Fascicolo sanitario elettronico: via libera al primo decreto attuativo

1342164699Consenso specifico del Paziente e tracciabilità degli accessi al Fse 

Primi passi concreti per la realizzazione del fascicolo sanitario elettronico, l’insieme dei dati e dei documenti digitali che rappresentano la storia clinica e sanitaria di una persona. Il Garante per la privacy ha espresso parere favorevole [doc. web n. 3230826] su uno schema di decreto del  Presidente del Consiglio dei ministri –  il primo di  una serie di decreti attuativi previsti dalla norma di legge – che consentirà a Regioni e Province autonome di dare il via al Fse.

Già nel 2009 l’Autorità era intervenuta  in tale materia con un provvedimento generale, svolgendo un ruolo di “supplenza” in attesa di una normativa adeguata. Lo schema odierno individua i primi contenuti  da attivare a livello nazionale:

  • i dati e i documenti da inserire nel fascicolo elettronico;
  • le responsabilità e i compiti dei soggetti coinvolti; 
  • le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali; 
  • le modalità e i livelli diversificati di accesso al fascicolo;
  • i criteri di interoperabilità, nonché i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio.

Lo schema di decreto è stato elaborato nell’ambito di un tavolo di lavoro istituito presso il Ministero della salute cui ha partecipato anche l’Ufficio del Garante fin dalla sua costituzione nel gennaio 2013.

Informativa e consenso specifico

Il testo che ha avuto l’ok del Garante prevede, in particolare, che:

  • il paziente sia informato chiaramente e possa decidere con maggiore consapevolezza se dare il consenso all’alimentazione del Fse (in mancanza del quale il fascicolo rimarrà vuoto e quindi non accessibile,  né per finalità di cura, né per finalità di ricerca o di programmazione sanitaria e monitoraggio),
  • e in caso positivo, decidere se dare anche il consenso per finalità di cura (in mancanza del quale il fascicolo potrà essere utilizzato solo per finalità di monitoraggio, programmazione e ricerca, con le dovute garanzie di anonimato)
  • il paziente potrà decidere, inoltre, con un consenso ad hoc, se far inserire nel Fse alcune informazioni di particolare delicatezza (sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti,  parto in anonimato).

Giova comunque ricordare che la mancata  adesione al Fse non preclude la possibilità di aderire alle prestazioni del servizio sanitario nazionale.

Accessi al Fse e data breach

  • Gli accessi al Fse da parte degli operatori del Ssn dovranno essere tracciabili e
  • la consultazione del Fse dovrà essere limitata al personale sanitario che abbia in cura effettivamente il paziente, e solo per il tempo necessario.

Per scongiurare il rischio di accessi abusivi, lo schema è stato integrato prevedendo l’obbligo per il titolare del trattamento di avvisare immediatamente il Garante nel caso in cui i dati trattati nell’ambito del Fse subiscano violazioni (c.d. “data breach”: derivanti da attacchi informatici, incendi o altre calamità).

Annunci

Privacy e trasparenza on line della Pa: le nuove Linee guida del Garante

pubblica-amministrazione-600x383Garanzie per i più deboli Sui siti on line della Pa solo dati esatti, aggiornati e indispensabili. Vietato diffondere informazioni sulla salute. Sì agli “open data”, ma senza pregiudicare i diritti delle persone. Garanzie per i più deboli.

Allo scopo di contemperare le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali nonché la dignità delle persone, il Garante privacy ha individuato un quadro organico e unitario di cautele e misure che le Pa devono adottare quando diffondono sui loro siti web dati personali dei cittadini.

Le Linee guida [doc. web n. 3134436], emanate alla luce del recente decreto legislativo n.33/2013, riguardano:

  • sia la pubblicazione di dati e documenti che le Pa devono mettere on line per finalità di trasparenza,
  • sia di quelli finalizzati a garantire altri obblighi di pubblicità degli atti amministrativi (es. pubblicazioni matrimoniali, deliberazioni sull’albo pretorio on line, avviso di deposito delle cartelle esattoriali etc.).

Su tali Linee guida (in corso di pubblicazione sulla G.U.) il Garante ha sentito il Dipartimento della funzione pubblica, l’Autorità nazionale anticorruzione (Anac) e l’Agenzia digitale.

Ecco in sintesi le principali misure indicate per la trasparenza on line.

Principi generali

Le Pa devono pubblicare solo dati esatti, aggiornati e contestualizzati.

Prima di mettere on line sui propri siti informazioni, atti e documenti amministrativi contenenti dati personali, le amministrazioni devono verificare che esista una norma di legge o di regolamento che ne preveda l’obbligo.

Le Pa devono pubblicare on line solo dati la cui pubblicazione risulti realmente necessaria. E’ sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale.

I dati sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico.

Occorre adottare misure per impedire la indicizzazione dei dati sensibili da parte dei motori di ricerca e il loro riutilizzo.

Qualora le Pa intendano pubblicare dati personali ulteriori rispetto a quelli individuati nel decreto legislativo n.33, devono procedere prima all’anonimizzazione di questi dati, evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

Open data e riutilizzo dei dati

I dati pubblicati on line non sono liberamente utilizzabili da chiunque per qualunque finalità.

L’obbligo previsto dalla normativa in materia di trasparenza on line della Pa di pubblicare dati in “formato aperto”, non comporta che tali dati siano anche “dati aperti”, cioè liberamente utilizzabili da chiunque per qualunque scopo. Il riutilizzo dei dati personali non deve pregiudicare, anche sulla scorta della direttiva europea in materia, il diritto alla privacy.

Le Pa dovranno quindi inserire nella sezione denominata “Amministrazione trasparente” sui propri siti web un alert con cui si informa il pubblico che i dati personali sono riutilizzabili in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto del norme sulla protezione dei dati personali.

I dati sensibili e giudiziari non possono essere riutilizzati.

Durata degli obblighi di pubblicazione

Il periodo di mantenimento on line dei dati è stato generalmente fissato in 5 anni dal decreto legislativo n.33. Sono previste però alcune deroghe, come nell’ipotesi in cui gli atti producano i loro effetti oltre questa scadenza. In ogni caso, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti hanno prodotto i loro effetti, i dati personali devono essere oscurati anche prima del termine dei 5 anni.

Motori di ricerca

L’obbligo di indicizzare i dati nei motori di ricerca generalisti (es. Google) durante il periodo di pubblicazione obbligatoria è limitato ai soli dati tassativamente individuati dalle norme in materia di trasparenza. Vanno dunque esclusi gli altri dati che si ha l’obbligo di pubblicare per altre finalità di pubblicità (es. pubblicità legale sull’albo pretorio, pubblicazioni matrimoniali etc).

Non possono essere indicizzati (e quindi reperibili attraverso i motori di ricerca) i dati sensibili e giudiziari.

Specifici obblighi di pubblicazione

Risulta proporzionato indicare il compenso complessivo percepito dai singoli dipendenti (determinato tenendo conto di tutte le componenti, anche variabili, della retribuzione). Non è però giustificato riprodurre sul web le dichiarazioni fiscali o la versione integrale dei cedolini degli stipendi. Esistono invece norme ad hoc per gli organi di vertice politico.

A tutela di fasce deboli, persone invalide, disabili o in situazioni di disagio economico destinatarie di sovvenzioni o sussidi, sono previste limitazioni nella pubblicazione dei dati identificativi.

Vi è invece l’obbligo di pubblicare la dichiarazione dei redditi di politici e amministratori, con l’esclusione di dati non pertinenti (stato civile, codice fiscale) o dati sensibili (spese mediche, erogazioni di denaro ad enti senza finalità di lucro etc.).

Obblighi di pubblicità degli atti per finalità diverse dalla trasparenza

Il rispetto dei principi di esattezza, necessità, pertinenza e non eccedenza, permanenza on line limitata nel tempo dei dati personali, vale anche per la pubblicazione di atti per finalità diverse dalla trasparenza (albo pretorio on line degli enti locali, graduatorie di concorsi etc.).

Al fine di ridurre i rischi di decontestualizzazione del dato personale e la riorganizzazione delle informazioni secondo parametri non conosciuti dall’utente, è necessario:

  • prevedere l’inserimento all’interno del documento di “dati di contesto” (es. data di aggiornamento, periodo di validità, amministrazione, numero di protocollo)
  • ed evitare l’indicizzazione tramite motori di ricerca generalisti, privilegiando funzionalità di ricerca interne ai siti web delle amministrazioni.

Deve essere evitata la duplicazione massiva dei file.

Scuole: sì alla trasparenza, ma senza violare la privacy

Paolo Mazzolari 11 settembre 2013

privacy-studenti

Graduatorie on line e moduli di iscrizione solo con dati pertinenti.
No alla pubblicazione sul web dei nomi degli studenti le cui famiglie sono in ritardo nel pagamento della retta per la mensa.
Vietato diffondere telefono e indirizzo di personale scolastico e studenti.

In occasione dell’avvio dell’anno scolastico, il Garante per la privacy ricorda alle scuole di ogni ordine e grado la necessità di tenere presente alcuni principi stabiliti nei provvedimenti adottati in questi anni in materia di trasparenza in ambito scolastico, a tutela dei dati degli studenti e dei lavoratori che operano nel mondo dell’istruzione.

Numerosi sono, infatti, i casi in cui istituti e pubbliche amministrazioni, per un’errata interpretazione della normativa sulla trasparenza o per semplice disattenzione, rendono accessibili informazioni che dovrebbero restare riservate, mettendo in questo modo a rischio la riservatezza e la dignità delle persone.

graduatorieLe graduatorie

Il Garante è intervenuto più volte contro illeciti compiuti nella pubblicazione on line di graduatorie di vario tipo, le quali spesso contengono dati personali non pertinenti o eccedenti le finalità istituzionali perseguite.

Alcuni Comuni, ad esempio, hanno pubblicato on line le graduatorie di chi ha diritto ad usufruire del servizio di scuolabus includendo tra le varie informazioni liberamente accessibili, non solo i dati identificativi dei bambini, ma anche l’indirizzo di residenza e il luogo preciso dove lo scuolabus li avrebbe fatti salire e scendere. La diffusione di questi dati, oltre a comportare una violazione della normativa, può rendere i minori facile preda di malintenzionati.

Un altro caso frequente riguarda la pubblicazione sui siti Internet degli istituti delle graduatorie di docenti e personale amministrativo tecnico e ausiliario (Ata) per consentire a chi ambisce a incarichi e supplenze di conoscere la propria posizione e punteggio. Tali liste, giustamente accessibili a tutti, non devono però contenere, come in diversi casi segnalati al Garante, i numeri di telefono e gli indirizzi privati dei candidati. Questa illecita diffusione dei contatti personali incrementa, tra l’altro, il rischio di esporre i lavoratori a forme di stalking o a possibili furti di identità.

mensa_scolasticaIl servizio mensa

Il Garante ricorda che è illecito pubblicare sul sito della scuola il nome e cognome degli studenti i cui genitori sono in ritardo nel pagamento della retta o del servizio mensa. Lo stesso vale per gli studenti che usufruiscono gratuitamente del servizio in quanto appartenenti a famiglie con reddito minimo o a fasce deboli. Gli avvisi messi on line devono avere carattere generale, mentre alle singole persone ci si può rivolgere con comunicazioni di carattere individuale.

A salvaguardia della trasparenza sulla gestione delle risorse scolastiche, restano ferme le regole sull’accesso ai documenti amministrativi da parte delle persone interessate.

scuola-1024x768L’iscrizione a scuole e asili

Gli istituti scolastici e gli asili nido, così come i Comuni, devono predisporre con cura i moduli di iscrizione di bambini e studenti, così da non chiedere alle famiglie informazioni personali eccedenti e non rilevanti.

Particolare attenzione deve essere posta sull’eventuale raccolta di dati sensibili, come quelli sulle condizioni di salute e sull’appartenenza etnica o religiosa. Il trattamento di questi dati, oltre a dover essere espressamente previsto dalla normativa, richiede infatti speciali cautele e può essere effettuato solo se i dati sensibili sono indispensabili per l’attività istituzionale svolta: non è questo il caso della semplice iscrizione a scuola.

L’Autorità segnala, infine che, allo scopo di fornire un quadro organico in materia di protezione dei dati personali nel mondo della scuola, e affrontare nel contempo le problematiche legate all’uso di Internet e delle nuove tecnologie, verranno adottate presto specifiche Linee guida in materia.

Pa: gestione del rapporto di lavoro e dati sulla salute

universita-tagliViola le norme sulla protezione dei dati personali la Pubblica amministrazione che comunica indebitamente informazioni sullo stato di salute di un proprio dipendente a terzi.

Lo ha affermato il Garante privacy [doc. web n. 2576686] il quale, intervenuto a seguito della segnalazione di una professoressa universitaria, ha ritenuto illecita la comunicazione ad altri docenti di un decreto rettorale contenente informazioni sensibili che la riguardavano e ha prescritto all’amministrazione di conformare la gestione del trattamento dei dati personali alla disciplina del Codice privacy.

In particolare, la segnalante lamentava il fatto che

  • copia integrale del decreto rettorale che la collocava in “interdizione dal lavoro” e quindi in “congedo per maternità” fosse stata inviata a un docente in servizio presso un’altra Facoltà, diffondendo informazioni molto delicate sulla sua salute.
  • tale documento, inoltre, eveniva allegato dalla segreteria amministrativa al modulo di richiesta di affidamento dell’insegnamento che si sarebbe reso vacante, rendendo note le condizioni di salute della professoressa anche a tutti i docenti membri del Consiglio di Facoltà tenuti a deliberare sull’assegnazione della cattedra.

alert-icon-redIlliceità del trattamento

Nel dichiarare illecito il trattamento, il Garante ha rilevato la presenza di dati sensibili nel decreto rettorale, poiché le informazioni relative alla “interdizione dal lavoro” ai sensi della legge 151/2001, espressamente richiamata nel decreto, fanno riferimento a “gravi complicanze della gravidanza o a persistenti forme morbose che si presume possano essere aggravate dalla gravidanza”, in base alle quali la Direzione provinciale del Lavoro e la Asl dispongono l’interdizione.

Il Garante ha ribadito inoltre che, nel caso di specie, gli stessi dati sensibili potevano essere trattati soltanto dagli organismi espressamente indicati nel regolamento di Ateneo per le finalità di gestione del rapporto di lavoro, mentre non dovevano essere comunicati a terzi.

L’inclusione di dati sensibili nel decreto, infine, è avvenuta anche in violazione del principio di necessità, poiché non era indispensabile, ai fini dell’assegnazione dell’incarico resosi vacante, mettere a conoscenza i docenti dei motivi dell’assenza della professoressa.

 

L’imbarazzante inettitudine dei Comuni italiani

asinoNo a dati sulla salute dei cittadini sui siti web dei Comuni: il Garante fa rimuovere i dati personali dalle ordinanze di dieci Comuni. E sono in arrivo sanzioni

Sì alla trasparenza on line nella Pa, ma rispettando la dignità delle persone. Sui siti dei Comuni non possono essere pubblicati atti e documenti contenenti dati sullo stato di salute dei cittadini.

Il Garante per la privacy ha fatto oscurare dai siti web di dieci Comuni italiani, di piccola e media grandezza, i dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini. Nuovi provvedimenti sono in arrivo per altri Comuni.

Nelle ordinanze, con le quali i sindaci disponevano il ricovero immediato di diversi cittadini, erano infatti indicati “in chiaro” non solo i dati anagrafici (nome, cognome, luogo e data di nascita) e la residenza, ma anche:

  • la patologia della quale soffriva la persona (ad es. “infermo mentale”),
  • o altri dettagli davvero eccessivi, quali ad esempio l’indicazione di “persona  affetta da manifestazioni di ripetuti tentativi di suicidio”.

Il trattamento dei dati effettuato dai Comuni è risultato dunque illecito: come ha ricordato l’Autorità, le disposizioni del Codice della privacy, richiamate anche dalle Linee guida sulla trasparenza on line della Pa emanate dallo stesso Garante nel 2011, vietano espressamente la diffusione di dati idonei a rivelare lo stato di salute delle persone.

Le ordinanze, per giunta, oltre ad essere visibili e liberamente consultabili sui siti istituzionali dei Comuni, attraverso link che rimandavano all’archivio degli atti dell’ente, erano nella maggioranza dei casi facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone.

Hand_Do_NotL’intervento del Garante

Nel disporre il divieto di ulteriore diffusione dei dati, l’Autorità per la privacy ha prescritto alle amministrazioni comunali:

  • non solo di oscurare i dati personali, presenti nei provvedimenti, da qualsiasi area del sito, ma anche di
  • attivarsi presso i responsabili dei principali motori di ricerca per fare in modo che vengano rimosse le copie web delle ordinanze e di tutti gli altri atti aventi ad oggetto il ricovero per trattamento sanitario obbligatorio dagli indici e dalla cache.

I Comuni, inoltre, per il futuro dovranno far sì che la pubblicazione di atti e documenti in Internet avvenga nel rispetto della normativa privacy e delle Linee guida in materia di trasparenza on line della Pa.

“La sacrosanta esigenza di trasparenza della Pubblica amministrazione – ha commentato Antonello Soro, Presidente dell’Autorità – non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere on line sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni,  devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni” .

L’Autorità procederà, infatti, ad avviare nei confronti dei Comuni interessati le previste procedure sanzionatorie per trattamento illecito di dati personali.

 

Ai sindacati niente dati nominativi sul lavoro straordinario

Overtime BusinessmanLe pubbliche amministrazioni, in assenza di disposizioni normative o di specifiche clausole contenute in contratti collettivi, non possono comunicare le ore di straordinario svolte da un dipendente indicando anche il nome e il cognome dello stesso. Le comunicazioni vanno fatte in forma anonima o aggregata.

Lo ha stabilito il Garante privacy che ha imposto al Dipartimento dell’amministrazione penitenziaria del Ministero della giustizia di interrompere la trasmissione alle organizzazioni sindacali dei dati relativi alle ore di straordinario effettuate da un commissario di polizia penitenziaria.

L’interessato, non iscritto ad alcun sindacato, aveva lamentato la comunicazione in forma nominativa, alle organizzazioni sindacali del comparto sicurezza, del prospetto concernente le prestazioni di lavoro straordinario da lui effettuate e le relative competenze. Ritenendo violate le norme sulla privacy, aveva chiesto che il Dipartimento cessasse tale trattamento illecito dei dati.

Non avendo ottenuto riscontro, si era è rivolto dunque all’Autorità chiedendo che i suoi dati personali non venissero né trasmessi alle OO.SS., né affissi e quindi diffusi in locali comuni.

privacy-dati-dipendenti-300x300L’intervento del Garante

L’istruttoria condotta dal Garante ha messo in luce come nel caso in questione non esistono né disposizioni normative né disposizioni contenute in accordi sindacali di settore che legittimino la trasmissione in forma nominativa di informazioni relative alle ore di straordinario svolto dai dipendenti dell’Amministrazione penitenziaria: l’Accordo Nazionale quadro per il personale del Corpo di polizia penitenziaria, risalente al 2004,  prevede infatti solo la comunicazione in forma anonima dei prospetti delle prestazioni di lavoro straordinario.

Nella sua decisione l’Autorità ha richiamato inoltre quanto previsto dalle Linee guida del Garante del 14 giugno 2007, sul trattamento dei dati personali nel rapporto di lavoro pubblico, le quali stabiliscono che l’amministrazione pubblica può fornire alle organizzazioni sindacali dati numerici e aggregati e non anche quelli riferibili ad uno o più lavoratori individuabili.

Nell’accogliere dunque il ricorso dell’interessato e ritendendo pertanto illecito il trattamento effettuato dall’amministrazione penitenziaria, l’Autorità ha disposto il blocco dell’ulteriore comunicazione dei dati del dipendente addebitando le spese del ricorso al Ministero.

Aziende sanitarie: si all’Amministrazione aperta, ma senza diffondere dati sulla salute

sanità-online-120613130105_mediumIl Garante per la privacy ha richiamato alcune amministrazioni sanitarie alla corretta applicazione delle novità normative introdotte dalla legge di conversione (n.134 del 7/8/2012) del cosiddetto “Decreto Sviluppo 2012”, vietando la diffusione online dei dati sulla salute dei pazienti.

Articolo 18: quali gli obblighi di pubblicazione?

Le aziende sanitarie chiedevano in particolare se l’articolo 18 della legge, che introduce nuove disposizioni in tema di agenda digitale e trasparenza nella Pubblica Amministrazione, le obbligasse a pubblicare su internet anche i dati dei pazienti che hanno ad esempio ricevuto:

  • indennizzi per danni irreversibili (come il contagio da epatite o Hiv) causati da vaccinazioni o dalla somministrazione di emoderivati,
  • rimborsi per cure di altissima specializzazione, interventi assistenziali
  • o altri contributi legati a patologie mediche certificate.

Privacy e Trasparenza

L’Autorità ha chiarito che, per quanto riguarda le persone fisiche, l’articolo citato prevede la pubblicazione online solo dei dati di chi riceve “corrispettivi o compensi” dalla Pubblica Amministrazione e che deve in ogni caso essere interpretato alla luce dei principi fondamentali in materia di protezione dei dati personali, cristallizzati in disposizioni comunitarie che vincolano il nostro legislatore.

Il Garante ha ribadito che è il Codice della privacy vieta ai soggetti pubblici la diffusione di dati idonei a rivelare lo stato della salute di una persona e che le informazioni citate non possono essere pubblicate sul sito web delle Ausl o di altri enti.

webdesignpicPA, siti web e Linee guida del Garante

Il Garante ha ricordato infine che tutte le pubbliche amministrazioni, nel predisporre il proprio sito Internet, devono sempre rispettare le apposite cautele indicate nelle “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”, approvate dal Garante nel 2011