09 Aprile 2020

In questo periodo, a causa dell’emergenza Coronavirus, molto spesso può sorgere il dubbio su come il personale medico debba trattare i dati sensibili dei cittadini, e se sia legittimo venire a conoscenza di notizie cliniche di persone che non assiste direttamente.

Di seguito riportiamo alcuni passi tratti da: Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali

O.c.d.p.c. n. 630 del 3 febbraio 2020 – Primi interventi urgenti di protezione civile in relazione all’emergenza relativa al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili

Art. 5. Trattamento dati personali

Nell’ambito dell’attuazione delle attività di protezione civile connesse allo svolgimento delle attività di cui alla presente ordinanza, allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, i soggetti operanti nel Servizio nazionale di protezione civile di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, nonché quelli individuati ai sensi dell’art. 1 della presente ordinanza, possono realizzare trattamenti, ivi compresa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del Regolamento del Parlamento europeo 27 aprile 2016, n. 2016/679/UE, necessari per l’espletamento della funzione di protezione civile al ricorrere dei casi di cui agli articoli 23, comma 1 e 24, comma 1, del decreto legislativo 2 gennaio 2018, n. 1, fino al 30 luglio 2020. 2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento del Parlamento europeo 27 aprile 2016, n. 2016/679/UE è effettuata, nei casi in cui essa risulti indispensabile, ai fini dello svolgimento delle attività di cui alla presente ordinanza. 3. Il trattamento dei dati di cui ai commi 1 e 2 è effettuato nel rispetto dei principi di cui all’articolo 5 del citato Regolamento n. 2016/679/UE, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. 4. In relazione al contesto emergenziale in atto, nonché avuto riguardo all’esigenza di contemperare la funzione di soccorso con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 conferiscono le autorizzazioni di cui all’articolo 2-quaterdecies, del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, ed anche oralmente.

Decreto legge 9 marzo 2020, n. 14 – Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID19

Art. 14. Disposizioni sul trattamento dei dati personali nel contesto emergenziale

1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. 2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto. 3. I

Per ulteriore chiarimento riportiamo un passo tratto da: Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 Adottata il 19 marzo 2020

1. Liceità del trattamento

Il regolamento generale sulla protezione dei dati (RGPD) è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il RGPD consente alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un’epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite. Ad esempio, se il trattamento è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica. In tali circostanze, non è necessario basarsi sul consenso dei singoli.

Latina, Domenica 20 Maggio 2018

Cari Colleghi,

il 25 Maggio 2018 entra in vigore il Regolamento Generale sulla Protezione dei Dati (General data protection regulation Gdpr), e con esso cambierà la gestione delle informazioni personali acquisite dal paziente. Per il medico, tutto ciò comporterà una maggiore autonomia ma anche una responsabilità aumentata nella conservazione e tutela delle informazioni sui propri assistiti, tanto che sono previste sanzioni dal costo molto elevato, qualora vengano violati i principi del regolamento.

Volendo evitare la divulgazione precipitosa di informazioni incomplete, confuse o contraddittorie abbiamo atteso a darvi comunicazioni perché la situazione è ancora in fase di definizione,. Nel frattempo la FIMMG si sta impegnando a chiarire tutte le criticità emerse.

Il nuovo regolamento europeo è visibile sul sito del GdP, http://www.garanteprivacy.it/

Ci sono tre grandi punti chiave

acquisizione del consenso al trattamento dei dati sensibili
gestione dei dati e messa in atto di una serie di misure di sicurezza per la conservazione PROTETTA di questi – redazione del documento di sicurezza DPS
Il Responsabile della Protezione dei Dati (RPD)

Per quanto riguarda l’acquisizione del consenso informato, il GDP ribadisce che “i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy – d.lgs. 196/2003”. Il consenso infomato non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se “questa è la modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) Deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento”. Il consenso deve essere esplicito, non sono ammesse caselle pre-spuntate. L’assistito può revocarlo in qualsiasi momento.

Il GDP ribadisce la necessità, qualora lo studio sia dotato di video sorveglianza, gestita direttamente dal medico, o da terzi, di posizionare appositi cartelli prima che il paziente acceda all’area in questione.

In questa sezione potete scaricare i cartelli da apporre per avvisare della videosorveglianza, un modello di consenso informato, e i modelli che netmedica offriva per informare il paziente sul trattamento e gestione dei dati sensibili. Tale modulistica, potrebbe esser soggetta a cambiamento, in funzione degli aggiornamenti della normativa.

“Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento*(si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento)**” .* Si parla infatti di data protection by default and by design.

Fonti: http://www.garanteprivacy.it/web/guest/home/docweb /-/docweb-display/docweb/1712680

http://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento

www.fimmgroma.it

https://portalepegaso.prassibroker.it/Public/Login

www.netmedicaitalia.it

Fimmg, per facilitare la messa a norma negli studi medici ha sottoscritto con NETMEDICA una convenzione.

A partire dalla mattina di Sabato 19 Maggio, sarà disponibile “NetMedicaPrivacy”, uno strumento informatico per la medicina generale che consentirà tramite un questionario di facile compilazione, di ottenere il quadro sulla condizione del proprio studio inerente l’attuale stato di regolarità o irregolarità in base alla nuova normativa, infine proporrà tutti i suggerimenti utili affinché il medico possa mettersi in regola.

Per accedere allo strumento è necessario iscriversi a NETMEDICA ITALIA, dal suo portale:

www.netmedicaitalia.it

alla voce “Registrati come Medico di Assistenza Primaria”.

NETMedica ha un costo di 50 euro annuo e mette a disposizione del medico numerosi servizi. Qualora non si desideri usufruire di altri servizi ma solo di “NETMEDICAPRIVACY”, la modalità di accesso avrà comunque lo stesso costo. E’ preferibile il pagamento con carta di credito onde accelerare la procedura.

Attualmente la normativa non prevede la necessità di un attestato di formazione, anche se ribadisce la necessità di esser affiancati da “personale formato”. FIMMG, pertanto, stipulando un accordo con APRIFORM, Ente Formativo di ConfProfessioni e utilizzando le risorse dei Fondi Bilaterali per la formazione continua (FONDOPROFESSIONI per i Settore degli Studi Professionali), APRIFORM, in totale gratuità realizzerà piani formativi per i Collaboratori di Studio iscritti a Fondoprofessioni. L’iscrizione al Fondo è gratuita annotando la sigla “FPRO” sul modello UNIEMENS (ex DM-10), da parte del consulente del lavoro. Per i Titolari di Studio i cui Collaboratori parteciperanno ai Corsi di Formazione APRIFORM, metterà a disposizione un Corso FAD sulla Privacy della durata di 8 ore per la loro formazione personale.I corsi inizieranno da OTTOBRE 2018 e verrà rilasciata una dichiarazione al momento della avvenuta iscrizione al Corso, per ogni partecipante, affinché ogni Titolare di Studio Medico possa dimostrare l’ avvio del processo formativo volto a sviluppare maggiori conoscenze e competenze in ambito di privacy.
Per ulteriori informazioni e iscrizioni ai corsi potranno essere consultate la pagina “area sanità e salute” del sito www.apriform.eu o contattare la Segreteria APRIFORM (Dr.ssa Valentina Gottardo) al numero telefonico 06 54220278.

Ma non è tutto,

La FIMMG di Latina resta a disposizione dei colleghi per qualsiasi chiarimento e informazione, e continua ad impegnarsi nel trovare soluzioni alle criticità che man mano emergono.

Auguro a tutti un buon lavoro,

Cordialmente

Dr Giovanni Cirilli

Segretario Provinciale FIMMG Assistenza Primaria LT

Aggiornamenti

Il nuovo GPDR è entrato in vigore il 25 maggio 2018, Decreto n.101/18 del 10 agosto 2018 ed ed è entrato in v ufficialmente in vigore dal 19 settembre 2018.

Ma il medico di famiglia deve avere il Responsabile della Protezione dei dati?

Al momento ai sensi dell’articolo 37, 9., 10 GPDR, non rientriamo in questo obbligo non operando “su larga scala”, ma il GDP ribadisce che resta comunque fortemente consigliato.

Per ragioni di “Privacy” è fatto divieto emettere nel 2019 fattura elettronica per quei documenti che rientrano nel sistema Tessera”

“3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.”

Fonte:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793#3

Allegati

DPS_InformativaTrattamentoDatiPersonaliMedicoServerFisico (2)
Dimensione del file: 179 KB Download: 821
Consenso-al-trattamento-dei-dati-personali
Dimensione del file: 272 KB Download: 2116
DPS_InformativaTrattamentoDatiPersonaliCloudNetmedica (2)
Dimensione del file: 182 KB Download: 692
DPS_InformativaTrattamentoDatiPersonaliCloudNonNetmedica (3)
Dimensione del file: 180 KB Download: 664
consensomedico
Dimensione del file: 5 KB Download: 905
DECRETO-LEGISLATIVO-10-agosto-2018
Dimensione del file: 244 KB Download: 543