Maggio 2013 - revisione n. 1 - Manuale della privacy Rev. 01 del 01/05/2013 2 Manuale della privacy INTRODUZIONE CAPITOLO 1 - Elementi introduttivi sul d. lgs. 196/2003(Codice in materia di protezione dei dati personali) 1.1 - Oggetto 1.2 – Trattamento dei dati personali 1.3 – Finalità del trattamento 1.4 – Criteri per l’esecuzione del trattamento dei dati personali 1.5 – Principio di necessità nel trattamento dei dati 1.6 – Comunicazione dei dati 1.7 - Notificazione CAPITOLO 2 - Elementi soggettivi del trattamento del dato 2.1 - Premessa 2.2 - Titolare del trattamento 2.3 – Responsabile del trattamento 2.4 – Incaricato del trattamento 2.5 – Responsabile Esterno del trattamento 2.6 – Amministratore di Sistema 2.7 - Sistema di Gestione Aziendale della Privacy CAPITOLO 3 - Adempimenti previsti dal Codice della Privacy 3.1 - Informativa all’interessato 3.2 - Informativa relativa a trattamenti particolari 3.3 – Trattamento dei dati del personale dipendente 3.4 – Consenso al trattamento dei dati 3.5 - Diritti dell’interessato 3.6 – Documento Programmatico della Sicurezza 3.7 – Dati genetici 3.8 - Certificato di assistenza al parto 3.9 – Ricerca medica, biomedica ed epidemiologica 3.10 – Rinvio a previsioni di normativa speciale CAPITOLO 4 – Diritto di accesso e Codice della Privacy 4.1 – Diritto di accesso alla documentazione amministrativa e diritto alla riservatezza 4.2 – Diritto di accesso alla documentazione contenente dati sensibili, giudiziari o sanitari e diritto alla riservatezza 4.3 -.Diritto di accesso alle cartelle cliniche 4.4 – Indagini difensive 4.5- Pubblicazione delle deliberazioni Rev. 01 del 01/05/2013 Pag. 5 Pag. 5 Pag. 5 Pag. 5 Pag. 6 Pag. 6 Pag. 7 Pag. 7 Pag. 7 Pag. 8 Pag. 8 Pag. 8 Pag. 8 Pag. 8 Pag. 9 Pag. 9 Pag. 10 Pag.10 Pag. 10 Pag. 11 Pag. 11 Pag. 12 Pag. 14 Pag. 15 Pag. 15 Pag. 17 Pag. 17 Pag. 18 Pag. 18 Pag. 18 Pag. 18 Pag. 18 Pag. 19 Pag. 19 3 Manuale della privacy Rev. 01 del 01/05/2013 CAPITOLO 5 – Ritiro del referto, fascicolo Sanitario Elettronico e videosorveglianza 5.1 – Ritiro dei referti 5.2 – Ritiro dei referti on-line 5.3 -.Fascicolo Sanitario Elettronico 5.4 – Videosorveglianza CAPITOLO 6 – Sanzioni Amministrative e Penali in caso di violazioni delle disposizioni del Codice della Privacy CAPITOLO 7 – Istruzioni per i responsabili e gli incaricati del trattamento dei dati personali 7.1 – Istruzioni di carattere generale per tutti i responsabili e gli incaricati 7.2- Istruzioni specifiche per i responsabili e gli incaricati delle strutture che erogano prestazioni sanitarie 7.3- Istruzioni specifiche per gli incaricati addetti alla manutenzione e alla gestione degli strumenti elettronici e delle attrezzature elettromedicali. 7.4 – Istruzioni specifiche per tutti i responsabili e gli incaricati per il corretto uso e la sicurezza degli strumenti aziendali 7.5 – Istruzioni per i responsabili e gli incaricati per il corretto trattamento dei dati su supporto cartaceo CAPITOLO 8–Revisione e Controllo 8.1 – Riesame approvazione e revisione 8.2 – Criteri di accettazione 8.3 – Identificazione delle modifiche Pag. 20 Pag. 20 Pag. 20 Pag. 21 Pag. 21 Pag. 23 Pag. 24 Pag. 24 Pag. 25 Pag. 27 Pag. 28 Pag. 33 Pag. 33 Pag. 33 Pag. 34 Pag. 34 4 Manuale della privacy Rev. 01 del 01/05/2013 INTRODUZIONE Il presente documento è frutto di un lungo e approfondito studio della normativa vigente, che parte da un’attenta analisi delle problematiche concrete che si presentano quotidianamente nelle aziende sanitarie in generale e nell’Azienda Ulss 17 in particolare, nell’ambito del trattamento dei dati personali. Con l’introduzione del D. Lgs n. 196/2003 (“Codice in materia di protezione dei dati personali”) il diritto alla privacy è assurto a vero e proprio diritto inviolabile della persona che racchiude il pieno rispetto dei diritti, delle libertà fondamentali e della dignità. E’ pertanto imprescindibile che la cultura della privacy cresca e si rafforzi, con particolare riguardo tra gli operatori della sanità, dal momento che solo attraverso la conoscenza dei principi fondamentali che regolano la normativa vigente si potranno adottare in modo corretto e puntuale gli adempimenti di legge, nella consapevolezza di contribuire in maniera concreta a migliorare il rapporto tra azienda sanitaria e cittadino/utente. CAPITOLO 1 Elementi introduttivi sul d. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali) 1.1 – Oggetto II presente documento contiene disposizioni attuative del D. Lgs. 196/2003 (e successive modifiche e integrazioni), e dei provvedimenti del Garante della Privacy inerenti al trattamento dei dati in sanità, nell’ambito delle strutture dell’Azienda Ulss 17, con lo scopo di garantire che il trattamento dei dati personali si realizzi nel rispetto dei diritti delle libertà fondamentali e della dignità delle persone fisiche e giuridiche, con particolare riferimento alla riservatezza e all’identità personale degli utenti e di tutti coloro che hanno rapporti con la stessa. 1.2 – Trattamento dei dati personali Con l’espressione “trattamento”, ai sensi dell’art. 4, comma 1, lett. a) del D. Lgs. 196/2003 (“Codice”), deve intendersi “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca di dati”. 5 Manuale della privacy Rev. 01 del 01/05/2013 Per “dato personale” va intesa “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Il Codice presenta inoltre una novità, rispetto alla legge 675/96, che riguarda la nozione di “dato identificativo”, definito come il dato personale che permette l’identificazione diretta e certa di un soggetto, sia esso persona fisica, giuridica, ente o associazione. La distinzione tra dato personale (in generale) e dato identificativo (in particolare) ha rilievo soprattutto con riferimento a quanto previsto dall’articolo 3 del Codice, che prevede il principio di necessità, una novità assoluta rispetto alla legge 675/96: “i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati personali od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. Nell’ambito della categoria dei dati personali, possono essere distinte le seguenti famiglie di informazioni: • dati sensibili: sono i “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. • dati giudiziari: sono informazioni idonee a rivelare provvedimenti giudiziari penali e amministrativi in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato; • esistono, da ultimo, i cosiddetti dati comuni, la cui portata si ricava in via residuale e per esclusione, dal momento che si tratta di dati riferiti ad un soggetto identificato o identificabile, che non siano idonei a rivelare stati, fatti o qualità contemplati dal legislatore con riferimento alle categorie dei dati cd. particolari (sensibili o giudiziari). Per i dati comuni la normativa in materia di privacy si applica in ogni caso, con alcune differenziazioni sotto il profilo delle forme di legittimazione e per quanto concerne le misure di sicurezza. 1.3 – Finalità del Trattamento La Finalità del trattamento dei dati effettuato dall’Azienda ULSS 17 è il perseguimento della tutela della salute (art. 85 e 86 D .Lgs. 196/2003). Il trattamento dei dati personali da parte dell’Azienda ULSS 17, in quanto soggetto pubblico, è consentito solo per lo svolgimento delle funzioni istituzionali. 1.4 – Criteri per l’esecuzione del trattamento dei dati personali Il trattamento dei dati deve essere effettuato con modalità atte ad assicurare il rispetto dei diritti e della dignità dell’interessato. Oggetto del trattamento devono essere i soli dati essenziali per lo svolgimento delle attività istituzionali. 6 Manuale della privacy Rev. 01 del 01/05/2013 I dati personali devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in operazioni del trattamento in termini compatibili con tali scopi. I dati devono essere esatti, aggiornati, pertinenti e non eccedenti rispetto alle finalità per i quali sono raccolti e trattati. Nei trattamenti è autorizzata solo l’esecuzione delle operazioni strettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi. E’ compito dei Responsabili del trattamento verificare periodicamente la liceità e la correttezza dei trattamenti, l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l’interessato fornisca di propria iniziativa. I dati che, anche a seguito di verifiche, risultassero eccedenti, non pertinenti o non indispensabili non potranno essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto che li contiene. I trattamenti di dati effettuati impiegando banche dati di più titolari diversi dall’Azienda Ulss (interconnessione di banche dati), sono utilizzati nelle sole ipotesi previste da espressa disposizione di legge. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da ogni altro dato personale trattato per finalità che non richiedano il loro utilizzo. In ogni caso devono essere adottate misure tecniche tali da garantire che i dati personali o sensibili siano accessibili ai soli incaricati di trattamento e nella misura strettamente indispensabile allo svolgimento delle mansioni di ciascuno. 1.4 – Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati in modo da ridurre al minimo l’utilizzo di dati personali e di dati identificativi, in maniera da escluderne il trattamento quando le finalità possono essere perseguite mediante dati anonimi o con l’uso di opportune modalità che permettano di identificare l’interessato solo in caso di necessità. 1.5 – Comunicazione dei dati La comunicazione di dati personali da parte dell’Azienda Ulss 17 ad altri soggetti pubblici è ammessa solo quando sia prevista da una norma di legge o di regolamento (art. 19, comma 2 del Codice). In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali. La comunicazione da parte dell’Azienda Ulss di dati personali a privati e la loro diffusione è ammesse unicamente quando siano previste da una norma di legge o di regolamento (art. 19, comma 3). I dati idonei a rivelare lo stato di salute non possono essere diffusi (art. 22, comma 8). 7 Manuale della privacy Rev. 01 del 01/05/2013 1.6 – Notificazione L’Azienda ULSS 17 ha provveduto, nei termini di legge, alla notificazione per via telematica al Garante per la Protezione dei dati personali, ai sensi dell’art. 37 del Codice della Privacy. La notificazione è stata inserita nel registro dei trattamenti predisposto dal Garante per la Protezione dei dati personali ed è accessibile a chiunque per via telematica. CAPITOLO 2 Elementi soggettivi del trattamento del dato 2.1 – Premessa Il trattamento dei dati personali è caratterizzato dalla presenza, dal lato attivo, del titolare del trattamento e, dal lato passivo, dell’interessato. La nostra normativa, su influsso specifico della direttiva comunitaria numero 95/46, contempla tre diverse figure, che possono coesistere nell’ambito di un processo di trattamento: il titolare, il responsabile e l’incaricato del trattamento. 2.2 – Titolare del trattamento L’articolo 28 del Codice della privacy dispone che quando il trattamento è effettuato da una pubblica amministrazione titolare è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza, come detto in precedenza. Ciò comporta che, nel nostro caso specifico, l’Azienda ULSS 17 è titolare del trattamento come entità, non essendo corretto qualificare il Direttore Generale, che pur la rappresenta legalmente, come titolare del trattamento. 2.3 Responsabile del trattamento Nelle organizzazioni complesse, come può essere quella di un’azienda sanitaria, vi è la facoltà di provvedere alla designazione di uno o più responsabili del trattamento che, come dispone l’art. 29 del codice devono essere individuati “tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Ai responsabili, se designati, il titolare deve affidare compiti analiticamente specificati per iscritto, nonché impartire adeguate istruzioni. Nell’Azienda ULSS 17 sono stati individuati, come previsto nella deliberazione del Direttore Generale n. 696 del 26/06/2008,i Direttori di Dipartimento, i Direttori di Struttura Complessa e i responsabili di struttura Semplice non afferenti a strutture complesse, nonché i Responsabili dei servizi in staff “Responsabili dei Trattamenti” dei dati effettuati nell’ambito delle attività e delle competenze formalmente attribuite alla struttura che dirigono. 2.4 Incaricato del trattamento L’art. 30 del Codice privacy prevede, inoltre, che “le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile attenendosi alle istruzioni impartite”. 8 Manuale della privacy Rev. 01 del 01/05/2013 Vi è, di conseguenza, l’obbligo di procedere alla designazione, sempre per iscritto, in qualità di incaricati, di tutte le persone fisiche che a vario titolo sono preposte allo svolgimento delle operazioni di trattamento per conto del titolare – cioè dell’azienda – nonché impartire loro adeguate istruzioni. Queste previsioni di carattere organizzativo sono state applicate nell’Azienda ULSS 17 designando, con delibera del Direttore Generale n. 696 del 26/06/2008 nella quale sono stati individuati come incaricati dei trattamenti, effettuati nell’esercizio delle mansioni svolte nell’ambito della struttura alla quale sono stati formalmente assegnati, tutti i dipendenti e tutte le persone fisiche che a vario titolo svolgono temporaneamente attività all’interno di una delle varie strutture aziendali (dipendenti, collaboratori, stagisti, etc.). Con le predetta deliberazione sono stati inoltre approvati, sia l’elenco analitico dei compiti affidati ai responsabili, nonché il presente Manuale della Privacy che riporta le necessarie ed opportune istruzioni, alle quali tutti i dipendenti e collaboratori – siano essi designati responsabili o incaricati – devono scrupolosamente attenersi nelle operazioni di trattamento dei dati. 2.5 Responsabile Esterno del trattamento Tutti i soggetti esterni che effettuano operazioni di trattamento sulle banche dati dell’Azienda, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni istituzionali sono nominati“Responsabile Esterni” del trattamento I Responsabili esterni hanno l’obbligo: di trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia di privacy; di rispettare le misure di sicurezza previste dal Codice sulla privacy e di adottare tutte le misure che siano idonee a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta; di nominare al loro interno i soggetti incaricati del trattamento; di garantire che i dati trattati siano portati a conoscenza soltanto del personale incaricato del trattamento; di trattare i dati personali, anche di natura sensibile e sanitaria, dei Pazienti esclusivamente per le finalità previste dal contratto o dalla convenzione; di attenersi alle disposizioni impartite dal Titolare del trattamento; di specificare i luoghi dove fisicamente avviene il trattamento dei dati. Nel caso di mancato rispetto delle predette disposizioni, i Responsabili esterni del trattamento devono intendersi autonomi “Titolari” del trattamento e quindi soggetti ai rispettivi obblighi e pertanto rispondono direttamente ed in via esclusiva per le eventuali violazioni alla legge. La designazione viene effettuata mediante “atto di nomina” (Allegato 1) collegato agli accordi, convenzioni o contratti che prevedono l’affidamento di trattamenti di dati personali/sensibili esternamente all’Azienda. 2.6 Amministratore di Sistema Con formale atto di nomina, secondo il provvedimento del Garante della privacy del 27 novembre 2008 in tema di misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici, sono stati nominati due Amministratori di Sistema Aziendali in data 16 dicembre 2009. 9 Manuale della privacy Rev. 01 del 01/05/2013 Con il termine amministratore di sistema si individua generalmente, in ambito informatico, quella figura professionale che per esperienza e competenza gestisce e supervisiona la manutenzione di un impianto di elaborazione e le sue componenti. 2.7 Sistema di Gestione Aziendale della Privacy Con deliberazione del Direttore Generale n. 1123 del 24 novembre 2011 è stato approvato il sistema aziendale di gestione della privacy, inteso come l’insieme delle responsabilità, delle regole e delle procedure di cui l’Azienda ULSS 17 così come descritto nell’allegato n. 1. CAPITOLO 3 Adempimenti previsti dal Codice della Privacy 3.1 Informativa all’interessato L’informativa è l’elemento propedeutico al trattamento dei dati, in quanto garantisce l’evidenza e la trasparenza delle attività di trattamento che vengono poste in essere. Il trattamento dei dati personali passa attraverso l’informativa, che consiste in una dichiarazione che il Titolare/Responsabile fa all’interessato, in forma scritta od orale, delle principali caratteristiche relative all’utilizzo delle informazioni che lo riguardano. Dal momento che l’informativa costituisce lo strumento che indica il percorso che i dati seguiranno, è importante che essa risulti chiara, essenziale e veritiera, e ciò anche al fine di consentire all’interessato di verificare, in qualunque momento, se il trattamento avviene nel rispetto delle regole previste. Il rilascio dell’informativa costituisce sia una condizione di validità, qualora richiesto, del consenso successivamente prestato dall’interessato al trattamento dei propri dati, sia una condizione essenziale affinché questi possa esercitare i diritti di accesso e di opposizione al trattamento dei dati stessi, riconosciutigli dall’art. 7 del Codice. L’informativa è sempre dovuta a prescindere dall’obbligo di acquisizione del consenso. Deve contenere gli elementi indicati dall’art. 13 del Codice, e precisamente: • i soggetti che effettuano il trattamento; • le finalità del trattamento; • le modalità del trattamento; • i diritti dell’interessato. L’informativa può essere fornita oralmente o per iscritto; tuttavia è consigliabile la forma scritta quale prova dell’avvenuta comunicazione. E’ previsto che possa essere fornita un’unica informativa per una pluralità di trattamenti effettuati in tempi diversi. L’Azienda ULSS 17, mediante le proprie strutture, si avvale della facoltà di fornire un’unica informativa per la pluralità dei trattamenti dei dati effettuati. L’informativa è fornita per iscritto (contenente gli elementi essenziali prescritti dal Garante della Privacy) attraverso idonei cartelli affissi in luoghi agevolmente visibili al pubblico (allegato 5) e diffusi nell’ambito di pubblicazioni istituzionali e mediante il sito internet istituzionale. 10 Manuale della privacy Rev. 01 del 01/05/2013 3.2 - Informativa relativa trattamenti particolari Nelle ipotesi di trattamento di dati personali ordinari, sensibili e giudiziari correlati a trattamenti specifici, l’azienda deve fornire all’interessato specifica informativa. A titolo esemplificativo si individuano alcune formule da utilizzare in alcuni trattamenti specifici: In relazione alla possibilità di ritiro di refertazione on line, l’Azienda ULSS 17 garantisce la facoltà di decidere liberamente, sulla base di una specifica informativa e di un apposito consenso, ad ogni singolo accesso, per maggiori precisazioni si rimanda al punto n. 5.1 . Nei bandi di gara è inserita la seguente formula di informativa: “Ai sensi del Decreto Legislativo n.196 del 30.06.2003, i dati forniti dalle ditte saranno trattati dall’Azienda esclusivamente per le finalità connesse alla gara di cui al presente bando e per la successiva stipula e gestione del contratto”. Nei contratti, accordi o convenzioni è inserita la seguente formula di informativa: “Ai sensi del Decreto Legislativo n. 196 del 30.06.2003, i dati personali forniti saranno trattati esclusivamente per finalità di gestione del presente contratto,accordo o convenzione”. Nei bandi di concorso pubblico è inserita la seguente formula di informativa: “Ai sensi del Decreto Legislativo n. 196 del 30.06.2003, i dati personali, anche di natura sensibile o giudiziaria, forniti dai candidati per la partecipazione al concorso, saranno trattati esclusivamente per le finalità di gestione del medesimo, per l’eventuale assunzione in servizio ovvero e per la gestione del rapporto di lavoro”. 3.3 – Trattamento dei dati del personale dipendente L’Azienda ULSS 17 tratta i dati, anche di natura sensibile o giudiziaria dei propri dipendenti per le finalità, considerate di rilevante interesse pubblico, di instaurazione e di gestione di rapporti di lavoro di qualunque tipo, così come specificato dall’art. 111 del Codice della Privacy. Tra tali trattamenti sono compresi quelli effettuati al fine di: accertare il possesso dei requisiti per l’accesso a specifici impieghi, la sussistenza dei presupposti per la sospensione o la cessazione del servizio, adempiere agli obblighi connessi alla definizione dello stato giuridico od economico del personale, nonché ai relativi obblighi retributivi, fiscali e contabili, adempiere a specifici obblighi in materia di igiene e sicurezza del lavoro, accertare la responsabilità civile, disciplinare e contabile dei dipendenti. Per il trattamento dei dati personali del dipendente non è necessario richiedere il consenso dell’interessato. La pubblicazione delle graduatorie di selezione del personale o relative alla concessione, liquidazione, modifica o revoca di benefici economici, agevolazioni, elargizioni, deve essere effettuata dopo un’attenta verifica che le indicazioni contenute non comportino la divulgazione di dati idonei a rilevare lo stato di salute, utilizzando, piuttosto, diciture generiche o codici alfanumerici. 11 Manuale della privacy Rev. 01 del 01/05/2013 L’Azienda ULSS 17 assolve agli obblighi di legge in materia di trasparenza della pubblica amministrazione con la pubblicazione sul sito internet istituzionale dei dati previsti (curricula personale dirigente e personale non dirigente titolare di posizione organizzativa e retribuzioni personale dirigente), sempre nel rispetto dell’art. 25: divieto di divulgazione di dati idonei a rilevare lo stato di salute. 3.4 – Consenso al trattamento dei dati Il consenso è il naturale prolungamento dell’informativa e va prestato all’atto dell’acquisizione dei dati e, in ogni caso, prima di ogni operazione di elaborazione o trattamento sui dati medesimi. Il consenso rappresenta, assieme all’esercizio del diritto di accesso e di opposizione al trattamento, il potere dell’interessato di auto determinare il proprio patrimonio informativo. Il principio generale su cui si basa il concetto è quello per cui il soggetto pubblico, nel trattare i dati, non è obbligato a chiedere il consenso dell’interessato, purché si tratti di attività istituzionali (art. 18). Unica eccezione riguarda i trattamenti effettuati dagli esercenti le professioni sanitarie e gli organismi sanitari, sia pubblici che privati, i quali, quando operano per finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un terzo o della collettività, hanno l’obbligo di acquisire il consenso dell’interessato. L’obbligo di acquisizione del consenso non si estende però alle attività amministrativo-gestionali correlate a quelle di prevenzione, diagnosi cura e riabilitazione, né a tutte quelle indicate dall’art. 85 del Codice (esempio: programmazione, gestione, controllo e valutazione dell’attività sanitaria; attività certificatorie; instaurazione, gestione, pianificazione e controllo dei rapporti tra l’Amministrazione ed i soggetti accreditati o convenzionati con il Servizio Sanitario Nazionale, etc.): in tutti questi casi, prevale la norma di carattere generale stabilita dall’art. 18 del Codice, e pertanto non è necessario richiedere il consenso dell’interessato. L’Azienda ULSS 17, appartenendo alla categoria degli organismi sanitari pubblici, laddove opera per finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un terzo o della collettività, tratta i dati idonei a rivelare lo stato di salute e la vita sessuale: a) con il consenso dell’interessato, e anche senza l’autorizzazione del Garante, nel caso in cui il trattamento riguardi dati ed operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato; b) anche senza il consenso dell’interessato, ma previa autorizzazione del Garante, nel caso in cui la finalità di cui alla lettera a) riguardi un terzo o la collettività ed il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità. Forma del consenso e modalità di acquisizione Il Codice ha previsto una corsia preferenziale per coloro che operano in ambito sanitario, consentendo all’interessato di manifestare il proprio consenso con un’unica dichiarazione, anche verbale, purché documentata per iscritto mediante opportuna annotazione da parte dell’esercente la professione sanitaria che attesti il rilascio dell’informativa all’interessato e l’acquisizione del relativo consenso. Unica eccezione all’eventuale rilascio del consenso in forma orale è costituita dal trattamento dei dati genetici, in quanto il Garante ha espressamente stabilito che tale tipologia di dati possa essere 12 Manuale della privacy Rev. 01 del 01/05/2013 trattata solo nel caso in cui la persona abbia previamente manifestato per iscritto il proprio consenso informato (Autorizzazione generale del Garante del 22 febbraio 2007). Inoltre, il consenso può essere rilasciato con un’unica dichiarazione in relazione al complesso delle attività poste in essere, anche in tempi diversi, nei confronti dell’interessato, da parte di diverse strutture aziendali, sia territoriali che ospedaliere. Attualmente, ogniqualvolta vengano effettuati trattamenti per finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un terzo o della collettività, devono essere osservate le seguenti modalità operative: rilasciare l’informativa all’interessato; acquisire il consenso per iscritto, in caso di prestazioni sanitarie rese in regime di ricovero; acquisire il consenso per iscritto, in caso di prestazioni sanitarie rese fuori dal regime di ricovero (accertamenti diagnostici, visite ambulatoriali, ecc.). Il modulo per l’acquisizione del consenso dovrà essere consegnato all’interessato unitamente all’informativa, e sottoscritto da quest’ultimo prima dell’erogazione di qualsiasi prestazione (ambulatoriale, di ricovero, diagnostica, etc.), salvi i casi di emergenza e di tutela della salute e dell’incolumità fisica previsti dall’art. 82 del Codice, rispetto ai quali l’informativa ed il consenso possono intervenire, senza ritardo, successivamente alla prestazione e, più precisamente, nei seguenti casi: presenza di ordinanza contingente ed urgente emanata per questioni di emergenza sanitaria o di igiene pubblica; impossibilità fisica, incapacità di agire o incapacità di intendere e di volere dell’interessato, quando non è possibile acquisire il consenso dal terzo legittimato; rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell’interessato. Come già accennato, fa eccezione il consenso al trattamento dei dati genetici, in quanto la specificità e la particolarità di ogni singola operazione connessa al trattamento dei dati genetici devono essere rese note attraverso una informazione diversificata ed un’altrettanto diversificata acquisizione del consenso, da effettuarsi obbligatoriamente in forma scritta, a cura degli operatori sanitari che effettuano trattamenti di dati genetici. Questi ultimi si dovranno attenere alle indicazioni contenute nel successivo punto 1.12 del presente Manuale, nonché alle prescrizioni fornite dal Garante Privacy nell’autorizzazione generale 22.2.2007 in ordine al trattamento dei dati genetici. Modalità semplificata per l’acquisizione del consenso L’Azienda ULSS 17 si avvale delle modalità semplificate relative all’acquisizione del consenso per il trattamento dei con le seguenti modalità (ex art. 81 D. Lgs. 196/2003): le strutture di degenza acquisiscono il consenso al trattamento dei dati con l’apposito modulo (allegato n. 2) e tale consenso è da intendervi validamente prestato fino a revoca dell’interessato per i trattamenti di degenza successivi (ricovero ordinario, day hospital, day service e day surgery). Il CUP Aziendale acquisisce il consenso al trattamento dei dati con l’apposito modulo (allegato n. 3 ) per i trattamenti riferiti alle prestazioni ambulatoriali e tale consenso è da intendervi validamente prestato fino a revoca dell’interessato per i trattamenti ambulatoriali successivi. 13 Manuale della privacy Rev. 01 del 01/05/2013 Consenso al trattamento dei dati in caso di emergenze e tutela della salute e dell’incolumità fisica ex art. 82 D. Lgs. 196/2003 L’informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente alla prestazione, nel caso di: Emergenza sanitaria o di igiene pubblica; Impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessata, quando non è possibile acquisire il consenso al trattamento dei dati da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato; Rischio grave, imminente ed irreparabile per la salute dell’interessato; Nel caso in cui la prestazione medica può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia. 3.5 – Diritti dell’interessato Secondo quanto disposto dall’art. 7 del Codice, l’interessato ha diritto di ottenere a cura del Titolare o del Responsabile, senza ritardo: 1- la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile; 2- l’indicazione: a) dell’origine dei dati personali trattati; b) delle finalità e delle modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del Titolare e dei Responsabili; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati. 3- di fare richiesta di: f) aggiornamento, rettificazione ovvero, qualora vi abbia interesse, integrazione dei dati; g) cancellazione, trasformazione in forma anonima o blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; h) attestazione che le operazioni di cui ai precedenti punti f) ed g) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato; 4- L’interessato ha inoltre il diritto di opporsi in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta. Qualora intenda presentare ricorso per fatti inerenti al trattamento dei propri dati personali, l’utente dovrà rivolgere istanza scritta all’Azienda ULSS 17 di Monselice – Ufficio Privacy utilizzando l’apposito modulo come disciplinato nella procedura aziendale POA-DGA-DAP-01 (allegato n. 4). L’interessato, nell’esercizio dei diritti sopra riportati, può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi e può farsi assistere da persona di fiducia. 14 Manuale della privacy Rev. 01 del 01/05/2013 3.6 - Documento Programmatico sulla Sicurezza Il d.l. 9 febbraio 2012, n. 5 - convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35 ha, tra l'altro, modificato alcune disposizione del Codice in materia di protezione di dati personali, sopprimendo in particolare, dagli adempimenti in materia di misure minime di sicurezza, il Documento Programmatico per la Sicurezza (documento che descriveva un’analisi dei rischi che incombono sui dati, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento, delle misure in essere e da adottare, nonché dei criteri e delle modalità di ripristino della disponibilità dei dati) pertanto l'obbligo di redigere e aggiornare periodicamente il citato DPS è venuto meno. Tutti gli adempimenti previsti dall’Allegato B del Codice della Privacy rimangono obbligatori e sono in capo alle varie figure soggettive della privacy a seconda delle competenze (Amministratore di Sistema, Responsabile del trattamento dei dati e incaricati al trattamento dei dati). 3.7 – Dati genetici Con Autorizzazione del 22.2.2007 il Garante per la Protezione dei Dati Personali ha emanato disposizioni molto dettagliate in ordine al trattamento dei dati genetici. Pertanto i dati genetici dovranno essere trattati in modo da rispettare quanto riportato nella predetta autorizzazione. Si riportano di seguito gli adempimenti principali a cui gli operatori si devono attenere nel trattamento dei dati genetici: Finalità: possono essere trattati i dati genetici inerenti alle seguenti finalità, qualora non sia possibile effettuare un trattamento di dati anonimi o di natura diversa: a) tutela della salute; b) tutela dell’identità genetica di un terzo appartenente alla stessa linea genetica dell’interessato, nel caso in cui il consenso non sia o non possa essere prestato da quest’ultimo, qualora il trattamento sia indispensabile per consentire al terzo scelte riproduttive consapevoli o interventi di natura preventiva o terapeutica: tale trattamento può essere effettuato solo su dati genetici già raccolti; c) ricerca scientifica o statistica da svolgersi con il consenso dell’interessato, salvi i casi previsti da legge in cui si può prescindere dal consenso stesso; d) per adempiere o per esigere l’adempimento di obblighi o compiti previsti espressamente dalla normativa comunitaria, da leggi o regolamenti; e) per lo svolgimento delle investigazioni difensive o comunque per far valere o difendere in giudizio un diritto, nel rispetto dei principi e dei limiti fissati dal Codice e dalla L. 7.12.2000 n. 397 in materia di indagini difensive; f) per l’accertamento dei vincoli di consanguineità per il ricongiungimento familiare di cittadini di Stati non appartenenti all’Unione Europea, apolidi e rifugiati, a norma del D. Lgs. n. 286/1998. Modalità di raccolta e trattamento: devono essere predisposte misure specifiche per accertare in modo univoco l'identità del soggetto a cui viene prelevato il materiale genetico; i dati identificativi devono essere tenuti separati già al momento della raccolta, salvo che ciò non sia possibile per le particolari caratteristiche del trattamento o per l’impiego di mezzi manifestamente sproporzionati; la raccolta di dati genetici effettuata per l’esecuzione di test e di screening genetici è limitata alle sole informazioni personali e familiari strettamente indispensabili all’esecuzione dell’analisi. 15 Manuale della privacy Rev. 01 del 01/05/2013 Informativa: salvo che per i trattamenti effettuati da medici di famiglia, è necessario informare l'interessato sugli scopi perseguiti, sui risultati conseguibili, anche in relazione a notizie inattese che possono essere conosciute per effetto del trattamento di dati genetici, sul diritto dell’interessato di opporsi al trattamento per motivi legittimi, sulla facoltà o meno, per l’interessato, di limitare l’ambito di comunicazione dei dati genetici ed il trasferimento dei campioni biologici, sul periodo di conservazione dei dati e dei campioni biologici (allegato n. 8) Consenso: per trattare i dati genetici e utilizzare i campioni biologici è obbligatorio il consenso scritto dell'interessato; il consenso è revocabile in ogni momento. Nascituri: il consenso per i test genetici relativi ai nascituri è espresso dalla madre e, se l'esame può rivelare l'insorgenza di patologie del padre, anche da quest'ultimo. Misure di sicurezza: fermo restando l’adozione delle misure minime di sicurezza valevoli per il trattamento di tutti i dati personali, per la custodia dei dati genetici e dei campioni biologici devono essere osservate anche le seguenti ulteriori cautele: l’acceso ai locali deve essere controllato mediante incaricati della vigilanza o strumenti elettronici che prevedono specifiche procedure di identificazione. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, devono essere identificate e registrate; i dati genetici e i campioni biologici contenuti in registri, elenchi o in banche dati devono essere trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o altre soluzioni che li rendano temporaneamente intelligibili anche a chi è autorizzato ad accedervi, che permettano di identificare gli interessati solo in caso di necessità e che consentano il trattamento disgiunto dei dati genetici e sanitari dagli altri dati personali; per trasmettere i dati in formato elettronico si deve usare la posta elettronica certificata previa cifratura delle informazioni trasmesse da realizzarsi con firma digitale. Conservazione: i campioni biologici e i dati genetici non possono essere conservati per un periodo di tempo superiore a quello strettamente necessario per perseguire gli scopi per i quali sono stati raccolti e utilizzati. Diffusione: i dati genetici non possono essere diffusi. I risultati delle ricerche possono essere diffusi solo in forma aggregata. I dati genetici devono essere resi noti di regola all’interessato o a persone diverse dal diretto interessato sulla base di una delega scritta di quest’ultimo, adottando ogni mezzo idoneo a prevenire la conoscenza non autorizzata da parte di soggetti anche compresenti. Gli esiti di ricerche, test e screening genetici, qualora comportino per l’interessato un beneficio concreto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, devono essere comunicati al medesimo interessato, anche nel rispetto della sua dichiarazione di volontà di conoscere o meno tali eventi e, ove necessario, con appropriata consulenza genetica. Qualora la suddetta comunicazione sia a beneficio degli appartenenti alla stessa linea genetica dell’interessato, che ne’abbiano fatto richiesta, e quest’ultimo vi acconsenta espressamente o, nel caso sia deceduto, non abbia espressamente fornito indicazioni contrarie, essa può essere resa anche nei loro confronti. 16 Manuale della privacy Rev. 01 del 01/05/2013 3.8 - Certificato di assistenza al parto Ai fini della dichiarazione di nascita, il certificato di assistenza al parto è sempre sostituito da una semplice attestazione contenente i soli dati richiesti nei registri di nascita. Per la rilevazione dei dati statistici relativi agli eventi di nascita, compresi quelli relativi ai nati affetti da malformazioni e ai nati morti, nonché per i flussi di dati anche da parte di Direttori Sanitari, si osservano, oltre alle disposizioni di cui al Decreto del Ministro della Sanità 16 luglio 2001, n. 349, le modalità tecniche determinate dall'Istituto Nazionale della Statistica. Il certificato di assistenza al parto o la cartella clinica, ove comprensivi dei dati personali che rendono identificabile la madre che abbia dichiarato di non voler essere nominata avvalendosi della facoltà di cui all'articolo 30, comma 1, del Decreto del Presidente della Repubblica 3 novembre 2000, n. 396, possono essere rilasciati in copia integrale a chi vi abbia interesse, in conformità alla legge, decorsi cento anni dalla formazione del documento. Durante il periodo di cui al comma precedente la richiesta di accesso al certificato o alla cartella può essere accolta relativamente ai dati relativi alla madre che abbia dichiarato di non voler essere nominata, osservando le opportune cautele per evitare che quest'ultima sia identificabile. 3.9 - Ricerca medica, biomedica ed epidemiologica Fermo restando quanto previsto dall'articolo 20 del D. Lgs. 196/2003 e fuori dei casi di particolari indagini statistiche o di ricerca scientifica previste dalla legge, il consenso dell'interessato al trattamento di dati sensibili, quando è richiesto, può essere prestato con modalità semplificate, individuate dal codice di cui all'articolo 106 e l'autorizzazione del Garante può essere rilasciata anche ai sensi dell'articolo 40. Il consenso dell'interessato per il trattamento dei dati idonei a rivelare lo stato di salute, finalizzato a scopi di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando: la ricerca è prevista da un'espressa disposizione di legge che prevede specificamente il trattamento; la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12 bis del Decreto Legislativo 30 dicembre 1992, n. 502 e s.m. e per il quale sono decorsi 45 giorni dalla comunicazione al Garante ai sensi dell’art. 39 del Codice. a causa di particolari ragioni, non è possibile informare gli interessati e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale. fornire dettagli sulla ricerca comporterebbe la rilevazione di notizie sullo studio che potrebbero arrecare danno materiale o psicologico agli interessati oppure quando risulti impossibile contattare, per informarli, tutti i soggetti che si intende coinvolgere nella ricerca (autorizzazione del Garante della Privacy pubblicata sulla G.U. n. 85 del 26.03.2012). Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati e di includerli, in particolare, nelle pubblicazioni a contenuto scientifico o finalizzate all'educazione, alla prevenzione o all'informazione di carattere sanitario 17 Manuale della privacy Rev. 01 del 01/05/2013 3.10 - Rinvio a previsioni di normativa speciale Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare: a) dall'art. 5, comma 2, della Legge 5 giugno 1990, n. 135, come modificato dall'art. 178 del Codice, secondo cui la rilevazione statistica della infezione da HIV deve essere effettuata con modalità che non consentano l'identificazione della persona; b) dall'art. 11 della Legge 22 maggio 1978, n. 194, il quale dispone che l'ente ospedaliero, la casa di cura o il poliambulatorio nei quali è effettuato un intervento di interruzione di gravidanza devono inviare alla Regione una dichiarazione che non faccia menzione dell'identità della donna; c) dall'art. 734-bis del Codice Penale, il quale vieta la divulgazione non consensuale delle generalità o dell'immagine della persona offesa da atti di violenza sessuale. d) Restano altresì fermi gli obblighi di legge che vietano la rivelazione, senza giusta causa, e l'impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici previsti, in particolare, dal Codice di deontologia medica adottato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri. CAPITOLO 4 Diritto di Accesso e Codice della Privacy 4.1 - Diritto di accesso alla documentazione amministrativa e diritto alla riservatezza La disciplina del diritto di accesso, così come regolata dalla Legge 7 agosto 1990, n. 241 e s.m.i, non viene né annullata né modificata dalla introduzione delle norme tese a tutelare il diritto alla riservatezza. L’Azienda garantisce e contempera tra loro i due diritti. 4.2- Diritto di accesso alla documentazione contenente dati sensibili, giudiziari o sanitari e diritto alla riservatezza Quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (ex art. 60 D. Lgs. 196/2003) Nel caso in cui l’Azienda ritenga di dover accogliere l’istanza di accesso, deve essere effettuata una valutazione concreta su quali informazioni, fra quelle contenute nei documenti oggetto della richiesta, debbano essere comunicate e quali siano, invece, eccedenti rispetto allo scopo perseguito con l’accesso. 18 Manuale della privacy Rev. 01 del 01/05/2013 4.3 - Diritto di accesso alle cartelle cliniche Il Codice, all’art. 92, detta una disciplina particolare in relazione alla documentazione sanitaria contenuta all’interno delle cartelle cliniche. La compilazione delle cartelle cliniche deve garantire la comprensibilità dei dati e distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri. Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall'interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità: a) di far valere o difendere un diritto in sede giudiziaria di rango pari a quello dell'interessato, cioè consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; b) di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell'interessato, cioè consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; c) in caso di decesso dell’interessato, per esigenze di tutela dello stesso o per ragioni familiari meritevoli di protezione (prendendo come punto di riferimento, in questa ultima ipotesi, il grado di parentela - che deve essere autocertificato dal richiedente - secondo l’ordine previsto nella successione legittima ex artt. 565 e segg. del Codice Civile). Nella valutazione del “pari rango” che può giustificare l’accesso è necessario utilizzare, come parametro di raffronto, non il diritto di azione e difesa di per sé, ma il diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere. Occorre, inoltre, tenere presente che deve essere negato l’accesso: - se è volto a soddisfare generiche esigenze basate sulla prospettiva eventuale di apprestare la difesa di diritti non posti in discussione in quel momento; - nella maggior parte dei casi riguardanti diritti di credito. Va valutata con cautela, caso per caso, l’effettiva necessità di consentire l’accesso ad una cartella clinica in caso di controversia per risarcimento dei danni ascritti all’attività professionale medica documentata nella cartella. Nel caso in cui l’Azienda ritenga di dover accogliere l’istanza di accesso, deve essere effettuata una valutazione concreta, particolarmente accurata, su quali informazioni, fra quelle contenute nei documenti oggetto della richiesta, debbano essere comunicate e quali siano, invece, eccedenti rispetto allo scopo perseguito con l’accesso. 4.4 - Indagini difensive Nel corso di un procedimento penale, il difensore, ai sensi della Legge 7 dicembre 2000, n. 397 e dell’art. 391-quater del Codice di Procedura Penale, ha facoltà di svolgere investigazioni per ricercare ed individuare elementi di prova a favore del proprio assistito. Ai fini di tali indagini, il difensore può chiedere documenti in possesso dell’Azienda (e può estrarne copia a proprie spese) anche se contengono dati personali di un terzo interessato e senza la necessità del suo consenso. Se nei documenti richiesti sono contenuti dati idonei a rivelare lo stato di salute o la vita sessuale, il rilascio è subordinato alla verifica che il diritto difeso sia di rango almeno pari a quello dell’interessato, e cioè consistente in un diritto della personalità o in un altro diritto o libertà fondamentale ed inviolabili. 19 Manuale della privacy Rev. 01 del 01/05/2013 4.5 – Pubblicazione delle deliberazioni In ottemperanza ai principi di necessità, pertinenza e non eccedenza dei dati, la pubblicazione delle deliberazioni contenenti dati sensibili deve avvenire previa selezione dei soli dati la cui inclusione nelle deliberazioni medesime sia realmente necessaria per il raggiungimento delle finalità proprie di ciascun provvedimento. I soggetti cui si riferiscono le informazioni di carattere sensibile o giudiziario devono essere individuati attraverso le iniziali del nome e cognome. Gli atti aziendali sono pubblicati all’albo telematico del sito internet istituzionale rispettando le disposizioni normative in materia. CAPITOLO 5 Ritiro del Referto, Fascicolo Sanitario Elettronico e videosorveglianza 5.1 - Ritiro dei referti I referti possono essere ritirati: 1. dal diretto interessato; 2. da chi esercita la tutela, in caso di minore o interdetto; 3. dal delegato dell'interessato munito di delega, di un documento di identità proprio, salvo diverse disposizioni di legge o regolamento. La consegna dei documenti deve essere effettuata in busta chiusa indirizzata al Medico Curante. Non è possibile la comunicazione per via telefonica dei risultati delle analisi. La trasmissione dei referti via fax o tramite servizio postale o per via e-mail è possibile soltanto con espressa richiesta preventiva da parte dell’interessato, sottoscritta al momento della prestazione. 5.2 Ritiro dei referti “on – line” L’Azienda può prevedere servizi definiti “on-line”, consistenti nella possibilità per l’assistito di accedere al “referto”, con modalità informatica. Tale sistema di conoscibilità può essere realizzata attraverso la seguente modalità: il collegamento al sito internet della struttura sanitaria dove è stato eseguito l’esame clinico, alfine di effettuare il download del referto; in questo caso l’utente viene fornito di un nome utente ed una password all’atto di prenotazione o di effettuazione dell’esame. L’Azienda garantisce all’interessato di decidere liberamente ad ogni singolo accesso, sulla base di una specifica informativa e di un apposito consenso, in ordine al trattamento dei dati personali connessi a tale servizio, se aderire o meno a tali servizi di refertazione garantendogli in ogni caso la possibilità di continuare a ritirare i referti cartacei presso la struttura erogatrice della prestazione 20 Manuale della privacy Rev. 01 del 01/05/2013 5.3 Fascicolo Sanitario Elettronico “FSE” Il FSE e il dossier sanitario contengono diverse informazioni inerenti lo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi (es. referti, documentazione relativa a ricoveri, accessi al pronto soccorso, vaccinazioni..)volte a documentare la storia clinica dell’interessato. In particolare: il dossier sanitario è uno strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento al cui interno operino più professionisti; FSE è il fascicolo formato con riferimento a dati sanitari originati da diversi titolar del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale: le informazioni sono rese disponibili anche ad altri soggetti abilitati all’accesso. Le finalità che possono essere perseguite attraverso la costituzione del FSF o del Dossier sanitario possono essere esclusivamente ricondotte a finalità di cura dell’interessato e cioè di prevenzione, diagnosi, cura e riabilitazione, con esclusione di ogni altra finalità, ferme restando eventuali esigenze in ambito penale. I dati amministrativi devono essere separati dai dati sanitari, prevedendo profili diversi di abilitazione. 5.4.Videosorveglianza L’installazione di impianti di videosorveglianza nei locali dell’Azienda è ammessa solo dopo attenta valutazione sulla proporzionalità tra lo strumento impiegato e gli scopi perseguiti, nonché quando altre misure possibili siano realmente insufficienti o inattuabili e deve essere improntato al rispetto di quanto stabilito dal Garante con il Provvedimento Generale sulla videosorveglianza del 29.4.2004 e del 08.04.2010. In Azienda è stato approvato con delibera del Direttore Generale n. 1126 del 12 novembre 2009 il “Regolamento per l’attività di videosorveglianza” che individua tra i soggetti che per esperienza, capacità ed affidabilità, forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia le seguenti figure: il Direttore del Dipartimento Tecnico Amministrativo come responsabile del trattamento dei dati in materia di videosorveglianza attraverso telecamere perimetrali dei vari ospedali e telecamere installate presso il magazzino di Pernumia (pd); il Direttore Medico di Presidio come responsabile del trattamento dei dati in materia di videosorveglianza per le telecamere interne installate presso l’ospedale di Monselice e Este, presso i SERD e per la gestione serale e notturna delle telecamere collocate presso gli ospedali di Montagnana e Conselve. In particolare, nel trattamento dei dati devono essere rispettati i seguenti principi: la raccolta e l’uso delle immagini sono consentiti solo se necessari allo svolgimento di funzioni istituzionali, da individuare ed esplicitare con esattezza; i sistemi di videosorveglianza possono riprendere persone identificabili solo se, per raggiungere gli scopi autorizzati, non possono essere utilizzati dati anonimi; 21 Manuale della privacy Rev. 01 del 01/05/2013 devono essere sottoposti alla verifica preliminare del Garante per la protezione dei dati personali i sistemi di videosorveglianza che prevedano una raccolta delle immagini collegata e/o incrociata e/o confrontata con altri particolari dati personali (ad es. biometrici), oppure con codici identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce; devono essere sottoposti alla verifica preliminare del Garante i sistemi di videosorveglianza che prevedono una digitalizzazione o indicizzazione delle immagini (che rendono possibile una ricerca automatizzata o nominativa) e i sistemi di videosorveglianza cosiddetta dinamico-preventiva, che non si limiti a riprendere staticamente un luogo, ma rilevi percorsi o caratteristiche fisionomiche (es. riconoscimento facciale) o eventi improvvisi, oppure comportamenti anche non previamente classificati; i cittadini che transitano nelle aree esterne sorvegliate vanno informati della rilevazione dei dati mediante affissione di specifico cartello secondo il modello proposto dal Garante; in luoghi diversi dalle aree esterne il modello va integrato con almeno un avviso circostanziato che riporti gli elementi di cui all’art. 13 del Codice (Informativa), con particolare riguardo alle finalità del trattamento ed all’eventuale conservazione dei dati; in caso di registrazione, il periodo di conservazione delle immagini deve essere limitato a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o servizi, nonché nel caso in cui si debba aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o della polizia giudiziaria; al momento dell’installazione della telecamera occorre valutare se sia realmente necessario raccogliere immagini dettagliate, dove collocare le apparecchiature e la tipologia (fisse o mobili); va limitata rigorosamente la creazione di banche dati quando è sufficiente installare un sistema a circuito chiuso di sola visione delle immagini senza la loro registrazione; è vietato l’utilizzo delle telecamere come forma di controllo a distanza dei lavoratori e vanno rispettate le garanzie previste in materia di lavoro, sia all’interno degli edifici, sia in altri luoghi di prestazione del lavoro (bagni, spogliatoi, docce, ecc.) – art. 4 L. n. 300/1970 – Statuto dei Lavoratori; si devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate ad utilizzare gli impianti e, nei casi in cui è indispensabile per gli scopi perseguiti, a visionare le registrazioni; quando i dati vengono conservati – naturalmente per un tempo limitato in applicazione del principio di proporzionalità – devono essere previsti diversi livelli di accesso al sistema e di utilizzo delle informazioni, avendo riguardo anche ad eventuali interventi per esigenze di manutenzione. Occorre prevenire possibili abusi attraverso opportune misure basate in particolare su una “doppia chiave” fisica o logica che consentano un’immediata ed integrale visione delle immagini solo in caso di necessità (da parte di addetti alla manutenzione o per l’estrazione dei dati ai fini della difesa di un diritto o del riscontro ad una istanza di accesso, oppure per assistere la competente autorità giudiziaria o di polizia giudiziaria); negli Ospedali è ammesso il monitoraggio dei pazienti ricoverati in particolari Reparti (es. rianimazione). Particolare attenzione deve essere riservata alle modalità di accesso alle riprese video da parte di familiari di ricoverati in reparti dove non sia consentito agli stessi di recarsi personalmente (es. rianimazione), ai quali può essere consentita, con gli adeguati accorgimenti tecnici, la visione dell’immagine solo del proprio congiunto. 22 Manuale della privacy Rev. 01 del 01/05/2013 CAPITOLO 6 Sanzioni Amministrative e Penali in caso di violazioni delle disposizioni del Codice della Privacy Il Codice privacy prevede nel Titolo III le diverse tipologie di sanzioni – amministrative e penali – che si riportano nella sottostante tabella: SANZIONI AMMINISTRATIVE misura della sanzione Omessa o inidonea informativa Riferimento Codice privacy Art. 161 Cessione di dati Art. 162 da € 10.000 a € 60.000 Violazione obblighi comunicazione al paziente da parte di un medico o esercente professione sanitaria autorizzato Omessa o incompleta notificazione Art. 162, c. 2 Art. 84, c. 1 da € 1.000 a € 6.000 Art. 163 da € 20.000 a € 120.000 Omessa informazione o esibizione di documenti al Garante Art. 164 da € 10.000 a € 60.000 Tipologia da € 6.000 a € 36.000 SANZIONI PENALI Tipologia Trattamento illecito dei dati Riferimento Codice privacy Art. 167 Comunicazione illecita dei dati Art. 167 Falsità nelle dichiarazioni e notificazioni al Garante Omissione misure minime di sicurezza Art. 168 Art. 169 Inosservanza dei provvedimenti del Garante Art. 170 Sanzione prevista Dati comuni: reclusione da 6 a 18 mesi Dati sensibili: reclusione da 12 a 36 mesi Dati comuni: reclusione da 6 a 24 mesi Dati sensibili: reclusione da 1 a 3 anni Reclusione da 6 a 36 mesi Arresto fino a 2 anni Usufruendo del ravvedimento operoso e adeguandosi alle prescrizioni fissate in fase di accertamento, il reato si estingue pagando un quarto del massimo della sanzione stabilità per la sanzione amministrativa Reclusione 3 - 24 mesi 23 Manuale della privacy Rev. 01 del 01/05/2013 In tema di responsabilità va, infine, ricordato che l’art. 15 del codice privacy prevede: “Chiunque cagiona ad altri un danno per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del Codice Civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11”. Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno medesimo. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11 “Modalità del trattamento e requisiti dei dati” (es. se si trattano dati non rispettandone i principi di correttezza, liceità, pertinenza ecc). Il trattamento dei dati, quanto agli effetti della responsabilità per danno a terzi, è parificato all’esercizio di attività pericolose ex art. 2050 Codice Civile. In pratica, a fronte di danni subiti da terzi per effetto del trattamento dei dati, sarà il titolare a dover provare di aver fatto tutto quanto era possibile per evitare il danno medesimo. CAPITOLO 7 Istruzioni per i responsabili e gli incaricati del trattamento dei dati personali. In attuazione dell’art. 29 comma 5 e dell’art. 30 comma 1, del Codice privacy, si riportano di seguito le istruzioni alle quali devono attenersi i responsabili e gli incaricati nell’effettuare i trattamenti dei dati: 7.1. Istruzioni di carattere generale per tutti i responsabili e gli incaricati: mantenere il segreto sulle informazioni di cui si venga a conoscenza nello svolgimento della propria attività lavorativa e professionale e nel corso delle operazioni del trattamento, evitando di comunicare le informazioni a terzi. Si ricorda che l’eventuale violazione di tale obbligo può comportare l’applicazione di sanzioni di natura deontologica e disciplinare, nonché una responsabilità di natura amministrativa, civile e penale, secondo quanto previsto dal codice della privacy; fornire l’informativa, all’interessato o alla persona presso cui si raccolgono i dati, con le modalità determinate dal responsabile della struttura di appartenenza e utilizzando la modulistica predisposta dall’Azienda; raccogliere il consenso dell’interessato al trattamento dei dati idonei a rivelare lo stato di salute, ogniqualvolta si erogano prestazioni finalizzate alla tutela della salute (prevenzione, diagnosi, cura e riabilitazione), con le modalità e la modulistica definite dall’Azienda; procedere alla raccolta dei dati personali con la massima cura verificando l’esattezza degli stessi, nonché la pertinenza e la non eccedenza rispetto alle finalità da perseguire; utilizzare i dati solamente nei limiti del profilo di autorizzazione definito dal responsabile del trattamento e per gli scopi determinati, espressi e legittimi; comunicare i dati personali di natura comune a terzi, solamente se espressamente previsto da una legge o da un regolamento o nei casi in cui sia necessario per finalità istituzionali, previa autorizzazione dell’Azienda; 24 Manuale della privacy Rev. 01 del 01/05/2013 comunicare i dati sensibili a soggetti determinati solo ove sia espressamente previsto da una legge o dall’atto di natura regolamentare che sarà adottato dalla Regione; non diffondere dati idonei a rivelare lo stato di salute nel rispetto dell’espresso divieto previsto dall’art. 22, comma 8 del Codice privacy. Per diffusione si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. Sarà cura, quindi, dei soggetti che redigono gli atti oggetto di pubblicazione di far sì che si rispetti il divieto considerato. A titolo meramente esemplificativo, si suggerisce la necessità di predisporre la copia degli atti. deliberativi da pubblicare, in una forma in cui vi sia il testo della stessa corredato da allegati (questi ultimi, contenenti i dati sanitari, non dovranno essere oggetto di pubblicazione, ma dovranno rimanere agli atti, conservati secondo quanto previsto dalla legge, e a disposizione di coloro che abbiano la legittimazione all’esercizio del diritto di accesso, secondo quanto previsto dalla legge 241/90); 7.2. Istruzioni specifiche per i responsabili e gli incaricati delle strutture che erogano prestazioni sanitarie (prevenzione, diagnosi, cura e riabilitazione dello stato di salute) Il Garante per la protezione dei dati personali in data 09 novembre 2005 ha adottato, con riferimento all’art. 83 del Codice privacy, un importante provvedimento con il quale ha inteso richiamare l’attenzione dei soggetti che operano in ambito sanitario – e, quindi, anche le aziende sanitarie territoriali e le aziende ospedaliere – in ordine alla necessità di adeguare il funzionamento e l’organizzazione delle strutture operative, con espresso invito ad adottare tutte le misure ritenute necessarie ed opportune per garantire il rispetto della dignità e il massimo livello di tutela dei pazienti. In attuazione dell’art. 83 del Codice privacy e dei suggerimenti del Garante, si riportano di seguito le specifiche istruzioni alle quali devono attenersi tutti i responsabili e gli incaricati delle strutture operative aziendali che erogano prestazioni sanitarie di prevenzione, diagnosi, cura e riabilitazione dello stato di salute: Dignità dell’interessato. La tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria con particolare riguardo a fasce deboli quali disabili, fisici e psichici, minori e anziani, nonché - per effetto di specifici obblighi di legge o di regolamento – sieropositivi o affetti da infezione da Hiv, interruzione di gravidanza e persone offese da atti di violenza sessuale. Nei reparti di rianimazione dove si possono visitare i degenti solo attraverso vetrate o videoterminali devono essere adottati accorgimenti, anche provvisori (ad esempio mediante paraventi), che delimitino le visibilità dell’interessato durante l’orario di visita ai soli familiari e conoscenti. Riservatezza nei colloqui e nelle prestazioni sanitarie Durante lo svolgimento di colloqui, specie con il personale sanitario (ad es. in occasione di prescrizioni o di certificazioni mediche), devono essere adottate idonee cautele per evitare che le informazioni sulla salute dell’interessato possano essere conosciute da terzi. Le stesse 25 Manuale della privacy Rev. 01 del 01/05/2013 cautele devono essere adottate in occasione della raccolta della documentazione di anamnesi, qualora avvenga in situazioni di promiscuità derivanti dai locali o dalle modalità utilizzate. Richiesta notizie su prestazioni di pronto soccorso La notizia o la conferma di una prestazione di pronto soccorso, richieste anche per via telefonica, possono essere fornite correttamente ai soli terzi legittimati, quali possono essere familiari, parenti o conviventi, valutate le diverse circostanze del caso. Il personale incaricato deve accertare l’identità dei terzi legittimati a ricevere la predetta notizia o conferma, avvalendosi anche di elementi desunti dall’interessato. Le informazioni che possono essere fornite riguardano solo la circostanza che è in atto o si è svolta una prestazione di pronto soccorso e non anche informazioni più dettagliate sullo stato di salute dell’interessato. L’interessato – se cosciente e capace – deve essere preventivamente informato (ad. es. in fase di accettazione) e posto in condizione di fornire indicazioni circa i soggetti che possono essere informati della prestazione di pronto soccorso. Occorre altresì rispettare eventuali sue indicazioni specifiche o contrarie. Dislocazione dei pazienti nei reparti Il paziente cosciente e capace deve essere, all’atto del ricovero, informato e posto in condizione di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero e del reparto di degenza. Deve essere altresì rispettata l’eventuale sua richiesta che la presenza nella struttura sanitaria non sia resa nota nemmeno ai terzi legittimati. Quando sia stato manifestato dall’interessato un consenso specifico e distinto al riguardo, possono comunque essere fornite informazioni sul suo stato di salute ai soggetti dallo stesso indicati. Distanza di cortesia Nel rispetto dei canoni di confidenzialità e della riservatezza dell’interessato, tutti i punti accettazione devono essere muniti di strumenti idonei a garantire la distanza di cortesia per gli utenti. Tali strumenti possono essere costituiti, a titolo meramente esemplificativo, da una riga gialla di segnalazione posta a terra e da un cartello che indichi il rispetto della distanza di cortesia, o qualunque altro sistema, che garantisca il medesimo risultato. Ordine di precedenza e di chiamata Nell’erogare prestazioni sanitarie o espletando adempimenti amministrativi che richiedono un periodo di attesa (ad es. in caso di analisi cliniche) devono essere adottate soluzioni che prevedano un ordine di precedenza e di chiamata degli interessati che prescinda dalla loro individuazione nominativa (ad es. attribuendo loro un codice numerico o alfanumerico fornito al momento della prenotazione o dell’accettazione). Quando la prestazione medica può essere pregiudicata in termini di tempestività o efficacia dalla chiamata non nominativa dell’interessato (ad es. nel caso di paziente disabile) possono essere utilizzati altri accorgimenti adeguati ed equivalenti come ad esempio il contatto diretto con il paziente. 26 Manuale della privacy Rev. 01 del 01/05/2013 Deve essere assolutamente evitata l’affissione di liste di pazienti nei locali destinati all’attesa o comunque aperti al pubblico, con o senza la descrizione del tipo di patologia sofferta o di intervento effettuato o ancora da erogare (es. liste di degenti che devono subire un intervento operatorio). Correlazione fra paziente e reparto o struttura Devono essere adottate specifiche procedure per prevenire che soggetti estranei possano evincere in modo esplicito l’esistenza di uno stato di salute del paziente attraverso la semplice correlazione tra la sua identità e l’indicazione della struttura o del reparto presso cui si è recato o è stato ricoverato. Tali cautele devono essere adottate anche per le eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura come ad esempio le certificazioni chieste per giustificare un’assenza dal lavoro o l’impossibilità di presentarsi ad una procedura concorsuale. Analoghe garanzie, infine, devono essere adottate nel caso di spedizione di plichi postali, evitando che sugli stessi appaiano informazioni idonee a rivelare l’esistenza di uno stato di salute dell’interessato come l’indicazione della tipologia del contenuto del plico o del reparto mittente. Comunicazione di dati all’interessato riguardanti il suo stato di salute La comunicazione al paziente di informazioni sul suo stato di salute deve essere effettuata solo da un medico o di un altro esercente le professioni sanitarie che, nello svolgimento dei propri compiti, intrattenga rapporti diretti con il paziente stesso (ad es. un infermiere autorizzato dal Direttore di Struttura quale responsabile del trattamento dei dati). Nel caso specifico della comunicazione all’interessato degli esiti di esami clinici effettuati, l’intermediazione può essere soddisfatta accompagnando un giudizio scritto con la disponibilità del medico a fornire ulteriori indicazioni a richiesta. 7.3. Istruzioni specifiche per gli incaricati addetti alla manutenzione e alla gestione degli strumenti elettronici e delle attrezzature elettromedicali. Gli incaricati addetti alla manutenzione e alla gestione degli strumenti elettronici e delle attrezzature elettromedicali, individuati ai sensi del punto 15 del Disciplinare tecnico allegato B al Codice della privacy, devono attenersi alle seguenti specifiche istruzioni: verificare in via preliminare e prima di iniziare la propria attività, l’esistenza e la disponibilità di copie di salvataggio dei dati memorizzati sugli strumenti elettronici oggetto di interventi di manutenzione; verificare la leggibilità dei dati memorizzati sui supporti contenenti le copie di salvataggio, informando gli utenti dei servizi della possibilità che alcuni dati potrebbero andare persi; accedere ai soli dati e informazioni indispensabili all’esecuzione delle azioni di assistenza e manutenzione; tutelare la riservatezza degli interessati, mantenendo il segreto su ogni notizia e informazione, acquisite in occasione dell’attività di gestione e manutenzione degli strumenti elettronici; 27 Manuale della privacy Rev. 01 del 01/05/2013 richiedere all’operatore la parola chiave di accesso ad una applicazione solo in caso di necessità, invitando lo stesso alla modifica della sua parola chiave terminato l’intervento tecnico di assistenza; custodire i supporti rimovibili di memorizzazione ed in particolare assicurarsi sempre che non vengano dimenticati sulle postazioni (server e client) oggetto di intervento; evitare di fare o di richiedere copie di dati personali se non necessario; cancellare le copie di dati personali, su supporti rimovibili, che non siano più necessarie per finalità di manutenzione e assistenza tecnica; provvedere alla distruzione dei dischi non riscrivibili che contengano dati personali sensibili o giudiziari che non sia necessario detenere o utilizzare; prelevare dalle apparecchiature informatiche o elettromedicali da dismettere tutti i supporti di memoria provvedendo, se autorizzato, alla loro distruzione controllata. 7.4 -Istruzioni specifiche per tutti i responsabili e gli incaricati per il corretto uso e la sicurezza degli strumenti aziendali e la protezione dei dati personali Con delibera del Direttore Generale n. 1122 del 24 novembre 2011 è stato approvato il “Regolamento sull’utilizzo degli strumenti informatici aziendali” tenendo debito conto le Linee guida emanate dall’Autorità Garante per la protezione dei dati personali il 01/03/2007; nel quale viene dettata una disciplina per l’utilizzo degli strumenti informatici aziendali correlata al rispetto della normativa sulla tutela legale del software e del know-how aziendale. 1 - Utilizzo del personal computer in dotazione Nell’utilizzo del personal computer in dotazione è necessario: 1) assicurarsi che, quando si sta lavorando al computer, nessuno possa conoscere i dati che si stanno digitando o i file su cui si sta lavorando, ponendo attenzione a posizionare il monitor in modo da evitare che persone estranee possano visualizzare la schermata di lavoro; 2) disconnettere la sessione di lavoro ogni qual volta si abbandona, anche momentaneamente, la propria postazione; 3) in alternativa al punto 2), utilizzare lo screen-saver protetto con password in modo da evitare che, in caso di prolungata assenza, i dati possano essere accessibili a soggetti estranei; 4) spegnere il computer in caso di assenza prolungata dal posto di lavoro. Un computer accesso è maggiormente attaccabile in quanto raggiungibile tramite la rete o direttamente sulla postazione di lavoro. Lasciare un computer acceso aumenta il rischio che un’interruzione dell’energia elettrica possa causare un danno; 5) non lasciare mai incustodito un notebook aziendale in ufficio o in viaggio (particolare attenzione deve essere riposta quando si viaggia sui mezzi pubblici); 5) durante le missioni di lavoro, portare il notebook come bagaglio a mano, evitando di trasportare in borsa i codici identificativi e le parole chiave di sicurezza, nonché i supporti di memorizzazione con le copie di back-up; 28 Manuale della privacy Rev. 01 del 01/05/2013 6) non lasciare esposto in automobile in sosta il notebook aziendale. 2 - Password Relativamente alla propria password è necessario tenere in considerazione le seguenti avvertenze: 1) la password, assegnata a ciascun responsabile e incaricato, deve essere prontamente sostituita al primo utilizzo e deve essere modificata con cadenza almeno trimestrale; 2) la password non deve contenere riferimenti agevolmente riconducibili al titolare della stessa e deve essere generata preferibilmente senza un significato compiuto; 3) nello scegliere la propria password, devono essere utilizzati anche caratteri speciali e lettere maiuscole e minuscole; 4) la password deve essere custodita con la massima attenzione e segretezza e non deve essere divulgata o comunicata a terzi; 5) il titolare della password è responsabile di ogni utilizzo indebito o non consentito della stessa; 6) fare attenzione a non essere “spiati” durante la digitazione di una password o qualunque codice di accesso; 7) non permettere l’uso della propria password da parte di soggetti terzi; nel caso, accertarsi dell’identità del soggetto che richiede la comunicazione della vostra password (es.: richiesta di intervento di assistenza o di manutenzione). 3 – Supporti di memorizzazione Relativamente alla memorizzazione dei dati è necessario: 1) se possibile, salvare sempre le informazioni confidenziali sul vostro server di rete e non sull’hard disk del personal computer in dotazione; 2) non salvare informazioni di natura sensibile su floppy-disk; 3) le PEN drive in cui sono memorizzati i dati personali devono essere conservate e non cedute a terzi; 4) nel caso di utilizzo di PEN drive per la memorizzazione di dati, fare attenzione a disinserire le chiavi dalle porte USB seguendo la procedura di disconnessione sicura; 5) nel caso in cui le PEN drive vengano consegnate a terzi per trasferire dati, assicurarsi che sulla chiave di memorizzazione siano presenti solamente i dati necessari da trasferire, ovvero effettuare personalmente l’operazione di trasferimento, evitando di consegnare la chiave a terzi che potrebbero copiare le informazioni personali memorizzate; 6) eliminare documenti, dischetti o altri supporti di memorizzazione in maniera sicura, evitando di gettarli nel cestino della spazzatura senza averli previamente resi inutilizzabili; 7) accertarsi che le informazioni non più utili vengano cancellate in modo sicuro dai supporti di dati e non conservare inutilmente messaggi di posta elettronica. 29 Manuale della privacy Rev. 01 del 01/05/2013 4 - Virus A garanzia della salvaguardia dei dati è necessario tener presente che : 1) i virus possono alterare o addirittura distruggere i dati e i programmi; 2) i virus diffusi in internet sono spesso camuffati da programmi di utilità o di intrattenimento; 3) ogni computer deve essere protetto da idonei strumenti per il rischio di attività di virus informatici; 4) lo strumento di protezione (di norma software antivirus) deve essere abilitato; 5) è vietato disattivare, senza autorizzazione del Servizio Informativo, il software antivirus; 6) la posta elettronica viene filtrata in entrata da un apposito prodotto antivirus che pulisce gli eventuali allegati contenenti virus. Evitare di aprire messaggi provenienti da mittenti sconosciuti o sospetti e cancellarli immediatamente; 7) nel caso di utilizzo di supporti di memorizzazione esterni, controllare sempre che i file memorizzati non siano infettati da virus attraverso la scansione del supporto; 8) controllare periodicamente la presenza di virus sul proprio computer in dotazione mediante la scansione dell’intero sistema. 5 - Software Nell’utilizzo di software è necessario tenere presente che : 1) nel computer in dotazione può essere utilizzato solamente il software fornito dall’azienda; 2) non si possono installare software e applicazioni senza una specifica autorizzazione da parte del Servizio Informativo; 3) non installare di propria iniziativa software nel personal computer in dotazione, se non previa autorizzazione del Servizio Informativo; 4) non creare e non utilizzare software senza licenza d’uso. 6 – Posta elettronica Nell’utilizzo della posta elettronica aziendale è doveroso tenere presente che : 1) ogni utente deve utilizzare la posta elettronica messa a disposizione dall’azienda (con indirizzo dell’ente) esclusivamente per necessità di lavoro; 2) i messaggi di posta elettronica ricevuti o spediti con l’indirizzo di posta elettronica aziendale non costituiscono corrispondenza personale del dipendente o collaboratore aziendali, bensì messaggi indirizzati all’azienda e posti all’attenzione del singolo lavoratore; 3) le informazioni trasmesse – molto spesso - possono / devono essere condivise, per cui deve essere salvaguardata l’integrità e la confidenzialità dei messaggi e dei contenuti; 4) evitare di rispondere alle cd. catene di Sant’Antonio degli utenti di internet o ai messaggi di solidarietà che richiedono di inviare un’e-mail a un certo indirizzo o a un certo numero di utenti, poiché possono essere veicoli di diffusione di virus informatici ovvero sistemi per la raccolta di indirizzi di posta elettronica, per l’invio di comunicazioni commerciali non desiderate o di posta cd. spazzatura; 30 Manuale della privacy Rev. 01 del 01/05/2013 5) evitare di rispondere a messaggi promozionali o di spamming; 6) evitare di trasmettere per posta elettronica contenuti che possano essere considerati di contenuto molesto/osceno, razzista, pedo-pornografico o illegale, nonché aventi natura ingiuriosa o diffamatoria; 7) evitare di registrare il proprio indirizzo di posta elettronica su siti web sospetti e/o mailing list non direttamente correlate all’attività istituzionale aziendale. 7 - Internet Nell’utilizzo di internet deve essere tenuto presente che : 1) il collegamento a internet va utilizzato per motivi di lavoro; 2) è vietato accedere a siti web contenenti materiale pedo-pornografico, materiale fraudolentoillegale, materiale blasfemo/molesto/osceno. 3) è, altresì, vietato tentare di violare o aggirare i sistemi di controllo o di protezione dell’uso di internet e della posta elettronica installati e utilizzati dall’azienda, nel rispetto del diritto alla riservatezza dei dipendenti; 4) è, infine, vietato installare e/o utilizzare in modo fraudolento strumenti concepiti per compromettere la sicurezza dei sistemi (ad esempio strumenti di “password cracking”, “network probing”,…). 8 – Rete di comunicazione Relativamente alle reti di comunicazione ricordarsi che : 1) è vietato allacciare alla rete di comunicazione aziendale strumenti elettronici che non siano stati forniti dall’Azienda; 2) il computer in dotazione non deve possedere o disporre di altri collegamenti esterni diretti; 3) è vietato installare mezzi di comunicazione propri (come per esempio il modem analogico); 4) utilizzare esclusivamente le installazioni messe a disposizione dall’azienda ovvero quelle che siano oggetto di specifica autorizzazione; 5) non usare mai il proprio user-id e la propria password per accedere a sistemi esterni; 7) non inviare informazioni confidenziali tramite internet o altre reti di comunicazione elettronica senza aver preso le dovute precauzioni e adottato le misure di sicurezza idonee a ridurre i rischi di accesso abusivo dei dati trasmessi. 9 – Utilizzo di telefono e fax Nell’utilizzo di telefoni fax è necessario tenere in considerazione che : 1) In generale, è opportuno non fornire indicazioni relative allo stato di salute degli utenti via telefono, se non si è certi dell’identità dell’interlocutore che sta chiamando; 2) verificare comunque che l’interessato abbia autorizzato la comunicazione dei propri dati a terzi; 31 Manuale della privacy Rev. 01 del 01/05/2013 3) in alcuni casi, specie per chiamate di natura istituzionale (da altre strutture ospedaliere, autorità giudiziaria, soggetti pubblici), si consiglia di farsi lasciare dal chiamante il proprio nominativo e il numero di telefono; si provvederà a ricontattare l’ente chiamante, chiedendo della persona che ha lasciato il proprio nominativo, previa verifica dell’indispensabilità dei dati richiesti rispetto alla finalità dell’utilizzo dichiarato e della previsione normativa o dell’autorizzazione dell’interessato alla comunicazione dei propri dati; 4) nel caso in cui si debba procedere alla comunicazione di dati sensibili tra unità diverse utilizzando il fax, è opportuno che lo strumento sia collocato in un’area protetta e presidiata e che i responsabili e gli incaricati prestino attenzione alle fasi di invio (verifica della corretta digitazione del numero del destinatario, inserimento di formula di riservatezza) e di ricevimento della documentazione contenente dati personali sensibili; 5) nel caso in cui si debbano comunicare ad un ente o soggetto esterni dati sensibili utilizzando il fax, in occasione del primo rapporto con l’ente, si deve richiedere, prima dell’invio della documentazione, di indicare il numero di un fax, localizzato in luogo protetto e non accessibile al pubblico, al quale inviare la documentazione; 6) il riscontro alla richiesta di cui al punto precedente, avrà come effetto l’autorizzazione all’azienda ad inviare esclusivamente al numero dichiarato la documentazione considerata. Ogni operatore incaricato del trattamento deve conservare copia della comunicazione di elezione del numero di fax, indicato per la ricezione di fax riservati. 10 – Utilizzo della stampante Nell’utilizzo di stampanti ricordarsi che : 1) la stampa di documentazione contenente dati personali e sensibili deve avvenire ad opera di incaricati autorizzati al trattamento dei dati stessi; 2) ritirare tempestivamente la documentazione dalla stampante utilizzata; 3) il riutilizzo di fogli recanti una stampa su una sola facciata, per esigenze di risparmio e di sensibilità ambientale, deve riguardare esclusivamente supporti nella elusiva disponibilità dell’ incaricato ed essere utilizzati nell’ambito delle proprie mansioni, evitando di far conoscere a terzi non autorizzati il contenuto dei documenti; 4) i fogli contenenti dati personali e sensibili non più utilizzati e per i quali non è necessaria la conservazione, prima di essere conferiti nella raccolta differenziata, devono essere trattati in modo da rendere non intelligibili a terzi – usando eventualmente un dispositivo distruggi documenti – dati personali ivi contenuti. 11 – Utilizzo della fotocopiatrice Nell’utilizzare le fotocopiatrici è necessario tenere in considerazione che : 1) la foto riproduzione di documentazione cartacea, contenente dati personali e, in particolare, dati, sensibili deve avvenire ad opera dell’incaricato autorizzato a trattare tali dati 32 Manuale della privacy 7.5 Rev. 01 del 01/05/2013 Istruzioni per i responsabili e gli incaricati per il corretto trattamento dei dati su supporto cartaceo. Per i dati gestiti su supporto cartaceo è necessario tenere conto delle seguenti indicazioni: quando le cartelle cliniche o altra documentazione contenente dati idonei a rivelare lo stato di salute devono essere trasferite da una struttura o da un ufficio presso altro luogo (esempio archivio di deposito) è necessario utilizzare cautele per la protezione della riservatezza al fine di impedire un accesso non autorizzato a tale documentazione. Si consiglia di inserire la documentazione in busta chiusa o in raccoglitori sigillati sui quali apporre la propria firma per garantirne l’integrità; i locali adibiti ad archivio all’interno di ciascuna struttura, in cui siano conservati documenti contenenti dati personali di natura sensibile, devono essere chiusi a chiave e le chiavi devono essere custodite da personale autorizzato (accesso selezionato); evitare di scrivere dati personali di natura sensibile su lavagne o altri supporti che possano essere visionati da persone non autorizzate; le cartelle e i fascicoli di lavoro devono essere tenuti sulla propria scrivania facendo attenzione che i dati eventualmente riportati sul frontespizio non siano visibili a persone non autorizzate (es. utenti del servizio); nel caso di assenza, anche momentanea, dalla propria stanza, non lasciare incustoditi fascicoli, cartelle e documenti cartacei contenenti dati di natura sensibile. Si consiglia di chiudere a chiave la propria stanza, qualora rimanga incustodita senza personale all’interno, ovvero di riporre la documentazione dentro un armadio chiuso a chiave. CAPITOLO 8 Revisione e Controllo 8.1. Riesame e approvazione delle modifiche Il riesame del presente manuale, verrà effettuato dal Referente Aziendale Privacy (Delibera del D.G. n. 11123 del 24/11/2011), previo l’analisi dei Report su ⇒ Non conformità, azioni preventive e correttive in merito alla presente procedura; ⇒ Reclami e segnalazioni pervenute all’URP o alla Direzione Amministrativa. Le modalità di riesame seguiranno, per la parte organizzativa, quanto descritto nella procedura del S.Q.A. PSQUA04. 33 Manuale della privacy Rev. 01 del 01/05/2013 8.2 Criteri di accettazione Riferimen to, se l’indicator e è già contempla to in letteratura Definizione esplicita del razionale D. Lgs. 196/2003 e s.m.i. Il 100 % dei dipartimenti/ UOC/servizi adotta le disposizioni contenute nel Manuale della Privacy Tempi, modalità e strumenti utilizzati nella raccolta / monitoraggio A chi va riferito il dato, come Definizione operativa: viene utilizzato responsabilità nella raccolta per il processo e monitoraggio di miglioramento Le segnalazioni Puntualmente i di non Responsabili del conformità trattamento dei I Responsabili del inoltrate al Trattamento dei dati dati segnalano al Direttore (individuati con delibera D.G. Direttore Amministrativo n. 696 del 2008) verificano la Amministrativo sono analizzate corretta acquisizione del le eventuali non dallo stesso che consenso al trattamento dei conformità decide i dati e l’applicazione delle attraverso il provvedimenti disposizioni di cui al cap. 7 modello UQAdel caso con la 03 allegato alla Direzione PS-UQA-03 dell’Azienda 8.3. Identificazione delle modifiche Il presente manuale viene redatta con il carattere Times New Roman corpo 12; le parti revisionate saranno evidenziate utilizzando il carattere Times New Roman corpo 12 in corsivo fino alla successiva revisione, quando alle ulteriori modifiche il corsivo precedente sarà trasformato nel corpo 12 normale per lasciare in corsivo solo le ultime modifiche intervenute. 34