Studio Legale. (C) - Riproduzione riservata

Transcript

1

2

3 PRIVACY: FONTI COMUNITARIE a) Direttiva 24 ottobre 1995, n.95/46/ce relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati b) Direttiva 12 luglio 2002, n. 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche c) Direttiva 25 novembre 2009, n. 2009/136/CE recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche d) Direttiva 25 novembre 2009, n. 2009/136/CE recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all accesso alle reti di comunicazione elettronica e alle risorse correlate, e all interconnessione delle medesime e 2002/20/ CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica

4 PRIVACY: FONTI NAZIONALI - D. Lgs. 30 giugno 2003, n. 196 (precedentemente L. 675/1996) C.d. Codice Privacy - Autorizzazioni generali e specifiche Garante Privacy - Provvedimenti Garante Privacy - Codici deontologici

5 Codice Privacy Tutela il diritto alla protezione dei dati personali (art. 1) Rispetto dei diritti e delle libertà fondamentali con particolare riguardo alla riservatezza, identità personale ed alla protezione dei dati personali (art. 2)

6 DATO PERSONALE qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4, lett. b, Codice Privacy); "DATI SENSIBILI", i dati [...] idonei a rivelare lo stato di salute e la vita sessuale (art. 4, lett. d, Codice Privacy); DATI SUPERSENSIBILI, i dati il cui trattamento presenta rischi specifici per i diritti e libertà fondamentali, nonché per la dignità dell interessato (es. dati biometrici e dati trattati con sistemi di geolocalizzazione satellitare) (Art. 17 Codice Privacy).

7 INTERESSATO Persona fisica a cui si riferiscono i dati personali

8 TRATTAMENTO qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta la registrazione l'organizzazione la conservazione la consultazione l'elaborazione la modificazione la selezione l'estrazione il raffronto l'utilizzo l'interconnessione il blocco la comunicazione la diffusione la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

9 a. Principio di necessità; Trattamento dati: principi e modalità b. Principio di liceità e correttezza; c. Principio di finalità; d. Principio di qualità dei dati; e. Principio di proporzionalità; f. Conservazione dei dati per un periodo non superiore rispetto a quello necessario agli scopi

10 DIRITTI DELL INTERESSATO INFORMATIVA CONSENSO Autorizzazione generale per il trattamento dei dati sanitari (Provv. N. 2/2012 Autorità Garante della Privacy)

11 Soggetti coinvolti nel trattamento (Art. 4) TITOLARE RESPONSABILE INCARICATO

12 MISURE MINIME DI SICUREZZA Trattamenti con strumenti elettronici (Art. 34, c. 1) Disciplinare Tecnico - Allegato B Codice Privacy

13 OBBLIGO DI NOTIFICA AL GARANTE (ART. 37) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, PRESTAZIONE DI SERVIZI SANITARI PER VIA TELEMATICA relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale

14 TELEMEDICINA "the provision of healthcare services, through the use of ICT, in situations where the health professional1 and the patient (or two health professionals) are not in the same location. It involves secure transmission of medical data and information, through text, sound, images or other forms needed for the prevention, diagnosis, treatment and follow-up of patients. COM(2008)689

15

16 DISCIPLINA DI RIFERIMENTO Carenza di normativa specifica necessità di coordinamento delle norme afferenti i diversi ambiti toccati dalla materia Privacy: (v. sopra); Direttiva 2000/31/CE e-commerce Directive :

17 ( segue) DISCIPLINA DI RIFERIMENTO Direttiva 2011/24/UE concernente l applicazione dei diritti dei pazienti relativi all assistenza sanitaria transfrontaliera. Comunicazione della Commissione Europea - COM (2008)689 - sulla telemedicina a beneficio dei pazienti, dei sistemi sanitari e delle società

18 ( segue) DISCIPLINA DI RIFERIMENTO European Commission E-health Action Plan European Commission staff working document on the applicability of the existing EU legal framework to telemedicine services

19 ( segue) DISCIPLINA DI RIFERIMENTO - COM (2012) 542 e COM (2012) 541: proposte di regolamento per rafforzare il quadro regolamentare europeo per i dispositivi medici, in particolare, volontà di aumentare il grado di protezione della salute nell Ue migliorando il funzionamento del mercato interno e stimolando l innovazione e la competitività in questi due ambiti European Commission - Guidelines on the qualification and classification of stand alone software used in healthcare within the regulatory framework of medical devices Article 29 Data Protection Working Party - Opinion 02/2013 on apps on smart devices:

20 TELEMEDICINA UNO SGUARDO ALLA SITUAZIONE INTERNA

21 TELEMEDICINA E SISTEMA RFID Provv. Garante Privacy n. 370/2012 Remote Monitoring System ( RMS ): sistema di monitoraggio remoto che consente agli operatori sanitari di controllare a distanza i pazienti portatori di defibrillatori cardiaci impiantabili attivi (microchip sottocutanei) Radio Frequency Identification ( Rfid ): sistema che usa onde elettromagnetiche per l identificazione automatica di cose o persone (TAG e lettore) Modalità di funzionamento: - invio dati dal dispositivo al monitor in casa mediante wireless tramite tecnologia Rfid - in date e ore prestabilite; - trasferimento dal monitor ad un server centrale mediante linea telefonica o GPRS; - memorizzazione e elaborazione nel server centrale; - accesso, attraverso interfaccia web, da parte dei medici ai dati registrati senza che il paziente si debba recare presso la struttura sanitaria

22 IMPLICAZIONI PRIVACY Dati trattati: - dati identificativi del paziente, registrati nel sistema dai medici dell Azienda Ospedaliera e modificabili soltanto dagli stessi; - dati clinici registrati dal defibrillatore (dati sensibili); - dati di carattere tecnico relativi al funzionamento del sistema.

23 IMPLICAZIONI PRIVACY Soggetti coinvolti nella gestione del sistema RMS: - Azienda Ospedaliera utilizzante il sistema; - Sas, società sviluppatrice del sistema RMS che produce e commercializza tecnologie mediche; - Soggetti esterni, affidatari di alcune delle attività di manutenzione e sicurezza del sistema.

24 DIRETTIVE DEL GARANTE SULLA PROTEZIONE DEI DATI PERSONALI Ruolo dei soggetti coinvolti: a. Azienda Ospedaliera: titolare del trattamento; b. Sas: responsabile del trattamento; c. Soggetti terzi: responsabili del trattamento previa informazione all Azienda da parte di Sas e conseguente designazione dei soggetti Informativa: indicazione del ruolo di responsabile della Sas, indicazione delle modalità attraverso cui conoscere in modo agevole l elenco aggiornato dei Soggetti terzi, indicazione tempo massimo di attesa per richiesta accesso in 30 giorni, indicazioni modalità di interruzione del trasferimento dei dati al monitor e al server centrale Consenso: specifico e espresso, illegittimità dell opt-out, espresso e specifico consenso per accesso ai dati da parte di altri operatori sanitari Principi: necessità, proporzionalità, indispensabilità, accesso dei diversi soggetti autorizzati alle sole informazioni indispensabili in funzione dei relativi ruoli e delle esigenze di accesso e trattamento

25 ( segue) DIRETTIVE DEL GARANTE SULLA PROTEZIONE DEI DATI PERSONALI Ulteriori garanzie: agevole disattivazione del sistema RMS, previsione di idonei accorgimenti volti a tenere traccia e individuare gli utenti abilitati che hanno avuto accesso, il contenuto dei dati consultati e le altre operazioni effettuate. Fornire, su richiesta, tali informazioni al paziente Conservazione dei dati: archivi situati all interno del territorio dell UE, periodo di tempo non superiore a quello necessario al fine di garantire gli obblighi di cura ed il corretto funzionamento del servizio di monitoraggio: pertinenza, non eccedenza e indispensabilità. Cancellazione dati in caso di cessato utilizzo del servizio RMS salvo specifiche esigenze e previsioni di legge

26 ( segue) DIRETTIVE DEL GARANTE SULLA PROTEZIONE DEI DATI PERSONALI Misure di sicurezza: Studio Legale a. predisposizione di specifici accorgimenti tecnici per ridurre i rischi connessi al trattamento (per es. sistemi di memorizzazione e archiviazione con funzioni crittografiche avanzate; protocolli di comunicazione sicuri basati sull utilizzo di standard crittografici per la trasmissione dei dati; duplicazione periodica dei dati in un sito di emergenza in modo da prevenire perdite accidentali degli stessi; verifiche periodiche sulla qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati del trattamento); b. clinic account manager dotato di strumenti di gestione delle utenze; c. Visualizzazione, nella prima schermata successiva al collegamento, delle informazioni relative all ultima sessione effettuata con le stesse credenziali; d. Adeguata conoscenza da parte del personale autorizzato presso la struttura delle funzionalità delle applicazioni e delle corrette modalità di utilizzo in relazione agli aspetti concernenti il trattamento dei dati personali

27 ESPERIENZA INTERNAZIONALE CALIFORNIA: Telehealth Advancement Act of 2011(AB415)

28 FASCICOLO SANITARIO ELETTRONICO E DOSSIER SANITARIO QUADRO NORMATIVO: Working Document on the processing of personal data relating to health in electronic health records (EHS) 15/02/2007 Article 29 Data Protection Working Party; Linee guida in tema di Fascicolo Sanitario Elettronico (Fse) e di dossier sanitario 16/07/2009 del Garante Privacy (G.U. n. 178/2009); Il Fascicolo Sanitario Elettronico linee guida nazionali del Ministero della Salute 11/11/2010; D.L. n. 179/2012 convertito nella L. n. 221/2012; D.L. 69/2013 c.d. decreto del Fare

29 FASCICOLO SANITARIO ELETTRONICO E DOSSIER SANITARIO DEFINIZIONI (Linee guida Garante Privacy): Fascicolo Sanitario Elettronico (FSE): insieme di dati sanitari relativi di regola ad un medesimo soggetto e riportati in più documenti elettronici tra loro collegati, condivisibili da soggetti sanitari diversi, pubblici e privati originati da diversi titolari del trattamento operanti più frequentemente in un medesimo ambito territoriale; Dossier sanitario: insieme di dati sanitari relativi di regola ad un medesimo soggetto e riportati in più documenti elettronici tra loro collegati, condivisibili da soggetti sanitari diversi, pubblici e privati originati da un organismo sanitario in qualità di unico titolare del trattamento

30 DOSSIER SANITARIO E TRATTAMENTO DEI DATI PERSONALI IL CASO PROVV. N. 3/2013 Garante Privacy Strutture sanitarie Friuli Venezia Giulia: Sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate denominato G2 dossier sanitario; Segnalazione pervenuta al Garante: possibilità di accesso per ogni medico - inserendo user name e password ai referti sia dei propri pazienti sia di qualsiasi altra persona che abbia effettuato un esame clinico presso la struttura sanitaria;

31 OSSERVAZIONI DEL GARANTE PRIVACY Informativa e consenso: rispetto del principio di autodeterminazione, idonea informativa e consenso autonomo e specifico rispetto a quello per il trattamento dei dati a fini di cura principio non rispettato; Accesso al dossier sanitario: I. solo da parte del medico che ha in cura l Interessato: esclusione di medici che non hanno in cura l interessato; II. personale amministrativo limitatamente alle informazioni necessarie per assolvere alle funzioni cui lo stesso è preposto; III. Sempre consentito al soggetto che ha redatto il documento (con riferimento al documento medesimo); IV. Circoscritto al periodo di tempo indispensabile per effettuare le operazioni di cura. PRINCIPI NON RISPETTATI: possibilità di accesso in ogni momento da parte di tutti i soggetti abilitati alla consultazione dei dossier sanitari aziendali.

32 ( segue) OSSERVAZIONI DEL GARANTE PRIVACY Oscuramento: possibilità di non far comparire nel dossier determinati eventi clinici Oscuramento dell oscuramento: possibilità di nascondere la scelta di non far comparire gli eventi clinici determinati Entrambi non previsti nel caso di specie: Necessità di specifici accorgimenti che consentano l espressione di tale volontà

33 IMPORTANTI NOVITA DECRETO DEL FARE Istituzione del Fascicolo Sanitario Elettronico da parte delle regioni e delle province autonome ENTRO IL (art. 17, co. 1, lett. a) del d.l. 69/2013); Presentazione dei piani di progetto per la realizzazione del FSE all Agenzia per l Italia digitale entro il ; Possibilità utilizzo per il FSE dell infrastruttura centrale, fruibile in modalità CLOUD COMPUTING (art. 17, co. 1, lett. c) del d.l. 69/2013), resa disponibile dall Agenzia per l Italia digitale Spesa per realizzazione infrastruttura centrale di FSE: non superiore ai 10 milioni di Euro per il 2014 e 5 milioni di Euro a decorrere dal 2015 da definirsi su base annua.

34 ESPERIENZE INTERNAZIONALI DA IMITARE Fukushima e l utilizzo del cloud nel settore sanitario per far fronte all emergenza a seguito del disastro nucleare

35 CLOUD?

36 CLOUD?

37 CLOUD: Condivisione o conservazione da parte di utenti di dati o applicazioni su server di proprietà o gestite da terzi accessibili tramite internet VANTAGGI Sistematizzazione delle infrastrutture Riorganizzazione dei flussi Razionalizzazione dei costi

38 CLOUD PRIVATO CLOUD PUBBLICO CLOUD IBRIDO CLOUD COMMUNITY

39 IL PUBLIC CLOUD IN PARTICOLARE I dati non risiedono su server fisici dell utente, ma sono allocati sui sistemi del fornitore (a meno di copie in locale) L infrastruttura del fornitore del servizio è condivisa tra molti utenti per cui sono fondamentali adeguati livelli di sicurezza L utilizzo del servizio avviene via web tramite la rete Internet I servizi acquisibili presso il fornitore del servizio sono a consumo con possibilità di espansione Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: oltre ai vantaggi, ci sono delle controindicazioni che bisogna conoscere

40 I MODELLI DI SERVIZIO IaaS (Cloud Infrastructure as a Service - infrastruttura cloud resa disponibile come servizio) il fornitore noleggia un infrastruttura tecnologica, server virtuali remoti che l'utente finale può utilizzare con tecniche e modalità che ne rendono semplice, efficace e produttiva la sostituzione o l'affiancamento ai sistemi già presenti nei locali dell'azienda.

41 SaaS (Cloud Software as a Service - software erogato come servizio della cloud), il fornitore eroga via web una serie di servizi applicativi ponendoli a disposizione degli utenti finali. Tali servizi sono spesso offerti in sostituzione delle tradizionali applicazioni installate localmente dall'utente sui propri sistemi, che è quindi spinto ad esternalizzare i suoi dati affidandoli al fornitore.

42 PaaS (Cloud platform as a service - piattaforme software fornite via web come servizio) il fornitore offre soluzioni per lo sviluppo e l hosting evoluto di applicazioni. In genere questo tipo di servizi è rivolto a operatori di mercato che li utilizzano per sviluppare e ospitare soluzioni applicative proprie

43 Natura del contratto Misto tra appalto di servizi, licenza e somministrazione Aspetti comuni con il contratto di outsourcing: Esternalizzazione dei servizi Rilievo dei profili di costo ed efficienza Modelli contrattuali analitici (allegati tecnici, SLA)

44 Criticità evidenziate dal Garante Privacy perdita del controllo diretto ed esclusivo dei dati collocati sulla nuvola; la riservatezza e la disponibilità delle informazioni allocate sulla nuvola certamente dipendono anche dai meccanismi di sicurezza adottati dal service provider; il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con cui l utente stipula il contratto di servizio; l utente a fronte di filiere di responsabilità complesse potrebbe non sempre essere messo in grado di sapere chi, dei vari gestori dei servizi intermedi, può accedere a determinati dati.

45 Criticità evidenziate dal Garante Privacy il servizio virtuale, in assenza di adeguate garanzie in merito alla qualità della connettività di rete, potrebbe occasionalmente risultare degradato, impedendo l accessibilità temporanea ai dati in esso conservati; le cloud sono sistemi e infrastrutture condivise basate sul concetto di risorse noleggiate ad un utenza multipla e mutevole; la conservazione dei dati in luoghi geografici differenti ha riflessi immediati sia sulla normativa applicabile in caso di contenzioso tra l utente e il fornitore, sia in relazione alle disposizioni nazionali che disciplinano il trattamento, l archiviazione e la sicurezza dei dati; transizione di dati e documenti da un sistema cloud ad un altro o lo scambio di informazioni con soggetti che utilizzino servizi cloud di fornitori differenti, ponendone quindi a rischio la portabilità o l interoperabilità dei dati.

46 Indicazioni del Garante Ponderare prioritariamente rischi e benefici dei servizi offerti Effettuare una verifica in ordine all affidabilità del fornitore Privilegiare i servizi che favoriscono la portabilità dei dati Assicurarsi la disponibilità dei dati in caso di necessità Selezionare i dati da inserire nella cloud Non perdere di vista i dati Informarsi su dove risiederanno concretamente i dati Attenzione alle clausole contrattuali Verificare le politiche di persistenza dei dati legate alla loro conservazione Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati Formare adeguatamente ii personale

47 Article 29 DATA PROTECTION WORKING PARTY Opinion 05/2012 on Cloud Computing 1 luglio 2012

48 Rischi evidenziati dall Article 29 WORKING PARTY Perdita o insufficiente controllo riguardo: a. Portabilità ed interoperabilità dei dati b. Integrità dei dati c. Riservatezza dei dati (vedi USA) d. Possibilità di intervenire sulla catena dei subfornitori e. Possibilità di corrispondere ad esercizio dei diritti degli interessati f. Separazione dati per singolo cliente

49 Rischi evidenziati dall Article 29 WORKING PARTY Mancanza o insufficienza di informazioni circa il trattamento dei dati in relazione a: a. Coinvolgimento di molteplici fornitori/subfornitori b. Trattamento di dati in differenti paesi all interno dell EEA: legge applicabile? c. Trasferimento di dati in paesi terzi che non garantiscono un adeguato livello di protezione

50 Legge Applicabile Art. 4 Direttiva 95/46/EC a. Legge del luogo in cui il titolare dei dati è stabilito nell EEA; b. Legge del luogo in cui il titolare extra EEA utilizza nell EEA strumenti per il trattamento dei dati personali (salvo mero transito);

51 Fornitore di servizi. Quale scelta possibile? Titolare autonomo Co-titolare Responsabile

52 Subfornitori (responsabilità del Titolare) WP lo ritiene possibile previo: a. Consenso del titolare b. Informativa al titolare di eventuali modifiche c. Indicazione specifica dei subfornitori d. Responsabilità diretta del fornitore per le attività dei subfornitori

53 Linee Guida art 29 WP Controller-processor relationship Cloud client s responsibility as a controller Subcontracting safeguards Compliance with fundamental data protection principles (transparency, purpose specification and limitation, data retention) Contractual safeguards (access to data, disclosure of data to third parties, obligation to co-operate, cross border data transfers, logging and auditing of processing, technical and organizational measures)

54