Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario

Cos’è il Fascicolo Sanitario Elettronico (Fse)

Il Fascicolo Sanitario Elettronico (Fse) differisce dalla cartella clinica elettronica locale per l’ambito cui si riferisce, dal momento che quest’ultima documenta un episodio di cura (ad esempio un ricovero, un day hospital o un accesso ambulatoriale), mentre il Fse raccoglie tutte le principali informazioni cliniche del Paziente nel corso della sua vita.

Il Fse, quindi, contiene diverse informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica: i dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un’agevole consultazione unitaria da parte dei diversi professionisti o organismi sanitari che prendono nel tempo in cura l’Interessato.

Le “Linee guida in tema di fascicolo sanitario elettronico” del Garante

Con un Provvedimento a carattere generale del 05 marzo 2009, il Garante chiede elevate tutele per il fascicolo sanitario elettronico e avvia una consultazione pubblica per acquisire osservazioni e commenti da parte di organismi e professionisti sanitari pubblici e privati, medici di base, pediatri, organismi rappresentativi, associazioni di malati.

Tale Provvedimento detta un primo quadro di regole a protezione dei dati contenuti nel “Fascicolo sanitario elettronico” (Fse) e a garanzia delle persone.

Premesso che il Fse dovrà essere costituito esclusivamente per il perseguimento di finalità di prevenzione, diagnosi, cura e riabilitazione, andiamo ora a delineare i contenuti principali dell’intervento del Garante.

Libertà di scelta del Paziente

A seguito di un’Informativa comprensibile e dettagliata (in merito anche alla obbligatorietà o meno del conferimento dei dati personali) che metta l’Interessato in condizione di esprimere un consenso libero e consapevole alla costituzione del proprio fascicolo, al Paziente è riconosciuto il diritto di:

• scegliere se far costituire o meno un fascicolo sanitario elettronico;
• decidere se includere tutte o solo alcune informazioni sanitarie che lo riguardano;
• scegliere chi (tra medici di base, del reparto ove è ricoverato, farmacisti ecc…) può avere accesso ai suoi dati e che tipo di operazioni tali soggetti possono compiere.

Affinché tale scelta sia effettivamente libera, l’Interessato che non desideri sia costituito un Fse potrà, comunque, accedere alle prestazioni del Servizio sanitario nazionale senza alcuna conseguenza negativa in merito alla possibilità di usufruire di prestazioni mediche.

Consultazione:

Stabilito il principio cardine della tracciabilità e gradualità degli accessi ai dati, il Fse potrà essere consultato:

• solo dalla persona interessata con modalità adeguate (es.: tramite smart card);
• dal personale sanitario autorizzato e solo per finalità sanitarie.

Non sarà, invece, consentito l’accesso ai periti, alle compagnie di assicurazione e ai datori di lavoro e deve essere prevista la possibilità di “oscurare” la visibilità di alcuni eventi clinici.

Sicurezza

Viene riaffermata la condicio sine qua non a presidio di qualsiasi trattamento di dati personali: l’obbligo da parte di tutti i Titolari del trattamento di implementare le già elevate misure di sicurezza adottate a tutela dei dati contro il rischio di accesso abusivo, furto e smarrimento.

Marketing telefonico: il Garante precisa i limiti delle “telefonate di disturbo”

Si rischiano sanzioni da 30 mila a 300 mila euro

“Pubblicità al telefono: le aziende rispettino le regole!”, questo il monito del Garante privacy rivolto alle aziende e ai call center che, avvalendosi della deroga prevista fino al 31 dicembre 2009 dal cosiddetto decreto “Milleproroghe”, contatteranno gli utenti per fare promozione e offerte commerciali. Aziende e call center dovranno, infatti, utilizzare solo banche dati costituite sulla base degli elenchi telefonici precedenti al 1° agosto 2005 e non potranno servirsi del periodo di deroga per chiedere il consenso degli interessati per futuri contatti né potranno cedere i dati che utilizzano a terzi.

Con un provvedimento che verrà pubblicato sulla Gazzetta Ufficiale, il Garante per la privacy ha precisato le regole che dovranno seguire le società che svolgono attività di marketing nell’usare i dati degli abbonati.

Il decreto “Milleproroghe”, di recente convertito in legge, stabilisce che i numeri di telefono e gli indirizzi presenti nelle banche dati costituite sulla base dei vecchi elenchi telefonici sono utilizzabili per fini promozionali fino al 31 dicembre 2009 da coloro che hanno creato tali banche dati precedentemente al 1 agosto 2005.

Il provvedimento del Garante intende chiarire rigorosamente i limiti entro i quali società che effettuano attività promozionale anche tramite call center possono avvalersi della deroga. Il mancato rispetto del provvedimento comporta una sanzione amministrativa che va da 30 mila a 180 mila euro e che, nei casi più gravi, può raggiungere anche i 300 mila euro.

• Le società dovranno innanzitutto documentare in modo adeguato che la banca dati, costituita con i numeri telefonici e gli indirizzi degli abbonati, sia stata effettivamente creata prima del 1 agosto 2005. Le società dovranno usare questi dati direttamente e non potranno cederli a nessun titolo ad altre aziende.
• Gli operatori che telefoneranno agli abbonati dovranno ad ogni contatto specificare per quale società chiamano e ricordare agli interessati i loro diritti. Ma soprattutto dovranno registrare immediatamente l’eventuale contrarietà dell’abbonato ad essere nuovamente contattato. L’utente che non intende essere più disturbato avrà il diritto di conoscere l’identificativo dell’operatore al quale ha comunicato la sua volontà.
• I dati presenti nelle banche dati dovranno essere utilizzati solo a fini promozionali e non potranno in alcun modo essere usati per acquisire nuove informazioni o il consenso degli abbonati ad effettuare chiamate dopo la data del 31 dicembre 2009. Questo significherebbe di fatto costituire nuove banche dati, andando al di là delle finalità stabilite dalla legge e prorogando oltre il termine previsto gli effetti della deroga temporanea.
• Le società che svolgono attività di marketing dovranno comunicare al Garante, entro 15 giorni dalla pubblicazione in G.U. (Prevista per il 20 marzo 2009), di essere in possesso di banche dati costituite anteriormente al 1 agosto 2005 e di volerle utilizzare per attività promozionali. Dovranno chiarire se il trattamento di dati venga effettuato anche per conto terzi.

Privacy: gli adempimenti di fine marzo

Eccoci al consueto appuntamento di primavera col decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy): le scadenze che ogni azienda deve rispettare entro il 31 marzo di ogni anno.

Di seguito una rapida sintesi.

Documento Programmatico sulla Sicurezza

Entro e non oltre il 31 marzo di ogni anno, l’azienda deve aggiornare il proprio “Documento Programmatico sulla Sicurezza” (DPS) che deve contenere (regola 19 dell’allegato B, “Disciplinare tecnico in materia di misure minime di sicurezza”, del D. Lgs. n.196):

• l’elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
• l’analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (…);
• la previsione di interventi formativi degli incaricati del trattamento (…);
• la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare.

Tali elementi “obbligatori” del DPS devono ovviamente contenere informazioni aggiornate alla data di redazione del Documento Programmatico per cui è importante  pianificare per tempo tutte le attività da svolgere e le funzioni aziendali da coinvolgere (i.e.: l’ufficio Risorse Umane per i piani formativi e l’ufficio Sicurezza per le misure di sicurezza).

Nota al CDA sul DPS

Ogni anno occorre riportare (allegato B, punto 26) nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento del Documento Programmatico sulla Sicurezza.

Notificazione dei trattamenti

Solo nei casi previsti dal Codice (art. 37 del Codice) occorre notificare al Garante per la protezione dei dati personali i trattamenti di dati che si intende effettuare. Tale notifica va fatta prima dell’inizio dei trattamenti stessi. È buona prassi indicare nel DPS se vi sono stati nuove notifiche di tali trattamenti rispetto all’anno precedente.

Nuovi Responsabili esterni che trattano dati sensibili per l’azienda

Nel caso l’azienda abbia nominato Responsabili del trattamento esterni che trattano anche dati sensibili per conto dell’azienda Titolare del trattamento (i.e.: società terze a cui sono affidati in outsourcing alcuni trattamenti di dati) è necessario richiedere a tali Responsabili copia del loro DPS (da citare nel proprio aggiornamento).

Piani di formazione

È necessario ogni anno predisporre un piano di formazione privacy per tutti coloro che trattano dati personali. La formazione in ambito privacy è un obbligo di legge: occorre “rendere edotti gli incaricati del trattamento dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali” (punto 19.6 dell’allegato B)

A tutti buon lavoro,

Studio Mazzolari

Ancora un “no” alle impronte digitali per le presenze dei lavoratori

E’ uno strumento troppo invasivo e sproporzionato, questa la conclusione del Garante privacy in merito all’impiego aziendale di sistemi di identificazione biometrica per controllare le presenze e gli orari di entrata e di uscita dei propri dipendenti: se non vi sono particolari esigenze di sicurezza è un strumento troppo invasivo e sproporzionato.

Il Garante ha così vietato ad un’azienda l’ulteriore trattamento dei dati raccolti attraverso un sistema di rilevazione di impronte digitali che l’azienda aveva fatto installare, in alcune delle sue sedi allo scopo di poter corrispondere l’esatta retribuzione ordinaria e straordinaria ai propri lavoratori. Il caso era stato sollevato da uno dei dipendenti che si era rivolto al Garante chiedendo che fosse verificata la correttezza dell’installazione di un sistema di rilevazione degli orari di ingresso e di uscita basato sull’impiego delle impronte digitali.

Dai controlli effettuati e dalle dichiarazioni rese all’Autorità dalla società non sono state individuate ragioni specifiche in grado di giustificare l’adozione di questo sistema di riconoscimento. Nelle sedi in cui era stato installato l’impianto non era stata infatti segnalata alcuna particolare e comprovata esigenza di sicurezza, come, ad esempio, potrebbe verificarsi laddove vi siano aree aziendali “sensibili” che richiedono particolari modalità di accesso. Per di più, il sistema era stato installato senza che fosse stato raggiunto un accordo con le rappresentanze sindacali aziendali, o vi fosse l’autorizzazione del Ministero del lavoro: procedura che, prevista dallo Statuto dei lavoratori, va osservata, come stabilito da una recente sentenza della Cassazione, anche nel caso in cui le apparecchiature consentano di controllare la presenza sul luogo di lavoro dei dipendenti.

Richiamando quanto stabilito dal Codice privacy e dalle Linee guida in materia di lavoro privato del novembre 2006, l’Autorità ha dunque vietato all’azienda il trattamento di dati effettuato perché illegittimo e invasivo.