Adriano Bertolino, profile picture
Uploaded byAdriano Bertolino
PDF, PPTX775 views

Privacy by design in sanità - GDPR e GNUHealth

Il documento discute l'importanza del 'privacy by design' nel contesto sanitario secondo il regolamento UE 2016/679, evidenziando il ruolo cruciale della protezione dei dati sin dalla fase di progettazione. Viene sottolineato come l'approccio proattivo alla sicurezza dei dati e la minimizzazione delle informazioni siano fondamentali per prevenire violazioni e garantire la trasparenza. Inoltre, il rispetto delle normative e l'implementazione di misure adeguate sono essenziali per proteggere i diritti dei pazienti e costruire fiducia nel settore della sanità.

Embed presentation

Download as PDF, PPTX
Privacy By Design in ambito sanitario nel REGOLAMENTO UE (2016/679) GnuHealth Linux Meeting 2017 Palermo – 5 maggio 2017 Teatro Gregotti Università degli Studi di Palermo
CHI SONO? Adriano Bertolino it.linkedin.com/in/adrianobertolino about.me/adrianobertolino Data Protection Officer (DPO)| Consulente della Privacy Consulente e formatore in materia di protezione dei dati personali Dal 2001 mio occupo di consulenza e formazione in materia di privacy per enti pubblici e privati, imprese, startup e professionisti. Nello mio lavoro di supporto pongo particolare attenzione alla protezione legale del cliente, utilizzando gli strumenti normativi quali criteri per l'organizzazione e la gestione conforme dei dati personali trattati, considerandoli quale risorsa primaria ed essenziale per lo sviluppo di qualunque attività. Certificato TÜV Italia n° CDP_272 conforme ISO/IEC 17024:2012 a.bertolino@neostudio.it
EVOLUZIONE NORMATIVA Direttiva Europea n. 95/46/CE Legge n. 675/96 Legge sulla Privacy D.Lgs. n. 196/2003 Codice della Privacy REGOLAMENTO (UE) n. 2016/679
REGOLAMENTO (UE) 2016/679 Disciplina unica in tutti gli Stati a protezione dei cittadini europei anche in Extra-UE
Temi disciplinati dal Regolamento UE 2016/679 Privacy by Default Trasferimenti Extra-UE Profilazione on line Trasparenza Data Breach Threats Portabilità dei Dati Social e Minori Privacy Impact Assessement (DPIA) Dirittto all’oblio Threats Privacy by Design Accountability One Stop Shop Data Protection Officer (DPO) Consenso Esplicito Misure di Sicurezza Idonee Sanzioni Amministrative elevate
Applicabilità del Diritto nazionale GDPR - Consid. (10) […Il presente regolamento prevede anche un margine di manovra degli Stati membri […] con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso,[…] il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.]
DATO PERSONALE • Nome; • Numero identificazione; (C.F./Matricola) • Dati relativi all'ubicazione; (GPS, tag RFID) • Identificativo online; (Login, IP, Cookies) • Elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Impronta, Iride, Comportamento, Etnia, Status sociale e Economico) «Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); […], direttamente o indirettamente»
TRATTAMENTO DEL DATO PERSONALE • raccolta, • registrazione, • organizzazione, • strutturazione, • conservazione, • adattamento o modifica, • estrazione, • consultazione, • uso, • comunicazione mediante trasmissione, • diffusione o qualsiasi altra forma di messa a disposizione, • raffronto o interconnessione, • limitazione, • cancellazione o distruzione; Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
Come devono essere Trattati? – art.5 del GDPR «Trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali» Il Titolare del trattamento è responsabile della compliance di ogni trattamento effettuato e deve essere in grado di comprovarlo («accountability»)
Privacy by Design Protezione dei dati personali già dalla fase di ideazione e progettazione di un trattamento, in modo da prevenire possibili rischi di violazione [art. 25 - GDPR]
I 7 principi fondanti della Privacy by Design 1. Sicurezza Proattiva e non reattiva / Preventiva e non correttiva; 2. Impostazioni di protezione dei dati di default; 3. Tutela dei dati personali inclusa nel progetto; 4. Massima funzionalità di protezione dei dati ( e non =); 5. Sicurezza durante tutto il ciclo del trattamento, dalla raccolta alla distruzione; 6. Trasparenza nelle informazioni all’interessato; 7. Centralità dell'utente nel trattamento (User Centric);
Privacy by Design art. 25.1 – General Data Protection Regulation ‘‘Tenuto conto dello stato dell’arte e dei costi di attuazione,[…]delle finalità del trattamento, come anche dei rischi di probabilità e gravità, al momento di determinare i mezzi del trattamento e all’atto del trattamento stesso, il Titolare mette in atto misure tecniche ed organizzative adeguate quali la pseudoanonimizzazione e la minimizzazione.’’
Pseudoanonimizzazione vs Anonimizzazione Pseudoanonimizzazione • Restano Dati Personali • Possono essere utilizzati per Analisi Generale da parte dello stesso Titolare • La decrittazione non autorizzata è un rischio da considerare nel DPIA Anonimizzazione • Non si applica il GDPR • Utilizzati per statistiche generali • Non è presente il rischio di re- identificazione
Privacy by Design art. 4 -5) Pseudoanonimizzazione: Una misura di protezione dei dati personali in modo che tali dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive. DATI IDENTIFICATIVI DATI PERSONALI Titolare
Privacy by Design Minimizzazione dei dati Limitazione nel trattamento dei dati: • Adeguati; • Pertinenti; • Limitati; Solo i dati necessari rispetto alle finalità perseguite
Valore del mercato della sanità digitale in Italia
Lo stato dell’eHealth in Italia
PER NON RISCHIARE… Identificazione delle finalità del trattamento; Valutazione d’impatto privacy (DPIA); Selezione solo di partner conformi alle norme privacy (Outsourcing); Adeguate misure di sicurezza dei dati, nei sistemi tecnologici e nei processi aziendali; Nomina del Data Protection Officer qualificato (DPO); Compliance ai provvedimenti delle Autorità Garanti
Linee guida sul dossier sanitario elettronico Provv. n. 331 del 4 giugno 2015 TUTELA DEI PAZIENTI • Possibilità di scegliere, in piena libertà, se far costituire o meno il dossier sanitario • Stessa possibilità di accedere alle cure mediche richieste anche in mancanza del DSE • E’ necessario un consenso specifico per inserire nel DSE informazioni particolarmente delicate (Hiv, Interruzione volontaria della gravidanza, Atti di violenza sessuale o pedofilia) • Il paziente dovrà essere informato in modo chiaro e semplice sulle modalità di costituzione del DSE, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. PRESCRIZIONIPERLESTRUTTURESANITARIE • L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. • Garantire la possibilità al paziente di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier. Anche la semplice consultazione, dovrà essere tracciata e registrata in appositi log, conservati per almeno 24 mesi. • Garantire la possibilità al paziente di "oscurare" alcuni dati o documenti sanitari. • Adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e crittografati. • Obbligo di comunicare al Garante eventuali violazioni di dati o incidenti informatici (DATA BREACH) entro 48 ore dalla conoscenza del fatto.
I Vantaggi del “Privacy by Design” • Individuazione in anticipo di potenziali difetti o anomalie, quando la correzione è spesso più semplice e meno costosa; • Riduzione dei rischi di Data Breach o di eventuali eventi dannosi sui dati personali; • Crescita di affidabilità e di fiducia negli stakeolders, con conseguente creazione di valore economico; • Maggiore consapevolezza del concetto di privacy e protezione dei dati sia nell’organizzazione che negli utenti;
Diritti e Responsabilità Art. 82 – GDPR - Diritto al risarcimento e responsabilità 1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. ma… 3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, […] SOLO se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
Quattro spicci… art. 83 - GDPR 4. Fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 5. Fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Questions & Answers What? Who? Where? When? Why? How?
a.bertolino@neostudio.it – mobile +39 3477167484 NEO STUDIO 2000 S.R.L. Largo Villaura, 27 – PALERMO Tel. 091 364924 - neostudio@neostudio.it 25

More Related Content

PDF
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
byAdriano Bertolino
 
PDF
GDPR Navigator La soluzione per le PMI
byRoberto Lorenzetti
 
PDF
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
byAdriano Bertolino
 
PDF
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
byClaudio De Luca
 
ODP
GDPR introduzione al nuovo Regolamento per la Protezione Dati
byMarco Marcellini
 
PPTX
GDPR
byPasquale Tarallo
 
PDF
Flussi sanitari: Privacy e Big Data
byAdriano Bertolino
 
PDF
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
byAdriano Bertolino
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
byAdriano Bertolino
 
GDPR Navigator La soluzione per le PMI
byRoberto Lorenzetti
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
byAdriano Bertolino
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
byClaudio De Luca
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
byMarco Marcellini
 
GDPR
byPasquale Tarallo
 
Flussi sanitari: Privacy e Big Data
byAdriano Bertolino
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
byAdriano Bertolino
 

What's hot

PPTX
GDPR - Il nuovo regolamento Privacy Europeo
byM2 Informatica
 
PPTX
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
byMaurizio Taglioretti
 
PPTX
Privacy e Trattamento dei Dati Personali
byGiacomo Giovanelli
 
PPTX
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
byM2 Informatica
 
PDF
Il Regolamento GDPR | Tutto quello che c'è da sapere
byInterlogica
 
PDF
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
byJürgen Ambrosi
 
PPTX
Gdpr e d.lgs 101/2018
byPorto4CulturaLegaled
 
PPT
D.Lgs 196/2003
byjamboo
 
PDF
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
byAndrea Ballandino
 
PDF
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
byPietro Calorio
 
PDF
L'adeguamento al GDPR: opportunità e criticità
byPietro Calorio
 
PDF
SMAU Milano 2017 - Conformità GDPR
byTalea Consulting Srl
 
PPTX
Smau Torino 2016 - Paola Generali, Assintel
bySMAU
 
PDF
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
byEuroPrivacy
 
PDF
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
byPaolo Calvi
 
PDF
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
byEuroPrivacy
 
PDF
GDPR: scenari attuali e futuribili
byAndrea Maggipinto [+1k]
 
PPTX
[Ord ing] data protection by design v1.6
byAndrea Praitano
 
PDF
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
byM2 Informatica
 
GDPR - Il nuovo regolamento Privacy Europeo
byM2 Informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
byMaurizio Taglioretti
 
Privacy e Trattamento dei Dati Personali
byGiacomo Giovanelli
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
byM2 Informatica
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
byInterlogica
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
byJürgen Ambrosi
 
Gdpr e d.lgs 101/2018
byPorto4CulturaLegaled
 
D.Lgs 196/2003
byjamboo
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
byAndrea Ballandino
 
Protezione e circolazione dei dati - opportunità e criticità verso l'adeguame...
byPietro Calorio
 
L'adeguamento al GDPR: opportunità e criticità
byPietro Calorio
 
SMAU Milano 2017 - Conformità GDPR
byTalea Consulting Srl
 
Smau Torino 2016 - Paola Generali, Assintel
bySMAU
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
byEuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
byPaolo Calvi
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
byEuroPrivacy
 
GDPR: scenari attuali e futuribili
byAndrea Maggipinto [+1k]
 
[Ord ing] data protection by design v1.6
byAndrea Praitano
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
byM2 Informatica
 

Similar to Privacy by design in sanità - GDPR e GNUHealth

PDF
I principi del GDPR e i modelli per l'adeguamento
byUneba
 
PDF
Workshop privacy parte_1_10-03-2016m
byArmando Iovino
 
PDF
Smau Milano 2016 - Monica Gobbato
bySMAU
 
PPTX
GDPR e regolamento europeo - 9 luglio 2018
bySimone Chiarelli
 
PPTX
2 fornaro fiera del levante sicurezza gdp r
byRedazione InnovaPuglia
 
PDF
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
byGiuseppe Ricci
 
PDF
Smau Milano 2016 - Marco Parretti, Aipsi
bySMAU
 
PDF
Workshop Unione Industriali Parma
byPolaris informatica
 
PDF
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
byEuroPrivacy
 
PDF
Smau Padova 2019 Davide Giribaldi (Assintel)
bySMAU
 
PDF
Smau Bologna 2016 -Assintel, Paola Generali
bySMAU
 
PPTX
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
bySMAU
 
PDF
Smau Milano 2016 - Paola Generali, Assintel
bySMAU
 
PDF
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
byMentine
 
PPTX
il GDPR - 14 Dicembre 2018
byLodovico Mabini
 
PDF
GDPR EU Personal Data Protection Act 2018 - SAS Italy
bySAS Italy
 
PDF
Bci italy conf 17 11 stefano mele - business continuity e gdpr sd
byTheBCI
 
PPTX
COME ADEGUARSI AL GDPR?
byAndrea Battistella
 
PDF
Smau Padova 2016 - Assintel regolamento europeo
bySMAU
 
PDF
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
byDigital Law Communication
 
I principi del GDPR e i modelli per l'adeguamento
byUneba
 
Workshop privacy parte_1_10-03-2016m
byArmando Iovino
 
Smau Milano 2016 - Monica Gobbato
bySMAU
 
GDPR e regolamento europeo - 9 luglio 2018
bySimone Chiarelli
 
2 fornaro fiera del levante sicurezza gdp r
byRedazione InnovaPuglia
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
byGiuseppe Ricci
 
Smau Milano 2016 - Marco Parretti, Aipsi
bySMAU
 
Workshop Unione Industriali Parma
byPolaris informatica
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
byEuroPrivacy
 
Smau Padova 2019 Davide Giribaldi (Assintel)
bySMAU
 
Smau Bologna 2016 -Assintel, Paola Generali
bySMAU
 
Smau Milano 2016 - Andrea Michinelli e Stefano Ricci | Sanità
bySMAU
 
Smau Milano 2016 - Paola Generali, Assintel
bySMAU
 
I Profili Giuridici, e relativi Rischi, circa la Raccolta e Conservazione dei...
byMentine
 
il GDPR - 14 Dicembre 2018
byLodovico Mabini
 
GDPR EU Personal Data Protection Act 2018 - SAS Italy
bySAS Italy
 
Bci italy conf 17 11 stefano mele - business continuity e gdpr sd
byTheBCI
 
COME ADEGUARSI AL GDPR?
byAndrea Battistella
 
Smau Padova 2016 - Assintel regolamento europeo
bySMAU
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
byDigital Law Communication
 

Privacy by design in sanità - GDPR e GNUHealth

  • 1.
    Privacy By Designin ambito sanitario nel REGOLAMENTO UE (2016/679) GnuHealth Linux Meeting 2017 Palermo – 5 maggio 2017 Teatro Gregotti Università degli Studi di Palermo
  • 2.
    CHI SONO? Adriano Bertolino it.linkedin.com/in/adrianobertolino about.me/adrianobertolino DataProtection Officer (DPO)| Consulente della Privacy Consulente e formatore in materia di protezione dei dati personali Dal 2001 mio occupo di consulenza e formazione in materia di privacy per enti pubblici e privati, imprese, startup e professionisti. Nello mio lavoro di supporto pongo particolare attenzione alla protezione legale del cliente, utilizzando gli strumenti normativi quali criteri per l'organizzazione e la gestione conforme dei dati personali trattati, considerandoli quale risorsa primaria ed essenziale per lo sviluppo di qualunque attività. Certificato TÜV Italia n° CDP_272 conforme ISO/IEC 17024:2012 [email protected]
  • 3.
    EVOLUZIONE NORMATIVA Direttiva Europea n.95/46/CE Legge n. 675/96 Legge sulla Privacy D.Lgs. n. 196/2003 Codice della Privacy REGOLAMENTO (UE) n. 2016/679
  • 4.
    REGOLAMENTO (UE) 2016/679 Disciplinaunica in tutti gli Stati a protezione dei cittadini europei anche in Extra-UE
  • 5.
    Temi disciplinati dal RegolamentoUE 2016/679 Privacy by Default Trasferimenti Extra-UE Profilazione on line Trasparenza Data Breach Threats Portabilità dei Dati Social e Minori Privacy Impact Assessement (DPIA) Dirittto all’oblio Threats Privacy by Design Accountability One Stop Shop Data Protection Officer (DPO) Consenso Esplicito Misure di Sicurezza Idonee Sanzioni Amministrative elevate
  • 6.
    Applicabilità del Dirittonazionale GDPR - Consid. (10) […Il presente regolamento prevede anche un margine di manovra degli Stati membri […] con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso,[…] il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.]
  • 7.
    DATO PERSONALE • Nome; •Numero identificazione; (C.F./Matricola) • Dati relativi all'ubicazione; (GPS, tag RFID) • Identificativo online; (Login, IP, Cookies) • Elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Impronta, Iride, Comportamento, Etnia, Status sociale e Economico) «Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); […], direttamente o indirettamente»
  • 8.
    TRATTAMENTO DEL DATOPERSONALE • raccolta, • registrazione, • organizzazione, • strutturazione, • conservazione, • adattamento o modifica, • estrazione, • consultazione, • uso, • comunicazione mediante trasmissione, • diffusione o qualsiasi altra forma di messa a disposizione, • raffronto o interconnessione, • limitazione, • cancellazione o distruzione; Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:
  • 9.
    Come devono essereTrattati? – art.5 del GDPR «Trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali» Il Titolare del trattamento è responsabile della compliance di ogni trattamento effettuato e deve essere in grado di comprovarlo («accountability»)
  • 10.
    Privacy by Design Protezionedei dati personali già dalla fase di ideazione e progettazione di un trattamento, in modo da prevenire possibili rischi di violazione [art. 25 - GDPR]
  • 11.
    I 7 principifondanti della Privacy by Design 1. Sicurezza Proattiva e non reattiva / Preventiva e non correttiva; 2. Impostazioni di protezione dei dati di default; 3. Tutela dei dati personali inclusa nel progetto; 4. Massima funzionalità di protezione dei dati ( e non =); 5. Sicurezza durante tutto il ciclo del trattamento, dalla raccolta alla distruzione; 6. Trasparenza nelle informazioni all’interessato; 7. Centralità dell'utente nel trattamento (User Centric);
  • 12.
    Privacy by Design art.25.1 – General Data Protection Regulation ‘‘Tenuto conto dello stato dell’arte e dei costi di attuazione,[…]delle finalità del trattamento, come anche dei rischi di probabilità e gravità, al momento di determinare i mezzi del trattamento e all’atto del trattamento stesso, il Titolare mette in atto misure tecniche ed organizzative adeguate quali la pseudoanonimizzazione e la minimizzazione.’’
  • 13.
    Pseudoanonimizzazione vs Anonimizzazione Pseudoanonimizzazione •Restano Dati Personali • Possono essere utilizzati per Analisi Generale da parte dello stesso Titolare • La decrittazione non autorizzata è un rischio da considerare nel DPIA Anonimizzazione • Non si applica il GDPR • Utilizzati per statistiche generali • Non è presente il rischio di re- identificazione
  • 14.
    Privacy by Design art.4 -5) Pseudoanonimizzazione: Una misura di protezione dei dati personali in modo che tali dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive. DATI IDENTIFICATIVI DATI PERSONALI Titolare
  • 15.
    Privacy by Design Minimizzazionedei dati Limitazione nel trattamento dei dati: • Adeguati; • Pertinenti; • Limitati; Solo i dati necessari rispetto alle finalità perseguite
  • 16.
  • 17.
  • 18.
    PER NON RISCHIARE… Identificazionedelle finalità del trattamento; Valutazione d’impatto privacy (DPIA); Selezione solo di partner conformi alle norme privacy (Outsourcing); Adeguate misure di sicurezza dei dati, nei sistemi tecnologici e nei processi aziendali; Nomina del Data Protection Officer qualificato (DPO); Compliance ai provvedimenti delle Autorità Garanti
  • 19.
    Linee guida suldossier sanitario elettronico Provv. n. 331 del 4 giugno 2015 TUTELA DEI PAZIENTI • Possibilità di scegliere, in piena libertà, se far costituire o meno il dossier sanitario • Stessa possibilità di accedere alle cure mediche richieste anche in mancanza del DSE • E’ necessario un consenso specifico per inserire nel DSE informazioni particolarmente delicate (Hiv, Interruzione volontaria della gravidanza, Atti di violenza sessuale o pedofilia) • Il paziente dovrà essere informato in modo chiaro e semplice sulle modalità di costituzione del DSE, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. PRESCRIZIONIPERLESTRUTTURESANITARIE • L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. • Garantire la possibilità al paziente di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier. Anche la semplice consultazione, dovrà essere tracciata e registrata in appositi log, conservati per almeno 24 mesi. • Garantire la possibilità al paziente di "oscurare" alcuni dati o documenti sanitari. • Adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e crittografati. • Obbligo di comunicare al Garante eventuali violazioni di dati o incidenti informatici (DATA BREACH) entro 48 ore dalla conoscenza del fatto.
  • 20.
    I Vantaggi del“Privacy by Design” • Individuazione in anticipo di potenziali difetti o anomalie, quando la correzione è spesso più semplice e meno costosa; • Riduzione dei rischi di Data Breach o di eventuali eventi dannosi sui dati personali; • Crescita di affidabilità e di fiducia negli stakeolders, con conseguente creazione di valore economico; • Maggiore consapevolezza del concetto di privacy e protezione dei dati sia nell’organizzazione che negli utenti;
  • 21.
    Diritti e Responsabilità Art.82 – GDPR - Diritto al risarcimento e responsabilità 1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. ma… 3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, […] SOLO se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
  • 22.
    Quattro spicci… art. 83- GDPR 4. Fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 5. Fino a 20.000.000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
  • 23.
    Questions & Answers What?Who? Where? When? Why? How?
  • 24.
    [email protected] – mobile+39 3477167484 NEO STUDIO 2000 S.R.L. Largo Villaura, 27 – PALERMO Tel. 091 364924 - [email protected] 25