Privacy

Trattamento dei dati personali di ogni soggetto - normativa vigente

 

 

RESPONSABILE DELLA PROTEZIONE DEI DATI

L'E.O. Ospedali Galliera ha nominato, con provv. n. 226 del 7/03/2018, Responsabile della protezione dei dati personali l'Avv. Mario Mazzeo; come previsto dall'art. 38 del Regolamento UE 2016/679 in materia di protezione dei dati personali, gli interessati - cioé le persone fisiche alle quali si riferiscono i dati personali - possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal citato regolamento.


INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI

(art. 13-14 Regolamento UE 2016/679 in materia di protezione dei dati personali)

(visualizza il modulo di informativa)

[ Torna a inizio pagina ]

RISERVATO AI FORNITORI


In adempimento a quanto disposto dagli articoli 33 e 34 del d.lgs. n.196 del 30/06/2003 ed in applicazione delle procedure stabilite dall'Ente nel Documento Programmatico sulla Sicurezza, redatto in ottemperanza all'art. 34 comma 1 lettera g) e al Disciplinare tecnico in materia di misure minime di sicurezza del decreto già citato, le ditte fornitrici di servizi di manutenzione delle procedure informatiche e delle basi di dati che da tali procedure vengono gestite oppure dei sistemi su cui tali basi di dati risiedono o che con tali basi di dati interagiscono:

  • sono autorizzate a svolgere interventi di manutenzione limitatamente a quanto di loro competenza in relazione agli obblighi derivanti dall'esecuzione del contratto; l'autorizzazione all'accesso è limitata ai soli dati necessari per effettuate le operazioni di manutenzione;
  • si impegnano ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell'espletamento del servizio. In particolare, le ditte si impegnano a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'esecuzione del servizio;
  • si impegnano a rispettare e far rispettare ai propri dipendenti, collaboratori e incaricati la disciplina in materia di protezione dei dati personali di cui al d.lgs. n.196 del 30/06/2003, nonché quanto disposto dall'Ente in materia di misure di sicurezza nel trattamento dei dati personali ed in particolare le modalità operative definite dall'Ente nel già citato Documento Programmatico sulla Sicurezza e richiamate qui di seguito;
  • si impegnano a comunicare per iscritto i nominativi delle persone incaricate di svolgere gli interventi di manutenzione ed a trasmettere tempestivamente eventuali variazioni alla lista di tale personale, affinché si possa provvedere alla configurazione di profili di autenticazione distinti per i diversi operatori ed a mantenere una lista aggiornata degli incaricati, come previsto dal già citato Disciplinare tecnico in materia di misure minime di sicurezza.

Gli interventi di manutenzione devono essere condotti nel rispetto delle seguenti modalità operative:

  • nel caso di interventi effettuati in loco l'accesso ai locali per la manutenzione deve essere svolto da personale qualificato, della cui identità la ditta deve dare preventiva comunicazione per iscritto; l'attività di manutenzione va compiuta preferibilmente nelle ore di apertura del servizio e comunque sempre alla presenza del personale tecnico della S.C. Informatica e Telecomunicazioni o del personale all'uopo incaricato della struttura presso cui si trova l'apparato oggetto di manutenzione. L'accesso e la permanenza di personale esterno per attività di manutenzione al di fuori dell'orario di apertura del servizio vengono registrati su apposito giornale;
  • nel caso di interventi effettuati tramite accesso remoto (da postazioni non direttamente connesse alla rete interna dell'Ente) ogni accesso deve essere preventivamente concordato con il personale della S.C. Informatica e Telecomunicazioni che provvederà a fornire informazioni per la connessione alla nostra rete; la ditta comunica per iscritto il nominativo dell'incaricato che effettuerà l'intervento di manutenzione e l'indirizzo IP della macchina che dovrà operare la connessione e si impegna ad adottare misure tali da garantire la sicurezza della trasmissione dei dati;
  • nel caso si presenti l'improrogabile necessità di asportare l'elaboratore o l'apparato oggetto di manutenzione per effettuare l'intervento presso i laboratori tecnici della ditta fornitrice del servizio, vengono concordate caso per caso le modalità di ritiro e riconsegna dell'apparecchiatura, nonché le precauzioni da adottare per garantire l'integrità e la riservatezza delle informazioni memorizzate; la ditta si impegna a fornire ai propri operatori adeguate istruzioni per la custodia dell'apparato al fine di evitare accessi non autorizzati o trattamenti non consentiti;
    la ditta si assume la responsabilità dell'integrità dei dati contenuti nei dispositivi di memoria di massa degli apparati oggetto dell'intervento di manutenzione, provvede a realizzare le copie di riserva di tali dati o fornisce al personale della S.C. Informatica e Telecomunicazioni precise istruzioni operative per ottenerle in sede; qualora provveda direttamente ad effettuare le copie di riserva fornisce ai propri operatori adeguate istruzioni per la custodia dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati o trattamenti non consentiti; i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero le informazioni precedentemente in essi contenute sono rese non intelligibili e tecnicamente in alcun modo ricostruibili.

[ Torna a inizio pagina ]

NORMATIVA


Dal 25/05/2018 entra definitivamente in vigore il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonch&ecute; alla libera circolazione di tali dati. Il governo italiano ha ricevuto, nel dicembre 2017, una delega dal parlamento per emanare un decreto legislativo di raccordo tra il Regolamento EU 2016/6791 e la normativa italiana. Il termine per emanare tale decreto è slittato dal 21 maggio al 22 agosto di quest’anno; in attesa di tale norma va comunque applicato il citato Regolamento europeo, che in caso di contrasto con la normativa italiana prevale comunque su quest’ultima.

Il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003 n. 196), in vigore dal 1/01/2004, compone in un testo unico tutte le disposizioni relative, anche indirettamente, alla data privacy emanate a partire dalla legge 675/1996.

Il Codice è diviso in tre parti:
· la prima è dedicata alla disposizioni generali
· la seconda riguarda i trattamenti di dati in settori specifici
· la terza affronta la materia della tutela dell'interessato, dell'organizzazione dell'ufficio del Garante per la protezione dei dati personali e delle sanzioni amministrative e penali

Per quanto riguarda i principi generali viene affermato il "diritto alla protezione dei dati personali" quale diritto fondamentale della persona e viene introdotto il "principio di necessità" in base al quale i sistemi informativi devono essere configurati in modo da assicurare che i dati personali e identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite.

Circa la notificazione al Garante viene ribaltata la precedente impostazione: mentre con la legge 675 doveva essere notificato ogni trattamento, con l'eccezione dei soggetti esplicitamente esentati, con la nuova normativa la notificazione dovrà essere effettuata solo nei particolari casi di trattamento di dati sensibili esplicitamente indicati nel decreto.

In ambito sanitario si semplifica l'informativa da rilasciare agli interessati e si consente di manifestare il necessario consenso al trattamento dei dati con un'unica dichiarazione resa al medico di famiglia o all'organismo sanitario (il consenso vale anche per la pluralità di trattamenti a fini di salute erogati da distinti reparti e unità dello stesso organismo, nonché da più strutture ospedaliere e territoriali).
Per il settore sanitario vengono inoltre codificate misure per il rispetto dei diritti del paziente: distanze di cortesia, modalità per appelli in sale di attesa, certezze e cautele nelle informazioni telefoniche e nelle informazioni sui ricoverati, estensione delle esigenze di riservatezza anche agli operatori sanitari non tenuti al segreto professionale.
Vengono introdotte (a partire dal 1 gennaio 2005) le cosiddette ricette impersonali, la possibilità cioè di non rendere sempre e in ogni caso immediatamente identificabili in farmacia gli intestatari di ricette attraverso un tagliando predisposto su carta copiativa che, oscurando il nome e l'indirizzo dell'assistito, consente comunque la visione di tali dati da parte del farmacista nei casi in cui sia necessario.
Per i dati genetici viene previsto il rilascio di un'apposita autorizzazione da parte del Garante, sentito il Ministro della salute.
Per quanto riguarda le cartelle cliniche sono previste particolari misure per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati (comprese le informazioni relative ai nascituri), ma anche specifiche cautele per il rilascio delle cartelle cliniche a persone diverse dall'interessato.

Vengono rafforzate le misure di sicurezza contro i rischi di distruzione, intrusione o uso improprio di dati personali: alle precauzioni già previste nella normativa precedente (password, codici identificativi, antivirus etc.) se ne aggiungono altre, che devono essere adottate entro il 30 giugno 2004 (es. lunghezza minima e vita operativa massima delle password, sistemi di cifratura, procedure per il ripristino dei dati).
Nel quadro dei più generali obblighi di sicurezza occorre prevedere misure volte ad assicurare un livello minimo di protezione dei dati personali; l'adozione delle misure minime di sicurezza, dettagliate in un disciplinare tecnico allegato al decreto che verrà periodicamente aggiornato, è condizione necessaria perché i trattamenti dati siano consentiti e l'omessa adozione delle misure minime è un illecito penale, ai sensi dell'art.169 del decreto, che prevede anche un inasprimento delle sanzioni.

[ Torna a inizio pagina ]

SICUREZZA INFORMATICA


Cosa intendiamo per sicurezza

Si pensa di solito alla sicurezza informatica in relazione all'attività dei cosiddetti hacker ed a più o meno fantasiosi resoconti giornalistici o romanzeschi di furti di informazioni. Qui per sicurezza informatica si intende qualcosa di più, strettamente collegato alla quotidiana attività di coloro che utilizzano strumenti informatici nel proprio lavoro:

  • riservatezza: garanzia che l'accesso ad un'informazione sia effettuato solamente da persone autorizzate
  • integrità: garanzia che un'informazione non venga modificata (o sia modificata solamente in modi accettabili e solo da persone autorizzate)
  • disponibilità: garanzia che gli utenti autorizzati possano accedere all'informazione quando ne hanno bisogno

Come proteggere i dati

  • utilizzare meccanismi di autenticazione per l'accesso ai dati sul computer
  • scegliere una adeguata password di accesso (evitare la scelta di password facilmente individuabili, quali nomi o parole reperibili su un vocabolario) e non divulgarla
  • effettuare periodicamente copia di backup dei dati (copia di sicurezza su supporto rimovibile) per essere in grado di ripristinare i dati in caso di problemi fisici del computer (danneggiamento del disco rigido, danni derivanti da problemi elettrici, etc.) o cause accidentali (es. cancellazione di dati per un errore umano)

Sicurezza dei computer in rete

  • un computer collegato in rete con altri computer può da questi ricevere informazioni; tra queste informazioni possono nascondersi programmi costruiti in modo tale da recare danni o provocare effetti non desiderati
  • utilizzando servizi di rete (es. posta elettronica o World Wide Web) le informazioni che trasmettiamo e riceviamo hanno la stessa riservatezza di una cartolina ed inoltre non sappiamo con chi abbiamo a che fare.

Misure di protezione contro i virus

L'adozione di misure di protezione contro i virus è espressamente prevista dalla normativa sulle misure minime di sicurezza nel trattamento dei dati personali. E' opportuno adottare i seguenti comportamenti:

  • usare regolarmente prodotti per la rilevazione dei virus (detti 'antivirus') ed aggiornarli periodicamente
  • non aprire un documento o un programma ricevuto dall'esterno senza averlo preventivamente esaminato con un antivirus
  • non configurare il programma di posta elettronica per l'apertura automatica dei file allegati
  • non contribuire a diffondere virus, quindi esaminare ogni file ricevuto dall'esterno prima di inviarlo ad altri

Sul server di posta elettronica dell'Ente è attivato un filtro antivirus costantemente aggiornato che provvede a bloccare i messaggi nei quali venga riscontrata la presenza di virus (il mittente riceve una segnalazione di notifica del mancato recapito).
Inoltre sui PC dell'ospedale è installato un programma antivirus che impedisce di utilizzare un file infetto e quindi di compromettere le funzionalità del PC. Il programma antivirus viene aggiornato periodicamente (al momento dell'accensione del PC e comunque almeno quotidianamente per le postazioni in ambiente Windows 98 e non appena si rendano disponibili gli aggiornamenti per le postazioni che utilizzano sistemi operativi più recenti).

Installazione di software

L'Ente ha definito con Ordine di Servizio n.ro 2 del 22/04/2002 la disciplina dei collegamenti ai servizi di Internet ed Intranet. Tra le altre cose questo OdS si occupa di installazione di software e stabilisce all'art. 11 che:

  • il software 'scaricato' dalla rete Internet è soggetto alle stesse restrizioni del software non acquisito per il tramite della S.C. Informatica e Telecomunicazioni; pertanto deve essere preventivamente autorizzato dalla S.C. Informatica e Telecomunicazioni che provvederà alle valutazioni di compatibilità con l'hardware ed il software residente
  • non potranno essere forniti supporto e consulenza sulle installazioni effettuate in violazione dei principi enunciati.

Oltre ai potenziali rischi derivanti dall'installazione di programmi di origine incerta e dal comportamento non ben documentato, c'è da considerare che i programmi per elaboratore sono protetti dalla normativa sul diritto d'autore e che l'utilizzo di un programma è regolato dalla licenza d'uso che lo accompagna (e ciò è vero anche nel caso di programmi liberamente reperibili su internet).

Misure di sicurezza adottate dall'Ente

L'Ente ha deliberato un Documento Programmatico sulla Sicurezza contenente l'indicazione delle misure adottate per proteggere e controllare l'accesso a dati ed elaboratori e assicurarne l'integrità. In tale documento, sottoposto a periodici aggiornamenti anche in relazione all'evoluzione tecnologica, vengono tra l'altro descritte le procedure di sicurezza utilizzate per l'iscrizione, l'identificazione e l'autenticazione degli utenti in rete.
L'Ente ha inoltre definito con l'Ordine di Servizio n.ro 2 del 22/04/2002, già richiamato in precedenza a proposito dell'installazione di software, la disciplina dei collegamenti ai servizi di Internet ed Intranet.
Le richieste di accesso ai servizi vengono valutate dal direttore competente sotto il profilo dell'opportunità e della congruenza della richiesta all'attività del richiedente e trasmesse tramite appositi modulo (disponibile nelle pagine interne del sito dell'Ente) alla S.C. Informatica e Telecomunicazioni, che definisce le modalità tecniche con cui attivare l'accesso.
L'utente è considerato responsabile di tutti i problemi riconducibili al non rispetto delle regole previste dall'OdS (malfunzionamenti, problemi di sicurezza, danni verso terzi, perdite di dati, fattispecie riconducibili alla violazione della normativa sulla data privacy e sulla tutela giuridica dei programmi da elaboratore) ed è prevista (art. 12) la possibilità di interrompere l'erogazione del servizio in caso di utilizzi impropri degli strumenti informativi dell'Ente.

Raccomandazioni per gli incaricati

  • mantenere riservata la propria password e provvedere periodicamente alla sua modifica (evitando la scelta di password facilmente individuabili, quali nomi o parole reperibili su un vocabolario)
  • partecipare alla custodia fisica della propria postazione di lavoro (ad es. evitare che, lasciando aperta la sessione di lavoro di un programma o acceso l'elaboratore al termine dell'utilizzo, le proprie credenziali in rete possano essere utilizzate da altri); qualora si fosse costretti ad assentarsi frequentemente dalla postazione di lavoro si può utilizzare un salvaschermo protetto da password, per evitare di disconnettersi e ricollegarsi ripetutamente
  • collaborare con il personale della S.C. Informatica e Telecomunicazioni per individuare, prevenire e rimuovere eventuali lacune nell'attuazione delle misure a protezione dell'accesso ai dati o accidentali intrusioni derivanti da inadeguato utilizzo delle risorse messe a disposizione
  • non divulgare a chicchessia dati di natura personale se non espressamente autorizzati o se tale divulgazione non costituisce un obbligo di legge noto

Le raccomandazioni sopra richiamate possono apparire quasi offensive per chi è abituato a svolgere diligentemente i propri compiti ed in particolare per chi è già tenuto all'obbligo di riservatezza dal codice deontologico della propria professione. Segnaliamo comunque che la normativa sulla protezione dei dati personali è in un certo senso più stringente dell'obbligo di segreto professionale previsto dai codici deontologici delle professioni sanitarie: per violare quest'ultimo infatti occorre un comportamento attivo da parte del professionista (l'atto di rivelare qualcosa che deve rimanere riservato), mentre per la normativa sulla protezione dei dati personali anche l'omissione dell'adozione di misure di sicurezza può essere sanzionabile.
Inoltre l'art. 15 del d.lgs. 30 giugno 2003 n. 196 prevede che "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile". L'art. 2050 del codice civile prevede che nell'esercizio di attività pericolose ("per loro natura o per la natura dei mezzi adoperati") colui che viene accusato di avere procurato dei danni a terzi è tenuto al risarcimento "se non prova di avere adottato tutte le misure idonee a evitare il danno" (si inverte l'onere della prova, che normalmente è a carico dell'accusa).

Sicurezza e qualità del lavoro

Si tende in genere ad associare le misure di sicurezza ad un insieme di divieti (o comunque di vincoli - laddove prima "tutto era permesso") rendendo l'uso del computer ancora più complicato. Può essere utile guardare invece alla sicurezza in positivo, come strumento per garantire la disponibilità di un servizio agli utenti autorizzati (compresi coloro che contribuiscono ad erogare il servizio stesso).
Le attività relative alla sicurezza informatica non sono solamente una assicurazione per non incorrere nelle sanzioni previste dalla normativa vigente, ma contribuiscono a garantirsi dal rischio di perdere o comunque compromettere il lavoro svolto.

[ Torna a inizio pagina ]

Azioni sul documento