Risk-based analysis in the handling of sensitive data in the health sector

Posted on Scarica PDF

Filippo Lorè

Filippo Lorè

Professore a contratto per l’insegnamento “Trattamento dei dati sensibili” – Dipartimento di Informatica dell’Università degli studi di Bari “A. Moro”

Corrispondenza a:
Dott. Filippo Lorè
Docente a contratto Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Abstract

This contribution delves into the EU Regulation 2016/679 that defines the accountability of data controllers, with regard to the processing of personal data, and imposes the adoption of technological and organizational measures demonstrating a full commitment to European data protection laws. A risk-based analysis and an impact-based approach are recommended for all personal data, and especially those concerning health, in order to safeguard the rights and freedoms of the data subjects.

The article also describes the processes that should be put in place to avoid errors and violations in the handling of personal data, which can result in physical, material or non-material damage to natural persons. The controller, in fact, needs to evaluate the situation carefully and follow a series of compulsory steps to assess any potential weaknesses in the system.

A balancing act between public health concerns and privacy protection is necessary; this can be obtained through a detailed analysis of the norms and their careful implementation.

 

Keywords: data concerning health, privacy, risk-based analysis, impact-based approach, data protection

Sorry, this entry is only available in Italian.

L’art. 5 del Regolamento UE 2016/679 afferma, tra gli altri, il principio di integrità e riservatezza: i dati devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danneggiamento, anche accidentali, degli stessi. L’articolo 5, inoltre, al paragrafo 2, stabilisce che il titolare del trattamento (Data Controller) è competente per quanto espresso al paragrafo 1 e deve essere in grado di comprovarlo. Si tratta della c.d. accountability («responsabilizzazione») del titolare, una delle principali novità del Regolamento UE 2016/679, che attribuisce direttamente al titolare il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. Nell’ambito del trattamento dei dati personali per finalità di cura del paziente, si segnala il Provvedimento del Garante per la protezione dei dati personali del 7 marzo 2019 [1], mediante il quale l’Autorità ha inteso chiarire alcuni aspetti riguardanti proprio i trattamenti dei dati relativi alla salute nel settore sanitario. Lo scopo dichiarato consiste nel dare un’interpretazione uniforme della normativa, e nel diradare, così, i dubbi interpretativi derivanti dal mutato assetto normativo. Invero, la normativa europea ha stabilito il generale divieto di trattamento per i dati attinenti alla salute di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria che rivelino informazioni relative al suo stato di salute [2]. Questo tipo di trattamento è consentito solo in presenza di taluni requisiti specifici individuati dall’art. 9, par. 2, del Regolamento UE 2016/679. Con il citato Provvedimento del 7 marzo 2019, il Garante è intervenuto sul fondamento giuridico del trattamento dei dati personali riguardanti la salute degli interessati.

 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Data protection in healthcare

Posted on Scarica PDF

Filippo Lorè

Filippo Lorè

Università degli Studi di Bari

Corrispondenza a:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

L’Autorità Garante per la protezione dei dati personali ha emesso, in data 7 marzo 2019,  un Provvedimento chiarificatore al fine di diradare i dubbi interpretativi derivanti dal mutato e articolato assetto della disciplina sul trattamento dei dati relativi alla salute nel settore sanitario e di favorire un’interpretazione uniforme della normativa.  

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Il responsabile del trattamento

Posted on Scarica PDF

Filippo Lorè

Filippo Lorè

Università degli Studi di Bari

Corrispondenza a:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

Introduzione

Il presente lavoro tenterà di approfondire la figura del responsabile del trattamento dei dati personali, che ha conosciuto un’importante evoluzione normativa.

In passato, ai sensi dell’art. 1 della Legge 31 dicembre 1996, n. 675, il responsabile del trattamento era “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. All’art. 8 la Legge n. 675 specificava che, se nominato, il responsabile doveva garantire, per esperienza, capacità ed affidabilità, il pieno rispetto delle vigenti disposizioni in materia, compreso il profilo della sicurezza dei dati.  

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Evaluating the impact of regulation 2016/679 of the European Parliament

Posted on Scarica PDF

Filippo Lorè

Filippo Lorè

Università degli Studi di Bari

Autore Corrispondente:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

La normativa europea in materia di protezione dei dati personali introduce un approccio sostanziale e non più formale per il titolare del trattamento, il quale dovrebbe, in osservanza al principio di accountability, mettere in campo misure tecniche ed organizzative finalizzate a dimostrare la conformità del trattamento e a comprovare la compliance normativa. Tale mutamento si ripercuote, ovviamente, anche in campo sanitario. 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Il Registro delle Operazioni di Trattamento

Posted on Scarica PDF

Filippo Lorè

Dott. Filippo Lorè

Università degli Studi di Bari

Autore Corrispondente:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

Negli ultimi mesi è mutata la cornice normativa in materia di protezione dei dati personali con l’entrata in vigore del Regolamento generale sulla protezione dei dati personali UE 2016/679 (anche GDPR) e con il D.Lgs n.101/2018 (1) che ha apportato modifiche al Codice privacy per completare l’adeguamento alle disposizioni del legislatore europeo in materia di protezione dei dati personali.  

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Privacy by Design in GDPR

Posted on Scarica PDF

Filippo Lorè

Filippo Lorè

Università degli Studi di Bari

Autore Corrispondente:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

Per il mondo sanitario, e non solo, il 25 maggio 2018 ha rappresentato un cambiamento radicale nel modo di intendere la protezione dei dati personali (1).

 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Waiting for General Data Protection Regulation

Posted on Scarica PDF

Filippo Lorè

Filippo Lorè

Università degli Studi di Bari

Autore Corrispondente:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

Il Considerando 97 al Regolamento recita che “…il titolare o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati personali nel controllo del rispetto a livello interno del presente regolamento”. E’ evidente che la figura di supporto richiamata dal legislatore europeo è rappresentata dal Responsabile per la protezione dei dati personali.

L’importanza del RPD all’interno della normativa privacy si evince dall’art. 39 del Regolamento (1), il quale, a sua volta, assegna allo stesso dei compiti bene precisi.

Al professionista privacy è richiesto fornire un’attenta analisi sullo stato dell’arte sotto il profilo della tutela dei dati personali, attraverso un dialogo continuo con le figure di vertice nell’amministrazione, con un’attività di acquisizione delle informazioni al fine di comprendere e verificare i trattamenti svolti per poi, alla fine della ricomposizione del quadro unitario, fornire una corretta informazione e consulenza al titolare del trattamento e a tutto il personale dipendente impiegato in attività di trattamento dei dati personali. 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Data Protection Officer and Freedom of Information Act

Posted on Scarica PDF

Filippo Lorè

Dott. Filippo Lorè

Università degli Studi di Bari

Autore Corrispondente:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

I recenti cambiamenti normativi intervenuti in materia di trasparenza amministrativa nella pubblica amministrazione (D.Lgs 25 maggio 2016, n.97) hanno interessato, di riflesso, anche la disciplina sulla protezione dei dati personali. 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Data Protection Officer

Posted on Scarica PDF

Filippo Lorè

Dott. Filippo Lorè 1

1 Università degli Studi di Bari

Corrispondenza a:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

L’introduzione all’interno del Nuovo Regolamento Europeo sulla protezione dei dati personali della figura del Responsabile della protezione dei dati (RPD) ha suscitato un acceso dibattito dottrinale tra i maggiori esperti in ambito privacy che attendono altresì ulteriori e specifici interventi legislativi da parte del Governo affinché il passaggio dal Codice in materia di protezione dei dati personali alla normativa europea non risulti “stridente”, d’impatto, ma naturale.

Il 22 maggio 2014, nel parere rilasciato su uno schema di decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico, il Garante, al paragrafo 5 (“Responsabile della protezione dei dati personali”) ha fortemente auspicato, per ogni titolare coinvolto nell’applicazione del decreto sopra citato, la nomina del RPD che possa interfacciarsi con l’Autorità al fine di prevenire violazione di dati personali (1). 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.

Leading characters of privacy policies, informative note and informed consent

Posted on Scarica PDF

Filippo Lorè

Dott. Filippo Lorè

Corrispondenza a:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Sorry, this entry is only available in Italian.

Come accennato nell’articolo precedente, pubblicato sul GIN 5 2017 (1), il mondo sanitario non può prescindere dallo studio e dall’analisi della normativa in materia di protezione dei dati personali. Tale esigenza diventa ancor più pressante alla luce delle recenti disposizioni introdotte dal nuovo Regolamento sulla protezione dei dati personali (2016/679) e dal quadro sanzionatorio che ne risulta notevolmente inasprito.

L’approfondimento in esame richiede altresì un’attenta calibratura tra “vecchio” Codice in materia di protezione dei dati personali (D.lgs. 196/2003), in vigore fino al 24 maggio 2018 e il prossimo Regolamento sulla protezione dei dati personali.

 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.