sicurezza informatica e privacy dei dati sanitari · rev. 4.0 del 05/08/2015 pagina 4 di 43 1....
TRANSCRIPT
Sicurezza informatica e Privacy dei dati sanitari
rev. 4.0 del 05/08/2015 Pagina 2 di 43
Copyright
Tutti i diritti sono riservati a norma di legge e in osservanza delle convenzioni internazionali.
Nessuna parte di questo Ei-Book può essere riprodotta con sistemi elettronici, meccanici o altri,
senza l’autorizzazione scritta da Certipass.
Nomi e marchi citati nel testo sono depositati o registrati dalle rispettive case produttrici.
Certipass si riserva di effettuare ogni modifica o correzione che a propria discrezione riterrà sia
necessaria, in qualsiasi momento e senza dovere nessuna notifica.
Certipass ha predisposto questo documento per l’approfondimento delle materie relative alla
cultura dell’ITC e al migliore utilizzo del personal computer; data la complessità e la vastità
dell’argomento, peraltro, come editore, Certipass non fornisce garanzie riguardo la completezza
delle informazioni contenute; non potrà, inoltre, essere considerata responsabile per eventuali
errori, omissioni, perdite o danni eventualmente arrecati a causa di tali informazioni, ovvero
istruzioni ovvero consigli contenuti nella pubblicazione.
rev. 4.0 del 05/08/2015 Pagina 3 di 43
INDICE
1. Sintesi dei principi e delle regole generali in materia di protezione dei dati personali .................................................................................................................................................. 4
2. Regole ulteriori per i trattamenti effettuati da soggetti pubblici .................................. 6
2.1 Il trattamento dei dati personali da parte di privati ed enti pubblici economici ...... 7
3. Impostare Il trattamento dei dati personali in ambito sanitario .................................... 9
4. Sicurezza informatica e Privacy dei dati nelle strutture sanitarie: riflessioni introduttive ........................................................................................................................................... 14
5. Misure minime di sicurezza dei dati e dei sistemi, a protezione dei dati personali trattati con strumenti elettronici ................................................................................................ 18
5.1 Gli strumenti di identificazione in rete ................................................................ 20
5.2 Sicurezza e segretezza delle comunicazioni: crittografia, algoritmi di firma digitale e certificati digitali ............................................................................................. 21
5.3 Misure minime di sicurezza nel trattamento di dati personali senza l'ausilio di strumenti elettronici .......................................................................................... 25
6. Gestione di file e cartelle Referti on-line, Fascicolo sanitario elettronico (Fse) e Dossier sanitario: introduzione alle "Linee guida" ............................................................. 27
6.1 Cautele e misure di sicurezza informatica nel servizio di refertazione on-line: dalle Linee guida dell'Autorità Garante per la protezione dei dati personali, all'intervento legislativo nazionale ..................................................................... 28
6.2 Trattamento dei dati mediante FSE e Dossier Sanitario e misure di sicurezza informatica secondo le Linee guida del Garante per la Privacy e secondo il Legislatore italiano ............................................................................................ 31
7. Bibliografia ........................................................................................................................................... 40
8. Sitografia ............................................................................................................................................... 43
rev. 4.0 del 05/08/2015 Pagina 4 di 43
1. Sintesi dei principi e delle regole generali in materia di
protezione dei dati personali
Il Decreto legislativo 30 giugno 2003, n.196, meglio conosciuto come Codice della privacy, nel
riconoscere il diritto alla protezione dei dati personali1, stabilisce all’Art. 2 che il trattamento2 dei
medesimi debba svolgersi assicurando un elevato livello di tutela dei diritti e delle libertà
fondamentali, della dignità dell'interessato, con particolare riferimento alla riservatezza e
all'identità personale; nel rispetto anche dei principi di semplificazione, armonizzazione ed
efficacia nell'esercizio dei diritti da parte degli interessati, come anche nell'adempimento degli
obblighi da parte dei titolari del trattamento. Questo significa che, sistemi informativi e
programmi informatici devono essere configurati riducendo al minimo l'utilizzazione dei dati
personali e di quelli identificativi (ossia di quei dati personali che consentono l'identificazione
diretta dell'interessato, ex Art. 4, c.1 lett. c del codice), in modo da escluderne il trattamento ogni
volta che finalità e risultati possano essere realizzati mediante dati anonimi, o altre modalità che
consentano di identificare l'interessato solo in caso di necessità (Art. 3). Pertanto, anche ai
sensi e per gli effetti degli Artt. 91 e 94 del codice, il trattamento (in ogni forma) dei dati idonei
a rivelare lo stato di salute o la vita sessuale, eventualmente registrati su carte anche non
elettroniche, compresa la Carta nazionale dei servizi (CNS), oppure contenuti in banche-dati,
schedari, archivi o registri sanitari, è consentito soltanto se necessario, nell'osservanza delle
misure e degli accorgimenti prescritti dal Garante.
In generale, come già espresso nel precedente Modulo didattico, l’Art. 11 prescrive che i dati
personali oggetto di trattamento debbano essere, pena il non utilizzo degli stessi: a) trattati in
modo lecito e corretto; b) raccolti e registrati per scopi determinati, espliciti e legittimi, nonché
utilizzati in altre operazioni del trattamento, compatibilmente con tali scopi; c) esatti e, se
necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità della
raccolta o trattamento; e) conservati in una forma che consenta l'identificazione dell'interessato
per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti
o successivamente trattati. In forza dell'Art. 13 del codice, ciascun soggetto interessato cui si
riferiscano i dati personali, o la persona presso cui sono raccolti i dati personali, hanno diritto ad
essere preventivamente informati, oralmente o per iscritto, circa: a) le finalità e le modalità del
trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei
dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di
soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza
in qualità di responsabili3 o incaricati4, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui
1 ossia di qualsiasi informazione relativa ad una persona fisica, giuridica, ente od associazione, identificata o identificabile anche indirettamente, mediante riferimento a qualsiasi altra informazione (Artt. 1, 4 c.1 lett b) ivi compreso un numero di identificazione personale. 2 Ossia qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati - Art. 4, c.1 lett. a). 3 ossia la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
rev. 4.0 del 05/08/2015 Pagina 5 di 43
all'articolo 75; f) gli estremi identificativi del titolare e, se designato, del responsabile. La suddetta
informativa, contenente anche elementi previsti da specifiche disposizioni del codice della
privacy, può non comprendere gli elementi già noti alla persona che fornisce i dati, o la cui
conoscenza possa ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di
funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di
prevenzione, accertamento o repressione di reati.
4 le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. 5 Diritto di accesso ai dati personali, ed altri diritti tra cui quello di ottenere l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; di opporsi per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.
rev. 4.0 del 05/08/2015 Pagina 6 di 43
2. Regole ulteriori per i trattamenti effettuati da soggetti pubblici
In merito al trattamento di dati personali da parte di soggetti pubblici (esclusi gli enti pubblici
economici), questo è consentito soltanto ai fini dello svolgimento di funzioni istituzionali, in
conformità ai presupposti e limiti stabiliti dal Codice della privacy, anche in relazione alla diversa
natura dei dati, nonché dalla legge e/o da regolamenti.
Salvo quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, di
cui ci occuperemo successivamente, i soggetti pubblici non devono richiedere il consenso
dell'interessato (Art. 18). Fermo restando l'obbligo per gli stessi di prevenire violazioni dei diritti,
delle libertà fondamentali e della dignità dell'interessato nel trattamento dei dati (ex Art. 22),
questi possono trattare soltanto quei dati sensibili e giudiziari indispensabili per svolgere
attività istituzionali impossibili da adempiere mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
In riferimento a tale tipologia di dati, i soggetti pubblici sono autorizzati ad effettuare soltanto le
operazioni di trattamento indispensabili per il raggiungimento delle finalità per le quali il
trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
Inoltre, essi verificano periodicamente l'esattezza e l'aggiornamento dei dati, nonché la loro
pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei
singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che,
anche a seguito delle verifiche, risultino eccedenti o non pertinenti o non indispensabili, non
potranno essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o
del documento che li contiene.
Nel caso di dati sensibili e giudiziari contenuti in elenchi, registri o banche-dati, tenuti con o
senza l'ausilio di strumenti elettronici, questi devono essere trattati con tecniche di cifratura, o
mediante codici identificativi o altre soluzioni che li rendano temporaneamente inintelligibili anche
a chi è autorizzato ad accedervi, e che permettano di identificare gli interessati solo in caso di
necessità. Ancora in merito al trattamento dei dati sensibili6, questi è consentito solo se
autorizzato da espressa disposizione di legge indicante, nello specifico, i tipi di dati che
possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico
perseguite (Art. 20).
Nel caso in cui una disposizione di legge specifichi le finalità di rilevante interesse pubblico7 ma
non i tipi di dati sensibili e di operazioni eseguibili, il trattamento sarà consentito solo in
6 I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. 7 ossia una delle finalità elencate agli Artt. 85 e 86 del codice, alcune rientranti nei compiti del Servizio sanitario nazionale e degli altri organismi sanitari pubblici e relative: a) alle attività amministrative connesse a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti; b) alla programmazione, gestione, controllo e valutazione dell'assistenza sanitaria; c) alla vigilanza sulle
rev. 4.0 del 05/08/2015 Pagina 7 di 43
riferimento quei dati ed operazioni identificate e rese pubbliche a cura dei soggetti che ne
effettuano il trattamento, nel rispetto dei principi di cui all'articolo 22, con atto regolamentare
conforme al parere reso dal Garante ai sensi dell'articolo 154, comma 1, lettera g) del codice della
privacy.
Se invece il trattamento non è previsto espressamente da una disposizione di legge, i soggetti
pubblici potranno richiedere al Garante l'individuazione delle attività (tra quelle demandate ai
medesimi soggetti dalla legge) che perseguono finalità di rilevante interesse pubblico, e per le
quali è conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati
sensibili. Infine, il trattamento dei dati diversi da quelli sensibili e giudiziari è consentito,
anche in assenza di una norma di legge o di regolamento che lo preveda espressamente (Art.
19).
Mentre la comunicazione di essi ad altri soggetti pubblici, generalmente ammissibile se prevista
da una norma di legge o di regolamento, è consentita anche in assenza di tale norma se
comunque necessaria per lo svolgimento di funzioni istituzionali, la comunicazione a privati o enti
pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente
quando previste da una norma di legge o di regolamento.
2.1 Il trattamento dei dati personali da parte di privati ed enti pubblici
economici
Il trattamento dei dati personali da parte di privati o enti pubblici economici è ammesso solo con
il consenso esplicito dell'interessato, per l'intero trattamento o per ad una o più operazioni dello
stesso (Art. 23).
Il consenso è validamente prestato solo se espresso liberamente ed in riferimento ad un
trattamento ben individuato, se documentato per iscritto, e se sono state preventivamente rese
all'interessato le informazioni di cui all'Art. 13 del codice.
Tuttavia, il trattamento può essere effettuato senza consenso quando, a titolo esemplificativo
(Art. 24):
a) è necessario per adempiere ad un obbligo di legge, oppure è previsto da un regolamento o
da una norma comunitaria;
sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria; d) ad attività certificatorie; e) all'applicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute della popolazione; altre, invece, relative ad attività amministrative collegate con l'applicazione della disciplina in materia di: a) tutela sociale della maternità e di interruzione volontaria della gravidanza; b) stupefacenti e sostanze psicotrope, con particolare riferimento a quelle svolte al fine di assicurare l'assistenza socio-sanitaria ai tossicodipendenti, gli interventi anche di tipo preventivo previsti dalle leggi e l'applicazione delle misure amministrative previste; c) assistenza, integrazione sociale e diritti delle persone affette da handicap.
rev. 4.0 del 05/08/2015 Pagina 8 di 43
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato,
o per adempiere, prima della conclusione del contratto, a specifiche richieste
dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque8;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la
medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio
consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di
volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un
prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile
della struttura presso cui dimora l'interessato;
f) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede
giudiziaria;
g) è necessario, nei casi individuati dal Garante sulla base dei principi di legge, per perseguire
un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non
prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse
dell'interessato;
h) è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti,
in riferimento a soggetti che hanno con essi contatti regolari o agli aderenti, per il
perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto
o dal contratto collettivo;
i) è necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici
presso archivi privati dichiarati di notevole interesse storico.
Per quanto concerne i dati sensibili, l’Art. 26 prevede che questi possano essere oggetto di
trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal codice della privacy, nonché dalla legge e
dai regolamenti. La stessa disposizione normativa, elenca una serie di ipotesi in cui i dati sensibili
possono essere oggetto di trattamento anche senza consenso dell'interessato, ma previa
autorizzazione del Garante9.
8 fermi restando i limiti e le modalità poste da leggi, regolamenti o norme comunitarie alla conoscibilità e pubblicità dei dati. 9 a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati; b) quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di
rev. 4.0 del 05/08/2015 Pagina 9 di 43
3. Impostare Il trattamento dei dati personali in ambito sanitario
La crescente integrazione dei processi amministrativi, organizzativi e clinici tra le diverse strutture
sanitarie, e l’avvio di reti regionali sanitarie a supporto di modelli organizzativi innovativi che
promuovono la continuità delle cure e la centralità del servizio al cittadino, rendono necessarie
delle garanzie di sicurezza, per gli utenti come anche per chi gestisce questa enorme mole di
dati personali.
Il Garante della Privacy ha dimostrato grande attenzione al tema e nel 2009, tracciando delle
Linee guida comuni per gli operatori sanitari nella tutela della privacy dei cittadini.
Lo stesso Codice della privacy dedica al trattamento di dati personali in ambito sanitario il titolo
V della parte II contenente le disposizioni relative a specifici settori, e precisamente dall’Art. 75
all’Art. 94.
Partendo dall'Art. 76, con esso viene sancito il principio cardine secondo cui gli esercenti le
professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante
interesse pubblico, sono chiamati a trattare i dati personali idonei a rivelare lo stato di salute:
a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il
trattamento riguarda dati e operazioni indispensabili alla tutela della salute o
dell'incolumità fisica dell'interessato;
b) anche senza il consenso dell'interessato, ma previa autorizzazione del Garante, se la
suddetta finalità riguarda un terzo o la collettività.
In entrambi i casi il consenso può essere acquisito dagli organismi sanitari pubblici, dagli
organismi privati ed esercenti le professioni sanitarie, nonché dagli altri soggetti pubblici indicati
nell'Art. 80 in modalità semplificata, vale a dire con un’unica dichiarazione, anche orale,
annotata dell’esercente la professione sanitaria o dell’organismo sanitario pubblico, anziché con
atto scritto dell’interessato (Art. 81).
In particolare, secondo l'Art. 78 il medico di medicina generale o il pediatra di libera scelta
informano con chiarezza l'interessato circa: a) le finalità e le modalità del trattamento cui sono
destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze
di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi
intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza.
rev. 4.0 del 05/08/2015 Pagina 10 di 43
identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi
dell'articolo 5 e del responsabile.
L'informativa di cui sopra, può essere fornita per il complessivo trattamento dei dati personali
necessario alle attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico o dal
pediatra, su richiesta dell'interessato o per impulso del professionista; può eventualmente
riguardare anche dati personali raccolti presso terzi, ed è fornita preferibilmente per iscritto.
Qualora il medico o il pediatra forniscano l'informativa per conto di più professionisti, il consenso
è reso conoscibile ai medesimi con adeguate modalità, anche attraverso menzione, annotazione o
apposizione di un bollino o tagliando su una carta elettronica o sulla tessera sanitaria, contenente
un richiamo al medesimo articolo 78, comma 4 e alle (eventuali) diverse specificazioni apposte
all'informativa.
L'informativa, se non è diversamente specificato dal medico o dal pediatra, riguarda anche il
trattamento di dati connesso a quello eseguito dal medico di medicina generale o dal pediatra di
libera scelta, effettuato da un professionista o da altro soggetto parimenti individuabile in base
alla prestazione richiesta, che:
a) sostituisce temporaneamente il medico o il pediatra;
b) fornisce una prestazione specialistica su richiesta del medico e del pediatra;
c) può trattare lecitamente i dati nell'ambito di un'attività professionale prestata in forma
associata; d) fornisce i farmaci prescritti;
d) comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.
L'informativa, evidenzia analiticamente eventuali trattamenti di dati personali connotati da
rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in
particolare ove effettuati: a) per scopi scientifici, anche di ricerca scientifica e di sperimentazione
clinica controllata di medicinali, in conformità alle leggi e ai regolamenti, ponendo in particolare
evidenza che il consenso, ove richiesto, è manifestato liberamente; b) nell'ambito della
teleassistenza o telemedicina; c) per fornire altri beni o servizi all'interessato attraverso una rete di
comunicazione elettronica.
Anche gli organismi sanitari pubblici e privati, ai sensi dell’Art. 79, possono ricorrere
all'informativa e al consenso semplificati di cui ai citati Artt. 78 e 81 in riferimento ad una
pluralità di prestazioni erogate anche da distinti reparti ed unità dello stesso organismo, o di più
strutture ospedaliere o territoriali specificamente identificati: in questi casi, l'organismo o le
strutture facenti capo alle aziende sanitarie annotano l'avvenuta informativa e il consenso con
modalità uniformi, tali da permettere una verifica al riguardo da parte di altri reparti ed unità che,
anche in tempi diversi, tratteranno i dati personali relativi all'interessato.
Possono altresì avvalersi della facoltà di fornire un'unica informativa per una pluralità di
trattamenti di dati effettuati a fini amministrativi e in tempi diversi, i competenti servizi o le
rev. 4.0 del 05/08/2015 Pagina 11 di 43
strutture di soggetti pubblici operanti nell'ambito sanitario o della prevenzione e sicurezza del
lavoro (Art. 80).
L'informativa e il consenso al trattamento dei dati personali possono intervenire senza
ritardo, successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica,
come pure in caso di:
a) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato,
quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero
da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal
responsabile della struttura presso cui dimora l'interessato;
b) rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato;
c) c) prestazione medica che può essere pregiudicata dall'acquisizione preventiva del
consenso, in termini di tempestività o efficacia (Art. 82).
Il Codice della privacy ribadisce all'Art. 83 l'importanza e la necessità di adottare, anche in ambito
sanitario, idonee misure funzionali a garantire, nell'organizzazione delle prestazioni e dei servizi,
il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto
professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità
di trattamento dei dati sensibili e di misure minime di sicurezza. Queste ultime comprendono,
in particolare:
a) soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad adempimenti
amministrativi preceduti da un periodo di attesa all'interno di strutture, un ordine di
precedenza e di chiamata degli interessati prescindendo dalla loro individuazione
nominativa;
b) l'istituzione di appropriate distanze di cortesia, tenendo conto dell'eventuale uso di
apparati vocali o di barriere;
c) soluzioni tali da prevenire, durante colloqui, l'indebita conoscenza da parte di terzi di
informazioni idonee a rivelare lo stato di salute;
d) cautele volte ad evitare che le prestazioni sanitarie, ivi compresa l'eventuale
documentazione di anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità
o dai locali prescelti;
e) il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni
operazione di trattamento dei dati;
f) la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa
essere data correttamente notizia o conferma anche telefonica, ai soli terzi legittimati, di
una prestazione di pronto soccorso;
g) la formale previsione, in conformità agli ordinamenti interni delle strutture ospedaliere e
territoriali, di adeguate modalità per informare i terzi legittimati in occasione di visite sulla
rev. 4.0 del 05/08/2015 Pagina 12 di 43
dislocazione degli interessati nell'ambito dei reparti, informandone previamente gli
interessati e rispettando eventuali loro contrarie manifestazioni legittime di volontà;
h) la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei
confronti di estranei un'esplicita correlazione tra l'interessato e reparti o strutture,
indicativa dell'esistenza di un particolare stato di salute;
i) la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a
regole di condotta analoghe al segreto professionale.
Si ricordi, inoltre, che per determinati trattamenti di dati idonei a rivelare lo stato di salute, l’art.
34 impone l’adozione di tecniche di cifratura o di codici identificativi.
Le suddette misure non si applicano al medico di medicina generale o al pediatra di libera
scelta, i quali, nell'organizzazione delle prestazioni e dei servizi, assicurano il rispetto dei diritti,
delle libertà fondamentali e della dignità degli interessati, come anche del segreto professionale,
secondo modalità idonee a garantire un rapporto personale e fiduciario con gli assistiti.
L'art. 84 del Codice pone infine una serie di cautele in fatto di accesso ai dati personali idonei a
rivelare lo stato di salute, da parte dell'interessato, prevedendo che gli esercenti le professioni
sanitarie e gli organismi sanitari possono comunicare all'interessato informazioni inerenti al
proprio stato di salute per il tramite di un medico, preventivamente individuato dallo stesso
interessato o dal titolare, o di un esercente le professioni sanitarie diversi dai medici, che nello
svolgimento dei propri compiti intrattenga rapporti diretti con il paziente.
Viene inserito, quindi, un intermediario tra i dati e l’interessato al fine di rispondere all’esigenza
di agevolare la comprensione dei dati clinici da parte del paziente, nonché di filtrare
l’informazione ottenuta al fine di ritrasmetterla successivamente in una forma rispettosa dei
principi che regolano la relazione terapeutica tra medico e paziente stesso.
Sul piano ricostruttivo, la regola dell’intermediazione di un soggetto professionista medico trova
un suo primo antecedente in disposizioni sovranazionali, ed in particolare nella Raccomandazione
n. R (89) 2 del Consiglio d’Europa, ove si prospettava agli Stati membri la possibilità di prevedere
tale comunicazione mediata in ragione della delicatezza e della possibile complessità del
contenuto, tanto più del grave pregiudizio che dalla conoscenza distorta dell’informazione
potesse derivare. Sebbene questa previsione possa apparire frutto di un’eccessiva cautela nei
confronti dell’utente, in realtà l’intermediazione dell’operatore qualificato nella comunicazione dei
dati all’interessato trova conferme, sempre a livello sovranazionale, in altri documenti non dotati
di forza vincolante, ma pur sempre conformanti l’attività dei legislatori nazionali10.
10 Cfr. ad esempio il Considerando n. 42 della Direttiva 95/46/Ce62; alla Raccomandazione N.R. (81) 1 del Consiglio d’Europa del 23 gennaio 1981, la quale prevede al paragrafo 6.1 che tale filtro sia previsto per legge; alla Raccomandazione del 23 settembre 1980 dell’O.E.C.D. (Linee guida sulla protezione della vita privata e su i flussi transfrontalieri di dati di carattere personale). La regola prevista dall’art. 23, co. 2, della nostra legge 675/1996, poi trasposta nel nuovo articolo 84 Codice Privacy, è presente anche negli ordinamenti di altri Paesi europei.
rev. 4.0 del 05/08/2015 Pagina 13 di 43
A voler dare un reale significato al requisito dell’intermediazione, bisogna ritenere che il medico
non possa limitarsi a fungere da mero veicolo di trasmissione di un’informativa che riporti
meccanicamente i dati.
La ratio di una tale previsione normativa, vuole che al paziente sia fornita una spiegazione che,
seppur sintetica, sia profilata sulla descrizione delle condizioni psico-fisiche dell’interessato. Il
diritto all’informazione medica è, quindi, soddisfatto solo se l’interessato è posto in grado di
comprendere agevolmente il significato dei dati che lo riguardano.
rev. 4.0 del 05/08/2015 Pagina 14 di 43
4. Sicurezza informatica e Privacy dei dati nelle strutture
sanitarie: riflessioni introduttive
Con l’espressione “Computer Security” si allude all'esigenza di programmare ed implementare
strumenti e tecnologie digitali sempre più evoluti, a protezione dei file e delle informazioni
raccolte nelle banche dati sanitarie.
Sicurezza e Privacy rappresentano, indubbiamente, due aspetti da governare e pianificare nel
disegno e nella gestione del sistema informativo di un'azienda o struttura sanitaria.
La maggiore criticità si manifesta nel tentativo di equilibrare un utilizzo esteso e pervasivo delle
tecnologie informatiche in azienda, con i necessari requisiti di privacy e sicurezza richiesti sia
dagli utilizzatori del sistema informativo aziendale sia, in particolare, dai clienti – utenti - pazienti.
La c.d. confidentiality (o riservatezza), ovvero il tentativo di prevenire la divulgazione non
autorizzata delle informazioni, nei due aspetti di privacy e secrecy che la caratterizzano, coglie
questo aspetto della computer security.
Il termine privacy si riferisce principalmente alla protezione dei dati personali, mentre quello di
secrecy, riguarda la protezione dei dati posseduti da un’organizzazione.
La riservatezza rappresenta certamente un punto di riferimento nell’ambito della sicurezza dei
dati personali, stante il fatto che, con l’implementazione di essa (attraverso una serie di
applicazioni e strumenti informatici) si cerca di impedire ai soggetti non autorizzati l’accesso ad
informazioni contenute all’interno del sistema, garantendo così la riservatezza delle informazioni
medesime.
In linea generale, la sicurezza di un sistema informatico dipende non solo da aspetti tecnici,
ma anche e soprattutto da quelli organizzativi, questi ultimi traducibili nella:
ü definizione delle Politiche di Sicurezza in materia informatica
Tale funzione ha caratteristiche eminentemente strategiche, in quanto mira a definire le finalità e
gli obiettivi da raggiungere.
Le politiche dovrebbero riguardare la protezione, tanto fisica (classificazione delle aree, accesso
controllato e sorveglianza delle stesse, rilevazione tempestiva degli incidenti) quanto logica delle
risorse (controllo dell’accesso alle informazioni, sviluppo del software applicativo, controllo delle
porte di rete); dovrebbero anche prevedere un Piano di Continuità Operativa, ossia delle risorse
necessarie e strumentali al ripristino dell’attività lavorativa in caso di emergenza.
ü attuazione delle Politiche così definite
Tale funzione ha il compito di progettare, realizzare e mantenere in efficienza le misure definite al
punto precedente. I principali compiti sono:
a) Individuazione dei beni da proteggere e delle minacce a cui i detti beni sono sottoposti;
b) Mappatura dei rischi;
rev. 4.0 del 05/08/2015 Pagina 15 di 43
c) Analisi costi/benefici;
d) Implementazione del sistema di sicurezza;
e) Aggiornamento e manutenzione;
f) Formazione.
Analizzare i rischi vuol dire individuare le risorse hardware (come server, workstation, linee di
comunicazione con particolare riguardo alle apparecchiature di rete) e software da proteggere e,
con esse, le relative minacce.
La formazione stessa dei Dirigenti e del personale operativo, assume valore strategico al fine di
diffondere una consapevolezza ampia delle problematiche della sicurezza, ed una conoscenza
delle operazioni da svolgere quotidianamente e dei comportamenti da intraprendere in caso di
emergenza (gestione degli accessi, virus, intrusioni ecc).
ü verifica della corretta attuazione ed efficienza delle misure adottate (Audit di
sicurezza)
Tale funzione ha il compito di controllare le misure adottate, verificandone l’efficacia nel tempo.
Da un punto di vista implementativo, è necessario che ogni struttura dotata di Sistemi Informativi
automatizzati definisca un Piano di Sicurezza finalizzato a fornire servizi che abbiano le seguenti
proprietà:
a) Confidenzialità o Riservatezza, in quanto, ove necessario l’accesso ai dati avverrà previa
autorizzazione (meccanismi di autenticazione forte come i dispositivi biometrici, le
password dinamiche, i certificati digitali, ecc..);
b) Disponibilità, ovvero fruibilità delle risorse da parte dell’utente autorizzato in presenza di
guasti informatici o in occasione di eventi catastrofici, in una logica di business continuity.
Non solo l’ospedale deve essere in grado di mantenere la propria operatività, per la quale
questi dati sono essenziali, ma dev'essere anche in grado di fornirli rapidamente ad altre
strutture/organismi coinvolti nello stesso contesto di emergenza. In sostanza, le strutture
sanitarie pubbliche, come le altre pubbliche amministrazioni, ai sensi dell'art.50 bis del
CAD devono dotarsi di un Piano di continuità operativa e, come parte di questo, di un
Piano di disaster recovery11;
11 La continuità dei sistemi informativi rappresenta per le pubbliche amministrazioni un aspetto necessario all’erogazione continuativa dei servizi a cittadini e imprese. Al riguardo l’art. 50-bis del CAD aggiornato (che attiene alla “Continuità operativa”) delinea gli obblighi, gli adempimenti e i compiti che spettano alle Pubbliche Amministrazioni, a DigitPA e al Ministro per la pubblica amministrazione e l’innovazione, ai fini dell’attuazione della continuità operativa. In particolare alla luce di quanto previsto dal 3° comma, lett. b dell’art. 50-bis, DigitPA ha elaborato delle linee guida con l’obiettivo di fornire degli strumenti per ottemperare agli obblighi derivanti dallo stesso CAD, individuando soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni. Il documento contiene anche indicazioni nel merito dei contenuti e della produzione del piano di continuità operativa ed indicazioni e schemi di massima dello studio di fattibilità tecnica, per fornire alle Amministrazioni gli elementi necessari per ottemperare alle disposizione del citato articolo. Con un piano di disaster recovery si intende fornire, alle imprese di una certa dimensione, servizi volti all’analisi dei rischi di inoperatività del sistema informatico, e delle misure da adottare per ridurli, nonché la messa a punto del vero e proprio piano di emergenza informatica, che ricomprende, in particolare, procedure per l’impiego provvisorio di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione. Il piano di disaster recovery può prevedere l’impiego di un centro di back-up dei dati, ovviamente logisticamente ubicato in locali diversi da quelli dove si trova il sistema principale,
rev. 4.0 del 05/08/2015 Pagina 16 di 43
c) Integrità, ossia la certezza che le informazioni non siano state manipolate. In tale contesto
l’adozione della firma elettronica, nelle sue declinazioni avanzata, qualificata e digitale, e
del processo di conservazione digitale, rafforzano il tema dell’integrità, affermando i
principi di autenticità e certezza dell’origine del documento oggetto di firma digitale;
d) Autenticità, nonché certezza sulla provenienza dei dati (identità dell’autore del
messaggio).
Infine, altra nozione fondamentale nella sicurezza informatica è quella di dependability
(affidabilità), definita come la capacità di un sistema informatico di fornire un servizio che possa
essere considerato "fidato".
Come vedremo nel paragrafo successivo, tra i principali mezzi di accesso al sistema si ricordano:
a) il p.i.n. (Personal Identification Number), numero di identificazione personale che viene
attribuito in maniera segreta esclusivamente all’utente legittimo;
b) la password o “parola chiave”, ossia una sequenza di lettere e numeri, anche complessa,
memorizzata dall’utente legittimo generalmente digitata su una tastiera. Detta
combinazione alfanumerica va opportunamente scritta con rapidità per evitare che
malintenzionati riescano a seguire la sequenza dei tasti premuti e a ricavare così, la parola
chiave;
c) la combinazione numerico-logica variabile o dinamica, come per esempio la sommatoria
di un certo numero conosciuto dall’utente, addizionato, sottratto, diviso o moltiplicato ad
un altro numero che potrebbe variare con riferimento al giorno della settimana, alla data
completa, ovvero ad un dato variabile;
ovvero la predisposizione di un vero e proprio centro di elaborazione dati alternativo, costituito presso una consociata o garantito da un centro di servizi esterno all’impresa. In particolare al fine della predisposizione di un piano di disaster recovery realmente efficace bisogna passare attraverso diverse fasi. Innanzitutto è necessario fare un elenco dei potenziali disastri che potrebbero verificarsi sulla rete. Tra le cause principali si segnalano il malfunzionamento dei dischi, l’interruzione temporanea delle operazioni, i virus, gli attacchi di hackers, la distruzione fisica. Il passo successivo nella creazione del piano consiste nel definire le priorità per applicazioni automatizzate, nel senso che devono essere determinate le funzioni del sistema da ripristinare immediatamente dopo un disastro e quelle che invece possono attendere. Nella stesura di questa parte del processo di pianificazione i risultati migliori si ottengono quanto più onestamente i dipendenti riconoscano l'importanza delle loro funzioni per l’azienda, ovvero quanto più agevolmente tale valutazione possa essere compiuta sulla base di criteri oggettivi. In ogni caso il lavoro da compiere risulta difficoltoso poiché è necessario predisporre una catalogazione di tutte le applicazioni. Normalmente si distingue tra funzioni essenziali per attività a tempo pieno (si tratta di operazioni che devono proseguire in modo continuativo per il buon andamento dell’azienda), funzioni vitali a tempo parziale (si tratta di operazioni che devono continuare ma che hanno luogo periodicamente in specifici momenti), funzioni necessarie per obiettivi aziendali di secondaria importanza (sono operazioni considerate necessarie ma non rappresentano obiettivi primari), attività operative di routine, attività di crescita. Il terzo passo nella creazione del piano di Disaster Recovery consiste nell’identificare e implementare misure preventive. Sebbene il piano serva prevalentemente per decidere come comportarsi in caso di disastro, questo certamente non preclude la possibilità di prendere in esame modalità per prevenire i problemi o alleggerirne le conseguenze. D’altra parte la conoscenza e l’implementazione delle misure di protezione dei dati sono fondamentali per l’eventuale ripristino dopo il disastro. In particolare bisogna prendere in considerazione le seguenti precauzioni: il backup dei dati, la ridondanza dei dati, il software anti-virus, l’energia elettrica (gruppi di continuità), i firewall (sistemi di sicurezza contro possibili intrusioni di hackers), un centro dati alternativo. Il passo successivo nel processo di pianificazione consiste nello scrivere le istruzioni di ripristino, preparare, cioè, un elenco dettagliato che spieghi esattamente che cosa fare quando un sistema qualsiasi deve essere ripristinato. Nel piano è necessario indicare le seguenti informazioni: persone da contattare per ciascun reparto; modalità per recuperare i nastri di backup e copie di altri media; nomi e informazioni sui soggetti che possano fornire immediatamente nuovi computer adeguati alle esigenze dell’utente, che possono offrire consulenti in grado di eseguire le operazioni di ripristino e le istruzioni per recuperare i dati dai supporti di backup; notizie dettagliate su come configurare le workstation e i server da utilizzare in una LAN ripristinata. Infine è necessario perfezionare il piano, accertando altresì che il medesimo funzioni attraverso tests di verifica e sottoponendolo a revisione periodica. Non sono previste sanzioni dalla normativa in caso di mancanza di un piano di disaster recovery.
rev. 4.0 del 05/08/2015 Pagina 17 di 43
d) quelli che confrontano caratteristiche fisiche dell’utente con quelle memorizzate dal
sistema (i cd. sistemi biometrici).
Concludendo, è facile intuire come sicurezza e protezione dei dati si intersechino: solo un sistema
in grado di garantire il rispetto della seconda, riesce a fornire uno strumento sicuro agli operatori
ed ai fruitori in generale del nuovo servizio informatico.
rev. 4.0 del 05/08/2015 Pagina 18 di 43
5. Misure minime di sicurezza dei dati e dei sistemi, a protezione
dei dati personali trattati con strumenti elettronici
Il nostro codice della privacy, statuisce all’Art. 31 che i dati personali oggetto di trattamento
devono essere custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee
e preventive misure di sicurezza, i rischi di distruzione o perdita (anche accidentale) dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità
della raccolta informativa.
Nell'ottica di attuare una politica di sicurezza, i fornitori di servizi di comunicazione elettronica
accessibili al pubblico come pure i soggetti che operano sulle reti di comunicazione elettronica,
sono tenuti rispettivamente ad adottare misure tecniche e organizzative adeguate al rischio
esistente, per salvaguardare la sicurezza dei propri servizi, e a garantire l'accessibilità dei dati
personali soltanto al personale autorizzato e per fini legalmente consentiti (Art. 32).
Dette misure, come annunciato, garantiscono la protezione dei dati personali archiviati o
trasmessi dalla distruzione, dalla perdita o alterazione, anche accidentali, nonché dall'accesso o
divulgazione illecita. Nel quadro dei più generali obblighi di sicurezza, i titolari del trattamento
sono comunque tenuti ad assicurare un livello minimo di protezione dei dati personali, che nel
caso del trattamento di dati personali effettuato con strumenti elettronici si traduce
concretamente nell'obbligo di predisporre una delle seguenti misure minime (Artt. 33 e 34):
Ø Adozione di un Sistema di autenticazione informatica
In sostanza, il trattamento dei dati personali con strumenti elettronici dev'essere consentito agli
incaricati muniti di credenziali di autenticazione, che abbiano superato una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
Le credenziali di autenticazione possono consistere: in un codice per l'identificazione
dell'incaricato, associato a una parola chiave riservata (composta da almeno otto caratteri oppure
rev. 4.0 del 05/08/2015 Pagina 19 di 43
da un numero di caratteri pari al massimo consentito, non contenente riferimenti facilmente
riconducibili all'incaricato, periodicamente modificata da quest'ultimo e conosciuta solamente dal
medesimo); oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o ad una parola chiave; ovvero in una
caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una
parola chiave.
Gli incaricati del trattamento, devono pertanto adottare le necessarie cautele per assicurare la
segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in
loro possesso ed uso esclusivo. Le credenziali di autenticazione saranno disattivate quando non
utilizzate da almeno sei mesi, salvo quelle preventivamente autorizzate per soli scopi di gestione
tecnica, oppure in caso di perdita della qualità che consente all'incaricato l'accesso ai dati
personali.
Ø Adozione di procedure di gestione delle credenziali di autenticazione.
Ø Utilizzazione di un Sistema di autorizzazione;
I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai
soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque
annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Ø Aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti
elettronici.
Ø Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati programmi informatici.
Gli aggiornamenti periodici dei programmi per elaboratore, volti a prevenire la vulnerabilità di
strumenti elettronici e a correggerne i difetti, sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
Ø Adozione di procedure per la custodia di copie di sicurezza, per il ripristino della
disponibilità dei dati e dei sistemi.
Ø Tenuta di un aggiornato Documento Programmatico sulla Sicurezza.
Ø Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti
di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi
sanitari.
In caso di trattamento di dati sensibili o giudiziari, sono richieste ulteriori misure di protezione
contro l'accesso abusivo di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei
strumenti elettronici. Sono anche impartite istruzioni organizzative e tecniche per la custodia e
rev. 4.0 del 05/08/2015 Pagina 20 di 43
l'uso dei supporti rimovibili su cui memorizzare i dati, al fine di evitare accessi non autorizzati e
trattamenti non consentiti. Sono altresì adottate idonee misure per garantire il ripristino
dell'accesso ai dati, in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi
certi compatibili con i diritti degli interessati e non superiori a sette giorni.
5.1 Gli strumenti di identificazione in rete
L’espressione “identificazione informatica”, introdotta dal D. lgs. 235/2010 in sostituzione della
precedente “autenticazione informatica”12, quest’ultima oggetto di trattazione sia nel Codice della
privacy (Art. 4, comma 3), è definita dall’Art. 1, comma 1, punto u-ter) del Codice
dell’Amministrazione digitale (CAD), come “la validazione dell’insieme di dati attribuiti in modo
esclusivo ed univoco a un soggetto, che ne consentono l’individuazione nei sistemi informativi,
effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell’accesso”.
In informatica, l'identificazione corrisponde al processo con cui vengono associate delle
credenziali ad un soggetto, mediante le quali accedere ad un sistema informativo (generalmente
in rete), previa verifica in automatico delle credenziali medesime. I principali strumenti di
identificazione informatica sono elencati dall'art. 64 del CAD, norma che disciplina l'accesso ai
servizi erogati in rete dalle pubbliche amministrazioni. In particolare, oltre alla notoria posta
elettronica certificata (PEC), è possibile identificarsi mediante:
- Carta di identità elettronica (CIE), definita dall'art. 1, comma 1, lett. c) del CAD come il
documento d'identità munito di elementi per l'identificazione fisica del titolare, rilasciato
su supporto informatico dalle amministrazioni comunali con la prevalente finalità di
dimostrare l'identità anagrafica del suo titolare.
La CIE somma alla tradizionale funzione di documento di riconoscimento a vista, ulteriori funzioni
rientranti nell'ambito del dialogo telematico tra cittadini e Pubbliche Amministrazioni, in quanto
consente l'autenticazione per l'accesso ai servizi web erogati dalle PPAA stesse.
L'identificazione attraverso CIE costituisce uno dei requisiti per la validità di istanze e dichiarazioni
presentate alle pubbliche amministrazioni per via telematica (art. 65 comma 1, lett. b del CAD).
Per poter accedere ai servizi on-line utilizzando la CIE, è necessario che l'utente venga identificato
dal sistema, attraverso la decodifica delle chiavi crittografiche memorizzate nel chip integrato
nella smart card. Sarà quindi necessario che il computer utilizzato, oltre ad essere connesso alla
rete, sia dotato di un lettore di smart card (una particolare periferica che permette di leggere il
chip istallato sulla carta). L'utente, dopo aver inserito la CIE nel lettore di smart card, deve
completare l'autenticazione con l'inserimento del codice PIN personale, consegnato
dall'Amministrazione all'atto del rilascio del documento.
12 nella letteratura internazionale questo concetto è noto con il termine inglese di “authentication”, dal significato “di sicura origine”.
rev. 4.0 del 05/08/2015 Pagina 21 di 43
L'art. 1 del D. L. n. 179/2012 ha dettato disposizioni in merito all'accorpamento, su unico
supporto, di carta d'identità elettronica e tessera sanitaria.
Carta Nazionale dei Servizi (CNS), ossia uno strumento di abilitazione informatica che consente
l'accesso ai servizi on line della Pubblica Amministrazione su tutto il territorio nazionale (art. 1,
comma 1, lett. d del CAD), e che può ospitare anche il certificato di firma digitale e le informazioni
sanitarie.
A differenza della CIE, la CNS non è un documento di riconoscimento “a vista”: sulla smart card
non è presente la foto del titolare e, più in generale, per il suo supporto grafico non sono richiesti
particolari requisiti e caratteristiche.
Analogamente alla CIE l'utilizzo della CNS sostituisce, nei confronti della pubblica
amministrazione, la firma elettronica avanzata sia per la fruizione dei servizi erogati in rete che
per l'invio di istanze e dichiarazioni (art. 61, comma 2, DPCM 22 febbraio 2013).
- Altri strumenti di identificazione predisposti dalle amministrazioni pubbliche, abilitate
secondo l'art. 64, comma 2 CAD, a individuare e predisporre strumenti di identificazione
informatica alternativi alla carta d'identità elettronica e alla carta nazionale dei servizi, ma
ugualmente idonei a consentire l'individuazione del soggetto richiedente il servizio.
Generalmente, per garantire l'identificazione, questi sistemi prevedono un log-in basato su
credenziali di accesso di tipo alfanumerico (userid e password, codice utente, ecc.) note al solo
titolare.
5.2 Sicurezza e segretezza delle comunicazioni: crittografia, algoritmi di
firma digitale e certificati digitali
Certamente, l'utilizzo di internet come mezzo per lo scambio rapido di informazioni, ha
enfatizzato il bisogno di comunicazioni sicure, private e protette da sguardi indiscreti, come anche
di metodi che rendessero le informazioni indecifrabili in modo che solo il mittente e il destinatario
potessero leggerle, assicurandone l’integrità e consentendo l'autenticazione degli interlocutori
medesimi.
La crittografia (dall'unione di due parole greche: κρυπτóς (kryptós) che significa "nascosto", e
γραφία (graphía) che significa "scrittura") è la branca della crittologia che tratta delle
"scritture nascoste", ovvero dei metodi per rendere un messaggio "offuscato" in modo da non
essere comprensibile/intelligibile a persone non autorizzate a leggerlo.
Essa si propone di ricercare algoritmi capaci di proteggere, con un considerevole grado di
sicurezza, le informazioni contro possibili attacchi da parte di criminali, della concorrenza o di
chiunque possa usarle per arrecare danno. Comprende tutti gli aspetti relativi alla sicurezza dei
messaggi, all'autenticazione degli interlocutori, alla verifica dell’integrità.
rev. 4.0 del 05/08/2015 Pagina 22 di 43
La necessità di nascondere messaggi strategici (o crittogrammi) da occhi nemici, è antica quanto
l'uomo: ci sono tracce di cifrari antichi quanto gli Ebrei, con il loro codice di atbash;
gli Spartani avevano un loro particolare sistema di comunicazione dei messaggi segreti, la scitala;
a Gaio Giulio Cesare13 si attribuisce l'uso del cosiddetto cifrario di Cesare, un sistema
crittografico oggi ritenuto elementare, ma emblema della nascita di un concetto totalmente nuovo
e ottimo per comprendere le idee basilari della crittografia a la crittoanalisi.
Attualmente la crittografia non è più circoscritta all'ambito strettamente militare. Si sta cercando
di sfruttarne tutti i vantaggi per creare una rete sicura a disposizione della società moderna, la
quale oggi giorno richiede algoritmi sempre più potenti e sicuri per la protezione delle
informazioni e per l'autenticazione degli utenti.
Se la crittografia è definita come l'arte o la scienza di rendere segreti i messaggi, l'analisi
crittografica è l'arte di violare un sistema crittografico, decifrando i messaggi; il messaggio in
chiaro è chiamato plaintext o cleartext; il messaggio cifrato è detto invece ciphertext; la
cifratura e decifratura sono rispettivamente le trasformazioni del messaggio da plaintext a
ciphertext e viceversa, per mezzo di una chiave; l’autenticazione è la verifica dell'identità
dell'individuo coinvolto in una comunicazione; la verifica dell'integrità è la prova che il
messaggio non ha subito modifiche durante la trasmissione; la firma digitale è una stringa cifrata
ricavata dal messaggio, che consente di identificare il mittente e di verificare l'integrità del
messaggio; infine, un certificato digitale è un documento di identità virtuale che consente di
identificare l'utente in rete.
La crittografia fornisce una serie di algoritmi e di metodi per rendere il messaggio indecifrabile:
alcuni di essi sono molto potenti ed hanno resistito ai più svariati attacchi, altri meno sicuri ma
altrettanto importanti.
L'obiettivo di ogni algoritmo di cifratura è quello di rendere il più complicato possibile la
decifratura di un messaggio, senza la conoscenza della chiave. Se l'algoritmo di cifratura è buono,
l'unica possibilità per decifrare il messaggio è di provare, una per volta, tutte le possibili chiavi
fino a trovare quella giusta, ma tale numero cresce esponenzialmente con la lunghezza della
chiave. Quindi, se la chiave è lunga soltanto 40 bit saranno necessari al più 240 differenti
tentativi. Se ne deduce che l'operazione più delicata in un sistema crittografico è proprio la
generazione della chiave.
Gli algoritmi di cifratura sono suddivisi in due classi: algoritmi a chiave privata (o algoritmi
simmetrici); algoritmi a chiave pubblica. La differenza tra di essi è che i primi usano la stessa
chiave per la cifratura e la decifratura, mentre i secondi usano due chiavi differenti, una pubblica e
una privata.
13 Già Giulio Cesare, quando inviava un messaggio riservato, non fidandosi del messaggero, sostituiva ad ogni A una D, ad ogni B una E e così via per le altre lettere. Solo chi conosceva la regola "Sposta di tre" poteva decifrare il messaggio. Inoltre, durante la seconda guerra mondiale alcuni successi alleati sono riconducibili alla scoperta della regola di cifratura usata dai tedeschi per nascondere i loro messaggi.
rev. 4.0 del 05/08/2015 Pagina 23 di 43
Gli algoritmi a chiave privata sono i più comunemente utilizzati. Essi prevedono l'utilizzo di una
stessa chiave per la cifratura e decifratura del messaggio. Entrambi gli interlocutori conoscono la
chiave usata per la cifratura, detta chiave privata o simmetrica, e soltanto loro possono cifrare e
decifrare il messaggio. Per quanto concerne invece gli algoritmi a chiave pubblica, si individuano
due tipi di cifratura: stream cipher (cifratura sequenziale), in cui il messaggio è visto come una
sequenza di bit e viene cifrato un bit alla volta, sicuramente i più veloci ma considerati poco sicuri,
sebbene la sicurezza dipenda dall'algoritmo utilizzato; block cipher (cifratura a blocchi), per cui il
messaggio è suddiviso in blocchi di lunghezza fissa, e cifrato un blocco per volta. Sebbene questi
ultimi siano più lenti dei precedenti, sono considerati più sicuri perché ogni blocco è cifrato
mescolandolo opportunamente al blocco precedente.
Gli algoritmi a chiave privata hanno il vantaggio di essere molto veloci, idonei per cifrare grandi
moli di dati, ma anche lo svantaggio di richiedere la distribuzione della chiave privata a tutti i
destinatari. Necessitano quindi di un ulteriore canale sicuro attraverso cui distribuire la chiave.
Tale contraddizione, nel recente passato, ha posto dei limiti allo sviluppo della crittografia fino
alla scoperta degli algoritmi a chiave pubblica.
Gli algoritmi a chiave pubblica, invece, usano due chiavi complementari, dette chiave pubblica e
chiave privata, create in modo che la chiave privata non possa assolutamente essere ricavata dalla
chiave pubblica. Il paradigma di comunicazione è il seguente: i due interlocutori A e B hanno
entrambi una coppia di chiavi. A richiede a B la sua chiave pubblica con la quale cifra il messaggio
e spedisce il risultante messaggio cifrato a B. Il messaggio cifrato con una chiave pubblica, può
essere decifrato solo con la corrispondente chiave privata. Pertanto B, mediante la sua chiave
privata, può decifrare il messaggio e leggerlo in tutta sicurezza. Con questo metodo solo la chiave
privata deve essere tenuta segreta, mentre la chiave pubblica può essere distribuita a chiunque
voglia spedire un messaggio al possessore della chiave. Qualora finisse nelle mani di un pirata,
egli non potrà fare altro che cifrare messaggi senza poterli poi decifrare.
rev. 4.0 del 05/08/2015 Pagina 24 di 43
La crittografia a chiave pubblica si basa su algoritmi molto astuti, facilmente calcolabili in un
senso ma estremamente complicati da risolvere in senso inverso.
Gli algoritmi a chiave pubblica sono considerevolmente più' lenti di quelli a chiave privata, in
particolare nella cifratura di grosse moli di dati. Pertanto, nei sistemi crittografici si preferisce
adottare algoritmi simmetrici per la cifratura dei messaggi, e algoritmi a chiave pubblica per la
cifratura delle chiavi simmetriche.
Il mittente genera una chiave simmetrica, cifra il messaggio, cifra la chiave generata con la chiave
pubblica del destinatario e invia insieme il messaggio e la chiave generata. Il destinatario decifra la
chiave simmetrica con la propria chiave privata, ed infine decifra il messaggio.
Le applicazioni della crittografia moderna sono diffuse nell'ambito informatico e delle
telecomunicazioni in tutti casi in cui è richiesta confidenzialità dei dati, ad esempio in messaggi e
file presenti su supporti di memorizzazione, nelle comunicazioni wireless (Wi-Fi e reti cellulari) per
garantire la confidenzialità (ad es. WEP eWPA), nella Rete Internet per oscurare la comunicazione
dati in transito tra client e server (protocolli SSH, SSL/TSL, HTTPS, IPsec), nelle transazioni
finanziarie-bancarie (home banking), nella pay per view per impedire la visione di contenuti
audiovisivi a pagamento ai non abbonati ecc...
Grazie alla complementarità delle chiavi pubblica e privata, una stringa cifrata con una chiave può
essere decifrata solo mediante l'altra chiave. Pertanto, la decifratura di un testo mediante una
chiave assicura che esso è stato cifrato con la chiave complementare.
Gli algoritmi di firma digitale sfruttano questa caratteristica per verificare la reale provenienza
del messaggio (autenticazione del mittente).
La firma digitale è una stringa ricavata dal messaggio applicando un particolare algoritmo, cifrata
mediante la chiave privata del mittente e spedita insieme al messaggio. La decifratura della firma
mediante la chiave pubblica prova che è stata cifrata dal mittente o da qualcuno in possesso della
sua chiave privata. Inoltre, il confronto della stringa decifrata con una stringa ricavata ex-novo dal
messaggio applicando lo stesso algoritmo, consente di verificare l’integrità: se le due stringhe
coincidono il messaggio è integro.
Il paradigma è il seguente: il mittente, unico possessore della chiave privata, produce un’impronta
del messaggio, detta hash o message-digest, e la cifra con la sua chiave privata. L'hash cifrato
rappresenta la firma digitale. Il destinatario riceve il messaggio insieme alla firma. Dal messaggio,
eventualmente cifrato, ricostruisce l'impronta, mentre dall'hash, dopo averlo decifrato con la
chiave pubblica del mittente, ricava l'impronta del messaggio com’era al momento della sua
spedizione. Se le due impronte così ottenute coincidono, si è certi che la firma è stata apposta
mediante la chiave privata del mittente e che il messaggio non è stato modificato durante la
trasmissione.
rev. 4.0 del 05/08/2015 Pagina 25 di 43
Gli algoritmi di firma digitale si affidano principalmente sulla potenza degli algoritmi di hashing.
Essi sono algoritmi che producono, a partire da una stringa a lunghezza variabile, una stringa a
lunghezza fissa (tipicamente tra 64 e 255 bit).
I certificati digitali svolgono una funzione essenziale nella crittografia a chiave pubblica. Il loro
obiettivo è di autenticare un individuo certificando che la chiave pubblica, in esso contenuta,
appartiene realmente al soggetto per il quale è stato rilasciato. Assume pertanto un ruolo
determinante nello scambio della chiave pubblica.
Un certificato è, a tutti gli effetti, un documento di identità digitale. Come un documento reale,
esso contiene un insieme di attributi che identificano il possessore del certificato, ed è rilasciato
da un’Organismo ufficiale, detto Autorità di Certificazione che garantisce l'autenticità delle
informazioni in esso contenute. Solitamente, oltre alle informazioni relative al soggetto, esso
contiene la sua chiave pubblica, alcune informazioni relative all’autorità di certificazione che lo ha
rilasciato, la firma digitale apposta dall’autorità di certificazione ed il periodo di validità.
Il paradigma è il seguente: un individuo compila una richiesta di certificazione con i suoi dati e la
sua chiave pubblica e la invia ad una autorità di certificazione. Quest’ultima verifica l’autenticità
dei dati e, se il responso è positivo, produce un certificato e lo rilascia al richiedente firmandolo
con la propria chiave privata. Il richiedente può ora inviare il proprio certificato ad un altro
individuo per farsi autenticare e per consegnargli la propria chiave pubblica.
La verifica dell’identità dell’individuo avviene mediante il controllo della firma apposta sul
certificato dall'autorità di certificazione che, pertanto, mette a disposizione di tutti la propria
chiave pubblica. In realtà mette a disposizione il proprio certificato auto-firmato, o firmato da
un'altra Autorità di certificazione.
5.3 Misure minime di sicurezza nel trattamento di dati personali senza
l'ausilio di strumenti elettronici
Riguardo al trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici, l’Art. 35
del codice prescrive che esso avvenga solo in caso di adozione delle seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati
per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli
incaricati.
Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono
rev. 4.0 del 05/08/2015 Pagina 26 di 43
controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano
persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
rev. 4.0 del 05/08/2015 Pagina 27 di 43
6. Gestione di file e cartelle Referti on-line, Fascicolo sanitario
elettronico (Fse) e Dossier sanitario: introduzione alle "Linee
guida"
Consapevoli delle problematiche sollevate dal trattamento dei dati personali sanitari, in passato
già i Garanti europei per la protezione dei dati avevano adottato il 15 febbraio 2007 un
documento di lavoro (00323/07/EN WP 131, “Working Document on the processing of personal
data relating to health in electronic health records (EHR)”), che illustrasse i parametri applicativi da
rispettare nell’implementazione e gestione dei dati sanitari.
Nelle Linee Guida dei Garanti UE sono state richieste elevate tutele per i dati sanitari, accessi sicuri
e autodeterminazione dei pazienti.
Partendo dalle tematiche affrontate in sede europea, la nostra Autorità Garante per la protezione
dei dati personali ha, a sua volta, adottato due documenti di grande attualità: le “Linee Guida in
tema di Fascicolo elettronico e di dossier sanitario” con delibera del 16 luglio 2009, e le “Linee
guida in tema di referti on-line” del 19 novembre 2009.
In relazione al trattamento di dati sanitari, l'Autorità Garante nel suo documento del luglio 2009
ha voluto individuare un quadro unitario di misure ed accorgimenti necessari ed opportuni da
porre a garanzia di tutti i cittadini.
Le citate Linee guida si inquadrano, dunque, all’interno del processo di ammodernamento della
sanità pubblica e privata, per il quale sono in atto numerose iniziative volte a migliorare
l’efficienza del servizio sanitario attraverso un ulteriore sviluppo delle reti e una più ampia
gestione informatica e telematica di atti, documenti e procedure.
rev. 4.0 del 05/08/2015 Pagina 28 di 43
6.1 Cautele e misure di sicurezza informatica nel servizio di refertazione
on-line: dalle Linee guida dell'Autorità Garante per la protezione dei dati
personali, all'intervento legislativo nazionale
L'odierno processo di digitalizzazione della Sanità, si caratterizza per l'innovativo approccio ai
servizi sanitari fondato sull’utilizzo delle tecnologie di informazione e comunicazione a sostegno
delle finalità di prevenzione, diagnosi, trattamento, monitoraggio delle malattie e gestione della
salute e dello stile di vita.
Nel corso degli ultimi anni, le applicazioni dell’e-Health sono aumentate sensibilmente,
affermandosi così la refertazione digitale on-line, ossia la consegna all’assistito mediante
procedure telematiche (web, posta elettronica certificata o altre modalità digitali) di referti medici
dopo un esame clinico.
La refertazione on-line è stata regolamentata in primis dall’Autorità Garante per la protezione
dei dati personali, che supplendo al vuoto normativo ed in attesa di una regolamentazione più
adeguata, ha approvato le Linee guida in materia di referti on-line del 19 novembre 2009,
analizzando a fondo tutte le questioni giuridiche in materia di sicurezza e privacy implicate dal
servizio e-Health in analisi.
La disciplina del servizio di refertazione on-line è poi stata integrata e migliorata dal Legislatore,
con le previsioni di cui all’art. 6, comma 2 lett. d) nn. 1 e 2 del decreto legge del 13 maggio
2011 n. 70, convertito dalla legge 12 luglio 2011, n. 106, concernente “Semestre europeo –
prime disposizioni urgenti per l’economia", e con il recente decreto del Presidente del Consiglio
dei Ministri dell’8 agosto 2013, che ha dato effettiva attuazione all’applicazione e-Health in
esame.
Il provvedimento del Garante, esamina nel dettaglio le caratteristiche del servizio di refertazione
digitale e gli obblighi degli operatori sanitari in materia di trattamento dei dati, chiarendo la
necessità di assicurare anzitutto la disponibilità, la gestione, l’accesso, la trasmissione, la
conservazione e la fruibilità dell’informazione in modalità digitale, utilizzando le tecnologie
dell’informazione e della comunicazione, nel rispetto della disciplina rilevante in materia di
trattamento dei dati personali.
Il documento ha il pregio di chiarire che il servizio di refertazione on-line, mancando una
normativa che ne prescriva l’obbligatorietà, è da considerarsi facoltativo: gli operatori sanitari
debbono quindi illustrare le caratteristiche ed i vantaggi del servizio, con modalità tali da
consentire agli assistiti di scegliere liberamente se aderirvi o meno, e quindi se continuare o meno
a ritirare i referti cartacei presso la struttura erogatrice della prestazione.
A tal fine – precisa il provvedimento - la struttura sanitaria è tenuta a richiedere all’interessato,
preventivamente informato sulle caratteristiche del servizio di refertazione on-line, un autonomo e
specifico consenso al trattamento dei dati personali connessi a tale servizio, che dunque si
aggiunge senza sostituirsi al consenso generale al trattamento per finalità di cura.
rev. 4.0 del 05/08/2015 Pagina 29 di 43
Le Linee Guida precisano che l’informativa, eventualmente resa insieme a quella sul trattamento
dei dati personali per finalità di cura, ma ben distinta da essa, deve indicare con linguaggio
semplice tutti gli elementi richiesti dall’art. 13 Codice Privacy.
Per la prima volta, è fornito agli operatori sanitari una guida chiara e precisa delle cautele e misure
da adottare, anche a seconda del servizio di refertazione offerto.
Invero, nel caso in cui il servizio preveda la possibilità per l’interessato di collegarsi al sito Internet
della struttura sanitaria che ha eseguito l’esame clinico, al fine di effettuare la copia locale
(download) o la visualizzazione interattiva del referto, il Garante richiede l’adozione di cautele
quali:
§ protocolli di comunicazione sicuri, basati sull’utilizzo di standard crittografici per la
comunicazione elettronica dei dati, con la certificazione digitale dell’identità dei sistemi
che erogano il servizio in rete (protocolli https ssl – Secure Socket Layer);
§ tecniche idonee ad evitare la possibile acquisizione delle informazioni contenute nel file
elettronico, nel caso di sua memorizzazione intermedia in sistemi di caching, locali o
centralizzati, a seguito della sua consultazione on-line;
§ l’utilizzo di sistemi di autenticazione dell’interessato attraverso ordinarie credenziali o,
preferibilmente, tramite procedure di strong authentication;
§ disponibilità limitata nel tempo del referto on-line (per un massimo di 30 giorni);
§ possibilità da parte dell’utente di sottrarre alla visibilità in modalità on-line, o di cancellare
dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
Qualora invece sia il titolare del trattamento ad inviare copia del referto nella casella di posta
elettronica dell’interessato, l’Autorità Garante afferma la necessità di adottare le seguenti misure
di sicurezza informatica:
§ spedizione del referto in forma di allegato a un messaggio e-mail, piuttosto che come testo
compreso nella body part del messaggio;
§ protezione del file contenente il referto con modalità tali da impedire l’illecita o fortuita
acquisizione delle informazioni trasmesse, da parte di soggetti diversi dal destinatario,
eventualmente consistenti in una password per l’apertura del file o in una chiave
crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli
utilizzati per la spedizione dei referti;
§ convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da
evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso
soggetti diversi dall’utente richiedente il servizio.
In ogni caso, precisa il Garante, per il trattamento dei dati nell’ambito dell’erogazione del
servizio on-line dovrà essere garantita:
rev. 4.0 del 05/08/2015 Pagina 30 di 43
§ la disponibilità di idonei sistemi di autenticazione e di autorizzazione per gli incaricati, in
funzione dei ruoli e delle esigenze di accesso e trattamento (ad esempio, in relazione alla
possibilità di consultazione, modifica e/o integrazione dei dati), prevedendo il ricorso alla
strong authentication con utilizzo di caratteristiche biometriche nel caso del trattamento di
dati idonei a rivelare l’identità genetica di un individuo;
§ la separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale,
dagli altri dati personali trattati per scopi amministrativo-contabili.
Con il recente decreto del Presidente del Consiglio dei Ministri dell’8 agosto 2013, che ha dato
effettiva attuazione all’applicazione e-Health in esame, si definiscono le modalità con cui le
aziende sanitarie del Servizio Sanitario Nazionale adottano procedure telematiche per consentire
la consegna, tramite web, posta elettronica certificata e altre modalità digitali, dei referti medici,
ampliando – rispetto alle Linee Guida del Garante – l’ambito di applicazione della disciplina.
Invero, tale provvedimento normativo regola l'ipotesi di referto messo a disposizione, non soltanto
tramite web e posta elettronica, ma anche con altre modalità digitali di consegna, e cioè mediante
il Fascicolo sanitario elettronico (FSE) o la posta elettronica certificata, come anche presso il
domicilio digitale del cittadino ovvero con supporto elettronico.
Inoltre, il Legislatore prevede che l’azienda sanitaria possa fornire all’interessato servizi aggiuntivi
di facilitazione nell’utilizzo dei servizi di refertazione on-line, con l’intenti di migliorare in
generale la qualità del servizio offerto. Tra questi, rientrano in particolare quelli di notifica, che
consentono al paziente di essere avvisato della messa a disposizione del referto digitale attraverso
l’invio di uno short message service (sms) sul numero di telefono mobile, ovvero tramite
messaggio nella casella di posta elettronica indicata dall’interessato all’atto di adesione ai servizi
di refertazione on-line. Altro innovativo servizio consiste nella possibilità per l'assistito di
richiedere la consegna del referto digitale ad un medico curante designato dal medesimo.
Riguardo alle misure di sicurezza, il citato DPCM le distingue a seconda delle modalità di
erogazione del servizio. Per cui, ove si offra all’interessato la possibilità di collegarsi al sito
Internet dell’azienda sanitaria al fine di visualizzare on-line il referto digitale ed effettuarne il
download, le cautele prescritte dal Legislatore sono le seguenti:
§ utilizzo di idonei sistemi di identificazione dell’interessato, quali la Carta di identità
elettronica (CIE) e la Carta nazionale dei servizi (CNS);
§ utilizzo di protocolli di comunicazione sicuri, basati su standard crittografici per la
comunicazione elettronica dei dati, con la certificazione digitale dell’identità dei sistemi
che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer);
§ fissazione di un limite temporale per la disponibilità on-line del referto digitale (non
superiore a 45 giorni), permettendo comunque all’interessato, in tale intervallo di tempo,
di avanzare richiesta di oscuramento del referto digitale dal sistema web.
rev. 4.0 del 05/08/2015 Pagina 31 di 43
Nel caso in cui, invece, il servizio permetta all’interessato di ricevere il referto digitale nella casella
di posta elettronica da esso indicata, devono essere adottate dall’azienda sanitaria i seguenti
accorgimenti:
§ il referto digitale deve essere spedito in forma di allegato a un messaggio, e non come
testo compreso nel corpo del messaggio;
§ il referto digitale va protetto con tecniche di cifratura e reso accessibile tramite una
password per l’apertura del file, consegnata separatamente all’interessato.
Ancora, per i servizi che permettono di ricevere il referto digitale nella casella di posta elettronica
certificata indicata dall’interessato ovvero al proprio domicilio digitale, gli operatori sanitari sono
tenuti a garantire che il referto sia spedito in forma di allegato ad un messaggio, invece che come
testo compreso nel corpo del messaggio.
Se invece il servizio offre all’interessato la possibilità di ricevere il referto tramite apposito
supporto elettronico (quali memorie USB, DVD, CD, etc), l’azienda sanitaria è tenuta a proteggere
il supporto con opportune credenziali di sicurezza (es. username e password), da consegnare
all’interessato separatamente o in busta chiusa ad un suo delegato.
Infine, nel caso in cui si offra all’interessato la possibilità di ricevere il referto tramite il proprio
fascicolo sanitario elettronico (FSE), devono essere adottate le seguenti accortezze:
§ utilizzo di idonei sistemi di identificazione dell’interessato, quali la carta di identità
elettronica (CIE) e la carta nazionale dei servizi (CNS);
§ utilizzo di protocolli di comunicazione sicuri, basati su standard crittografici per la
comunicazione elettronica dei dati, con la certificazione digitale dell’identità dei sistemi
che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer);
§ le ulteriori specifiche misure disposte nelle Linee guida in tema di Fascicolo sanitario
elettronico e di dossier sanitario del 16 luglio 2009 del Garante per la protezione dei dati
personali e dalle disposizioni, attuative dell’art. 12, comma 7 del decreto-legge 18 ottobre
2012, n. 179, convertito in legge, con modificazioni, dall’art. 1 della legge 17 dicembre
2012, n. 221.
6.2 Trattamento dei dati mediante FSE e Dossier Sanitario e misure di
sicurezza informatica secondo le Linee guida del Garante per la Privacy
e secondo il Legislatore italiano
Come accennato, un'altra applicazione e-Health di recente normazione è il c.d. Fascicolo Sanitario
Elettronico (FSE), servizio regolamentato in primis dall’Autorità Garante per la protezione dei dati
personali attraverso le Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario
del 16 luglio 2009.
rev. 4.0 del 05/08/2015 Pagina 32 di 43
Esse si dividono in due parti principali:
a) nella prima, viene affrontato lo specifico argomento in materia di “Fascicolo sanitario
elettronico” e di “dossier sanitario”, strumenti questi che consentono la condivisione
informatica (da parte di distinti organismi o professionisti) di dati e documenti sanitari
formati, integrati e aggiornati nel tempo da più soggetti, al fine di documentare tutti gli
eventi sanitari ovvero l’intera storia clinica del paziente;
b) nella seconda, vengono elencate tutte le garanzie a tutela dell’interessato, quali il diritto
alla costituzione di un fascicolo sanitario elettronico o di un dossier sanitario,
l’individuazione dei soggetti che possono trattare tali dati ed accedervi, le modalità
attraverso cui esercitare i diritti dell’interessato sui propri dati personali (art. 7 del Codice
Privacy), i limiti alla diffusione e al trasferimento all’estero dei dati, e per finire
l’informativa e il consenso.
La disciplina del trattamento dati a mezzo del Fse/Dossier sanitario è stata anch'essa, come quella
relativa al servizio di refertazione on-line, successivamente integrata e migliorata dal Legislatore
italiano, con l’art. 12 del decreto legge del 18 ottobre 2012, n. 179, convertito dalla legge del 17
dicembre 2012, n. 221. In corso di esame e approvazione è poi il recente Schema di decreto del
Presidente del Consiglio dei Ministri26, approvato dalla Conferenza Stato-Regioni del 13 marzo
2014 27 e destinato a dare effettiva attuazione all’applicazione e-Health in esame.
Tanto il Fse quanto il dossier, non risultano essere definiti a livello nazionale da norme di
carattere primario o secondario: ciò comporta la necessità di ricorrere ad una definizione
convenzionale del fenomeno che tragga spunto anche da quanto emerso in sede europea nel
Gruppo che riunisce le Autorità garanti per la protezione dei dati (il cd. Gruppo Art. 29).
Essi vanno dunque intesi come l'insieme di dati sanitari relativi ad un medesimo soggetto, riportati
in più documenti elettronici tra loro collegati, e condivisibili da soggetti sanitari diversi, pubblici e
privati. Il Fse e il dossier contengono diverse informazioni inerenti allo stato di salute di un
individuo, relative ad eventi clinici presenti e trascorsi (es.: referti, documentazione relativa a
ricoveri, accessi al pronto soccorso) e funzionali a documentarne la storia clinica del paziente. In
questo modo, i dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne
rendono, comunque, possibile un'agevole consultazione unitaria da parte dei diversi professionisti
o organismi sanitari che prendono nel tempo in cura l'interessato.
In particolare, si parla di dossier sanitario qualora tale strumento sia costituito presso un
organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata), al
cui interno operino più professionisti.
Si intende invece per Fse il fascicolo formato con riferimento a dati sanitari originati da diversi
titolari del trattamento operanti, più frequentemente ma non esclusivamente, in un medesimo
ambito territoriale (es., azienda sanitaria, laboratorio clinico privato operanti nella medesima
regione o area vasta).
rev. 4.0 del 05/08/2015 Pagina 33 di 43
Nel dettaglio, le Linee Guida stabiliscono:
Ø il diritto del paziente alla costituzione di un Fascicolo sanitario elettronico (Fse) o di
un dossier sanitario, per fini di prevenzione, diagnosi, cura e riabilitazione (cfr. art. 76,
comma 1, lett. a) del Codice).
Tale diritto deve tradursi nella garanzia per l'interessato di decidere liberamente, sulla base di
un’idonea e chiara informativa e del consenso (artt. 13, 79 e 80 del Codice), se acconsentire o
meno alla costituzione di un documento che raccolga un’ampia storia sanitaria, con la piena
consapevolezza che il mancato consenso totale o parziale non può incidere negativamente sulla
possibilità di accedere alle cure mediche richieste.
Il consenso, anche se manifestato insieme a quello generale previsto per il trattamento dei dati a
fini di cura (cfr. art. 81 del Codice), deve essere autonomo e specifico. Le Linee Guida precisano
anche che l’operatore sanitario, dopo aver fornito l’informativa, è tenuto ad acquisire un
autonomo consenso generale dell’interessato a costituire il FSE e consensi specifici ai fini della sua
successiva alimentazione e consultazione o meno da parte dei singoli titolari del trattamento (es.
medico di medicina generale, pediatra di libera scelta, farmacista, medico ospedaliero).
Infine, il Garante pone a carico dell’operatore sanitario, titolare del trattamento, l’ulteriore onere
di comunicare all’Autorità la costituzione del FSE, mediante una apposita comunicazione da
effettuarsi secondo il modello adottato dall’Autorità.
In caso di revoca (liberamente manifestabile) del consenso, il Fse/dossier non sarà ulteriormente
implementato: i documenti sanitari presenti in esso, resteranno disponibili per l'organismo che li
ha redatti (es. informazioni relative a un ricovero utilizzabili dalla struttura di degenza) e per
eventuali conservazioni obbligatorie per legge, ma non saranno più condivisibili da parte degli
altri organismi o professionisti che curino l'interessato (art. 22, comma 5, del Codice).
Ferma restando la possibilità per l'interessato di esercitare in ogni momento i diritti di cui all'art. 7
del Codice, il titolare del trattamento deve consentire all'interessato una facile consultazione del
proprio Fse/dossier, anche in merito alla facoltà di estrarne copia.
La citata informativa, eventualmente anche con formule sintetiche ma agevolmente comprensibili,
deve indicare in modo chiaro, nel caso di dossier, i soggetti (ad es., medici che operano in un
reparto in cui è ricoverato l'interessato o che operano in strutture di pronto soccorso) e, nel caso
di Fse, le categorie di soggetti diversi dal titolare (es., medico di medicina generale, farmacista)
che, nel prendere in cura l'interessato, possono accedere a tali strumenti, nonché la connessa
possibilità di acconsentire che solo alcuni di questi possano consultarlo.
L'interessato deve essere informato anche della circostanza che il Fascicolo/dossier potrebbe
essere consultato anche senza il proprio consenso, ma nel rispetto dell'autorizzazione generale
del Garante, qualora sia indispensabile per la salvaguardia della salute di un terzo o della
collettività (art. 76 del Codice e Autorizzazione generale del Garante n. 2/2008 al trattamento dei
dati idonei a rivelare lo stato di salute e la vita sessuale del 19 giugno 2008).
rev. 4.0 del 05/08/2015 Pagina 34 di 43
L'informativa deve anche mettere in luce la circostanza che il consenso alla consultazione del
Fascicolo/dossier da parte di un determinato soggetto (ad es., del medico di medicina generale o
del medico di reparto in cui è avvenuto il ricovero) possa essere riferito anche al proprio sostituto.
L'informativa deve infine rendere note all'interessato anche le modalità per revocare il consenso
all'implementazione del Fse/dossier, o per esercitare la facoltà di oscurare alcuni eventi clinici.
Ø i soggetti abilitati a trattare i dati attraverso il Fse/dossier, ai fini esclusivi di
prevenzione, diagnosi e cura dell’interessato, ovvero i soggetti operanti in ambito
sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro,
associazioni o organizzazioni scientifiche e organismi amministrativi anche operanti in
ambito sanitario.
Analogamente, l'accesso è precluso anche al personale medico nell'esercizio di attività medico-
legale (es. visite per l'accertamento dell'idoneità lavorativa o alla guida) in quanto, sebbene figure
professionali di tipo sanitario, esse svolgono la loro attività professionale nell'ambito
dell'accertamento di idoneità o status, e non anche all'interno di un processo di cura
dell'interessato. Il Fse/dossier può essere pertanto consultato, salvo diversa volontà
dell'interessato, da tutti quei professionisti che a vario titolo prenderanno in cura l'interessato,
secondo modalità tecniche di autenticazione che consentano di autorizzare l'accesso al
Fse/dossier da parte del medico curante.
Inoltre, le persone fisiche legittimate a consultare il Fse/dossier devono essere adeguatamente
edotte delle particolari modalità di creazione e utilizzazione di tali strumenti.
rev. 4.0 del 05/08/2015 Pagina 35 di 43
La titolarità del trattamento dei dati personali, effettuato mediante Fse/dossier, dev'essere di
regola riconosciuta alla struttura o organismo sanitario nel suo complesso, e presso cui sono state
redatte le informazioni sanitarie (es. azienda sanitaria o ospedale) (artt. 4 e 28, comma 1, lett. f)
del Codice).
I titolari hanno la facoltà di designare eventuali soggetti responsabili del trattamento, ma anche
l'obbligo di preporre in ogni caso delle persone fisiche incaricate che possano venire lecitamente a
conoscenza dei dati personali trattati attraverso tali strumenti, nell'ambito delle funzioni svolte e
attenendosi alle istruzioni scritte impartite dal titolare o responsabile (artt. 4, comma 1, lett. g) e
h), 29 e 30 del Codice). All'atto della designazione degli incaricati, il titolare o il responsabile
devono indicare con chiarezza l'ambito delle operazioni consentite (operando, in particolare, le
opportune distinzioni tra il personale con funzioni amministrative e quello con funzioni sanitarie),
avendo cura di specificare se gli stessi abbiano solo la possibilità di consultare il Fascicolo/dossier
o anche di integrarlo o modificarlo.
L'accesso al Fse/dossier deve essere sempre consentito al soggetto che ha redatto il documento,
con riferimento al documento medesimo; dev'essere permesso, inoltre, agli altri soggetti che
abbiano in cura l'interessato, sempre che quest'ultimo ne abbia autorizzato l'accesso.
Il professionista o l'organismo sanitario che ha in cura l'interessato, deve poter accedere al
Fse/dossier consultando i documenti sanitari dallo stesso redatti e quelli relativi ad altri eventi
clinici eventualmente formati da reparti o strutture del medesimo titolare (nel caso di dossier), o
da altri organismi o professionisti sanitari (nel caso di Fse, come per es. un ricovero pregresso,
analisi cliniche antecedenti).
In ogni caso, l'accesso al Fse/dossier va circoscritto al periodo di tempo indispensabile per
espletare le operazioni di cura per cui è abilitato il soggetto che vi accede. Ciò, comporta che i
soggetti abilitati all'accesso devono poter consultare esclusivamente i fascicoli/dossier riferiti ai
rev. 4.0 del 05/08/2015 Pagina 36 di 43
soggetti che assistono e per il periodo di tempo in cui si articola il percorso di cura per il quale
l'interessato si è rivolto ad essi.
Il personale amministrativo operante all'interno della struttura sanitaria in cui venga utilizzato il
Fse/dossier può, in qualità di incaricato del trattamento, consultare solo le informazioni
necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate
all'erogazione della prestazione sanitaria (ad es., il personale addetto alla prenotazione di esami
diagnostici o visite specialistiche può consultare unicamente i soli dati indispensabili per la
prenotazione stessa).
Come già detto, a garanzia dell'interessato, le finalità perseguite attraverso la costituzione del
Fse o del dossier sono riconducibili solo alla prevenzione, diagnosi, cura e riabilitazione
dell'interessato medesimo, con esclusione di ogni altra finalità (in particolare, per le attività di
programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, che possono essere,
peraltro, espletate in vari casi anche senza la disponibilità di dati personali), ferme restando
eventuali esigenze in ambito penale.
Qualora, attraverso il Fse o il dossier, si intendano perseguire anche talune finalità amministrative
strettamente connesse all'erogazione della prestazione sanitaria richiesta dall'interessato (es.
prenotazione e pagamento di una prestazione), tali strumenti devono essere strutturati in modo
tale che i dati amministrativi siano separati dalle informazioni sanitarie, prevedendo profili diversi
di abilitazione degli aventi accesso agli stessi, in funzione della differente tipologia di operazioni
ad essi consentite.
Il titolare del trattamento che intenda istituire un Fse/dossier contenente anche informazioni
sanitarie relative ad eventi clinici precedenti alla sua costituzione (es. referti relativi a prestazioni
mediche pregresse), deve essere preventivamente e specificamente autorizzato dall'interessato,
lasciando libero quest'ultimo di esercitare la facoltà di "oscuramento". In ogni caso, sia con
riferimento alle informazioni sanitarie pregresse che a quelle attuali, il titolare del trattamento
deve assicurare all'interessato l'anzidetto diritto di oscuramento, sia prima dell'inserimento delle
informazioni sanitarie che successivamente.
Il titolare, in sostanza, deve valutare attentamente quali dati pertinenti, non eccedenti e
indispensabili inserire nel Fse/dossier in relazione alle enunciate esigenze di prevenzione,
diagnosi, cura e riabilitazione (artt. 11, comma 1, lett. d) e 22, comma 5 del Codice): andranno,
pertanto, preferite soluzioni che consentano un'organizzazione modulare di tali strumenti in
modo da limitare l'accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo
di dati) indispensabili.
I titolari del trattamento, nel costituire il Fse/dossier e nell'individuare la tipologia di informazioni
riportabili anche successivamente, devono rispettare le disposizioni normative a tutela
dell'anonimato della persona tra cui quelle a tutela delle vittime di atti di violenza sessuale o di
pedofilia (l. 15 febbraio 1996, n. 66; l. 3 agosto 1998, n. 269 e l. 6 febbraio 2006, n. 38), delle
persone sieropositive (l. 5 giugno 1990, n. 135), di chi fa uso di sostanze stupefacenti, di
rev. 4.0 del 05/08/2015 Pagina 37 di 43
sostanze psicotrope e di alcool (d.P.R. 9 ottobre 1990, n. 309), delle donne che si sottopongono a
un intervento di interruzione volontaria della gravidanza o che decidono di partorire in anonimato
(l. 22 maggio 1978, n. 194; d.m. 16 luglio 2001, n. 349), nonché con riferimento ai servizi offerti
dai consultori familiari (l. 29 luglio 1975, n. 405). Essi potranno decidere di non inserire tali
informazioni all'interno del Fse/dossier, ovvero di inserirle a fronte di una specifica
manifestazione di volontà dell'interessato, il quale potrebbe anche legittimamente richiedere che
tali informazioni siano consultabili solo da parte di alcuni soggetti ben individuati (ad es.
specialista presso cui è in cura).
In alcuni progetti esaminati all'interno del Fse/dossier è stata poi individuata una sintesi di
rilevanti dati clinici sul paziente, ovvero un insieme di informazioni la cui conoscenza possa
rivelarsi indispensabile per salvaguardare la vita dell'interessato (es., malattie croniche, reazioni
allergiche, uso di dispositivi o farmaci salvavita, informazioni relative all'impiego di protesi o a
trapianti): tali informazioni, raccolte di regola in un modulo distinto, saranno conoscibili da parte
di tutti i soggetti che prendono in cura l'interessato.
Il titolare del trattamento può, inoltre, prevedere per l'interessato la possibilità di inserire o
ottenere l'inserimento (anche in appositi moduli e secondo degli standard, anche di sicurezza,
definiti dal titolare) di talune informazioni sanitarie (es. autovalutazioni, referti emessi da strutture
sanitarie di altre regioni o Stati) o amministrativo sanitarie (es. appuntamenti medici, periodicità
dei controlli prescritti) che ritenga più opportune. Tali informazioni devono essere distinguibili (da
un punto di vista logico o organizzativo) da quelle inserite dagli operatori sanitari, in modo tale da
rendere sempre evidente a chi accede la "paternità" dell'informazione, ovvero l'identità del
soggetto che l'ha generata.
Ø le misure di sicurezza, e dunque gli specifici accorgimenti tecnici da adottare per
assicurare idonei livelli di sicurezza, ferme restando le misure minime che ciascun titolare
del trattamento deve comunque adottare ai sensi del Codice della Privacy.
A differenza di quanto fatto in precedenza per la refertazione on-line, il Garante non ha
particolarmente approfondito il tema delle misure di sicurezza che gli operatori sanitari, titolari
del trattamento, sono tenuti ad adottare per la protezione dei dati personali trattati per le finalità
del servizio FSE.
Infatti, le Linee Guida si limitano a prevedere che i titolari del trattamento debbano utilizzare
idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto
o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione
portatili o fissi (ad esempio, attraverso l’applicazione anche parziale di tecnologie crittografiche a
file system o database, oppure tramite l’adozione di altre misure di protezione che rendano i dati
inintelligibili ai soggetti non legittimati).
Più precisamente, il Garante ha prescritto l’adozione delle seguenti cautele:
rev. 4.0 del 05/08/2015 Pagina 38 di 43
a) idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e
delle esigenze di accesso e trattamento (ad esempio, in relazione alla possibilità di
consultazione, modifica e integrazione dei dati);
b) procedure per la verifica periodica della qualità e coerenza delle credenziali di
autenticazione e dei profili di autorizzazione assegnati agli incaricati;
c) individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo
stato di salute e la vita sessuale dagli altri dati personali;
d) tracciabilità degli accessi e delle operazioni effettuate;
e) sistemi di audit log per il controllo degli accessi al database e per il rilevamento di
eventuali anomalie;
f) protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la
comunicazione elettronica dei dati tra i diversi titolari coinvolti.
Come anticipato, le misure in commento sono state recentemente integrate dal Legislatore
nazionale, a mezzo dell’art. 12 del decreto legge del 18 ottobre 2012, n. 179, convertito dalla
legge del 17 dicembre 2012, n. 221.
La legge n. 221/2012, facendo propria la determinazione del Garante, definisce il FSE come
l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici
presenti e trascorsi riguardanti l’assistito, aggiungendo anzitutto che il FSE va istituito dalle
Regioni e Province autonome entro il termine (che pare perentorio) del 30 giugno 2015.
Inoltre, prevede che il FSE possa essere costituito non soltanto per finalità di prevenzione,
diagnosi, cura e riabilitazione, ma anche per quelle di studio e ricerca scientifica in campo medico,
biomedico ed epidemiologico; nonché per gli scopi di programmazione sanitaria, di verifica delle
qualità delle cure e di valutazione dell’assistenza sanitaria.
Il Legislatore conferma poi la prescrizione del Garante in merito al diritto dell’interessato di
scegliere se e quali dati inserire nel FSE.
Infine, la legge in commento auspica la pronta adozione di un decreto attuativo, che stabilisca i
contenuti del FSE nonché i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua
implementazione, i sistemi di codifica dei dati, le garanzie e le misure di sicurezza da adottare nel
trattamento dei dati personali nel rispetto dei diritti dell’assistito, le modalità e i livelli diversificati
di accesso al FSE, la definizione e le relative modalità di attribuzione di un codice identificativo
univoco dell’assistito che non consenta l’identificazione diretta dell’interessato, ed infine i criteri
per l’interoperabilità del FSE a livello regionale, nazionale ed europeo, nel rispetto delle regole
tecniche del sistema pubblico di connettività.
Tale decreto è stato di recente abbozzato nel suo Schema dal Tavolo Tecnico coordinato
dall’Agenzia per l’Italia Digitale e dal Ministero della Salute, con i rappresentanti del Ministero
dell’Economia e delle Finanze, delle Regioni e delle Province Autonome, nonché dal Consiglio
rev. 4.0 del 05/08/2015 Pagina 39 di 43
Nazionale delle Ricerche e del CISIS (Centro Interregionale per i Sistemi Informatici, Geografici e
Statistici), che il 31 marzo 2014 hanno pubblicato le Linee Guida per la presentazione di
appositi piani di progetto regionali per la realizzazione del FSE, prospettando anche
(all’allegato 1) lo Schema attuativo da emanarsi a cura del Presidente del Consiglio.
Il documento ha anzitutto il pregio di chiarire, per la prima volta, i contenuti obbligatori e
facoltativi del FSE.
Precisamente, il nucleo minimo, uguale per tutti i fascicoli istituiti da Regioni e Province
autonome, è costituito da: dati identificativi e amministrativi dell’assistito; referti, inclusi quelli
consegnati ai sensi del decreto del Presidente del Consiglio dei Ministri 8 agosto 201336; verbali
di pronto soccorso; lettere di dimissione; profilo sanitario sintetico; dossier farmaceutico;
consenso o diniego alla donazione degli organi e tessuti14.
Ancora, lo Schema individua con maggior precisione rispetto al Garante, i contenuti
dell’informativa che gli operatori sanitari sono tenuti a rendere all’interessato e le prescrizioni in
merito al consenso15 al trattamento effettuato mediante il FSE.
Con riferimento al consenso dell’interessato, lo Schema chiarisce che occorre sia l’autorizzazione
alla costituzione del FSE sia quella alla sua successiva alimentazione.
Vengono inoltre, per la prima volta, puntualmente distinti i titolari del trattamento in base alla
finalità per cui il FSE venga istituito.
Infatti, nel caso di trattamenti per finalità di cura, sono qualificati come titolari i soggetti del
Servizio Sanitario Nazionale e dei servizi socio-sanitari regionali che prendono in cura l’assistito.
Per i trattamenti effettuati per scopi di ricerca, sono invece titolari le regioni e province autonome
e il Ministero della salute, nei limiti delle rispettive competenze attribuite dalla legge.
14 Il FSE può inoltre contenere, a seconda delle scelte regionali in materia di politica sanitaria e del livello di maturazione del processo di digitalizzazione, contenuti quali: prescrizioni (specialistiche, farmaceutiche, etc.); prenotazioni (specialistiche, di ricovero, etc.); cartelle cliniche; bilanci di salute; assistenza domiciliare: scheda, programma e cartella clinico-assistenziale; piani diagnostico-terapeutici; assistenza residenziale e semiresidenziale; scheda multidimensionale di valutazione; erogazione farmaci; vaccinazioni; prestazioni di assistenza specialistica; prestazioni di emergenza urgenza (118 e pronto soccorso); prestazioni di assistenza ospedaliera in regime di ricovero; certificati medici; taccuino personale dell’assistito; relazioni relative alle prestazioni erogate dal servizio di continuità assistenziale; autocertificazioni; partecipazione a sperimentazioni cliniche; esenzioni; prestazioni di assistenza protesica; dati a supporto delle attività di telemonitoraggio; dati a supporto delle attività di gestione integrata dei percorsi diagnosticoterapeutici. 15 Precisamente, con riguardo all’informativa, essa deve indicare tutti gli elementi richiesti dall’articolo 13 Codice Privacy. In particolare, è necessario che contenga: - la definizione del FSE sopra esaminata; - le finalità del fascicolo, così come indicate dal comma 2 dell’articolo 12 del decreto legge 18 ottobre 2012, n. 179; - le modalità del trattamento, specificando che i dati sono trattati con l’ausilio di strumenti elettronici e sono trasmessi attraverso reti telematiche; - l’indicazione che è necessario esprimere un consenso specifico al trattamento dei dati per l’alimentazione del FSE e l’informazione che il mancato consenso, o la revoca dello stesso in un momento successivo, non comporta conseguenze in ordine all’erogazione delle prestazioni del Servizio Sanitario Nazionale e dei servizi socio-sanitari; - l’indicazione che è necessario esprimere un ulteriore specifico consenso limitatamente alla consultazione dei dati e documenti presenti nel FSE; - l’indicazione delle categorie di soggetti, diversi dai titolari del trattamento, che in qualità di responsabili o incaricati possono accedere al FSE; - l’informazione che il FSE, qualora sia indispensabile per la salvaguardia della salute di un terzo o della collettività, può essere consultato anche senza il consenso dell’assistito ma nel rispetto dell’Autorizzazione Generale al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, rilasciata dall’Autorità Garante38; - gli estremi identificativi del/dei titolare/i del trattamento dei dati personali trattati mediante il FSE e di almeno un responsabile se individuato, indicando le modalità per conoscere l’elenco aggiornato dei responsabili; - le modalità con cui rivolgersi al titolare o al responsabile designato, per esercitare i diritti di cui all’articolo 7 del Codice Privacy.
rev. 4.0 del 05/08/2015 Pagina 40 di 43
Inoltre, per le finalità di governo, titolari sono le regioni e province autonome, il Ministero della
salute e il Ministero del lavoro e delle politiche sociali.
Infine lo Schema indica, con maggior chiarezza rispetto al Garante, le misure di sicurezza che gli
operatori debbono adottare per la protezione dei dati trattati mediante il FSE.
In particolare, nell’utilizzo di sistemi di memorizzazione o archiviazione dei dati vanno attuati
idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto
o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione
portatili o fissi (ad esempio, attraverso l’applicazione anche parziale di tecnologie crittografiche a
file system o database, oppure tramite l’adozione di altre misure di protezione che rendano i dati
inintelligibili ai soggetti non legittimati).
Mentre per la consultazione in sicurezza dei dati contenuti nel FSE debbono essere assicurati:
§ idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e
delle esigenze di accesso e trattamento;
§ procedure per la verifica periodica della qualità e coerenza delle credenziali di
autenticazione e dei profili di autorizzazione assegnati agli incaricati;
§ protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la
comunicazione elettronica dei dati tra i diversi titolari coinvolti;
§ individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo
stato di salute e la vita sessuale dagli altri dati personali;
§ tracciabilità degli accessi e delle operazioni effettuate;
§ sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie;
Molto prudentemente, lo Schema prescrive che nel caso in cui dati trattati nell’ambito del FSE
subiscano violazioni tali da comportare la perdita, la distruzione o la diffusione indebita di dati
personali, il titolare del trattamento è tenuto ad effettuare una segnalazione al Garante entro una
settimana dal verificarsi dell’evento, contenente: una descrizione della natura della violazione dei
dati personali occorsa, compresi le categorie e il numero di interessati coinvolti; l’indicazione
dell’identità e delle coordinate di contatto del responsabile della protezione dei dati; la
descrizione delle conseguenze della violazione dei dati personali subita; le misure proposte o
adottate per porre rimedio alla violazione dei dati personali.
7. Bibliografia
ACCIAI R., La tutela della privacy ed il s.s.n., in Ragiusan, 2003, fasc. 225/226, 20
BERGHELLA F., Guida pratica alle nuove misure di sicurezza per la privacy, Roma, 2003
rev. 4.0 del 05/08/2015 Pagina 41 di 43
BIASIOTTI A., Codice della privacy e misure minime di sicurezza: d.lgs. 196/2003, II ed., Roma,
2004
CACCIA C., Management dei sistemi informativi in sanità, Milano, 2008
CAGGIA F., Il trattamento dei dati sulla salute, con particolare riferimento all’ambito sanitario, in
V. CUFFARO, R. D’ORAZIO,
CASONATO C., Il consenso informato. Profili di diritto comparato, in C. CASONATO, T.E. FROSINI,
T. GROPPI (a cura di), Diritto pubblico comparato ed europeo, 2009, 1052
CORASANITI G., La sicurezza dei dati personali, in F. CARDARELLI, S. SICA, V. ZENO-ZENCOVICH (a
cura di), Il codice dei dati personali. Temi e problemi, Milano, 2004, 112
CORONATO S., La tutela della privacy in ospedale, in Ragiusan, 2006, fasc. 265/266, 6
COSENTINI L., La relazione medico-paziente: rapporto tra dovere di cura e autodeterminazione
della persona destinataria della cura. Indisponibilità del diritto alla salute. Nota a Decr. Trib.
Modena 14 maggio 2009, in Giur. mer., 2009, 2697
D’ORAZIO R., Il principio di necessità nel trattamento dei dati personali, in V. CUFFARO, R.
D’ORAZIO, V. RICCIUTO (a cura di), Il codice del trattamento dei dati personali, Torino, 2007, 20
DE AZEVEDO CUNHA M.V., DONEDA D., ANDRADE N., La reidentificazione dei dati anonimi e il
trattamento dei dati personali per ulteriore finalità: sfide alla privacy, in Ciberspazio e dir., 2011,
641
DI CIOMMO F., La privacy sanitaria, in R. PARDOLESI (a cura di), Diritto alla riservatezza e
circolazione dei dati personali, Milano, 2003, 239
FABBRI A., MARAN F., Diritto di accesso e diritto di riservatezza: convivenza possibile?, in
Ragiusan, 2006, fasc. 265/266, 10
FINOCCHIARO G., Il trattamento dei dati sanitari: alcune riflessioni critiche a dieci anni
dall’entrata in vigore del Codice in materia di protezione dei dati personali, in G.F. FERRARI (a cura
di), La legge sulla privacy dieci anni dopo, Milano, 2008, 207
FLORIO A., Il trattamento dei “dati idonei a rivelare lo stato di salute” da parte dei medici liberi
professionisti, in Ciberspazio e dir., 2010, 111
IZZO U., Medicina e diritto nell’era digitale: i problemi giuridici della cyber medicina, in Danno e
resp., 2000, 807
Maria Giovanna Ruberto, La medicina ai tempi del web. Medico e paziente nell’e-Health, 2011
Franco Angeli s.r.l., Milano, Italy.
MASCHIO F., Il trattamento dei dati sanitari. Regole generali e particolari trattamenti per finalità di
rilevante interesse pubblico, in Ragiusan, 2005, fasc. 257/258, 6
rev. 4.0 del 05/08/2015 Pagina 42 di 43
MASCHIO F., Il trattamento dei dati sanitari. Regole generali e particolari trattamento per finalità di
rilevante interesse pubblico, in G. SANTANIELLO (a cura di), La protezione dei dati personali, in G.
SANTANIELLO (diretto da), Trattato di diritto amministrativo, vol. XXXVI, Padova, 2005, 485
MONDUCCI J., PASETTI G., Il trattamento dei dati sanitari e genetici (Parte II – Titolo V), in J.
MONDUCCI, G. SARTOR (a cura di), Il codice in materia di protezione dei dati personali.
Commentario sistematico al d.lgs. 30 giugno 2003, n. 196, Padova, 2004, 255
MORUZZI M., Fascicolo Sanitario Elettronico personale e reti e-Health. Appunti per un’analisi della
sanità di Internet, in Salute e società, 2008, fasc. 3, 1
MORUZZI M., Internet e Sanità. Organizzazioni e management al tempo della rete, Milano, 2008
PAOLO GUARDA, FASCICOLO SANITARIO ELETTRONICO E PROTEZIONE DEI DATI PERSONALI,
Università degli Studi di Trento 2011 - quaderni del dipartimento di scienze giuridiche
PELLEGRINI P., Trattamenti di dati personali in ambito sanitario, in G.P. CIRILLO (a cura di), Il
Codice sulla protezione dei dati personali, Milano, 2004, 325
PERRI P., Le misure di sicurezza, in J. MONDUCCI, G. SARTOR (a cura di), Il codice in materia di
protezione dei dati personali, Padova, 2004, 137
PULICE M., Privacy: fascicolo sanitario elettronico e referti on-line, in Il Civilista, 2010, fasc. 6, 59
RICCIO G.M., Privacy e dati sanitari, in F. CARDARELLI, S. SICA, V. ZENO-ZENCOVICH (a cura di), Il
codice dei dati personali. Temi e problemi, Milano, 2004, 247
ROBOTTI E., Titolo V. Trattamento di dati personali in ambito sanitario, in G. CASSANO, S. FADDA
(a cura di), Codice in materia di protezione dei dati personali. Commento articolo per articolo al
testo unico sulla privacy d.lgs. 30 giugno 2003, n. 196, Milano, 2004, 434
ROCCHIETTI G., La documentazione clinica. Compilazione, conservazione, archiviazione, gestione e
suo rilascio da parte della direzione sanitaria. Trattamento dei dati sanitari e privacy, in Minerva
medicolegale, 2001, fasc. 1, 15
V. RICCIUTO (a cura di), Il codice del trattamento dei dati personali, Torino, 2007, 405
VICIANI S., Brevi osservazioni sul trattamento dei dati inerenti la salute e la vita sessuale in ambito
sanitario, in Riv. critica dir. privato, 2007, 315
VICIANI S., L’autodeterminazione «informata» del soggetto e gli interessi rilevanti (a proposito
dell’informazione sul trattamento sanitario), in Rass. dir. civ., 1996, 272.
ZAMBRANO V., Dati sanitari e tutela della sfera privata, in Dir. informazione e informatica, 1999.
ZAMPI C.M., BACCI M., BENUCCI G., BALDASSARRI L., Diritto alla salute, diritto alla privacy e
consenso dell’avente diritto, in Riv. it. medicina legale, 2001, 1037
ZICCARDI G., Crittografia e diritto. Crittografia, utilizzo e disciplina giuridica documento
informatico e firma digitale, segretezza delle informazioni e sorveglianza globale, Torino, 2003
rev. 4.0 del 05/08/2015 Pagina 43 di 43
8. Sitografia
www.crescenziogallo.it/unifg/medicina/SSML/.../Rub_Piva_p_59_66.pdf
www.garanteprivacy.it/web/guest/home/docweb/-/docweb.../1634116
https://www.clusit.it/evento_sanita/dibenedetto.pdf
egov.formez.it/content/cad-sistemi-identificazione-informatica
www.mokabyte.it/1999/06/crittografia.htm
www.puntosicuro.it/sicurezza.../sicurezza.../la-sicurezza-informatica-nelle...
www.key4biz.it › Internet › Privacy
www.agid.gov.it/amministrazione-digitale/egovernment/sanita-digitale