Smau Milano 2016 - CSIG - Sanità

Fascicolo sanitario elettronico, accountability e misure
di sicurezza: come tradurre nelle aziende e nelle pa le
novità normative?
Avv. Riccardo Abeti
Avv. Mauro Alovisio

2@riccardoabeti e @mauroalovisio

Il Centro Nexa su Internet & Società
● Centro di ricerca del Politecnico di Torino (Dipartimento di Automatica
e Informatica), fondato nel 2006.
● Studia Internet e il suo impatto sulla società in ottica multidisciplinare
(tecnologica, giuridica ed economica).
● Svolge supporto alla policy in ambito europeo (e.g., sugli aspetti
giuridici dell'informazione del settore pubblico) e nazionale.
● Collaborazioni internazionali:
● partner del Network of Excellence on Internet Science (EINS)
http://www.internet-science.eu/
● membro fondatore della Rete globale di centri su Internet & Società
http://cyber.law.harvard.edu/research/network_of_centers

Il Centro Studi di Informatica Giuridica di Ivrea-Torino è un’ associazione indipendente
senza finalità di lucro interdisciplinare attiva dal 2005 (rivolta a giuristi, informatici,
psicologi, professori, studenti, giornalisti, etc.)
Mission: aggiornamento professionale, informazione, approfondimento dell’evoluzione
dell’ICT e dell’innovazione e dell’impatto sui diritti, trasparenza on line e partecipazione
Aderisce alla Coalizione per le competenze digitali promossa da Agid , ha un blog
http://csigivreatorino.it ed un Comitato Scientifico di magistrati, professori e professionisti
Ha partecipato alle consultazioni on line in materia di privacy, diritto di autore
cyberbullismo, open data, crowdfunding, open data e trasparenza, videosorveglianza e
droni, wi-fi e software libero, violenza on line e pari opportunità
Csig di Ivrea-Torino

Prossime tappe
26/27 ottobre - Smau Milano ( laboratori sul regolamento privacy europeo: data
protection officer, data breach e fascicolo sanitario)
19 novembre 2016 - Festival del giornalismo digitale di Varese
15 dicembre 2016 - Master legalità Chivasso
16 dicembre 2016, Cyberbullismo e privacy San Mauro Torinese
gennaio 2017 – Salone dei droni di Modena

Agenda
- Il Regolamento europeo
- il dPCM 178/2015
- Le linee guida sul Fascicolo Sanitario Elettronico
- Indicazioni di metodo
- Conclusioni

Il Regolamento definisce un quadro comune in materia di tutela dei dati personali
è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione
europea e non richiede una legge di recepimento nazionale .
Regolamento europeo in materia di protezione dei dati personali:
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27
aprile 2016, relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e che
abroga la direttiva 95/46/CE
173 considerando e 99 articoli, si applica integralmente anche alle imprese
situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si
trovano nel territorio dell’Unione europea.
Regolamento europeo in
materia di protezione dei dati

Un’unica disciplina uniforme, regole certe per tutti gli Stati
- stimolare il mercato digitale e innalzare il livello di protezione dei dati (tutte le imprese e start
up sullo stesso piano, chi non rispetta gli adempimenti in qualità esce dal mercato (v.
considerando n. 9 del testo);
- rafforzare la fiducia dei consumatori nei servizi online
- promuovere così la crescita economica e l’ innovazione
- riferimento alle esigenze delle imprese, micro, medie e piccole imprese e alla ricerca
- sviluppo di nuove professioni multidisciplinari (es. Big data)
Vantaggi del
Regolamento europeo

Direttiva 95/46/CE relativa alla "tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati"
(Pubblicata sulla GUCE n. L 281 del 23.11.1995)
1% era su internet!!
Legge 675 del 1996 (oggi abrogata)
Codice Protezione dei dati personali (D.Lgs. 196 del 2003- in vigore)
I provvedimenti generali del Garante in materia di videosorveglianza, dati biometrici,
posta ed internet, amministratori di sistema
Prima del
Regolamento europeo

Regolamento UE 2016/679
- Entrata in vigore il 20 maggio 2016 (20 giorni dopo la pubblicazione su Gazzetta)
- Applicazione in via diretta in tutti i paesi UE a partire dal 24 maggio 2018
Occorre attivarsi fin da subito!
http://europarltv.europa.eu/it/player.aspx?pid=901e7070-4cef-4e8b-ab0a-a5f401113dfb
Entrata in vigore e applicazione

- Abrogate le norme interne non allineate o incompatibili con l’UE
- Il codice Privacy pertanto non sarà abrogato del tutto
- Gruppo di lavoro del Garante privacy italiano su confronto e raccordo fra codice
Privacy e regolamento europeo
- Vi sono alcuni ambiti di autonomia per i singoli Stati: pubblica
amministrazione, lavoro e giornalismo (sempre nei limiti di compatibilità con i
principi del regolamento Ue 2016/679)
- e i provvedimenti generali e le autorizzazioni del Garante privacy?
- (vedi considerando n. 171!)
Che cosa applico prima del
2018?

Che cosa applico prima del
2018?

Obbligo di rendicontare, responsabilizzazione delle organizzazione (imprese e pa)
Cambiamento di approccio culturale e organizzativo
Finalità: creare un nuovo rapporto di fiducia e di trasparenza dei cittadini/consumatori nell'ottica dello sviluppo
dell'economia digitale in tutto il mercato europeo (armonizzazione)
Abrogate le norme interne non allineate o incompatibili con l’UE
Il codice Privacy pertanto non sarà abrogato del tutto
Gruppo di lavoro del Garante privacy italiano su confronto e raccordo fra codice Privacy e regolamento europeo
accountability

- Obbligo di rendicontare, responsabilizzazione delle organizzazione (imprese e pa)
Cambiamento di approccio culturale e organizzativo
Il principio di responsabilità richiede l’adozione attiva delle misure da parte dei titolari del trattamento
finalizzate alla promozione e salvaguardia della protezione dei dati nelle attività di trattamento.
• I titolari del trattamento sono responsabili della conformità alla normativa in materia di protezione dei
dati nell’ambito delle operazioni di trattamento.
• I titolari del trattamento dovrebbero essere in grado di dimostrare in qualsiasi momento agli interessati,
al pubblico in generale e alle autorità di controllo che essi operano in conformità delle disposizioni sulla
protezione dei dati.
(Consiglio di Europa, Manuale sul diritto europeo in materia di protezione dei dati, 2013)
Dalla teoria alla pratica

Le organizzazioni devono, alla luce del nuovo regolamento in materia di protezione dei dati
personali, ripensare attivamente le modalità di gestione e di utilizzo dei dati personali
attraverso una loro maggiore responsabilizzazione e adattandosi ai nuovi istituti previsti
(Valutazione di impatto privacy; notificazione di violazioni di dati "data breach")
(intervista ad Antonello Soro, presidente autorità Garante privacy )
Italia Oggi, 2016 Antonio Ciccia)
Impatto per le imprese

Principi del trattamento
Articolo 5 Principi applicabili al trattamento di dati personali
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i
dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle
finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati
esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente
all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a
tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e
riservatezza»).

Principi del trattamento
necessità
legittimità
pertinenza
non
eccedenza
finalità
...

1.Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento,
nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare
del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in
grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette
misure sono riesaminate e aggiornate qualora necessario.
2.Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono
l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3.L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui
all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del
titolare del trattamento.
Articolo 24 “Responsabilità del titolare del trattamento”
Responsabilità del titolare del
trattamento

1.Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo
ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto
misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente
regolamento e garantisca la tutela dei diritti dell'interessato.
2.Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta,
specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il
responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti
l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento
l'opportunità di opporsi a tali modifiche.
3.I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto
giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al
titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la
finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare
del trattamento.
Articolo 28 “Responsabile del trattamento”
Responsabile del trattamento

1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in
atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al
rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
Articolo 32 ”Sicurezza del trattamento”
Sicurezza del trattamento

7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove
applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi
per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento,
tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Articolo 35 “Valutazione d’impatto”

Articolo 37 Designazione del responsabile della protezione dei dati
1.Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile
della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un
organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni
giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento
consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il
monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del
titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di
categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui
all'articolo 10.
Articolo 37 “DPO”
DPO

. 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della
natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del
rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il
titolare del trattamento e il responsabile del trattamento mettono in atto misure
tecniche e organizzative adeguate per garantire un livello di sicurezza
adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati
personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle
misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
(art. 32)

-
Accountability?

- Riccardo Abeti, L’accesso ai dati personali, in “Trattato dei nuovi danni” nuova edizione – II –
CEDAM 2014
Mauro Alovisio, Il nuovo regolamento europeo in materia di protezione dei dati personali
Regole comuni per imprese, pa e professionisti per lo sviluppo del mercato unico digitale,
Diritto e Giustizia, 2016
-Mauro Alovisio, Nuovo regolamento privacy UE, ecco tutto ciò che cittadini e PA devono
sapere, Agenda Digitale,2016
-Mauro Alovisio, Coautore del libro in Benedetto Ponti (a cura) “La trasparenza
amministrativa dopo le modifiche al d.lgs.14 marzo 2013, n. 33”. Edizione Maggioli, settembre
2016
-Mauro Alovisio, Privacy nel rapporto di lavoro, in Russo C., Carbone L.; Formulario del lavoro
contratti, sicurezza e privacy, Utet, 2008
-Mauro Alovisio, Videosorveglianza e privacy, Experta, 2012
- Camilla Bistolfi, Luca Bolognini, Enrico Pelino, Il Regolamento privacy europeo, Giuffrè 2016
Per approfondimenti (a)

1.Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente
regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.
2.Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2,
lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in
ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di
interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in
atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del
trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del
trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o
indirettamente, quale conseguenza della violazione.
Sanzioni (a)
Articolo 83

4.In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le
imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;
5.In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le
imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di
controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.
6.In conformità del paragrafo 2 del presente articolo, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è
soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio
precedente, se superiore.
Sanzioni (a)
Articolo 83 (segue)

FSE
Dossier sanitario elettronico
e-prescription
telemedicina
e-health
interconnessione sistemi in sanità

FSE

Linee guida nazionali sul FSE, oggetto di Intesa Stato-Regioni, in data 10 febbraio
2011. Tali linee guida regolano il FSE solo per finalità di cura. Dal 2012 il
recepimento delle predette linee guida è valutato in sede di adempimenti LEA
Normativa disciplinante il FSE a livello nazionale che è stata recepita nell’articolo
12 del decreto-legge n. 179 del 2012, convertito, con modificazioni, dalla legge n.
221 del 2012, e successive modificazioni.
il DPCM 29 settembre 2015 , n. 178 recante "Regolamento in materia di fascicolo
sanitario elettronico" che è stato pubblicato lo scorso 11 novembre in Gazzetta
Ufficiale. Il Regolamento è volto a disciplinare i diversi aspetti che attengono
l’istituzione e l’utilizzo del FSE

“Il fascicolo sanitario elettronico (FSE) è l'insieme dei dati e
documenti digitali di tipo sanitario e socio-sanitario generati da
eventi clinici presenti e trascorsi, riguardanti l'assistito”*.
*Art. 12 comma 1 del decreto legge 18 ottobre 2012, n. 179, recante “Ulteriori misure urgenti per la crescita del
Paese” convertito, con modificazioni dalla legge 17 dicembre 2012, n. 221
FSE
Fascicolo Sanitario
Elettronico

finalità
Il fascicolo sanitario elettronico (FSE) é istituito a fini di:
a) prevenzione, diagnosi, cura e riabilitazione;
b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico;
c) programmazione sanitaria, verifica delle qualità delle cure e valutazione
dell'assistenza sanitaria.

nucleo minimo
art. 2, comma 2
Il nucleo minimo, uguale per tutti i fascicoli sanitari elettronici, é costituito da:
a) dati identificativi e amministrativi dell’assistito;
b) referti;
c) verbali di pronto soccorso;
d) lettere di dimissione;
e) profilo sanitario sintetico;
f) dossier farmaceutico;
g) consenso/diniego alla donazione degli organi e tessuti

patient summary
art. 3Il Profilo Sanitario Sintetico (Patient Summary) è:
(art. 3)
“il documento socio-sanitario informatico redatto e aggiornato dal Medici di medicina
Generale (MMG) / Pediatra di Libera Scelta (PLS), che riassume la storia clinica dell’assistito
e la sua situazione corrente conosciuta”
Il paragrafo 7 del disciplinare tecnico allegato al DPCM FSE, definisce i contenuti del Patient
Summary

(articolo 6, comma 2, lettera e))
L’indicazione della necessità di un consenso specifico per l’alimentazione del
FSE e per la consultazione dei dati e dei documenti presenti nel FSE;
(articolo 7)
Il FSE può essere alimentato esclusivamente sulla base del consenso libero e
informato da parte dell’assistito

(articolo 8, comma 1)
[...] L'assistito ha il diritto di richiedere l’oscuramento dei dati e documenti sanitari e
socio-sanitari sia prima dell’alimentazione del FSE che successivamente,
garantendone la consultabilità esclusivamente all’assistito e ai titolari che li hanno
generati. L’assistito può revocare nel tempo l’oscuramento.

43
@riccardoabeti e @mauroalovisio
definizioni
Il fascicolo sanitario elettronico (FSE) é l'insieme dei dati e
documenti digitali di tipo sanitario e sociosanitario generati da
eventi clinici presenti e trascorsi, riguardanti l'assistito.
Il dossier sanitario: è lo strumento costituito presso un'unica
struttura sanitaria (ospedale, azienda sanitaria, casa di cura) che
raccoglie informazioni sulla salute di un paziente al fine di
documentarne la storia clinica presso quella singola struttura e
offrirgli un migliore processo di cura.
... e il tertium genus ?
Linee guida 2015 del Garante

44
Alcune riflessioni costruttive ma molti dubbi non chiariti, anzi si ha
l’impressione che il Garante, pur agendo come sempre per il
meglio, questa volta si sia diretto in un vicolo che porta,
inevitabilmente ad incrementare l’approccio burocratico alla
protezione dei dati ...
Da una prima lettura si contano,
potenzialmente, una decina di livelli di
consenso (laddove lo stesso ente raccolga
il consenso per FSE, DSE e ...)

45
Consenso all’alimentazione
Consenso alla consultazione
Consenso all’aggiunta delle informazioni pregresse
Consenso per le informazioni a maggior tutela
dell’anonimato
Consenso per il FSE
Consenso per il Dossier
Consenso per il fascicolo tra più strutture

46

47
modularità

48
Conclusioni
Lo scopo di condividere le informazioni per migliorare
l’assistenza sanitaria è “alto” ma il percorso è ancora
lungo ... Molti dubbi interpretativi e una lettura forse troppo
letterale dell’Autorità Garante non aiutano ad evolvere
questi strumenti con l’auspicata celerità ...
FSE

49
Q&A
?

Grazie per l’attenzione!

Smau Milano 2016 - CSIG - Sanità

More Related Content

What's hot

Viewers also liked

Similar to Smau Milano 2016 - CSIG - Sanità

More from SMAU

Smau Milano 2016 - CSIG - Sanità