Gentili Colleghi,
sono lieta di informarvi che sono riuscita ad ottenere per il prossimo Sabato 3 Marzo 2018, giorno in cui si svolgerà l'incontro al Conero Break sulla Privacy e la Protezione dei Dati, la copertura della Continuità assistenziale per la nostra Provincia di Ancona, fino dalle ore 8 del mattino, e quindi per la intera giornata del Sabato. In attesa di incontrarci vi invio un cordiale saluto. Marina Mora
P.S. Per permettervi di avere tutto sotto occhio, vi allego alla presente tutto l'epistolario inviatoci da Costantino Gobbi e Giuseppe Braico nelle scorse settimane:
Cari Colleghi, come comunicato più volte, la legge sulla privacy, ovvero la protezione dei dati, da quelli cartacei a quelli inseriti nel computer, inizierà fra poco (qualche mese) ad essere obbligatoria e a prevedere sanzioni per coloro che non la osservano. Rispettare questa legge è dunque obbligatorio con sanzioni che arrivano anche al penale in caso di non osservanza. FIMP Nazionale ha un accordo con la società TPCA Srl di Roma, che farà delle conferenze in maniera da raccogliere le esigenze reali dei partecipanti e da offrire loro soluzioni personalizzate, per quanto riguarda la custodia dei dati del computer FIMP sta lavorando insieme alla società in questione per offrire soluzioni sicure e vantaggiose. Abbiamo riservato la data di Sabato 3 Marzo per fare il corso nelle Marche ed al momento la sede è il solito Conero Break alla periferia di Ancona, nell’ occasione coloro che non hanno fatto il corso sulla sicurezza, potrebbero farlo nella stessa giornata. A proposito della sicurezza si discute molto se gli obblighi riguardino soltanto chi ha personale dipendente o anche chi non lo ha, però provate a pensare ad un vostro paziente che si fa male in studio e poi vi chiede i danni, pensate di essere esentati dal rispetto delle leggi sulla sicurezza nei luoghi pubblici perché non avete dipendenti?. Per iscrivervi siete pregati di rivolgervi al vostro Segretario Provinciale. Salute a tutti Costantino
Incontro 3 Marzo Conero Break su Privacy e Data Protection Gentili Colleghi, facendo seguito alla email inviatavi da Costantino Gobbi in data 18 Gennaio 2018 con Oggetto: "Legge sulla privacy e sicurezza nei luoghi aperti al pubblico: corso per i PdF delle Marche. AN 3 Marzo 2018" Vi ricordiamo che l'incontro sarà Sabato 3 Marzo presso il Conero Break di Ancona lo stesso dove abbiamo effettuato la nostra ultima assemblea regionale FIMP. Per darvi un quadro dell'importanza dell'argomento, vi alleghiamo qui sotto una ampia disamina dell'argomento, in modo che vi possiate rendere conto dell'importanza del provvedimento che ci viene "imposto" dalla Europa. Buona Lettura. Giuseppe Braico Privacy e data protection. Cosa fare in sanità per il countdown europeo del 25 maggio 2018 29 gennaio - Entro quella data dovrà essere attuata la nuova disciplina UE che introduce un nuovo modo di pensare e gestire il trattamento dei dati. Il Regolamento richiede di effettuare una analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte. Richiede quindi anche il coinvolgimento di competenze trasversali (legali, di sistema ed informatiche). Ecco i 10 step che da seguire per l'implementazione Il 25 maggio 2018 dovrà essere pienamente implementato il Reg.Ue 679/2016 in materia di privacy e data protection (c.d GDPR). La disciplina – che trova piena applicazione anche per la PA, e quindi ASL e ospedali – è fortemente impattante sull’intero assetto organizzativo interno: introduce infatti un nuovo modo di pensare e gestire il trattamento dei dati. Lungi dall’essere dunque un mero o aggiornamento della disciplina precedente, il Regolamento richiede di effettuare una analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte (c.d. principio dell’accountability): richiede quindi anche il coinvolgimento di competenze trasversali (legali, di sistema ed informatiche). Da dove cominciare allora? Abbiamo identificato 10 step che possono essere seguiti per l’implementazione: 1) conoscenza del nuovo Regolamento Il Reg. 679/2016 sostituirà in toto la dir 95/46/CE: si tratta di un provvedimento più complesso rispetto alla Direttiva e che arriva (dopo oltre 20 anni) a regolare una realtà sostanzialmente diversa da quella del ’95 e sempre più digitale. Occorre capirne i punti cardine e la ratio di fondo, nonché costituire un team di soggetti che opera in sinergia per l’implementazione. 2) mappatura dei dati trattati e Registro dei Trattamenti Occorre mappare con esattezza quali dati si trattano, perché si trattano e come si trattano. Il Regolamento infatti richiede, in sostanza, di effettuare una analisi del rischio dei dati trattati, per definire quali misure adottare al fine di tutelare i diritti degli interessanti, proteggendo i loro dati e gestendo i rischi ineliminabili. Occorre poi redigere il Registro del Trattamenti (art. 30 Reg.). 3) revisione della Informativa Il nuovo Regolamento si incardina su un principio (in parte) nuovo: l’interessato deve avere il controllo dei propri dati (considerando n. 6). Sotto questo profilo appare chiaro come l’informativa deve essere chiara, completa ed esaustiva: con la nuova disciplina potranno essere usate anche le icone. L’informativa privacy deve diventare come l’informazione alle cure, consentendo all’interessato di sapere e, quindi, di decidere se e come permettere il trattamento dei dati. 4) verifica dell’impatto dei nuovo diritti del soggetto interessato La nuova disciplina non solo ribadisce ed amplia la tutela dei diritti dell’interessato già esistenti, ma ne crea dei nuovi. Oltre infatti ai diritti conoscitivi dell’informativa ed accesso, sono disciplinati i c.d. diritti di controllo, quali la limitazione al trattamento, la revoca del consenso, il diritto all’oblio, ed altresì il diritto alla portabilità dei dati. E’ necessario quindi verificare le procedure interne atte a dare risposta ove l’interessato azioni i suoi diritti e, per quanto riguarda in particolare, il (nuovo) diritto alla portabilità valutare una eventuale riorganizzazione interna, atta a consentire all’interessato di poter ricevere i propri dati in formato strutturato, di uso comune e leggibile. 5) l’acquisizione del consenso Il consenso non è più scritto o verbale, ma per tutti libero (non condizionato), specifico (uno per ogni finalità), inequivocabile (certo) ed espresso. Per chi tratta poi dati sensibili deve essere anche “esplicito”. Poiché, poi, è in capo al titolare la prova di aver acquisito correttamente il consenso, occorre verificare con precisione il rapporto tra chiarezza della informativa e modalità di acquisizione dei diversi consensi a seconda delle diverse finalità. 6) il rispetto dell’accountability L’accountability è principio cardine del nuovo sistema: il titolare non è chiamato infatti al mero adempimento di un elenco di obblighi, ma è tenuto oggi a valutare i suoi trattamenti sotto il profilo del rischio, ad implementare le misure idonee e necessarie, a gestire il rischio residuo e, soprattutto, a dimostrare perché ha scelto quello misure (piuttosto che altre). Cambia quindi totalmente la prospettiva: da una logica meramente reattiva ad un atteggiamento assolutamente pro-attivo. Occorre quindi rivedere il processo interno di gestione del dato della ASL o dell’Ospedale sotto questa nuovo lente. 7) la privacy by design e by default e la valutazione di impatto il Regolamento introduce poi l’obbligo in capo al Titolare di implementare un sistema organizzativo coerente con la privacy by design e by default (vale a dire che il rispetto dei principi privacy è insito nella organizzazione del servizio o del prodotto ad origine ed in via predefinita). Ove poi l’erogazione del servizio (es. servizio sanitario) possa impattare fortemente sulla tutela dei dati va effettuata una valutazione di impatto che mira ad effettuare un bilanciamento tra benefici raggiungibili e rischio al quali di dati sono esposti. 8) Data Protection Officer E' una figura nuova, che svolge in parte attività di consulenza e formazione ed in parte attività di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi (corte di giustizia e WP 29) nonché competenza di natura tecnologia. Inoltre, proprio in ragione dei suoi compiti di controllo, non può essere in posizione di conflitto di interessi. 9) il trasferimento di dati Occorre accertarsi dove sono i propri dati e come vengono trattati, specie nel caso di cloud, di manutenzione da remoto o di uso di app. E’ poi necessario verificare se il paese dove eventualmente i dati risiedono o sono trasferiti ha un accordo con la UE, e quali sono i termini. 10) Data breach Già presente nel provvedimento del Garante sul Dossier sanitario, viene esteso dal Regolamento a tutti i trattamenti, prevedendo l’obbligo di comunicare eventuali violazione dei dati o del sistema. Le sanzioni sono poi altissime e possono arrivare fino a fino a 20 milioni di euro e/o 4% del fatturato mondiale annuo dell’azienda (art. 83 co 4 e 5). Avv. Silvia Stefanelli Studio Legale Stefanelli&Stefanelli
Cari Colleghi con l'arrivo di Maggio 2018 la direttiva "Regolamento (UE) 2016/679 del 27 aprile 2016 (Regolamento Generale sulla Protezione dei Dati), diventa obbligatoria per tutti. Chiunque abbia un computer con i dati dei pazienti (ma al limite anche un archivio cartaceo) è responsabile della conservazione dei dati e lo deve fare secondo quanto prevede la legge, stessa responsabilità per l'accesso ai dati da parte di segretarie, sostituti ecc.. Le sanzioni previste sono di tipo amministrativo (multe) ma anche penali con reclusione o compromissione della condizionale (vedi file allegato che riassume le sanzioni e le caratteristiche del corso offerto). Il corso FIMP offre, a costo estremamente calmierato, l'opportunità di ottenere l'attestato di formazione da parte di una ditta certificata, inoltre verrà illustrata la modulistica da usare per raccogliere un consenso "valido", per incaricare correttamente il sostituto, la segretaria ecc. e la stessa sarà poi messa a disposizione tramite FIMP Nazionale, sarà infine effettuata anche l'analisi delle problematiche specifiche di ciascuno rapportate al comportamento ideale. Negli anni successivi si procederà con l'implementazione del Codice di Condotta relativo a ciascuna situazione particolare. Il corso in buona sostanza ci consente di metterci in pari con gli obblighi a cui ci costringe la legge a costi estremamente competitivi per cui vi consigliamo caldamente di prendervi parte. Laddove la stragrande maggioranza dei Colleghi ha deciso di partecipare abbiamo visto che c'è la possibilità che sia istituita la guardia medica per il sabato mattina. La data riservata alla Marche è sabato 3 Marzo, qualora i partecipanti fossero un numero eccessivo ci riserviamo di organizzare un secondo corso. Qualora vogliate partecipare e non vi siate ancora prenotati vi preghiamo di contattare rapidamente i vostri Segretari Proviciali. Giuseppe Braico Costantino Gobbi
Cari Colleghi, il giorno 3 marzo, nel pomeriggio subito dopo il corso privacy, è possibile organizzare un corso sulla sicurezza in studio. Si è discusso e si discute ancora molto, se la legge interessi soltanto di chi ha dipendenti oppure anche coloro che lavorano senza di essi e, come sempre in Italia, non è sostanzialmente possibile avere un parere definitivo. Noi vi invitiamo a riflettere sulla possibilità che un nostro paziente possa farsi male nel nostro studio per qualsiasi ragione. Qualora si sviluppi poi un contenzioso è facile pensare che tra le prime contestazioni dell'avvocato ci sarà la non osservanza della legge sulla sicurezza dei luoghi "aperti al pubblico", vale la pena non essere in regola sperando in un'interpretazione benevola del giudice? Anche in questo caso siete pregati di contattare il vostro Segretario Provinciale. N.B. tra coloro che hanno fatto il corso lo scorso anno, pochi hanno fornito alla ditta il necessario per l'elaborazione del documento personale del rischio. Trattandosi della stessa persona, anche coloro che partecipano semplicemente al corso sulla privacy possono approfittarne per portare quanto meno la planimetria dello studio (meglio se anche con la certificazione della messa a norma dell'impianto elettrico) per avere il documento personale da conservare in studio. Giuseppe Braico Costantino Gobbi
|