Privacy

Trattamento dei dati personali di ogni soggetto - normativa vigente

 

 

Responsabili


Trattamenti di competenza

conservazione delle cartelle cliniche dal momento della loro consegna all'Archivio centrale cartelle cliniche

Direttori delle Strutture Complesse e Responsabili delle Strutture Semplici afferenti alla Direzione Sanitaria
[per l'esercizio dei propri diritti, gli interessati possono rivolgersi all'U.R.P. oppure presso gli uffici di accettazione amministrativa]:

trattamenti inerenti la gestione delle prestazioni di assistenza erogate dall'Ente, ad eccezione della conservazione delle cartelle cliniche nell'Archivio centrale

Medico competente, di cui al d.lgs. 19 settembre 1994 n.626
trattamenti connessi alle attività certificatorie relative all'accertamento di idoneità fisica dei dipendenti ed alle attività finalizzate alla tutela dai rischi infortunistici e sanitari connessi con l'ambiente di lavoro

Medico autorizzato, di cui al d.lgs.17 marzo 1995 n. 230
trattamenti connessi alla sorveglianza medica dei lavoratori esposti al rischio da radiazioni ionizzanti

Direttore del dipartimento gestione delle risorse economiche
trattamenti inerenti i dati dei fornitori e dei consulenti e trattamenti connessi alla fatturazione delle prestazioni erogate

Dirigente della S.C. Gestione risorse umane
trattamenti inerenti i dati dei dipendenti e del personale con incarichi di lavoro autonomo ed assimilato al lavoro dipendente

Dirigente della S.C. Affari generali
trattamenti inerenti i dati dei conduttori degli immobili e delle pratiche assicurative dell'Ente ospedaliero

Dirigente della S.C. Laboratorio di genetica
trattamenti inerenti dati di natura genetica (esclusi quelli trattati dall'IBMDR)

Dirigente della S.C. Laboratorio di Istocompatibilità / IBMDR
trattamenti inerenti dati connessi alla gestione del Registro Italiano Donatori di Midollo Osseo (internazionalmente noto come Italian Bone Marrow Donor Registry o IBMDR) ed alla gestione del Registro regionale ligure dei donatori di midollo osseo

Dirigente responsabile della S.C. Informatica e Telecomunicazioni
trattamenti informatici e sicurezza logica e fisica delle banche dati facenti capo al sistema informatico centrale ed al Registro Italiano Donatori di Midollo Osseo (IBMDR)

Adempimenti relativi alle disposizioni del Garante per la protezione dei dati personali in materia di amministratori di sistema.
In relazione al provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 pubblicato sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008 (e successivamente modificato dal provvedimento del 25 giugno 2009, pubblicato sulla G.U. n. 149 del 30 giugno 2009) intitolato “Misure e accorgimenti prescritti ai titolari di trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”,visto l'obbligo  “di consentire più agevolmente, nei dovuti casi, la conoscibilità dell'esistenza di tali figure all'interno di enti e organizzazioni” che nella f.a.q 18 è precisato sussistere “per i soli trattamenti inerenti i dati del personale e dei lavoratori”, si allega l'elenco con accesso riservato agli utenti autorizzati.

 

Dirigente della S.S.C. Formazione
trattamenti inerenti i dati degli allievi della scuola i.p. e del personale non dipendente eventualmente partecipante ad altri corsi organizzati dall'Ente ospedaliero

Dirigente amministrativo della S.C. Macroarea tecnico-contrattualistica
trattamenti inerenti dati dei fornitori di servizi attinenti l'architettura e l'ingegneria e dati delle imprese esecutrici dei lavori pubblici

Direttore della farmacia aperta al pubblico
trattamenti effettuati nell'ambito dell'attività della farmacia aperta al pubblico, con particolare riferimento ai trattamenti inerenti dati contenuti nelle ricette relative a prescrizioni di medicinali


INFORMATIVA E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI

(D. Lgs. 30.6.2003, n.196 "Codice in materia di protezione dei dati personali")

(visualizza il modulo su informativa e consenso)

La informiamo che la citata legge (nel seguito “Codice privacy”) prevede la tutela dei dati personali, nel pieno rispetto dei diritti e delle libertà fondamentali, oltre che delle norme sul segreto professionale. Ai fini di tale norma ed utilizzando le modalità semplificate relative all'informativa ed al consenso (che permettono di esprimere il consenso in occasione del primo contatto, evitando di ripetere questa procedura in occasione di successivi trattamenti), La informiamo di quanto segue.

1. Finalità del trattamento

I dati personali di ogni soggetto, con particolare riferimento a quelli riferiti allo stato di salute, sono trattati per le finalità istituzionali, funzionali e di ricerca, correlate all’erogazione al soggetto interessato delle prestazioni terapeutiche, diagnostiche e riabilitative necessarie per il medesimo. Potranno essere trattati dati sanitari riguardanti i familiari della persona assistita, solo se strettamente indispensabili a giudizio del professionista sanitario responsabile delle cure della persona.

2. Modalità del trattamento

a) Titolare del trattamento è l’E.O. Ospedali Galliera, con sede in Genova, Mura delle Cappuccine 14.

b) Il trattamento dei dati è effettuato tramite il personale sanitario e amministrativo dipendente, nonché tramite personale consulente o convenzionato.

c) Il trattamento è eseguito sia con strumenti manuali che informatici, comunque con l’osservanza di misure di sicurezza in grado di garantire che solo personale autorizzato possa conoscere le informazioni che riguardano la persona assistita e di ridurre al minimo i rischi di perdita, distruzione o accesso non autorizzato ai suoi dati.

d) Il trattamento dei dati è indispensabile per poter effettuare le prestazioni richieste e/o necessarie per la tutela della salute della persona assistita. Il mancato consenso al trattamento dei dati, con l'eccezione dei trattamenti in emergenza e di quelli disposti da Autorità Pubblica (Sindaco, Autorità Giudiziaria) comporta l'impossibilità di erogare la prestazione sanitaria.

e) I Direttori delle Strutture Complesse ed i Responsabili delle Strutture Semplici afferenti ai Dipartimenti sanitari ed allo Staff della Direzione Sanitaria sono responsabili dei trattamenti dei dati effettuati nelle rispettive strutture, mentre il Direttore Sanitario è responsabile del trattamento di conservazione delle cartelle cliniche dal momento della loro consegna all'Archivio centrale cartelle cliniche. Presso l'U.R.P. e gli uffici di accettazione amministrativa delegati, l’interessato potrà esercitare i propri diritti ai sensi dell’art.8 della citata legge; presso tali uffici sono inoltre disponibili le informazioni relative agli altri Responsabili per il trattamento dati. L’elenco aggiornato dei responsabili è disponibile inoltre sul sito dell’Ente, all’indirizzo https://www.galliera.it.

3. Ambito di comunicazione dei dati

I dati anagrafici, anamnestici e clinici di ogni soggetto saranno resi disponibili al personale sanitario, nelle diverse unità operative dell’Ente, per le attività di diagnosi, cura, prevenzione e riabilitazione e potranno essere trasmessi, per quanto di specifica competenza e in base agli obblighi stabiliti dalle norme vigenti, agli enti pubblici aventi diritto; i dati di cui sopra potranno inoltre essere comunicati a Registri per studi clinici gestiti da Istituti di ricerca accreditati presso l'Istituto Superiore di Sanità o il Ministero della Salute, alla compagnia assicurativa dell'Ente per la tutela dello stesso e dei suoi operatori per le ipotesi di responsabilità e, dietro specifica richiesta, all’autorità giudiziaria.

In caso di ricovero la persona assistita ha diritto di richiedere che non vengano rilasciate notizie della propria presenza in ospedale e della dislocazione del ricovero stesso. Al di là delle comunicazioni che questo Ente è tenuto ad effettuare per gli obblighi previsti dalla normativa vigente, previa sottoscrizione specifica dell’avente titolo, l’ambito della comunicazione potrà essere esteso per la consultazione ed acquisizione telematica della documentazione sanitaria a favore:

  1. del paziente stesso;

  2. del fiduciario sanitario eventualmente designato dal paziente.

4. Diritti dell'interessato

L'art 7 del Codice Privacy elenca i diritti dell'interessato (cioè della persona a cui si riferiscono i dati personali) in relazione al trattamento dei propri dati. L'interessato ha diritto di ottenere:

  • la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma comprensibile;

  • l'indicazione dell'origine dei dati personali, delle finalità e modalità del trattamento;, della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati;

  • l'aggiornamento, la rettifica ovvero, quando vi ha interesse, l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, se contenuti in documenti suscettibili di tali modifiche.

5. Informativa sul trattamento dei dati sanitari con Dossier Sanitario Elettronico (DSE)

Il DSE è uno strumento di raccolta di dati sanitari in formato elettronico, contenente diverse informazioni inerenti lo stato di salute del paziente relative a eventi clinici presenti e passati, trattati presso questo Ente (ad es. documentazione relativa a ricoveri, prestazioni ambulatoriali, accessi al pronto soccorso), volto a documentare la storia clinica della persona assistita.

Il trattamento dei dati sanitari tramite il dossier è effettuato al fine di migliorare i processi di prevenzione, diagnosi, cura e riabilitazione e permette ai professionisti sanitari dell’Ente, che di volta in volta prendono in cura il paziente, di consultare le informazioni prodotte nell'ambito dell’Ente, e non solo quelle prodotte all'interno del singolo reparto. Solamente i soggetti autorizzati dall'Ente possono consultare il DSE, a seguito di una procedura di autenticazione che ne verifichi l'identità e l'ambito di visibilità dei dati in relazione al ruolo svolto ed alla collocazione nell'organizzazione aziendale, nel rispetto delle finalità sopra elencate, quindi in relazione al percorso di cura del paziente.

La costituzione del DSE è possibile solamente con il consenso del paziente (o di chi lo rappresenta). Il consenso alla costituzione del DSE è necessario anche per fruire del servizio “Referti Web”. Qualora Lei non intenda autorizzare la costituzione di tale dossier, l'Ente Le garantisce comunque la possibilità di accedere alle cure.

In aggiunta ai diritti elencati al punto 4, nel caso di dati personali trattati tramite DSE l'interessato ha diritto di oscurare dati la documentazione relativa ai singoli accessi ambulatoriali e agli episodi di ricovero e di accesso al Pronto Soccorso, cioè di non rendere visibili questi dati nell'ambito del DSE. L'oscuramento dell'evento clinico, revocabile, può essere richiesto al momento dell'accettazione amministrativa oppure, successivamente all'erogazione della prestazione, va richiesto mediante la sottoscrizione di un apposito modulo in cui siano elencati i dati che l'interessato non vuole rendere accessibili tramite DSE. L'interessato ha inoltre diritto a richiedere informazioni sugli accessi eseguiti sul proprio DSE e di ottenere indicazioni su data e ora degli accessi, nonché sulle strutture/reparti che hanno effettuato tali accessi.

Si tenga presente che la negazione del consenso, limitando l'accesso alle proprie informazioni cliniche, potrebbe realizzare grave pregiudizio per l'esito delle cure che Le potranno essere prestate.

CONFERIMENTO DEL CONSENSO (decreto legislativo 30 giugno 2003 n. 196)

Il sottoscritto/a __________________________________________________________________

nato/a a _________________________________________________________ il ____________

e residente in ___________________________________________________________________

dichiara di aver preso visione delle informazioni riportate nel documento “INFORMATIVA E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI” allegato ed esprime altresì il proprio consenso al trattamento e alla comunicazione dei propri dati personali e sanitari.

Firma di presa visione ed accettazione (*)

Data _____________ ___________________________________

 

CONSENSO O REVOCA ALLA CONSULTAZIONE DEL DOSSIER SANITARIO ELETTRONICO (DSE) E DEI DOCUMENTI CLINICI VIA WEB

Il sottoscritto/a ___________________________________________________________________

dichiara di aver preso visione delle informazioni riportate nel documento “INFORMATIVA E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI” allegato ed esprime altresì il proprio consenso al trattamento e alla comunicazione dei propri dati personali e sanitari tramite Dossier Sanitario Elettronico (DSE)

□ limitatamente ai dati sanitari prodotti da oggi in poi (barrando questa casella nego il consenso all'inserimento nel DSE dei dati sanitari prodotti in passato; NON barrando questa casella acconsento a rendere consultabili nel DSE i dati sanitari pregressi)

e contestualmente

□ fa richiesta di utilizzo del servizio di consultazione dei documenti clinici via Web

della propria documentazione sanitaria secondo quanto dettagliatamente indicato nel “REGOLAMENTO DEL SERVIZIO DI CONSEGNA TELEMATICA DI DOCUMENTI CLINICI” affisso allo sportello e pubblicato all’indirizzohttps://referti.galliera.it, inclusi i risultati degli eventuali esami concernenti l'HIV.


Firma di presa visione ed accettazione

Data _____________ ________________________________

in caso di minore è richiesta la firma del genitore/tutore titolare della potestà genitoriale; in caso di soggetto disabile è richiesta la firma da parte del tutore e/o curatore e/o amministratore di sostegno muniti di valido titolo legittimante.

[ Torna a inizio pagina ]

Riservato ai fornitori


In adempimento a quanto disposto dagli articoli 33 e 34 del d.lgs. n.196 del 30/06/2003 ed in applicazione delle procedure stabilite dall'Ente nel Documento Programmatico sulla Sicurezza, redatto in ottemperanza all'art. 34 comma 1 lettera g) e al Disciplinare tecnico in materia di misure minime di sicurezza del decreto già citato, le ditte fornitrici di servizi di manutenzione delle procedure informatiche e delle basi di dati che da tali procedure vengono gestite oppure dei sistemi su cui tali basi di dati risiedono o che con tali basi di dati interagiscono:

  • sono autorizzate a svolgere interventi di manutenzione limitatamente a quanto di loro competenza in relazione agli obblighi derivanti dall'esecuzione del contratto; l'autorizzazione all'accesso è limitata ai soli dati necessari per effettuate le operazioni di manutenzione;
  • si impegnano ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell'espletamento del servizio. In particolare, le ditte si impegnano a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'esecuzione del servizio;
  • si impegnano a rispettare e far rispettare ai propri dipendenti, collaboratori e incaricati la disciplina in materia di protezione dei dati personali di cui al d.lgs. n.196 del 30/06/2003, nonché quanto disposto dall'Ente in materia di misure di sicurezza nel trattamento dei dati personali ed in particolare le modalità operative definite dall'Ente nel già citato Documento Programmatico sulla Sicurezza e richiamate qui di seguito;
  • si impegnano a comunicare per iscritto i nominativi delle persone incaricate di svolgere gli interventi di manutenzione ed a trasmettere tempestivamente eventuali variazioni alla lista di tale personale, affinché si possa provvedere alla configurazione di profili di autenticazione distinti per i diversi operatori ed a mantenere una lista aggiornata degli incaricati, come previsto dal già citato Disciplinare tecnico in materia di misure minime di sicurezza.

Gli interventi di manutenzione devono essere condotti nel rispetto delle seguenti modalità operative:

  • nel caso di interventi effettuati in loco l'accesso ai locali per la manutenzione deve essere svolto da personale qualificato, della cui identità la ditta deve dare preventiva comunicazione per iscritto; l'attività di manutenzione va compiuta preferibilmente nelle ore di apertura del servizio e comunque sempre alla presenza del personale tecnico della S.C. Informatica e Telecomunicazioni o del personale all'uopo incaricato della struttura presso cui si trova l'apparato oggetto di manutenzione. L'accesso e la permanenza di personale esterno per attività di manutenzione al di fuori dell'orario di apertura del servizio vengono registrati su apposito giornale;
  • nel caso di interventi effettuati tramite accesso remoto (da postazioni non direttamente connesse alla rete interna dell'Ente) ogni accesso deve essere preventivamente concordato con il personale della S.C. Informatica e Telecomunicazioni che provvederà a fornire informazioni per la connessione alla nostra rete; la ditta comunica per iscritto il nominativo dell'incaricato che effettuerà l'intervento di manutenzione e l'indirizzo IP della macchina che dovrà operare la connessione e si impegna ad adottare misure tali da garantire la sicurezza della trasmissione dei dati;
  • nel caso si presenti l'improrogabile necessità di asportare l'elaboratore o l'apparato oggetto di manutenzione per effettuare l'intervento presso i laboratori tecnici della ditta fornitrice del servizio, vengono concordate caso per caso le modalità di ritiro e riconsegna dell'apparecchiatura, nonché le precauzioni da adottare per garantire l'integrità e la riservatezza delle informazioni memorizzate; la ditta si impegna a fornire ai propri operatori adeguate istruzioni per la custodia dell'apparato al fine di evitare accessi non autorizzati o trattamenti non consentiti;
    la ditta si assume la responsabilità dell'integrità dei dati contenuti nei dispositivi di memoria di massa degli apparati oggetto dell'intervento di manutenzione, provvede a realizzare le copie di riserva di tali dati o fornisce al personale della S.C. Informatica e Telecomunicazioni precise istruzioni operative per ottenerle in sede; qualora provveda direttamente ad effettuare le copie di riserva fornisce ai propri operatori adeguate istruzioni per la custodia dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati o trattamenti non consentiti; i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero le informazioni precedentemente in essi contenute sono rese non intelligibili e tecnicamente in alcun modo ricostruibili.

[ Torna a inizio pagina ]

Normativa


Il nuovo Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003 n. 196), in vigore dal 1/01/2004, compone in un testo unico tutte le disposizioni relative, anche indirettamente, alla data privacy emanate a partire dalla legge 675/1996. Non si limita comunque a riproporre la normativa esistente ma introduce diverse importanti innovazioni.

Il Codice è diviso in tre parti:
· la prima è dedicata alla disposizioni generali
· la seconda riguarda i trattamenti di dati in settori specifici
· la terza affronta la materia della tutela dell'interessato, dell'organizzazione dell'ufficio del Garante per la protezione dei dati personali e delle sanzioni amministrative e penali

Per quanto riguarda i principi generali viene affermato il "diritto alla protezione dei dati personali" quale diritto fondamentale della persona e viene introdotto il "principio di necessità" in base al quale i sistemi informativi devono essere configurati in modo da assicurare che i dati personali e identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite.

Circa la notificazione al Garante viene ribaltata la precedente impostazione: mentre con la legge 675 doveva essere notificato ogni trattamento, con l'eccezione dei soggetti esplicitamente esentati, con la nuova normativa la notificazione dovrà essere effettuata solo nei particolari casi di trattamento di dati sensibili esplicitamente indicati nel decreto.

In ambito sanitario si semplifica l'informativa da rilasciare agli interessati e si consente di manifestare il necessario consenso al trattamento dei dati con un'unica dichiarazione resa al medico di famiglia o all'organismo sanitario (il consenso vale anche per la pluralità di trattamenti a fini di salute erogati da distinti reparti e unità dello stesso organismo, nonché da più strutture ospedaliere e territoriali).
Per il settore sanitario vengono inoltre codificate misure per il rispetto dei diritti del paziente: distanze di cortesia, modalità per appelli in sale di attesa, certezze e cautele nelle informazioni telefoniche e nelle informazioni sui ricoverati, estensione delle esigenze di riservatezza anche agli operatori sanitari non tenuti al segreto professionale.
Vengono introdotte (a partire dal 1 gennaio 2005) le cosiddette ricette impersonali, la possibilità cioè di non rendere sempre e in ogni caso immediatamente identificabili in farmacia gli intestatari di ricette attraverso un tagliando predisposto su carta copiativa che, oscurando il nome e l'indirizzo dell'assistito, consente comunque la visione di tali dati da parte del farmacista nei casi in cui sia necessario.
Per i dati genetici viene previsto il rilascio di un'apposita autorizzazione da parte del Garante, sentito il Ministro della salute.
Per quanto riguarda le cartelle cliniche sono previste particolari misure per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati (comprese le informazioni relative ai nascituri), ma anche specifiche cautele per il rilascio delle cartelle cliniche a persone diverse dall'interessato.

Vengono rafforzate le misure di sicurezza contro i rischi di distruzione, intrusione o uso improprio di dati personali: alle precauzioni già previste nella normativa precedente (password, codici identificativi, antivirus etc.) se ne aggiungono altre, che devono essere adottate entro il 30 giugno 2004 (es. lunghezza minima e vita operativa massima delle password, sistemi di cifratura, procedure per il ripristino dei dati).
Nel quadro dei più generali obblighi di sicurezza occorre prevedere misure volte ad assicurare un livello minimo di protezione dei dati personali; l'adozione delle misure minime di sicurezza, dettagliate in un disciplinare tecnico allegato al decreto che verrà periodicamente aggiornato, è condizione necessaria perché i trattamenti dati siano consentiti e l'omessa adozione delle misure minime è un illecito penale, ai sensi dell'art.169 del decreto, che prevede anche un inasprimento delle sanzioni.

[ Torna a inizio pagina ]

Punti essenziali della normativa

Dati personali e dati sensibili

Dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

Dati sensibili sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

 

Cos'è un trattamento di dati personali

Si intende per trattamento qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

Diritti dell'interessato

  1. L'interessato (cioè la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali) ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
  2. L'interessato ha diritto di ottenere l'indicazione
    a) dell'origine dei dati personali;
    b) delle finalità e modalità del trattamento;
    c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
    d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
    e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
  3. L'interessato ha diritto di ottenere:
    a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
    b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
    c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
  4. L'interessato ha diritto di opporsi, in tutto o in parte:
    a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale." (art. 7)

Informativa

  1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
    a) le finalità e le modalità del trattamento cui sono destinati i dati;
    b) la natura obbligatoria o facoltativa del conferimento dei dati;
    c) le conseguenze di un eventuale rifiuto di rispondere;
    d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
    e) i diritti di cui all'articolo 7;
    f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile." (art.13 comma 1)

Responsabilità della protezione dei dati

"Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza." (art.28)
Il responsabile del trattamento, designato dal titolare facoltativamente, è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza ed effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e delle proprie istruzioni. (art. 29)
"Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite." (art. 30 comma 1)

Modalità del trattamento e misure di sicurezza

  1. I dati personali oggetto di trattamento sono:

    a) trattati in modo lecito e secondo correttezza;
    b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
    c) esatti e, se necessario, aggiornati;
    d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
    e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
  2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati." (art. 11)
  3. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta." (art. 31 - Obblighi di sicurezza)

[ Torna a inizio pagina ]

Sicurezza informatica


Cosa intendiamo per sicurezza

Si pensa di solito alla sicurezza informatica in relazione all'attività dei cosiddetti hacker ed a più o meno fantasiosi resoconti giornalistici o romanzeschi di furti di informazioni. Qui per sicurezza informatica si intende qualcosa di più, strettamente collegato alla quotidiana attività di coloro che utilizzano strumenti informatici nel proprio lavoro:

  • riservatezza: garanzia che l'accesso ad un'informazione sia effettuato solamente da persone autorizzate
  • integrità: garanzia che un'informazione non venga modificata (o sia modificata solamente in modi accettabili e solo da persone autorizzate)
  • disponibilità: garanzia che gli utenti autorizzati possano accedere all'informazione quando ne hanno bisogno

Come proteggere i dati

  • utilizzare meccanismi di autenticazione per l'accesso ai dati sul computer
  • scegliere una adeguata password di accesso (evitare la scelta di password facilmente individuabili, quali nomi o parole reperibili su un vocabolario) e non divulgarla
  • effettuare periodicamente copia di backup dei dati (copia di sicurezza su supporto rimovibile) per essere in grado di ripristinare i dati in caso di problemi fisici del computer (danneggiamento del disco rigido, danni derivanti da problemi elettrici, etc.) o cause accidentali (es. cancellazione di dati per un errore umano)

Sicurezza dei computer in rete

  • un computer collegato in rete con altri computer può da questi ricevere informazioni; tra queste informazioni possono nascondersi programmi costruiti in modo tale da recare danni o provocare effetti non desiderati
  • utilizzando servizi di rete (es. posta elettronica o World Wide Web) le informazioni che trasmettiamo e riceviamo hanno la stessa riservatezza di una cartolina ed inoltre non sappiamo con chi abbiamo a che fare.

Misure di protezione contro i virus

L'adozione di misure di protezione contro i virus è espressamente prevista dalla normativa sulle misure minime di sicurezza nel trattamento dei dati personali. E' opportuno adottare i seguenti comportamenti:

  • usare regolarmente prodotti per la rilevazione dei virus (detti 'antivirus') ed aggiornarli periodicamente
  • non aprire un documento o un programma ricevuto dall'esterno senza averlo preventivamente esaminato con un antivirus
  • non configurare il programma di posta elettronica per l'apertura automatica dei file allegati
  • non contribuire a diffondere virus, quindi esaminare ogni file ricevuto dall'esterno prima di inviarlo ad altri

Sul server di posta elettronica dell'Ente è attivato un filtro antivirus costantemente aggiornato che provvede a bloccare i messaggi nei quali venga riscontrata la presenza di virus (il mittente riceve una segnalazione di notifica del mancato recapito).
Inoltre sui PC dell'ospedale è installato un programma antivirus che impedisce di utilizzare un file infetto e quindi di compromettere le funzionalità del PC. Il programma antivirus viene aggiornato periodicamente (al momento dell'accensione del PC e comunque almeno quotidianamente per le postazioni in ambiente Windows 98 e non appena si rendano disponibili gli aggiornamenti per le postazioni che utilizzano sistemi operativi più recenti).

Installazione di software

L'Ente ha definito con Ordine di Servizio n.ro 2 del 22/04/2002 la disciplina dei collegamenti ai servizi di Internet ed Intranet. Tra le altre cose questo OdS si occupa di installazione di software e stabilisce all'art. 11 che:

  • il software 'scaricato' dalla rete Internet è soggetto alle stesse restrizioni del software non acquisito per il tramite della S.C. Informatica e Telecomunicazioni; pertanto deve essere preventivamente autorizzato dalla S.C. Informatica e Telecomunicazioni che provvederà alle valutazioni di compatibilità con l'hardware ed il software residente
  • non potranno essere forniti supporto e consulenza sulle installazioni effettuate in violazione dei principi enunciati.

Oltre ai potenziali rischi derivanti dall'installazione di programmi di origine incerta e dal comportamento non ben documentato, c'è da considerare che i programmi per elaboratore sono protetti dalla normativa sul diritto d'autore e che l'utilizzo di un programma è regolato dalla licenza d'uso che lo accompagna (e ciò è vero anche nel caso di programmi liberamente reperibili su internet).

Misure di sicurezza adottate dall'Ente

L'Ente ha deliberato un Documento Programmatico sulla Sicurezza contenente l'indicazione delle misure adottate per proteggere e controllare l'accesso a dati ed elaboratori e assicurarne l'integrità. In tale documento, sottoposto a periodici aggiornamenti anche in relazione all'evoluzione tecnologica, vengono tra l'altro descritte le procedure di sicurezza utilizzate per l'iscrizione, l'identificazione e l'autenticazione degli utenti in rete.
L'Ente ha inoltre definito con l'Ordine di Servizio n.ro 2 del 22/04/2002, già richiamato in precedenza a proposito dell'installazione di software, la disciplina dei collegamenti ai servizi di Internet ed Intranet.
Le richieste di accesso ai servizi vengono valutate dal direttore competente sotto il profilo dell'opportunità e della congruenza della richiesta all'attività del richiedente e trasmesse tramite appositi modulo (disponibile nelle pagine interne del sito dell'Ente) alla S.C. Informatica e Telecomunicazioni, che definisce le modalità tecniche con cui attivare l'accesso.
L'utente è considerato responsabile di tutti i problemi riconducibili al non rispetto delle regole previste dall'OdS (malfunzionamenti, problemi di sicurezza, danni verso terzi, perdite di dati, fattispecie riconducibili alla violazione della normativa sulla data privacy e sulla tutela giuridica dei programmi da elaboratore) ed è prevista (art. 12) la possibilità di interrompere l'erogazione del servizio in caso di utilizzi impropri degli strumenti informativi dell'Ente.

Raccomandazioni per gli incaricati

  • mantenere riservata la propria password e provvedere periodicamente alla sua modifica (evitando la scelta di password facilmente individuabili, quali nomi o parole reperibili su un vocabolario)
  • partecipare alla custodia fisica della propria postazione di lavoro (ad es. evitare che, lasciando aperta la sessione di lavoro di un programma o acceso l'elaboratore al termine dell'utilizzo, le proprie credenziali in rete possano essere utilizzate da altri); qualora si fosse costretti ad assentarsi frequentemente dalla postazione di lavoro si può utilizzare un salvaschermo protetto da password, per evitare di disconnettersi e ricollegarsi ripetutamente
  • collaborare con il personale della S.C. Informatica e Telecomunicazioni per individuare, prevenire e rimuovere eventuali lacune nell'attuazione delle misure a protezione dell'accesso ai dati o accidentali intrusioni derivanti da inadeguato utilizzo delle risorse messe a disposizione
  • non divulgare a chicchessia dati di natura personale se non espressamente autorizzati o se tale divulgazione non costituisce un obbligo di legge noto

Le raccomandazioni sopra richiamate possono apparire quasi offensive per chi è abituato a svolgere diligentemente i propri compiti ed in particolare per chi è già tenuto all'obbligo di riservatezza dal codice deontologico della propria professione. Segnaliamo comunque che la normativa sulla protezione dei dati personali è in un certo senso più stringente dell'obbligo di segreto professionale previsto dai codici deontologici delle professioni sanitarie: per violare quest'ultimo infatti occorre un comportamento attivo da parte del professionista (l'atto di rivelare qualcosa che deve rimanere riservato), mentre per la normativa sulla protezione dei dati personali anche l'omissione dell'adozione di misure di sicurezza può essere sanzionabile.
Inoltre l'art. 15 del d.lgs. 30 giugno 2003 n. 196 prevede che "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile". L'art. 2050 del codice civile prevede che nell'esercizio di attività pericolose ("per loro natura o per la natura dei mezzi adoperati") colui che viene accusato di avere procurato dei danni a terzi è tenuto al risarcimento "se non prova di avere adottato tutte le misure idonee a evitare il danno" (si inverte l'onere della prova, che normalmente è a carico dell'accusa).

Sicurezza e qualità del lavoro

Si tende in genere ad associare le misure di sicurezza ad un insieme di divieti (o comunque di vincoli - laddove prima "tutto era permesso") rendendo l'uso del computer ancora più complicato. Può essere utile guardare invece alla sicurezza in positivo, come strumento per garantire la disponibilità di un servizio agli utenti autorizzati (compresi coloro che contribuiscono ad erogare il servizio stesso).
Le attività relative alla sicurezza informatica non sono solamente una assicurazione per non incorrere nelle sanzioni previste dalla normativa vigente, ma contribuiscono a garantirsi dal rischio di perdere o comunque compromettere il lavoro svolto.

[ Torna a inizio pagina ]

Azioni sul documento
Informazione in evidenza
Da martedì 27 settembre 2016 cambia l'orario per le prenotazioni presso i Punti CUP e l'Accettazione degenti: sarà possibile a partire dalle ore 10:30.

Orario prenotazioni ai Punti CUP

Da martedì 27 settembre 2016 cambia l'orario per le prenotazioni presso i Punti CUP e l'Accettazione degenti: sarà possibile a partire dalle ore 10:30.
Modalità di prenotazione per le prestazioni "elettromiografia" e "velocità di conduzione motoria e sensitiva".

Neurofisiopatologia

Modalità di prenotazione per le prestazioni "elettromiografia" e "velocità di conduzione motoria e sensitiva".
Le esenzioni per reddito auto certificate, in scadenza al 31/03/2016, a partire dal 1 aprile devono essere rinnovate.

Rinnovo 2016 esenzione ticket per reddito

Le esenzioni per reddito auto certificate, in scadenza al 31/03/2016, a partire dal 1 aprile devono essere rinnovate.
Informazioni nuova tessera sanitaria con microchip.

Nuova tessera sanitaria (Carta regionale dei servizi)

Informazioni nuova tessera sanitaria con microchip.
In accordo con il “Regolamento Regionale n. 2 del 9 aprile 2014” è pubblicato sul sito il modulo da compilare per la designazione del fiduciario sanitario.

Fiduciario sanitario

In accordo con il “Regolamento Regionale n. 2 del 9 aprile 2014” è pubblicato sul sito il modulo da compilare per la designazione del fiduciario sanitario.
Chi può farlo è invitato a donare il sangue. La donazione del sangue è semplice, di breve durata, di nessuno o scarso impatto per l'organismo.

Donare il sangue

Chi può farlo è invitato a donare il sangue. La donazione del sangue è semplice, di breve durata, di nessuno o scarso impatto per l'organismo.
L'Ospedale informa...