al controllo di unautoritagrave indipendente Il percorso privacy in Italia In Italia per lungo tempo non egrave giuridicamente esistito un diritto alla privacy Bisogna rifarsi ad alcune sentenze della Corte di Cassazione che hanno riguardato alcuni personaggi noti come il tenore Enrico
Caruso Claretta Petacci Soraya solo uno dei quali e precisamente Soraya vide riconosciuto il proprio diritto alla riservatezza con la sent n 2199 del 1975 La causa era stata instaurata da Soraya contro alcuni giornali che avevano pubblicato delle fotografie ritraenti lex-imperatrice in atteggiamenti intimi con un uomo Con questa sentenza la Corte identifica il diritto alla riservatezza ldquonella tutela di quelle situazioni e vicende strettamente personali e familiari le quali anche se verificatesi fuori dal domicilio domestico non hanno per i terzi un interesse socialmente apprezzabilerdquo
Un altro passo avanti nella formazione di una normativa adeguata anche se notevolmente in ritardo egrave fatto per rispetto di obblighi internazionali Con la legge n 98 del 21 febbraio 1989 viene infatti ratificata in Italia la Convenzione di Strasburgo sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale La direttiva Europea 9546CE determinograve poi ladozione della legge n 675 del 31 dicembre 1996 che oltre a considerare il trattamento dei dati personali cosigrave come previsto dallUnione Europea istituisce la figura del Garante per la protezione dei dati personali Attualmente egrave in vigore il Decreto legislativo 30 giugno 2003 n 196 ldquoCodice in materia di protezione dei dati personalirdquo Il concetto odierno di Privacy Il concetto di libertagrave ci porta al concetto odierno di Privacy che si egrave necessariamente e ulteriormente allargato
Esso non riguarda solo Il diritto a che nessuno invada il nostro mondo precostituito e Il diritto alla protezione dei dati personali ma anche il diritto a che ciascuno possa liberamente esprimere le proprie aspirazioni piugrave profonde e realizzarle attingendo liberamente e pienamente a ogni propria potenzialitagrave Oggi siamo in presenza dunque di un nuovo positivopropositivo concetto di privacy
autodeterminazione e sovranitagrave su di seacute come ha affermato Stefano Rodotagrave o anche diritto a essere io come ha sottolineato Giuseppe Fortunato direttore del Laboratorio Privacy Sviluppo e autore di un libro che sta suscitando una grande dibattito in Italia che ha titolo ldquoLa svolta dal desiderio alla realtagraverdquo Il testo propone il sistema attraverso cui avere fiducia nelle proprie capacitagrave ed essere consapevoli della propria ricchezza individuale per agire e
diventare protagonisti della propria vita e come punto di partenza per partecipare alle decisioni della vita pubblica Il Laboratorio Privacy Sviluppo egrave unrsquoiniziativa costituita nel 2006 presso il Garante per la protezione dei dati personali italiano con la partecipazione degli omologhi Garanti sia di paesi dellUnione Europea sia di paesi extra-Unione Esso studia laspetto espansivo della privacy intesa come spinta allo sviluppo delle capacitagrave attive del ldquoCivesrdquo del cittadino per la piena realizzazione della sua personalitagrave nella sfera sociale economica politica Da qui lrsquoevoluzione del concetto di democrazia in quello di civicrazia intesa come partecipazione dei cittadini al governo della cosa pubblica Dalla rete nata dal laboratorio che comprende circa 4000 tra istituzioni associazioni culturali e di categoria egrave nato il movimento Civicratico che si raccorda con lrsquo Albo nazionale dei Difensori Civici comunali nellrsquoottica della creazione di un adeguato ldquocontropotererdquo dei cittadini contropotere spontaneo come quello auspicato nella ldquoomnicraziardquo potere di tutti di Aldo Capitini storica utopia degli anni lsquo60 Il Codice in materia di protezione dei dati personali Il Codice sulla protezione dei dati personali entrato in vigore nellordinamento italiano il 1deg gennaio del 2004 racchiude in un unico testo organico e unitario lintera disciplina della materia Ersquo un teso in continuo aggiornamento ed evoluzione Un capitolo speciale della legge egrave dedicato al sistema sanitario il 13 per cento dellrsquointero e corposo testo di legge
Lrsquoarticolo uno del Codice egrave lapidario chiunque ha diritto alla protezione dei dati personali che lo riguardano Il diritto alla protezione dei propri dati egrave definito anche diritto allrsquoautodeterminazione informativa
bull In particolare il codice stabilisce delle norme che dovrebbero garantire il controllo da parte del soggetto interessato delle informazioni che lo riguardano in modo tale che i propri dati personali non siano ldquooggetto di perdita divulgazione o manipolazionerdquo
Il Segreto privacy egrave diverso ed egrave piugrave complesso del segreto drsquoufficio e del segreto professionale Le violazioni del segreto drsquoufficio e del segreto professionale possono essere perseguite solo dietro denuncia della parte lesa Per le violazioni del segreto privacy si puograve invece ldquoprocedere drsquoufficiordquo LrsquoArticolo due del Codice stabilisce la finalitagrave della normativa garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertagrave fondamentali e della dignitagrave dellinteressato con particolare riferimento alla riservatezza allidentitagrave personale e al diritto alla protezione dei dati personali Lrsquoarticolo tre introduce un concetto nuovo e importantissimo che costituisce il filo rosso di tutta la normativa il principio di necessitagrave I dati personali si usano solo quando sono necessari Secondo tale principio i sistemi informativi soprattutto informatici devono utilizzare al minimo i dati personali e identificativi
Va escluso il trattamento quando se ne puograve fare a meno privilegiando lrsquoanonimitagrave del dato mentre le modalitagrave identificative vanno utilizzate solo in caso di necessitagrave Dati personali comuni identificativi sensibili
Ma di quali dati parliamo Nellrsquoarticolo quattro il Codice dagrave alcune definizioni importanti Innanzitutto quella di dato personale comune qualunque informazione relativa a una persona fisica o giuridica (ente associazione ecc) che permette di identificarla in modo diretto (carta di identitagrave) o indiretto (ci si riferisce pure alle immagini e a dati biometrici come le impronte digitali) Particolare attenzione il Codice riserva ai cosiddetti dati sensibili che
riguardano la sfera personalissima dei singoli e cioegrave quei dati idonei a rivelare lrsquoorigine razziale ed etnica le convinzioni religiose o filosofiche le opinioni politiche lrsquoadesione a partiti sindacati associazioni o organizzazioni a carattere religioso filosofico politico o sindacale Sono dati sensibili infine anzi supersensibili i dati personali idonei a rivelare lo stato di salute e la vita sessuale che ricevono dalla norma una particolare protezione Il trattamento dei dati Il trattamento dei dati egrave individuato dal Codice in sedici precise operazioni che si possono compiere sui dati personali la raccolta cioegrave lrsquoacquisizione delle informazioni personali la registrazione cioegrave lrsquoinserimento delle informazioni personali su un supporto cartaceo (schede cartelle ecc) o magnetico (computer) lrsquoorganizzazione dei dati personali ad esempio la composizione di una pratica la conservazione come la tenuta di archivi lrsquoelaborazione cioegrave la ricostruzione e lrsquointerpretazione dei dati personali per terminare un procedimento e la consultazione degli stessi la modificazione la selezione o lrsquoindividuazione di alcuni dati allrsquointerno di una banca dati o di un documento lrsquointerconnessione tipica dei controlli incrociati usati nelle ricerche e nelle indagini epidemiologiche il blocco cioegrave la conservazione dei dati personali con sospensione temporanea di ogni altra operazione di trattamento la comunicazione cioegrave il dare conoscenza dei dati personali a uno o piugrave soggetti determinati diversi dallrsquointeressato la diffusione quasi sempre vietata cioegrave il dare conoscenza dei dati personali a soggetti indeterminati la cancellazione la distruzione ad esempio le procedure di scarto periodico dei documenti lrsquoestrazione il raffronto lrsquoutilizzo Gli attori della privacy
Lrsquoorganigramma della privacy egrave costituito dal Garante per la Protezione dei Dati Personali dal Titolare dei Trattamenti dei dati personali dal Responsabile aziendale privacy dal Responsabile o i Responsabili dei Trattamenti dei dati personali dagli Incaricati dei trattamenti dei dati personali
bull La struttura egrave verticistica e le relative responsabilitagrave in tema di adempimenti privacy sono a cascata Dalla parte opposta crsquoegrave lrsquoInteressato il primo fra gli attori della privacy Lrsquointeressato egrave la persona fisica nel nostro caso soprattutto lrsquoutente del SSN ma anche la persona giuridica lente o lassociazione cui si riferiscono i dati personali Il Garante per la protezione dei dati personali risiede a Piazza di Montecitorio e ha un suo sito che egrave wwwgaranteprivacyit Ersquo un organo collegiale costituito da quattro membri eletti due dalla Camera dei Deputati e due dal Senato della Repubblica esperti in diritto o in informatica che eleggono nel loro ambito un presidente e un vicepresidente Il primo Presidente egrave stato Stefano Rodotagrave Tra i diversi compiti del Garante (art 154 del Codice) rientrano quelli di controllare che i trattamenti siano effettuati
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Un diritto che viene da lontano La privacy egrave un concetto e un diritto che ha origini lontane nasce dal pensiero di uno scrittore saggista e filosofo statunitense Ralph Emerson che nel 1870 scrisse ldquoSocietagrave e solitudinerdquo testo in cui egrave contenuta la frase ldquoEgrave facile nel mondo vivere secondo lopinione del mondo egrave facile in solitudine vivere secondo noi stessi ma luomo grande egrave colui che in mezzo alla folla conserva con perfetta serenitagrave lindipendenza della solitudinerdquo La solitudine dunque come criterio e fonte di libertagrave La lettura dellrsquoopera di questo grande filosofo ispirograve Louis Brandeis vissuto tra il 1856 e il 1941 avvocato e giurista statunitense membro della corte suprema degli Stati Uniti che fu probabilmente il primo al mondo a formulare il concetto di privacy
Egli con Samuel Warren diede alle stampe un saggio intitolato The Right of Privacy (il diritto di privacy) I due avvocati stavano preparando una causa contro le indiscrezioni da parte della stampa sulla vita matrimoniale dello stesso Warren il quale aveva sposato la figlia di un senatore Lrsquoira di Warren che invocograve lrsquoaiuto del suo amico avvocato fu forse derivante dal fatto che la stampa descriveva lo sposo come un tipo senzrsquoarte neacute parte che a stento meritava di essere citato in confronto alla potente famiglia della sposa
Molto probabilmente se Samuel Warren non avesse sposato una persona cosigrave in vista il diritto alla privacy non avrebbe trovato uno dei suoi fondatori Cosigrave i due avvocati e con piugrave lungimiranza soprattutto Brandeis affermarono nel loro saggio la necessitagrave che lrsquoordinamento giuridico proteggesse questo nuovo diritto della persona il diritto alla privacy definito nel loro saggio come ldquoil diritto a essere lasciati in pacerdquo almeno tra le mura domestiche della propria vita privata La privacy diventa nel saggio la necessitagrave di proteggere la stessa natura spirituale della persona sentimenti emozioni e pensieri privati I due avvocati cosigrave scrivevano ldquoSiamo insomma arrivati a riconoscere il valore giuridico della sensibilitagrave umanahelliphellip Ormai si egrave capito che solo una parte del piacere del dolore della soddisfazione della vita deriva per gli uomini dai beni materiali Pensieri emozioni e sensazioni richiedono dunque un riconoscimento giuridicordquo Dopo il saggio di Warren e Brandeis il diritto alla privacy egrave stato per circa settanta anni oggetto di discussione ma anche di resistenze e aggiramenti da parte del mondo giuridico Tra il 1890 e il 1960 nelle aule dei tribunali ottanta casi citavano lrsquoarticolo dei due giuristi fino ad arrivare a 400 nel periodo dal 1960 al 2007 In tutto questo percorso perograve il concetto di privacy ha esteso il suo significato Dal diritto alla riservatezza a quello della protezione dei dati personali Nel corso del 900 si afferma il diritto alla protezione dei dati di carattere personale distinto e autonomo dal diritto alla riservatezza Anche in Europa nel momento in cui il concetto di privacy ha assunto una veste giuridica si egrave usata lespressione data protection protezione dei dati La Convenzione di Strasburgo del 1981 egrave espressamente dedicata ldquoalla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personalerdquo da garantire sul territorio di ogni paese a ogni persona fisica qualunque siano la sua cittadinanza o residenza Il diritto alla privacy continua in Europa ad affermarsi con lrsquo Accordo di Schengen firmato il 14 giugno 1985 tra alcuni paesi europei con il quale srsquointendeva abolire i controlli sistematici delle persone alle frontiere comuni e introdurre un regime di libera circolazione dei cittadini
In questrsquoaccordo hanno trovato un significativo spazio la tutela della riservatezza e dellidentitagrave personale Laccordo difatti ha imposto ai Paesi aderenti ladozione entro il 31 dicembre 1996 di una legge di tutela rispetto al trattamento dei dati personali La Direttiva 9546CE in particolare del Parlamento europeo e del Consiglio del 24 ottobre 1995 che ha il titolo ldquoTutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazionerdquo egrave il provvedimento che per primo porta allintroduzione negli Stati membri dellUnione Europea di una normativa precisa sul trattamento dei dati personali La direttiva chiede a ciascun Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati Ma il successo del diritto privacy egrave stato soprattutto consacrato dallart 8 (ldquoDiritto al rispetto della vita privata e familiarerdquo) della Convenzione Europea per la salvaguardia dei diritti delluomo e delle libertagrave fondamentali ratificata da gran parte degli stati membri del Consiglio dEuropa e dalla Carta dei diritti fondamentali dellUnione Europea proclamata una prima volta nel 2000 a Nizza e una seconda volta nel 2007 a Strasburgo dal Parlamento dal Consiglio e dalla Commissione europea Lrsquoarticolo Articolo otto della Carta dal titolo ldquoProtezione dei dati di carattere personalerdquo proclama ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano Tali dati devono essere trattati secondo il principio di lealtagrave per finalitagrave determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica Il rispetto di tali regole egrave soggetto al controllo di unautoritagrave indipendente Il percorso privacy in Italia In Italia per lungo tempo non egrave giuridicamente esistito un diritto alla privacy Bisogna rifarsi ad alcune sentenze della Corte di Cassazione che hanno riguardato alcuni personaggi noti come il tenore Enrico
Caruso Claretta Petacci Soraya solo uno dei quali e precisamente Soraya vide riconosciuto il proprio diritto alla riservatezza con la sent n 2199 del 1975 La causa era stata instaurata da Soraya contro alcuni giornali che avevano pubblicato delle fotografie ritraenti lex-imperatrice in atteggiamenti intimi con un uomo Con questa sentenza la Corte identifica il diritto alla riservatezza ldquonella tutela di quelle situazioni e vicende strettamente personali e familiari le quali anche se verificatesi fuori dal domicilio domestico non hanno per i terzi un interesse socialmente apprezzabilerdquo
Un altro passo avanti nella formazione di una normativa adeguata anche se notevolmente in ritardo egrave fatto per rispetto di obblighi internazionali Con la legge n 98 del 21 febbraio 1989 viene infatti ratificata in Italia la Convenzione di Strasburgo sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale La direttiva Europea 9546CE determinograve poi ladozione della legge n 675 del 31 dicembre 1996 che oltre a considerare il trattamento dei dati personali cosigrave come previsto dallUnione Europea istituisce la figura del Garante per la protezione dei dati personali Attualmente egrave in vigore il Decreto legislativo 30 giugno 2003 n 196 ldquoCodice in materia di protezione dei dati personalirdquo Il concetto odierno di Privacy Il concetto di libertagrave ci porta al concetto odierno di Privacy che si egrave necessariamente e ulteriormente allargato
Esso non riguarda solo Il diritto a che nessuno invada il nostro mondo precostituito e Il diritto alla protezione dei dati personali ma anche il diritto a che ciascuno possa liberamente esprimere le proprie aspirazioni piugrave profonde e realizzarle attingendo liberamente e pienamente a ogni propria potenzialitagrave Oggi siamo in presenza dunque di un nuovo positivopropositivo concetto di privacy
autodeterminazione e sovranitagrave su di seacute come ha affermato Stefano Rodotagrave o anche diritto a essere io come ha sottolineato Giuseppe Fortunato direttore del Laboratorio Privacy Sviluppo e autore di un libro che sta suscitando una grande dibattito in Italia che ha titolo ldquoLa svolta dal desiderio alla realtagraverdquo Il testo propone il sistema attraverso cui avere fiducia nelle proprie capacitagrave ed essere consapevoli della propria ricchezza individuale per agire e
diventare protagonisti della propria vita e come punto di partenza per partecipare alle decisioni della vita pubblica Il Laboratorio Privacy Sviluppo egrave unrsquoiniziativa costituita nel 2006 presso il Garante per la protezione dei dati personali italiano con la partecipazione degli omologhi Garanti sia di paesi dellUnione Europea sia di paesi extra-Unione Esso studia laspetto espansivo della privacy intesa come spinta allo sviluppo delle capacitagrave attive del ldquoCivesrdquo del cittadino per la piena realizzazione della sua personalitagrave nella sfera sociale economica politica Da qui lrsquoevoluzione del concetto di democrazia in quello di civicrazia intesa come partecipazione dei cittadini al governo della cosa pubblica Dalla rete nata dal laboratorio che comprende circa 4000 tra istituzioni associazioni culturali e di categoria egrave nato il movimento Civicratico che si raccorda con lrsquo Albo nazionale dei Difensori Civici comunali nellrsquoottica della creazione di un adeguato ldquocontropotererdquo dei cittadini contropotere spontaneo come quello auspicato nella ldquoomnicraziardquo potere di tutti di Aldo Capitini storica utopia degli anni lsquo60 Il Codice in materia di protezione dei dati personali Il Codice sulla protezione dei dati personali entrato in vigore nellordinamento italiano il 1deg gennaio del 2004 racchiude in un unico testo organico e unitario lintera disciplina della materia Ersquo un teso in continuo aggiornamento ed evoluzione Un capitolo speciale della legge egrave dedicato al sistema sanitario il 13 per cento dellrsquointero e corposo testo di legge
Lrsquoarticolo uno del Codice egrave lapidario chiunque ha diritto alla protezione dei dati personali che lo riguardano Il diritto alla protezione dei propri dati egrave definito anche diritto allrsquoautodeterminazione informativa
bull In particolare il codice stabilisce delle norme che dovrebbero garantire il controllo da parte del soggetto interessato delle informazioni che lo riguardano in modo tale che i propri dati personali non siano ldquooggetto di perdita divulgazione o manipolazionerdquo
Il Segreto privacy egrave diverso ed egrave piugrave complesso del segreto drsquoufficio e del segreto professionale Le violazioni del segreto drsquoufficio e del segreto professionale possono essere perseguite solo dietro denuncia della parte lesa Per le violazioni del segreto privacy si puograve invece ldquoprocedere drsquoufficiordquo LrsquoArticolo due del Codice stabilisce la finalitagrave della normativa garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertagrave fondamentali e della dignitagrave dellinteressato con particolare riferimento alla riservatezza allidentitagrave personale e al diritto alla protezione dei dati personali Lrsquoarticolo tre introduce un concetto nuovo e importantissimo che costituisce il filo rosso di tutta la normativa il principio di necessitagrave I dati personali si usano solo quando sono necessari Secondo tale principio i sistemi informativi soprattutto informatici devono utilizzare al minimo i dati personali e identificativi
Va escluso il trattamento quando se ne puograve fare a meno privilegiando lrsquoanonimitagrave del dato mentre le modalitagrave identificative vanno utilizzate solo in caso di necessitagrave Dati personali comuni identificativi sensibili
Ma di quali dati parliamo Nellrsquoarticolo quattro il Codice dagrave alcune definizioni importanti Innanzitutto quella di dato personale comune qualunque informazione relativa a una persona fisica o giuridica (ente associazione ecc) che permette di identificarla in modo diretto (carta di identitagrave) o indiretto (ci si riferisce pure alle immagini e a dati biometrici come le impronte digitali) Particolare attenzione il Codice riserva ai cosiddetti dati sensibili che
riguardano la sfera personalissima dei singoli e cioegrave quei dati idonei a rivelare lrsquoorigine razziale ed etnica le convinzioni religiose o filosofiche le opinioni politiche lrsquoadesione a partiti sindacati associazioni o organizzazioni a carattere religioso filosofico politico o sindacale Sono dati sensibili infine anzi supersensibili i dati personali idonei a rivelare lo stato di salute e la vita sessuale che ricevono dalla norma una particolare protezione Il trattamento dei dati Il trattamento dei dati egrave individuato dal Codice in sedici precise operazioni che si possono compiere sui dati personali la raccolta cioegrave lrsquoacquisizione delle informazioni personali la registrazione cioegrave lrsquoinserimento delle informazioni personali su un supporto cartaceo (schede cartelle ecc) o magnetico (computer) lrsquoorganizzazione dei dati personali ad esempio la composizione di una pratica la conservazione come la tenuta di archivi lrsquoelaborazione cioegrave la ricostruzione e lrsquointerpretazione dei dati personali per terminare un procedimento e la consultazione degli stessi la modificazione la selezione o lrsquoindividuazione di alcuni dati allrsquointerno di una banca dati o di un documento lrsquointerconnessione tipica dei controlli incrociati usati nelle ricerche e nelle indagini epidemiologiche il blocco cioegrave la conservazione dei dati personali con sospensione temporanea di ogni altra operazione di trattamento la comunicazione cioegrave il dare conoscenza dei dati personali a uno o piugrave soggetti determinati diversi dallrsquointeressato la diffusione quasi sempre vietata cioegrave il dare conoscenza dei dati personali a soggetti indeterminati la cancellazione la distruzione ad esempio le procedure di scarto periodico dei documenti lrsquoestrazione il raffronto lrsquoutilizzo Gli attori della privacy
Lrsquoorganigramma della privacy egrave costituito dal Garante per la Protezione dei Dati Personali dal Titolare dei Trattamenti dei dati personali dal Responsabile aziendale privacy dal Responsabile o i Responsabili dei Trattamenti dei dati personali dagli Incaricati dei trattamenti dei dati personali
bull La struttura egrave verticistica e le relative responsabilitagrave in tema di adempimenti privacy sono a cascata Dalla parte opposta crsquoegrave lrsquoInteressato il primo fra gli attori della privacy Lrsquointeressato egrave la persona fisica nel nostro caso soprattutto lrsquoutente del SSN ma anche la persona giuridica lente o lassociazione cui si riferiscono i dati personali Il Garante per la protezione dei dati personali risiede a Piazza di Montecitorio e ha un suo sito che egrave wwwgaranteprivacyit Ersquo un organo collegiale costituito da quattro membri eletti due dalla Camera dei Deputati e due dal Senato della Repubblica esperti in diritto o in informatica che eleggono nel loro ambito un presidente e un vicepresidente Il primo Presidente egrave stato Stefano Rodotagrave Tra i diversi compiti del Garante (art 154 del Codice) rientrano quelli di controllare che i trattamenti siano effettuati
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
In questrsquoaccordo hanno trovato un significativo spazio la tutela della riservatezza e dellidentitagrave personale Laccordo difatti ha imposto ai Paesi aderenti ladozione entro il 31 dicembre 1996 di una legge di tutela rispetto al trattamento dei dati personali La Direttiva 9546CE in particolare del Parlamento europeo e del Consiglio del 24 ottobre 1995 che ha il titolo ldquoTutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazionerdquo egrave il provvedimento che per primo porta allintroduzione negli Stati membri dellUnione Europea di una normativa precisa sul trattamento dei dati personali La direttiva chiede a ciascun Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati Ma il successo del diritto privacy egrave stato soprattutto consacrato dallart 8 (ldquoDiritto al rispetto della vita privata e familiarerdquo) della Convenzione Europea per la salvaguardia dei diritti delluomo e delle libertagrave fondamentali ratificata da gran parte degli stati membri del Consiglio dEuropa e dalla Carta dei diritti fondamentali dellUnione Europea proclamata una prima volta nel 2000 a Nizza e una seconda volta nel 2007 a Strasburgo dal Parlamento dal Consiglio e dalla Commissione europea Lrsquoarticolo Articolo otto della Carta dal titolo ldquoProtezione dei dati di carattere personalerdquo proclama ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano Tali dati devono essere trattati secondo il principio di lealtagrave per finalitagrave determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica Il rispetto di tali regole egrave soggetto al controllo di unautoritagrave indipendente Il percorso privacy in Italia In Italia per lungo tempo non egrave giuridicamente esistito un diritto alla privacy Bisogna rifarsi ad alcune sentenze della Corte di Cassazione che hanno riguardato alcuni personaggi noti come il tenore Enrico
Caruso Claretta Petacci Soraya solo uno dei quali e precisamente Soraya vide riconosciuto il proprio diritto alla riservatezza con la sent n 2199 del 1975 La causa era stata instaurata da Soraya contro alcuni giornali che avevano pubblicato delle fotografie ritraenti lex-imperatrice in atteggiamenti intimi con un uomo Con questa sentenza la Corte identifica il diritto alla riservatezza ldquonella tutela di quelle situazioni e vicende strettamente personali e familiari le quali anche se verificatesi fuori dal domicilio domestico non hanno per i terzi un interesse socialmente apprezzabilerdquo
Un altro passo avanti nella formazione di una normativa adeguata anche se notevolmente in ritardo egrave fatto per rispetto di obblighi internazionali Con la legge n 98 del 21 febbraio 1989 viene infatti ratificata in Italia la Convenzione di Strasburgo sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale La direttiva Europea 9546CE determinograve poi ladozione della legge n 675 del 31 dicembre 1996 che oltre a considerare il trattamento dei dati personali cosigrave come previsto dallUnione Europea istituisce la figura del Garante per la protezione dei dati personali Attualmente egrave in vigore il Decreto legislativo 30 giugno 2003 n 196 ldquoCodice in materia di protezione dei dati personalirdquo Il concetto odierno di Privacy Il concetto di libertagrave ci porta al concetto odierno di Privacy che si egrave necessariamente e ulteriormente allargato
Esso non riguarda solo Il diritto a che nessuno invada il nostro mondo precostituito e Il diritto alla protezione dei dati personali ma anche il diritto a che ciascuno possa liberamente esprimere le proprie aspirazioni piugrave profonde e realizzarle attingendo liberamente e pienamente a ogni propria potenzialitagrave Oggi siamo in presenza dunque di un nuovo positivopropositivo concetto di privacy
autodeterminazione e sovranitagrave su di seacute come ha affermato Stefano Rodotagrave o anche diritto a essere io come ha sottolineato Giuseppe Fortunato direttore del Laboratorio Privacy Sviluppo e autore di un libro che sta suscitando una grande dibattito in Italia che ha titolo ldquoLa svolta dal desiderio alla realtagraverdquo Il testo propone il sistema attraverso cui avere fiducia nelle proprie capacitagrave ed essere consapevoli della propria ricchezza individuale per agire e
diventare protagonisti della propria vita e come punto di partenza per partecipare alle decisioni della vita pubblica Il Laboratorio Privacy Sviluppo egrave unrsquoiniziativa costituita nel 2006 presso il Garante per la protezione dei dati personali italiano con la partecipazione degli omologhi Garanti sia di paesi dellUnione Europea sia di paesi extra-Unione Esso studia laspetto espansivo della privacy intesa come spinta allo sviluppo delle capacitagrave attive del ldquoCivesrdquo del cittadino per la piena realizzazione della sua personalitagrave nella sfera sociale economica politica Da qui lrsquoevoluzione del concetto di democrazia in quello di civicrazia intesa come partecipazione dei cittadini al governo della cosa pubblica Dalla rete nata dal laboratorio che comprende circa 4000 tra istituzioni associazioni culturali e di categoria egrave nato il movimento Civicratico che si raccorda con lrsquo Albo nazionale dei Difensori Civici comunali nellrsquoottica della creazione di un adeguato ldquocontropotererdquo dei cittadini contropotere spontaneo come quello auspicato nella ldquoomnicraziardquo potere di tutti di Aldo Capitini storica utopia degli anni lsquo60 Il Codice in materia di protezione dei dati personali Il Codice sulla protezione dei dati personali entrato in vigore nellordinamento italiano il 1deg gennaio del 2004 racchiude in un unico testo organico e unitario lintera disciplina della materia Ersquo un teso in continuo aggiornamento ed evoluzione Un capitolo speciale della legge egrave dedicato al sistema sanitario il 13 per cento dellrsquointero e corposo testo di legge
Lrsquoarticolo uno del Codice egrave lapidario chiunque ha diritto alla protezione dei dati personali che lo riguardano Il diritto alla protezione dei propri dati egrave definito anche diritto allrsquoautodeterminazione informativa
bull In particolare il codice stabilisce delle norme che dovrebbero garantire il controllo da parte del soggetto interessato delle informazioni che lo riguardano in modo tale che i propri dati personali non siano ldquooggetto di perdita divulgazione o manipolazionerdquo
Il Segreto privacy egrave diverso ed egrave piugrave complesso del segreto drsquoufficio e del segreto professionale Le violazioni del segreto drsquoufficio e del segreto professionale possono essere perseguite solo dietro denuncia della parte lesa Per le violazioni del segreto privacy si puograve invece ldquoprocedere drsquoufficiordquo LrsquoArticolo due del Codice stabilisce la finalitagrave della normativa garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertagrave fondamentali e della dignitagrave dellinteressato con particolare riferimento alla riservatezza allidentitagrave personale e al diritto alla protezione dei dati personali Lrsquoarticolo tre introduce un concetto nuovo e importantissimo che costituisce il filo rosso di tutta la normativa il principio di necessitagrave I dati personali si usano solo quando sono necessari Secondo tale principio i sistemi informativi soprattutto informatici devono utilizzare al minimo i dati personali e identificativi
Va escluso il trattamento quando se ne puograve fare a meno privilegiando lrsquoanonimitagrave del dato mentre le modalitagrave identificative vanno utilizzate solo in caso di necessitagrave Dati personali comuni identificativi sensibili
Ma di quali dati parliamo Nellrsquoarticolo quattro il Codice dagrave alcune definizioni importanti Innanzitutto quella di dato personale comune qualunque informazione relativa a una persona fisica o giuridica (ente associazione ecc) che permette di identificarla in modo diretto (carta di identitagrave) o indiretto (ci si riferisce pure alle immagini e a dati biometrici come le impronte digitali) Particolare attenzione il Codice riserva ai cosiddetti dati sensibili che
riguardano la sfera personalissima dei singoli e cioegrave quei dati idonei a rivelare lrsquoorigine razziale ed etnica le convinzioni religiose o filosofiche le opinioni politiche lrsquoadesione a partiti sindacati associazioni o organizzazioni a carattere religioso filosofico politico o sindacale Sono dati sensibili infine anzi supersensibili i dati personali idonei a rivelare lo stato di salute e la vita sessuale che ricevono dalla norma una particolare protezione Il trattamento dei dati Il trattamento dei dati egrave individuato dal Codice in sedici precise operazioni che si possono compiere sui dati personali la raccolta cioegrave lrsquoacquisizione delle informazioni personali la registrazione cioegrave lrsquoinserimento delle informazioni personali su un supporto cartaceo (schede cartelle ecc) o magnetico (computer) lrsquoorganizzazione dei dati personali ad esempio la composizione di una pratica la conservazione come la tenuta di archivi lrsquoelaborazione cioegrave la ricostruzione e lrsquointerpretazione dei dati personali per terminare un procedimento e la consultazione degli stessi la modificazione la selezione o lrsquoindividuazione di alcuni dati allrsquointerno di una banca dati o di un documento lrsquointerconnessione tipica dei controlli incrociati usati nelle ricerche e nelle indagini epidemiologiche il blocco cioegrave la conservazione dei dati personali con sospensione temporanea di ogni altra operazione di trattamento la comunicazione cioegrave il dare conoscenza dei dati personali a uno o piugrave soggetti determinati diversi dallrsquointeressato la diffusione quasi sempre vietata cioegrave il dare conoscenza dei dati personali a soggetti indeterminati la cancellazione la distruzione ad esempio le procedure di scarto periodico dei documenti lrsquoestrazione il raffronto lrsquoutilizzo Gli attori della privacy
Lrsquoorganigramma della privacy egrave costituito dal Garante per la Protezione dei Dati Personali dal Titolare dei Trattamenti dei dati personali dal Responsabile aziendale privacy dal Responsabile o i Responsabili dei Trattamenti dei dati personali dagli Incaricati dei trattamenti dei dati personali
bull La struttura egrave verticistica e le relative responsabilitagrave in tema di adempimenti privacy sono a cascata Dalla parte opposta crsquoegrave lrsquoInteressato il primo fra gli attori della privacy Lrsquointeressato egrave la persona fisica nel nostro caso soprattutto lrsquoutente del SSN ma anche la persona giuridica lente o lassociazione cui si riferiscono i dati personali Il Garante per la protezione dei dati personali risiede a Piazza di Montecitorio e ha un suo sito che egrave wwwgaranteprivacyit Ersquo un organo collegiale costituito da quattro membri eletti due dalla Camera dei Deputati e due dal Senato della Repubblica esperti in diritto o in informatica che eleggono nel loro ambito un presidente e un vicepresidente Il primo Presidente egrave stato Stefano Rodotagrave Tra i diversi compiti del Garante (art 154 del Codice) rientrano quelli di controllare che i trattamenti siano effettuati
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Esso non riguarda solo Il diritto a che nessuno invada il nostro mondo precostituito e Il diritto alla protezione dei dati personali ma anche il diritto a che ciascuno possa liberamente esprimere le proprie aspirazioni piugrave profonde e realizzarle attingendo liberamente e pienamente a ogni propria potenzialitagrave Oggi siamo in presenza dunque di un nuovo positivopropositivo concetto di privacy
autodeterminazione e sovranitagrave su di seacute come ha affermato Stefano Rodotagrave o anche diritto a essere io come ha sottolineato Giuseppe Fortunato direttore del Laboratorio Privacy Sviluppo e autore di un libro che sta suscitando una grande dibattito in Italia che ha titolo ldquoLa svolta dal desiderio alla realtagraverdquo Il testo propone il sistema attraverso cui avere fiducia nelle proprie capacitagrave ed essere consapevoli della propria ricchezza individuale per agire e
diventare protagonisti della propria vita e come punto di partenza per partecipare alle decisioni della vita pubblica Il Laboratorio Privacy Sviluppo egrave unrsquoiniziativa costituita nel 2006 presso il Garante per la protezione dei dati personali italiano con la partecipazione degli omologhi Garanti sia di paesi dellUnione Europea sia di paesi extra-Unione Esso studia laspetto espansivo della privacy intesa come spinta allo sviluppo delle capacitagrave attive del ldquoCivesrdquo del cittadino per la piena realizzazione della sua personalitagrave nella sfera sociale economica politica Da qui lrsquoevoluzione del concetto di democrazia in quello di civicrazia intesa come partecipazione dei cittadini al governo della cosa pubblica Dalla rete nata dal laboratorio che comprende circa 4000 tra istituzioni associazioni culturali e di categoria egrave nato il movimento Civicratico che si raccorda con lrsquo Albo nazionale dei Difensori Civici comunali nellrsquoottica della creazione di un adeguato ldquocontropotererdquo dei cittadini contropotere spontaneo come quello auspicato nella ldquoomnicraziardquo potere di tutti di Aldo Capitini storica utopia degli anni lsquo60 Il Codice in materia di protezione dei dati personali Il Codice sulla protezione dei dati personali entrato in vigore nellordinamento italiano il 1deg gennaio del 2004 racchiude in un unico testo organico e unitario lintera disciplina della materia Ersquo un teso in continuo aggiornamento ed evoluzione Un capitolo speciale della legge egrave dedicato al sistema sanitario il 13 per cento dellrsquointero e corposo testo di legge
Lrsquoarticolo uno del Codice egrave lapidario chiunque ha diritto alla protezione dei dati personali che lo riguardano Il diritto alla protezione dei propri dati egrave definito anche diritto allrsquoautodeterminazione informativa
bull In particolare il codice stabilisce delle norme che dovrebbero garantire il controllo da parte del soggetto interessato delle informazioni che lo riguardano in modo tale che i propri dati personali non siano ldquooggetto di perdita divulgazione o manipolazionerdquo
Il Segreto privacy egrave diverso ed egrave piugrave complesso del segreto drsquoufficio e del segreto professionale Le violazioni del segreto drsquoufficio e del segreto professionale possono essere perseguite solo dietro denuncia della parte lesa Per le violazioni del segreto privacy si puograve invece ldquoprocedere drsquoufficiordquo LrsquoArticolo due del Codice stabilisce la finalitagrave della normativa garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertagrave fondamentali e della dignitagrave dellinteressato con particolare riferimento alla riservatezza allidentitagrave personale e al diritto alla protezione dei dati personali Lrsquoarticolo tre introduce un concetto nuovo e importantissimo che costituisce il filo rosso di tutta la normativa il principio di necessitagrave I dati personali si usano solo quando sono necessari Secondo tale principio i sistemi informativi soprattutto informatici devono utilizzare al minimo i dati personali e identificativi
Va escluso il trattamento quando se ne puograve fare a meno privilegiando lrsquoanonimitagrave del dato mentre le modalitagrave identificative vanno utilizzate solo in caso di necessitagrave Dati personali comuni identificativi sensibili
Ma di quali dati parliamo Nellrsquoarticolo quattro il Codice dagrave alcune definizioni importanti Innanzitutto quella di dato personale comune qualunque informazione relativa a una persona fisica o giuridica (ente associazione ecc) che permette di identificarla in modo diretto (carta di identitagrave) o indiretto (ci si riferisce pure alle immagini e a dati biometrici come le impronte digitali) Particolare attenzione il Codice riserva ai cosiddetti dati sensibili che
riguardano la sfera personalissima dei singoli e cioegrave quei dati idonei a rivelare lrsquoorigine razziale ed etnica le convinzioni religiose o filosofiche le opinioni politiche lrsquoadesione a partiti sindacati associazioni o organizzazioni a carattere religioso filosofico politico o sindacale Sono dati sensibili infine anzi supersensibili i dati personali idonei a rivelare lo stato di salute e la vita sessuale che ricevono dalla norma una particolare protezione Il trattamento dei dati Il trattamento dei dati egrave individuato dal Codice in sedici precise operazioni che si possono compiere sui dati personali la raccolta cioegrave lrsquoacquisizione delle informazioni personali la registrazione cioegrave lrsquoinserimento delle informazioni personali su un supporto cartaceo (schede cartelle ecc) o magnetico (computer) lrsquoorganizzazione dei dati personali ad esempio la composizione di una pratica la conservazione come la tenuta di archivi lrsquoelaborazione cioegrave la ricostruzione e lrsquointerpretazione dei dati personali per terminare un procedimento e la consultazione degli stessi la modificazione la selezione o lrsquoindividuazione di alcuni dati allrsquointerno di una banca dati o di un documento lrsquointerconnessione tipica dei controlli incrociati usati nelle ricerche e nelle indagini epidemiologiche il blocco cioegrave la conservazione dei dati personali con sospensione temporanea di ogni altra operazione di trattamento la comunicazione cioegrave il dare conoscenza dei dati personali a uno o piugrave soggetti determinati diversi dallrsquointeressato la diffusione quasi sempre vietata cioegrave il dare conoscenza dei dati personali a soggetti indeterminati la cancellazione la distruzione ad esempio le procedure di scarto periodico dei documenti lrsquoestrazione il raffronto lrsquoutilizzo Gli attori della privacy
Lrsquoorganigramma della privacy egrave costituito dal Garante per la Protezione dei Dati Personali dal Titolare dei Trattamenti dei dati personali dal Responsabile aziendale privacy dal Responsabile o i Responsabili dei Trattamenti dei dati personali dagli Incaricati dei trattamenti dei dati personali
bull La struttura egrave verticistica e le relative responsabilitagrave in tema di adempimenti privacy sono a cascata Dalla parte opposta crsquoegrave lrsquoInteressato il primo fra gli attori della privacy Lrsquointeressato egrave la persona fisica nel nostro caso soprattutto lrsquoutente del SSN ma anche la persona giuridica lente o lassociazione cui si riferiscono i dati personali Il Garante per la protezione dei dati personali risiede a Piazza di Montecitorio e ha un suo sito che egrave wwwgaranteprivacyit Ersquo un organo collegiale costituito da quattro membri eletti due dalla Camera dei Deputati e due dal Senato della Repubblica esperti in diritto o in informatica che eleggono nel loro ambito un presidente e un vicepresidente Il primo Presidente egrave stato Stefano Rodotagrave Tra i diversi compiti del Garante (art 154 del Codice) rientrano quelli di controllare che i trattamenti siano effettuati
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Va escluso il trattamento quando se ne puograve fare a meno privilegiando lrsquoanonimitagrave del dato mentre le modalitagrave identificative vanno utilizzate solo in caso di necessitagrave Dati personali comuni identificativi sensibili
Ma di quali dati parliamo Nellrsquoarticolo quattro il Codice dagrave alcune definizioni importanti Innanzitutto quella di dato personale comune qualunque informazione relativa a una persona fisica o giuridica (ente associazione ecc) che permette di identificarla in modo diretto (carta di identitagrave) o indiretto (ci si riferisce pure alle immagini e a dati biometrici come le impronte digitali) Particolare attenzione il Codice riserva ai cosiddetti dati sensibili che
riguardano la sfera personalissima dei singoli e cioegrave quei dati idonei a rivelare lrsquoorigine razziale ed etnica le convinzioni religiose o filosofiche le opinioni politiche lrsquoadesione a partiti sindacati associazioni o organizzazioni a carattere religioso filosofico politico o sindacale Sono dati sensibili infine anzi supersensibili i dati personali idonei a rivelare lo stato di salute e la vita sessuale che ricevono dalla norma una particolare protezione Il trattamento dei dati Il trattamento dei dati egrave individuato dal Codice in sedici precise operazioni che si possono compiere sui dati personali la raccolta cioegrave lrsquoacquisizione delle informazioni personali la registrazione cioegrave lrsquoinserimento delle informazioni personali su un supporto cartaceo (schede cartelle ecc) o magnetico (computer) lrsquoorganizzazione dei dati personali ad esempio la composizione di una pratica la conservazione come la tenuta di archivi lrsquoelaborazione cioegrave la ricostruzione e lrsquointerpretazione dei dati personali per terminare un procedimento e la consultazione degli stessi la modificazione la selezione o lrsquoindividuazione di alcuni dati allrsquointerno di una banca dati o di un documento lrsquointerconnessione tipica dei controlli incrociati usati nelle ricerche e nelle indagini epidemiologiche il blocco cioegrave la conservazione dei dati personali con sospensione temporanea di ogni altra operazione di trattamento la comunicazione cioegrave il dare conoscenza dei dati personali a uno o piugrave soggetti determinati diversi dallrsquointeressato la diffusione quasi sempre vietata cioegrave il dare conoscenza dei dati personali a soggetti indeterminati la cancellazione la distruzione ad esempio le procedure di scarto periodico dei documenti lrsquoestrazione il raffronto lrsquoutilizzo Gli attori della privacy
Lrsquoorganigramma della privacy egrave costituito dal Garante per la Protezione dei Dati Personali dal Titolare dei Trattamenti dei dati personali dal Responsabile aziendale privacy dal Responsabile o i Responsabili dei Trattamenti dei dati personali dagli Incaricati dei trattamenti dei dati personali
bull La struttura egrave verticistica e le relative responsabilitagrave in tema di adempimenti privacy sono a cascata Dalla parte opposta crsquoegrave lrsquoInteressato il primo fra gli attori della privacy Lrsquointeressato egrave la persona fisica nel nostro caso soprattutto lrsquoutente del SSN ma anche la persona giuridica lente o lassociazione cui si riferiscono i dati personali Il Garante per la protezione dei dati personali risiede a Piazza di Montecitorio e ha un suo sito che egrave wwwgaranteprivacyit Ersquo un organo collegiale costituito da quattro membri eletti due dalla Camera dei Deputati e due dal Senato della Repubblica esperti in diritto o in informatica che eleggono nel loro ambito un presidente e un vicepresidente Il primo Presidente egrave stato Stefano Rodotagrave Tra i diversi compiti del Garante (art 154 del Codice) rientrano quelli di controllare che i trattamenti siano effettuati
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
nel rispetto delle norme di legge avvalendosi al riguardo anche di un nucleo speciale della Guardia di Finanza dedicato a ldquoFunzione pubblica e privacyrdquo ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati segnalare al Governo e al Parlamento lopportunitagrave di provvedimenti normativi richiesti dallevoluzione del settore ed essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia esprimere pareri obbligatori nei casi previsti promuovere la conoscenza della normativa privacy predisporre una relazione annuale sullattivitagrave svolta da presentare al Governo e al Parlamento Il Titolare egrave la persona fisica la persona giuridica la pubblica amministrazione e qualsiasi altro ente associazione o organismo cui competono le decisioni relative alle finalitagrave e alle modalitagrave del trattamento di
dati personali e che deve garantire le relative misure di sicurezza Nel nostro caso il Titolare dei trattamenti egrave lrsquoASP di Cosenza nel suo complesso Il Responsabile Ufficio privacy egrave una figura introdotta per la prima volta dallrsquoAzienda Sanitaria di Pisa ed egrave oggi presente in quasi tutte le Aziende Sanitarie territoriali drsquoItalia Ersquo un ldquoGarante in miniaturardquo che aiuta il percorso privacy allrsquointerno dellrsquoente In particolare offre consulenza e una conoscenza approfondita della legge
bull sollecita e attua gli adempimenti si occupa della formazione soprattutto di quella obbligatoria degli Incaricati dei Trattamenti
Il Responsabile dei trattamenti egrave la figura preposta al trattamento di dati personali Ersquo designato con atto formale dal Titolare dei Trattamenti che tra lrsquoaltro puograve nominare responsabili piugrave soggetti Nel caso dellrsquoASP di Cosenza il regolamento sulla privacy prevede che siano nominati Responsabili dei Trattamenti tutti i responsabili dei servizi e delle strutture dove si effettuano trattamenti di dati I compiti dei responsabili dei trattamenti sono compiere tutto quanto egrave necessario per il rispetto delle vigenti disposizioni in tema di protezione dei dati personali e in particolare di quelle contenute nel Titolo V ldquoTrattamenti di dati personali in ambito sanitariordquo del dlgs 1962003 e nel regolamento aziendale sulla privacy adeguare i propri archivi alla normativa privacy nominare obbligatoriamente per iscritto tutti i dipendenti del suo servizio quali Incaricati dei Trattamenti dei dati personali attraverso lettera di incarico controfirmatanominare obbligatoriamente per iscritto quali Incaricati dei trattamenti dei dati eventuali tirocinanti presso la propria struttura attraverso lettera di incarico controfirmata comunicare per iscritto gli incarichi suddetti al Responsabile dellrsquoUfficio Privacy affincheacute questrsquoultimo ne aggiorni obbligatoriamente gli elenchi vigilare affincheacute nel proprio servizio sia diffusa e ben visibile agli utenti lrsquoInformativa allrsquoutente sulla protezione dei dati personali solo se Responsabile o Direttore di un Servizio che eroga prestazioni di diagnosi e cura vigilare affincheacute gli utenti del servizio o chi per loro diano per iscritto il proprio consenso al trattamento dei dati personali vigilare affincheacute siano attuati gli adempimenti previsti dai Provvedimenti del Garante per la protezione dei dati personali e in particolare i regolamenti aziendali relativi Vademecumdisciplinare aziendale sullrsquoutilizzo delle risorse informatiche internet e posta elettronica da parte dei dipendenti eo collaboratori e Regolamentodisciplinare sullrsquoutilizzo della
videosorveglianza collaborare con il Responsabile dellrsquoUfficio Privacy provvedendo a fornire le informazioni richieste comunicare lrsquoinizio di ogni nuovo trattamento noncheacute la cessazione o la modifica dei trattamenti giagrave in essere allrsquointerno del proprio settore di competenza ai fini dellrsquoaggiornamento dellrsquoanagrafe aziendale dei trattamenti dei dati personali Gli Incaricati dei Trattamentildquo sono le persone fisiche che materialmente effettuano operazioni di trattamento dei dati infermieri assistenti sociali amministrativi ma anche medici e altri professionisti
bull Il loro incarico egrave obbligatorio cosigrave come egrave obbligatoria la formazione che dovragrave essere loro rivolta Sono designati per iscritto dai Responsabili del Trattamento con una lettera che prescrive le norme cui devono attenersi Come si trattano i dati lrsquoarticolo undici e il Codice Civile Una particolare importanza riveste quanto prescritto nellrsquoarticolo undici del Codice relativo alle modalitagrave del trattamento dei dati
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Secondo questrsquoarticolo i dati personali devono essere trattati in modo lecito e secondo correttezza raccolti e registrati per scopi determinati espliciti e legittimi esatti e se necessario aggiornati pertinenti completi e non eccedenti rispetto alle finalitagrave per le quali sono raccolti o successivamente trattati conservati in una forma che consenta lidentificazione dellinteressato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati
Lrsquoattivitagrave di trattamento dei dati personali egrave qualificata dalla Magistratura ordinaria come attivitagrave pericolosa tanto da essere disciplinata dal Codice Civile Trattare i dati personali in violazione dellrsquoarticolo undici infatti puograve spingere lrsquointeressato a chiedere il risarcimento dei danni secondo quanto previsto dallrsquoarticolo 2050 del Codice Civile che recita ldquoChiunque cagiona danno ad altri nello svolgimento digrave unrsquoattivitagrave
pericolosa per sua natura o per natura dei mezzi adoperati egrave tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il dannordquo Ciograve significa che in caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il suo diritto alla privacy il titolare del trattamento se vuole evitare la condanna deve dimostrare di avere adottato tutte le misure idonee a evitare il danno la cosiddetta inversione dellrsquoonere della prova Non egrave dunque il danneggiato a dover dimostrare che chi deteneva i dati non egrave stato attento ma egrave questultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno La sicurezza privacy
Per evitare denunce di violazioni della privacy e successive richieste di risarcimento danni lrsquoASP di Cosenza come qualsiasi altro titolare di trattamenti di dati deve garantire la sicurezza privacy La sicurezza privacy consiste nel custodire e controllare i dati personali oggetto di trattamenti evitando rischi di distruzione o di perdita anche accidentale di accesso non autorizzato di trattamento non consentito o non conforme alle
finalitagrave della raccolta
La sicurezza privacy Il Codice individua due tipi di misure entrambi da adottare le misure minime di sicurezza e le misure idonee Le misure minime di sicurezza sono previste nellrsquoAllegato B del Codice sulla Privacy denominato ldquoDisciplinare Tecnico in materia di misure minime di sicurezzardquo Le misure idonee di sicurezza sono previste dallrsquoarticolo trentuno del Codice LrsquoAzienda sanitaria secondo quanto prescritto da questrsquoultimo articolo deve migliorare ogni anno le misure di sicurezza rapportandole alle conoscenze acquisite in base al progresso della tecnologia alla cultura attuale alla natura dei dati trattati alle caratteristiche dei trattamenti ai rischi nellrsquouso dei dati
Le misure minime di sicurezza riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici Le misure minime di sicurezza per i trattamenti effettuati con strumenti elettronici riguardano lrsquoutilizzazione delle cosiddette Credenziali di autenticazione per gli incaricati (Login e password) lrsquoadozione di programmi antivirus e di sistemi antintrusione (firewall) la distruzione dei supporti rimovibili contenenti dati se non piugrave utilizzati lrsquoadozione di misure per il ripristino dei dati in caso di distruzione o perdita dei dati dovuta a
pericoli esterni lrsquoeffettuazione di copie di sicurezza dei dati e la loro custodia in armadi ignifughi lrsquoadozione di tecniche di cifratura o di codici identificativi per il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
La sicurezza per i trattamenti effettuati senza strumenti elettronici prevede alcune regole di buon senso far si che i documenti contenenti dati personali siano ben custoditi in armadi schedari e archivi chiusi con chiave e ad accesso selezionato che non siano mai lasciati incustoditi sul tavolo durante lrsquoorario di lavoro non comunicare o comunque trattare dati personali per telefono se non si egrave certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione non parlare mai ad alta voce trattando dati personali per telefono soprattutto utilizzando apparati cellulari in presenza di terzi non autorizzati Differenza tra misure minime e misure idonee di sicurezza Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilitagrave ma non solo Il titolare cioegrave lrsquoAzienda Sanitaria deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice e nel Disciplinare Tecnico Se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilitagrave Ma l individuazione di misure che rispettano i parametri previsti come minimi non egrave sufficiente a liberare da ogni responsabilitagrave il soggetto che effettua il trattamento Se le misure adottate non sono idonee a evitare il danno il Titolare puograve essere coinvolto comunque sotto un profilo di responsabilitagrave civile anche se non ci sono gli estremi per la responsabilitagrave penale prevista dalla legge Le misure minime di sicurezza sono tipizzate dal legislatore Quelle idonee no Devono essere scelte sulla base della natura dei dati delle caratteristiche del trattamento e dallo stato dellarte della tecnica Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti la sanzione penale per omessa adozione delle misure minime egrave quella prevista dallarticolo 169 del Codice (arresto sino a due anni o ammenda da diecimila a cinquantamila euro) il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno - egrave previsto dallart 15 legge del Codice che rimanda allrsquoart 2050 del Codice Civile relativo allo svolgimento di attivitagrave pericolose In questo tipo di responsabilitagrave egrave prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento) il responsabile ha lrsquoonere della prova di aver adottato tutte quanto era possibile per evitare il danno facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica mentre il danneggiato deve solo dimostrare lesistenza del danno LrsquoInformativa sulla protezione dei dati personali
In sanitagrave lInformativa allrsquoutente sulle modalitagrave di trattamento e i propri diritti di tutela egrave resa obbligatoria dallrsquoarticolo tredici del Codice Essa deve necessariamente contenere le finalitagrave e le modalitagrave del trattamento cui sono destinati i dati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati i diritti
di cui gode lrsquointeressato gli estremi identificativi del Titolare dei Responsabili dei Trattamenti e del Responsabile Aziendale Privacy Gli organismi sanitari pubblici e quindi anche lrsquoASP possono avvalersi di moduli di informativa e di consenso semplificate e valide per una pluralitagrave di prestazioni LrsquoASP di Cosenza ha adottato unrsquoInformativa generale e dei moduli di consenso standard per tutti i servizi dove si erogano prestazioni con finalitagrave di tutela della salute e dellrsquoincolumitagrave fisica Lrsquoinformativa sotto forma di manifesto locandine e depliant deve essere ben in vista in tutti i locali e i moduli del consenso devono essere adoperati da chi realizza la prima accoglienza dellrsquoutenza
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Il consenso al trattamento dei dati personali e sensibili
Altro adempimento privacy decisivo egrave la raccolta del consenso scritto dellrsquoutente al trattamento dei suoi dati personali e sensibili che non va confuso con il consenso alla prestazione medica In particolare lrsquoarticolo ottantuno del Codice prescrive che Il trattamento dei dati sullo stato di salute puograve essere svolto solo con il
consenso scritto dellrsquointeressato se la finalitagrave egrave la tutela della salute e della incolumitagrave fisica di questrsquoultimo quindi solo quando si effettuano prestazioni di diagnosi cura e riabilitazione e non per attivitagrave certificatorie o amministrative Il consenso puograve essere manifestato con ununica dichiarazione resa dallrsquoutente quando egli si rivolge per la prima volta al servizio ed egrave valido sempre a meno che non sia lrsquointeressato stesso a ritirarlo Se lrsquointeressato non puograve prestare il proprio consenso per impossibilitagrave fisica o per incapacitagrave di intendere e di volere il consenso egrave manifestato da chi esercita legalmente la potestagrave da un prossimo congiunto da un familiare da un convivente o in loro assenza dal responsabile della struttura presso cui dimora lrsquointeressato Dopo il raggiungimento della maggiore etagrave bisogna proporre al diretto interessato linformativa ed eventualmente acquisire il relativo consenso quando questo egrave necessario
Lrsquoinformativa e il consenso possono essere resi successivamente alla prestazione sanitaria in caso di impossibilitagrave fisica incapacitagrave di intendere e di volere dellrsquointeressato quando non egrave possibile neanche acquisire il consenso per conto dellrsquointeressato in caso di rischio grave imminente e irreparabile per la salute o lrsquoincolumitagrave fisica dellrsquointeressato e di prestazione medica che puograve essere pregiudicata dallrsquoacquisizione preventiva del consenso in termini di tempestivitagrave o efficacia come nelle
prestazioni di pronto soccorso Le strutture sanitarie rispettino la dignitagrave delle persone
Ci sono poi delle particolari norme di tutela della privacy per le strutture sanitarie che sono prescritte da un Provvedimento del Garante del 9 novembre 2005 ldquoStrutture sanitarie rispetto della dignitagrave ldquo riportate poi nellrsquoArticolo ottantatreacute del Codice aggiornato
La prima egrave la tutela della dignitagrave La tutela della dignitagrave personale deve essere garantita nei confronti di tutti i soggetti cui egrave erogata una prestazione sanitaria con particolare riguardo alle fasce deboli dei disabili fisici e psichici minori e anziani dei soggetti che versano in condizioni di disagio o bisogno dei pazienti sottoposti a interventi medici invasivi dei sieropositivi o affetti da infezione da HIV (legge 13590) delle donne che effettuano lrsquo interruzione di gravidanza (legge 19478) delle persone offese da atti di violenza sessuale (art 734-bis cp) delle persone ricoverate nei reparti di rianimazione dove deve prevedersi lrsquo uso di paraventi Altra norma prescritta dal Garante egrave la riservatezza nei colloqui Quando prescrive medicine rilascia certificati o compila una scheda di anamnesi il personale sanitario deve evitare che le informazioni sulla salute dellinteressato possano essere conosciute da terzi Stesso obbligo per la consegna di documentazione (analisi cartelle cliniche prescrizioni) quando questa avvenga in situazioni di promiscuitagrave ad esempio locali per piugrave prestazioni sportelli
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Ospedali e aziende sanitarie devono predisporre distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dellacquisizione di informazioni sullo stato di salute sensibilizzando anche gli utenti con cartelli segnali e inviti Lospedale puograve comunicare notizia anche per telefono sul passaggio o sulla presenza di una persona al pronto soccorso ma solo ai terzi legittimati come parenti familiari conviventi L interessato se cosciente e capace deve essere preventivamente informato possibilmente allaccettazione e poter decidere a quali soggetti puograve essere comunicata la sua
presenza al pronto soccorso Le strutture sanitarie possono comunicare informazioni sulla presenza dei degenti nei reparti anche in questo caso solo a terzi legittimati quali familiari conoscenti personale volontario Anche qui l interessato se cosciente e capace deve essere informato al momento del ricovero e poter decidere quali soggetti possono venire a conoscenza del ricovero e del reparto di degenza Nei locali di grandi strutture sanitarie i pazienti in attesa di una
prestazione o di documentazione non devono essere chiamati per nome Occorre adottare soluzioni alternative per esempio attribuendo un codice numerico al momento della prenotazione o dellaccettazione No inoltre alle liste di pazienti in attesa di intervento no a cartelle cliniche visibili poste ai piedi del
letto di degenza I referti diagnostici i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirati anche da persone diverse dai diretti interessati purcheacute munite di delega scritta e con consegna in busta chiusa
La comunicazione di dati sullo stato di salute
Particolare attenzione va data allrsquo art ottantaquattro del Codice che riguarda la comunicazione di dati sullo stato di salute Secondo questrsquoarticolo i dati idonei a rivelare lo stato di salute possono essere resi noti allrsquointeressato o ai soggetti legittimati (esercente la patria potestagrave prossimo congiunto familiare convivente o responsabile della struttura presso cui dimora lrsquointeressato) solo per il tramite di un medico designato dallrsquointeressato stesso o dal titolare Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici che nellrsquoesercizio dei propri compiti
intrattengono rapporti diretti con i pazienti a rendere noti i medesimi dati allrsquointeressato Il non rispetto di questa disposizione comporta la sanzione amministrativa del pagamento di una somma da 500 a 3000 euro Le cartelle cliniche Le cartelle cliniche secondo lrsquoarticolo novantadue del Codice devono essere redatte in modo da assicurare la comprensibilitagrave dei dati da tenere distinti i dati relativi al paziente da quelli eventualmente riguardanti altri interessati comprese le informazioni relative a nascituri Questrsquoarticolo egrave stato addirittura oggetto di una decisione del Garante del 3092002 lrsquointeressato chiede a unrsquoAzienda Ospedaliera di Milano di ottenere la comunicazione in forma comprensibile dei dati personali che lo riguardano contenuti nella cartella clinica rilasciata in quanto ldquoilleggibile per la pessima grafia degli autorirdquo Il Garante accoglie il ricorso e ordina allrsquoAzienda Ospedaliera di rilasciare una trascrizione dattiloscritta o comunque comprensibile delle informazioni contenute nella cartella clinica Le sanzioni previste dalla legge privacy
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Il Testo Unico sulla Privacy prevede illeciti penali violazioni amministrative responsabilitagrave civile per danni Riportiamo di seguito un riassunto delle principali norme in materiacon un nostro commento in merito
Gli illeciti penali
Trattamento illecito di dati (Art 167 Codice privacy)
Salvo che il fatto non costituisca piugrave grave reato chiunque al fine di trarne per seacute o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione della normativa egrave punito se dal fatto deriva nocumento con la reclusione da sei mesi a tre anni Tale articolo ha una vasta applicazione Soprattutto tale articolo egrave specificamente applicabile nei casi di mancato ottenimento del consenso scritto
Falsitagrave nelle dichiarazioni e notificazioni al Garante (Art 168 Codice privacy)
Chiunque nella notificazione o in comunicazioni atti documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi egrave punito con la reclusione da sei mesi a tre anni
Misure di sicurezza (Art 169 Codice privacy)
Chiunque essendovi tenuto omette di adottare le misure minime previste egrave punito con lrsquoarresto sino a due anni o con lrsquoammenda da 10000 a 50000 Euro Allrsquoautore del reato allrsquoatto dellrsquoaccertamento o nei casi complessi anche con successivo atto del Garante egrave impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario (hellip) Nei sessanta giorni successivi allo scadere del termine se risulta lrsquoadempimento alla prescrizione lrsquoautore del reato egrave ammesso dal Garante a pagare una somma pari al quarto del massimo dellrsquoammenda stabilita per la contravvenzione Lrsquoadempimento e il pagamento estinguono il reato
Inosservanza di provvedimenti del Garante (Art 170 Codice privacy)
Chiunque essendovi tenuto non osserva il provvedimento adottato dal Garante egrave punito con la reclusione da tre mesi a due anni
Le violazioni amministrative
Omessa o inidonea informativa allrsquointeressato (Art161 Codice privacy)
Sanzioni da 3000 a 18000 Euro oppure da 5000 a 30000 Euro se dati sensibili La somma puograve essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore
Omessa o incompleta notificazione (Art 163 Codice privacy)
Sanzioni da 10000 Euro a 60000 Euro e in piugrave condanna alla pubblicazione della sentenza
Omessa informazione o esibizione al Garante (Art 164 Codice privacy)
Sanzioni da 4000 a 24000 Euro
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Cessione illecita di dati (ldquoAltre fattispecierdquo Art 162 Codice privacy)
La cessione dei dati in violazione della normativa sul trattamento di dati personali egrave punita con la sanzione amministrativa da 5000 a 30000 Euro
Pubblicazione della sentenza (ldquoPene accessorierdquo Art 172 Codice privacy)
La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza
La responsabilitagrave civile per danni
Danni cagionati per effetto del trattamento (Art 15 Codice privacy)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali egrave tenuto al risarcimento ai sensi dellrsquoarticolo 2050 del codice civile Ersquo risarcibile anche il danno non patrimoniale
Particolari prescrizioni per la tutela della privacy
Contraccezione e minori no allrsquoaccesso dei genitori alle prescrizioni - Provvedimento 17 novembre 2010 Un genitore non puograve accedere alla documentazione sanitaria della figlia minorenne che si rivolga a sua insaputa a un consultorio per farsi prescrivere farmaci contraccettivi In questrsquoambito alla minore va infatti riconosciuta una sfera di riservatezza tale da
garantire effettivamente la sua libertagrave di autodeterminazione E quanto ha confermato il Garante privacy in un parere reso alla Presidenza del Consiglio dei Ministri Commissione per laccesso ai documenti amministrativi condividendo le osservazioni giagrave formulate dalla Commissione stessa in merito ad un caso sottoposto da una Asl La vicenda riguarda un genitore che avendo trovato nella camera della figlia sedicenne una confezione di un farmaco contraccettivo giagrave utilizzato aveva chiesto allazienda sanitaria di zona di accedere ai documenti sanitari piugrave recenti della minore per assicurarsi a suo dire che il farmaco fosse stato prescritto da personale medico Nel suo parere lAutoritagrave ha condiviso quanto affermato dalla Commissione secondo la quale in base alla legge 19478 i minori possono rivolgersi alle aziende ospedaliere e ai consultori senza che i genitori ne siano informati Obiettivo della norma egrave infatti quello di garantire lanonimato dei minorenni che non vogliano o non possano mettere al corrente i propri genitori Ma soprattutto lo scopo egrave di evitare che le minori possano rivolgersi clandestinamente a soggetti privi della necessaria affidabilitagrave serietagrave e professionalitagrave invece che a strutture sanitarie autorizzate in grado di assicurare le necessarie garanzie
Lavoro anonimato per la diagnosi HIV Idoneo o non idoneo al servizio sono le sole informazioni che possono comparire sui certificati medici legali che attestano lidoneitagrave al servizio di un lavoratore Nessun riferimento a patologie sofferte egrave consentito e dunque ai dipendenti sieropositivi deve essere assicurata garanzia assoluta di anonimato Questi principi sono stati ribaditi dal Garante privacy che con un provvedimento di cui egrave stato
relatore Mauro Paissan ha ritenuto fondato il reclamo di un dipendente del Ministero della difesa Il dipendente si era rivolto allAutoritagrave contestando le modalitagrave con cui i suoi dati personali erano circolati allinterno del Ministero Nome del dipendente e diagnosi erano infatti presenti nel verbale della visita collegiale trasmesso dalla commissione medica allIspettorato di sanitagrave della marina militare E anche la copia del verbale inviata allufficio del personale con la diagnosi sbarrata e omessa consentiva seppur indirettamente di risalire allinfezione HIV essendo lunica patologia per la quale egrave prevista la cancellazione dai verbali di accertamento medico Il Garante oltre a inibire luso dei dati del dipendente ha ordinato al Ministero di conformare alla normativa sulla riservatezza la circolazione dei dati sanitari al suo interno Dora in poi il Ministero dovragrave utilizzare un attestato che riporti il solo
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
giudizio medico legale senza diagnosi anzicheacute il verbale integrale della visita collegiale Da modificare anche il modello di informativa i lavoratori dovranno essere chiaramente informati dellobbligatorietagrave o meno di fornire dati sulla propria salute e delle relative conseguenze nellambito degli accertamenti medico legali ai fini dellidoneitagrave al servizio Privacy e innovazione nelle comunicazioni Il Codice Privacy nellrsquointero titolo dieci ha realizzato in pieno adeguamento dellrsquoordinamento italiano
alla normativa comunitaria soprattutto in riferimento al campo delle comunicazioni elettroniche Rodotagrave il padre della moderna legislazione italiana sulla privacy scrive ldquoCome un cucciolo appena svezzato che segna il territorio della savana o del cortile con la sua traccia unica personale e inconfondibile cosigrave il navigatore di Internet lascia anche lui la sua firma Crede linternauta di seguire una strada libera e auto tracciata di navigare a vista nel vasto mare del www Invece si sbaglia percheacute ogni clic e ogni pagina web che scarica sono catalogati e analizzati A differenza dellrsquoepoca medievale nella nostra epoca il controllo sociale della comunitagrave non egrave piugrave appannaggio dei parenti degli amici dei vicini o dei superiori il piccolo villaggio egrave diventato davvero il villaggio globale e il controllo egrave effettuato dalle imprese che comprano e vendono informazioni dagli enti pubblici che schedano i cittadini e da quanti a buon diritto ma piugrave spesso a tortoconsiderano i dati personali altrui come una risorsa disponibilerdquo Di fatto il progresso tecnologico degli ultimi anni egrave divenuto fonte di molte
preoccupazioni per i paladini della riservatezza Stiamo andando verso un mondo in cui vivremo sempre piugrave on line rivelando sempre piugrave informazioni su noi stessi Queste informazioni grazie alla memoria degli elaboratori informatici e alla loro messa in rete possono essere conservate per sempre Le stesse parole che usiamo per affermare la nostra presenza in questo grande modo informatico sono rivelatrici parliamo di ldquotraccerdquo noi lasciamo delle tracce le nostre tracce possono essere seguite e implacabilmente registrate come egrave il caso del proprio Internet provider per esempio che legge le nostre e-mail Referti on line e Fascicolo sanitario elettronico
Un discorso a parte e ancora piugrave complesso va fatto per le ldquotraccerdquo dei nostri dati sensibili e in particolare i dati sullo stato di salute Oggi la pubblica amministrazione egrave implacabilmente indirizzata verso lrsquoinformatizzazione dei suoi servizi in particolare le strutture del servizio sanitario nazionale con lrsquoevoluzione della telemedicina e della sanitagrave elettronica
Giagrave da tempo diversi laboratori cliniche e ospedali offrono servizi di refertazione elettronica di esami clinici Ma egrave necessario che questo importante e innovativo processo di ammodernamento tecnologico della sanitagrave pubblica e privata proceda seguendo regole rigorose tanto piugrave in mancanza di una normativa che disciplini questa nuova modalitagrave di consegna
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Proprio a questo scopo il Garante per la protezione dei dati personali ha approvato specifiche ldquoLinee guida in tema di referti on linerdquo che individuano misure e accorgimenti a garanzia dei cittadini sia per quanto riguarda la ricezione del referto via mail sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria Questi i punti principali stabiliti dalle Linee guida ladesione al servizio dovragrave essere facoltativa e il referto cartaceo rimarragrave comunque disponibile lassistito dovragrave dare il suo consenso sulla base di unrsquoinformativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di refertazione on line le strutture che offrono la possibilitagrave di archiviare e continuare a consultare via web i referti dovranno fornire unrsquoulteriore specifica informativa e acquisire un autonomo consenso il referto dovragrave essere accompagnato da un giudizio scritto e dalla disponibilitagrave del medico a fornire ulteriori indicazioni su richiesta dellinteressato Indagini particolarmente delicate come quelle genetiche anche prenatali per le quali la normativa prevede la necessitagrave di assicurare una consulenza medica appropriata dovrebbero essere escluse dal servizio di refertazione on line Le linee guida prevedono infine che i referti restino a disposizione on line per un massimo di trenta giorni Si prescrivono inoltre elevate misure di sicurezza tecnologica quali lutilizzo di standard crittografici sistemi di autenticazione forte convalida degli indirizzi e-mail con verifica on line uso di
password per lapertura del file Il Garante per la protezione dei dati personali ha anche approvato le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario svolgendo un ruolo di supplenza in attesa di una legislazione adeguata
Le Linee guida fissano un primo quadro di regole a protezione dei dati sanitari e a garanzia delle persone Esse stabiliscono in particolare che il paziente deve poter scegliere in piena libertagrave se far costituire o no un fascicolo sanitario elettronico con tutte o solo alcune delle informazioni sanitarie che lo riguardano deve poter manifestare un consenso autonomo e specifico distinto da quello che si presta a fini di cura della salute al paziente deve essere inoltre garantita la possibilitagrave di oscurare la visibilitagrave di alcuni eventi clinici Per esprimere scelte consapevoli il paziente deve essere adeguatamente informato Con un linguaggio comprensibile e dettagliato linformativa deve quindi indicare chi (medici di base del reparto ove egrave ricoverato farmacisti) ha accesso ai suoi dati e che tipo di operazioni puograve compiere Il fascicolo sanitario elettronico potragrave essere consultato dal paziente con modalitagrave adeguate (ad es tramite SMART card) e dal personale sanitario strettamente autorizzato solo per finalitagrave sanitarie Non potranno accedervi invece periti compagnie di assicurazione datori di lavoro In ogni caso se il paziente non vuole aderire al Fse deve comunque poter usufruire delle prestazioni del servizio sanitario nazionale Gli accessi alle informazioni infine dovranno essere tracciabili e graduali e i dati sanitari dovranno essere protetti con misure di sicurezza molto elevate che limitino il piugrave possibile i rischi di abusi furti smarrimento Regioni e Asl dovranno comunicare al Garante privacy le iniziative giagrave avviate sul fascicolo sanitario elettronico e ogni iniziativa che riguarda lFse dovragrave sempre essere comunicata allAutoritagrave prima del suo avvio Conclusioni Le opportunitagrave offerte dalla sanitagrave elettronica e dai suoi strumenti e applicazioni nella strategia nazionale sono molte tutti i cittadini potranno mettere le proprie informazioni personali a disposizioni di tutti gli operatori sanitari di loro scelta e di beneficiare di prestazioni A fronte delle tante opportunitagrave vi sono molti rischi per la protezione e sicurezza dei dati
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
In questo delicato contesto la protezione dei dati deve assumere un ruolo guida nella definizione a priori di standard e di regole di comportamento oltre che presiedere alla sicurezza del trattamento delle informazioni e diventa indicatore essenziale della qualitagrave Ritornando al discorso sula rapporto tra privacy e sistemi informatici si puograve affermare con certezza che dopo la diffusione delle tecnologie informatiche la tutela della privacy egrave sempre di piugrave connessa alla tutela della libertagrave personale ed esistenziale Non riusciremo sicuramente mai a fermare il progresso tecnologico ma possiamo adottare leggi precise per proteggere la nostra privacy come presupposto fondamentale dellrsquoesercizio della nostra libertagrave di cittadini
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Allegati
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
INFORMATIVA ALLrsquoUTENTE SULLA PROTEZIONE DEI SUOI DATI PERSONALI E SENSIBILI
Gentile Assistita Gentile Assistito La informiamo che
il conferimento dei suoi dati egrave facoltativo ma in mancanza delle informazioni personali e sanitarie che la riguardano potrebbe non essere possibile una corretta puntuale e completa erogazione dei servizi sanitari
FINALITArsquo DEL TRATTAMENTO
lrsquoASP di Cosenza tratta i Suoi dati personali e sensibili per lo svolgimento dei compiti istituzionali previsti da tutte le normative statali e regionali che disciplinano i compiti e le funzioni del sistema sanitario nazionale
i suoi dati saranno trattati per fini diagnostico terapeutici di sanitagrave pubblica e amministrativi
i suoi dati possono essere raccolti insieme a quelli di altri utenti resi anonimi e trattati per scopi di ricerca scientifica anche statistica finalizzata alla tutela della salute dellrsquointeressato di terzi o della collettivitagrave in campo medico biomedico ed epidemiologico
MODALITArsquo DEL TRATTAMENTO
i dati personali e sensibili che La riguardano e da Lei forniti saranno trattati nel rispetto della normativa sulla privacy e degli obblighi di riservatezza ai quali lrsquoAzienda Sanitaria Provinciale egrave tenuta
in particolare i dati personali idonei a rilevare il Suo stato di salute saranno oggetto di trattamento solo con il Suo consenso scritto e nel rispetto dellrsquoAutorizzazione Generale rilasciata agli Organismi Sanitari Pubblici dal Garante per la Protezione dei Dati Personali
la presente informativa e il consenso da Lei prestato si riferiscono a una pluralitagrave prestazioni erogate anche in tempi diversi da distinti reparti eo strutture ospedaliere e territoriali dellrsquoASP di Cosenza
la raccolta dei dati avviene in base alle informazioni fornite
a) da lei direttamente in qualitagrave di interessato in occasione della richiesta di visita esame accertamento diagnostico o altra tipologia di attivitagrave di carattere sanitario o in occasione degli interventi di prevenzione di diagnosi e di cura a lei rivolti
b) da lei direttamente successivamente alla prestazione senza ritardo in caso di emergenza sanitaria rischio grave imminente e irreparabile per la sua salute o incolumitagrave fisica
c) da un terzo che esercita legalmente la patria potestagrave o da un responsabile nei casi di impossibilitagrave fisica incapacitagrave di agire o incapacitagrave di intendere e di volere dellrsquointeressato
il trattamento puograve riguardare anche la compilazione di cartelle cliniche di certificati e di altri documenti di tipo sanitario ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini indicati al punto precedente
lrsquoaccesso ai suoi dati egrave consentito esclusivamente al personale incaricato dallrsquoASP di Cosenza nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali e con lrsquoadozione delle misure minime e idonee di sicurezza di cui al dlgs n 1962003 (Codice Privacy)
il trattamento dei dati personali avviene mediante strumenti manuali informatici e telematici con modalitagrave tali da garantire la sicurezza e la riservatezza dei dati stessi
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
COMUNICAZIONE DEI DATI la comunicazione di dati idonei a rivelare il suo stato di salute avverragrave a lei direttamente o a un
suo delegato solo per il tramite di un medico da lei designato in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati
i dati idonei a rivelare il suo stato di salute non saranno diffusi
TITOLARE DEL TRATTAMENTO
il Titolare del Trattamento dei dati personali e sensibili che La riguardano e da lei forniti o acquisiti da terzi egrave lrsquoASP di Cosenza con sede in Cosenza Via Alimena n 8 nella persona del suo legale rappresentante
DIRITTI DELLrsquoINTERESSATO
Lei o chi per Lei puograve rivolgersi allrsquoUfficio Privacy aziendale sito in Via Alimena n8 0984-893478 per acquisire informazioni in merito ai soggetti individuati come Responsabili del Trattamento Dati Essi sono i Direttori delle unitagrave operative complesse e i responsabili delle unitagrave operative semplici che erogano le prestazioni il cui elenco egrave disponibile presso il sopradetto ufficio
Lei potragrave esercitare i diritti di cui allrsquoarticolo sette del decreto legislativo n 1962003 richiedendo lrsquoapposito modulo allrsquoUfficio Privacy In particolare a lei spetta il diritto di ottenere dal titolare la conferma dellrsquoesistenza o meno di propri dati personali e la loro messa a disposizione in forma intelligibile il diritto alla presente informativa il diritto di ottenere lrsquoaggiornamento la rettificazione e lrsquointegrazione dei dati la cancellazione la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge di opporsi per motivi legittimi al trattamento dei dati Nellrsquoesercizio dei menzionati diritti lei puograve conferire per iscritto delega o procura a persone fisiche enti associazioni o organismi o farsi assistere da una persona di fiducia I diritti possono essere esercitati con richiesta rivolta senza formalitagrave al titolare o al responsabile anche per tramite di un Incaricato dei trattamenti
IL DIRETTORE GENERALE
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
MODULO CONSENSO AL TRATTAMENTO DEI DATI DA PARTE DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio ______________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao______________________________________________________________________
natao il ____________________________________________________________________________
e residente a________________________________________________________________________
in via_______________________________________________________________________________
IN QUALITArsquo DI DIRETTO INTERESSATAO
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero
consapevoleinformato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei miei dati sanitari
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritto allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni da me richieste e di quelle successivamente necessarie a tutela della
mia salute e incolumitagrave fisica
AUTORIZZO
il medico e gli incaricati del trattamento dei miei dati personali noncheacute gli altri professionisti che
interverranno nel percorso assistenziale a utilizzare i miei dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statistico-epidemiologici (per questi ultimi scopi i miei dati dovranno
essere utilizzati solo in forma anonima)
DICHIARO altresigrave
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
SPECIFICO che
desidero_____ non desidero_____
mantenere lrsquoanonimato sul mio (ricoverodegenza)
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio
per la tutela della mia salute al mio Medico di Medicina Generale
___________________________________________________________________________________ (indicare)
INFORMO che le persone di seguito individuate potranno procedere al ritiro della mia documentazione
sanitaria
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo ______________
Firma__________________________________
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
MODULO CONSENSO AL TRATTAMENTO DEI DATI PER CONTO DELLrsquoINTERESSATO
StrutturaServizio _____________________________________________________________________
RepartoPresidio _____________________________________________________________________
Gentile UTENTE
le chiediamo di sottoscrivere il modulo di consenso sottostante e consegnarlo al personale incaricato
dellrsquoaccettazione dello stesso
CONSENSO AL TRATTAMENTO DEI DATI SANITARI (DLgs1962003 Codice sulla Privacy)
Io sottoscrittao_______________________________________________________________________
natao il _____________________________________________________________________________
e residente a______________________________ in via_______________________________________
per conto dellrsquointeressato_______________________________________________________________
Nato a ______________________ il ______________________________________________________
residente a_______________________________in __________________________________________
In qualitagrave di
ESERCENTE LA POTESTArsquo___
GENITORE ___
FAMILIARE ___ (INDICARE IL GRADO DI PARENTELA)___________________________________
PROSSIMO CONGIUNTO ___
CONVIVENTE ___
Responsabile della struttura presso cui dimora lrsquointeressato___
(indicare la struttura__________________________________________________________________)
DICHIARO
di aver recepito lrsquoinformativa sulla protezione dei dati personali e di prestare libero consapevole
informato e specifico CONSENSO allrsquoeffettuazione dei trattamenti dei dati sanitari dellrsquointeressato
specificando che questrsquoultimo egrave condizionato al rispetto delle disposizioni della vigente normativa e
circoscritte allrsquoeffettuazione dei trattamenti dei dati personali sanitari e sensibili necessari
allrsquoeffettuazione delle prestazioni richieste e di quelle successivamente necessarie a tutela della salute
e incolumitagrave fisica dellrsquo interessato
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
AUTORIZZO
il medico e gli incaricati del trattamento dei dati personali dellrsquointeressato noncheacute gli altri professionisti
che interverranno nel percorso assistenziale a utilizzare i dati personali e sanitari a fini di diagnosi e
cura amministrativi fiscali e statisticomdashepidemiologici (per questi ultimi scopi i dati dovranno essere
utilizzati solo in forma anonima)
DICHIARO
che il consenso egrave esteso ai trattamenti dei dati relativi a prestazioni richieste in futuro collegate a
quella oggetto del presente consenso
SPECIFICO altresigrave che
desidero _____ non desidero____
mantenere lrsquo anonimato sul (ricoverodegenza) dellrsquo interessato
COMUNICO che alle persone di seguito individuate potranno essere fornite informazioni da parte del
personale incaricato relativamente allrsquoavvenuto ricovero al reparto di degenza allrsquoeffettuazione della
prestazione sanitaria
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________ (specificare nome e cognome ed eventuale grado di parentela)
AUTORIZZO lrsquoASP di Cosenza a consegnare i referti delle indagini cliniche strumentali e di laboratorio al
Medico di Medicina Generale dellrsquo interessato
(indicare)____________________________________________________________________________
INFORMO che le persone di seguito individuate potranno procedere al ritiro della documentazione
sanitaria dellrsquointeressato
1)__________________________________________________________________________________
2)__________________________________________________________________________________
Data e luogo _______________________
Firma___________________________________
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
Indice Prefazionehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip pag 2 Un diritto che viene da lontanohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Dal diritto alla riservatezza a quello della protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphellip ldquo 3 Il percorso privacy in Italiahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il concetto odierno di Privacy helliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 4 Il Codice in materia di protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 5 Dati personali comuni identificativi sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Il trattamento dei datihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Gli attori della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 6 Come si trattano i dati lrsquoarticolo undici e il Codice Civilehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 7 La sicurezza privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 8 Differenza tra misure minime e misure idonee di sicurezzahelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 LrsquoInformativa sulla protezione dei dati personalihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 9 Il consenso al trattamento dei dati personali e sensibilihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 Le strutture sanitarie rispettino la dignitagrave delle personehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 10 La comunicazione di dati sullo stato di salutehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le cartelle clinichehelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 11 Le sanzioni previste dalla legge privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 12
Particolari prescrizioni per la tutela della privacyhelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 13 Privacy e innovazione nelle comunicazionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Referti on line e Fascicolo sanitario elettronicohelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 14 Conclusionihelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphelliphellip ldquo 15 Allegati
Informativa allrsquoutente sulla protezione dei suoi dati personali e sensibilihelliphelliphellip ldquo 18 Modulo consenso al trattamento dei dati da parte dellrsquointeressatohelliphelliphelliphelliphelliphellip ldquo 20 Modulo consenso al trattamento dei dati per conto dellrsquointeressatohelliphelliphelliphelliphellip ldquo22
