Presentazione, al Forum Risk Management in sanità -Firenze 2017, dell'approccio che sta adottando InnovaPuglia S.p.A., società in house della Regione puglia, per adempiere alle disposizioni dettate dal Regolamento UE 2016/679

1. L’implementazione del regolamento
GDPR nelle aziende sanitarie
CYBER SECURITY IN SANITÀ: CIRCOLARITÀ DELLE
INFORMAZIONI CLINICHE E TUTELA DELLA PRIVACY
Avv. Pasquale Lopriore
Responsabile del Sistema di protezione dei dati personali
Responsabile Ufficio Consulenza PA – U.O. SarPULIA

2. InnovaPuglia S.p.A. società in house dalla Regione Puglia
Partner strategico per l’uso strategico dell’innovazione ICT
Gestione di dati e sistemi informativi a valenza strategica regionale
Progettazione, sviluppo e implementazione sistema informativo
regionale
Progettazione, realizzazione e gestione di infrastrutture pubbliche ICT
Attua sul territorio pugliese l'Agenda Digitale Europea
Organismo Intermedio per la realizzazione di interventi pubblici
agevolativi nel campo della ricerca e innovazione digitale
Soggetto Aggregatore della regione Puglia con funzioni di Stazione
Unica Appaltante e Centrale di Committenza, mediante la gestione del
Centro Acquisti Telematico per la Pubblica Amministrazione EmPULIA

3. Principali progetti seguiti da InnovaPuglia
nell’ambito della sanità regionale
• Sistema Informativo Sanitario Territoriale
Ha lo scopo di completare la realizzazione del Fascicolo Sanitario Elettronico (FSE) dei
cittadini della Regione Puglia, istituito con L.R. n.16/2011
• Portale Regionale della salute
Erogazione dei servizi al cittadino in ambito sanitario, basati sulle tecnologie Web e sulla
multicanalità
• Nuovo Sistema Informativo della Salute Mentale
l’informatizzazione dei Dipartimenti di Salute Mentale razionalizzando e normalizzando gli
interventi settoriali attuati in maniera autonoma dalle varie ASL e attuando un unico
omogeneo sistema informativo regionale
• E-CUP
Sistema informativo regionale integrato per il governo, il monitoraggio ed il coordinamento
tecnico, organizzativo e funzionale dei sistemi di prenotazione delle prestazioni sanitarie

10. Armonizzazione delle norme
D.LGS. N. 196/2003
• Inversione dell’onere
della prova
• Incaricato del
trattamento dei dati
• Amministratore di
sistema
• Sistema sanzionatorio
Regolamento UE
2016/679
• Profilazione on line
• Diritto all’oblio
• Data Protection
Officer (DPO)
• Privacy by default
and by design

11. Regolamento UE 2016/679
LEGGE 25/10/2017 n.163 «Legge di delegazione»
a) abrogare espressamente le disposizioni del D.Lgs. 196/2003,
incompatibili con le disposizioni contenute nel regolamento;
b) modificare il D.Lgs. 196/2003, limitatamente a quanto necessario per dare
attuazione alle disposizioni non direttamente applicabili del
regolamento;
c) coordinare le disposizioni vigenti in materia di protezione dei dati
personali con le disposizioni recate dal regolamento;
d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e
integrativi adottati dal Garante per la protezione dei dati;
e) adeguare, nell’ambito delle modifiche del D.Lgs. 196/2003, il sistema
sanzionatorio penale e amministrativo vigente alle disposizioni del
regolamento con previsione di sanzioni penali e amministrative efficaci,
dissuasive e proporzionate alla gravità della violazione.
Il Governo avrà 6 mesi per adeguarsi quindi entro il 22/05/2018

12. Regolamento UE 2016/679 «considerando n.10»
Rinvio Stati membri
per precisarne le norme, anche con riguardo al trattamento di
categorie particolari di dati personali («dati sensibili»)
Per stabilire le condizioni per specifiche situazioni di
trattamento, anche determinando con maggiore precisione le
condizioni alle quali il trattamento di dati personali è lecito.

13. Regolamento UE 2016/679 «considerando n. 35»
Nozione dati sanitari
Nei dati personali relativi alla salute dovrebbero rientrare
tutti i dati riguardanti lo stato di salute dell'interessato che
rivelino informazioni connesse allo stato di salute fisica o
mentale passata, presente o futura dello stesso.

14. Regolamento UE 2016/679 «considerando n. 35»
Casistiche dati sanitari
• informazioni sulla persona fisica raccolte nel corso della sua
registrazione al fine di ricevere servizi di assistenza sanitaria
• un numero, un simbolo o un elemento specifico attribuito a una
persona fisica per identificarla in modo univoco a fini sanitari;
• le informazioni risultanti da esami e controlli effettuati su una parte
del corpo o una sostanza organica, compresi i dati genetici e i
campioni biologici;
• qualsiasi informazione riguardante, ad esempio, una malattia, una
disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti
clinici o lo stato fisiologico o biomedico dell'interessato,
indipendentemente dalla fonte, quale, ad esempio, un medico o
altro operatore sanitario, un ospedale, un dispositivo medico o un
test diagnostico in vitro.

15. Regolamento UE 2016/679 «considerando n. 51»
Deroghe al divieto di trattamento
1. consenso esplicito dell’interessato
2. in relazione a esigenze specifiche,
3. trattamento è eseguito nel corso di legittime attività di
talune associazioni o fondazioni il cui scopo sia permettere
l'esercizio delle libertà fondamentali.

16. Regolamento UE 2016/679 «considerando n. 54»
Consenso al trattamento
Il trattamento di categorie particolari di dati personali può
essere necessario per motivi di interesse pubblico nei settori
della sanità pubblica, senza il consenso dell'interessato. Tale
trattamento dovrebbe essere soggetto a misure appropriate e
specifiche a tutela dei diritti e delle libertà delle persone fisiche.

17. Regolamento UE 2016/679 «considerando n. 54»
Nozione Sanità pubblica
tutti gli elementi relativi alla salute, ossia lo stato di salute,
morbilità e disabilità incluse, i determinanti aventi un effetto su
tale stato di salute, le necessità in materia di assistenza
sanitaria, le risorse destinate all'assistenza sanitaria, la
prestazione di assistenza sanitaria e l'accesso universale a
essa, la spesa sanitaria e il relativo finanziamento e le cause di
mortalità. Il trattamento dei dati relativi alla salute effettuato per
motivi di interesse pubblico non dovrebbe comportare il
trattamento dei dati personali per altre finalità da parte di terzi,
quali datori di lavoro, compagnie di assicurazione e istituti di
credito.

18. Regolamento UE 2016/679 «considerando n. 63»
Diritto dell’interessato - cartelle mediche
Un interessato dovrebbe avere il diritto di accedere ai dati
personali raccolti che la riguardano e di esercitare tale diritto
facilmente e a intervalli ragionevoli, per essere consapevole
del trattamento e verificarne la liceità. Ciò include il diritto di
accedere ai dati relativi alla salute, ad esempio le cartelle
mediche contenenti informazioni quali diagnosi, risultati di
esami, pareri di medici curanti o eventuali terapie o interventi
praticati.

19. Regolamento UE 2016/679 Art. 4
Definizioni
«dati relativi alla salute»: i dati personali attinenti alla salute
fisica o mentale di una persona fisica, compresa la prestazione
di servizi di assistenza sanitaria, che rivelano informazioni
relative al suo stato di salute;
«dati genetici»: i dati personali relativi alle caratteristiche
genetiche ereditarie o acquisite di una persona fisica che
forniscono informazioni univoche sulla fisiologia o sulla salute
di detta persona fisica, e che risultano in particolare dall'analisi
di un campione biologico della persona fisica in questione;

20. Regolamento UE 2016/679 Art. 9
Trattamento di categorie particolari di dati
personali
È vietato trattare dati personali che rivelino l'origine razziale o
etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, o l'appartenenza sindacale, nonché trattare dati
genetici, dati biometrici intesi a identificare in modo univoco
una persona fisica, dati relativi alla salute o alla vita sessuale o
all'orientamento sessuale della persona.
Gli Stati membri possono mantenere o introdurre ulteriori
condizioni, comprese limitazioni, con riguardo al trattamento di
dati genetici, dati biometrici o dati relativi alla salute.

22. Adeguamento al Regolamento UE 2016/679
Ridefinizione dei rapporti tra i soggetti
Controllo delle misure di sicurezza informatiche

23. Soggetti coinvolti nel
trattamento dei dati
Contitolari (art. 26 Reg. UE 2016/679)
Responsabili (art. 28 co. 3 Reg. UE 2016/679)
Sub Responsabili

24. Rapporto tra soggetti nella sanità
Titolari del trattamento dei dati nel Servizio Sanitario
Regionale
Regione Puglia
Aziende Sanitarie
Strutture sanitarie e socio-sanitarie del SSR
Medici di medicina generale e i pediatri di libera scelta
Clausola che regolamenta i rapporti tra di loro:
I Titolari del trattamento si impegnano a formare
adeguatamente il personale coinvolto nel trattamento dei dati
sugli aspetti rilevanti della disciplina sulla protezione dei dati,
anche al fine di rendere più efficace il rapporto con gli assistiti.

25. Rapporto tra soggetti nella sanità
Responsabili del trattamento nel Servizio Sanitario
Regionale
InnovaPuglia Spa (società in house della Regione
Puglia)
Soggetti che eseguono i progetti gestiti da InnovaPuglia
Altri soggetti designati dalla Regione
Soggetti che operano nell’interesse delle Aziende
Sanitarie e delle strutture sanitarie e sociosanitarie del
SSR e degli esercenti professioni sanitarie

26. Accordo interno tra contitolari
Determinazione delle proprie responsabilità per il rispetto del
norme sul trattamento ed in particolare:
- esercizio dei diritti dell'interessato
- rispettive funzioni di comunicazione delle informazioni
- designare un punto di contatto per gli interessati
Definizione dei rispettivi ruoli e i rapporti con gli interessati
L’accordo deve essere messo a disposizione dell'interessato
Indipendentemente dalle disposizioni dell'accordo, l'interessato
può esercitare i propri diritti ai sensi del presente regolamento nei
confronti di e contro ciascun titolare del trattamento.

27. Articolo 26
Contitolari del trattamento
1. Allorché due o più titolari del trattamento determinano congiuntamente
le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.
Essi determinano in modo trasparente, mediante un accordo interno, le
rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal
presente regolamento, con particolare riguardo all'esercizio dei diritti
dell'interessato, e le rispettive funzioni di comunicazione delle informazioni
di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive
responsabilità siano determinate dal diritto dell'Unione o dello Stato
membro cui i titolari del trattamento sono soggetti. Tale accordo può
designare un punto di contatto per gli interessati.
2. L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i
rapporti dei contitolari con gli interessati. Il contenuto essenziale
dell'accordo è messo a disposizione dell'interessato.
3. Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1,
l'interessato può esercitare i propri diritti ai sensi del presente regolamento
nei confronti di e contro ciascun titolare del trattamento.

28. Rapporti tra Titolare e il Responsabile
- materia disciplinata
- durata del trattamento
- natura e finalità del trattamento
- tipo di dati personali
- categorie di interessati
- obblighi e i diritti del titolare del trattamento
Linee guida pubblicati delle autorità per la protezione dei dati, che discriminano i rapporto tra i due soggetti
Francia
Règlement européen sur la protection des données : un guide pour accompagner les sous-traitants
Spagna
Directrices para contratos responsable – encargado
Regno Unito
ICO GDPR guidance: Contracts and liabilities between controllers and processors

29. Rapporti tra Titolare e il Responsabile del
trattamento
• Notifica delle violazioni di dati personali
Il responsabile del trattamento deve comunicare al
titolare del trattamento le violazioni di dati personali
nel memento in cui vengano a conoscenza, fornendo
gli elementi necessari per valutare se tale violazione
derivino rischi per i diritti e le libertà degli interessati,
al fine di adempiere quanto disposto dall’artt. 33 e 34
del Regolamento (UE) 2016/679

30. Misure tecniche ed organizzative
Valutazione d'impatto sulla protezione dei
dati art 35 del Regolamento
Per ogni singolo affidamento il Responsabile del
trattamento deve eseguire un pre-accertamento (pre-
assessment) di impatto sulla protezione dei dati, avente
ad oggetto i rischi afferenti al trattamento di dati personali
riguardante le specifiche attività da svolgere, le misure
tecniche ed organizzative, saranno implementate o
specificate a seconda della tipologia e delle modalità di
trattamento da eseguire per svolgere l’affidamento.
Tale accertamento deve riguardare la natura e la finalità
del trattamento, la tipologia dei dati (personali, giudiziali,
sensibili, identificativi), la modalità del trattamento
(automatizzato o meno) e la natura giuridica
dell’interessato (dati di persone fisiche o giuridiche).

31. Misure tecniche ed organizzative
Certificazioni artt. 25 co. 3 e 42 Reg.
La certificato ISO 27001 (sistema di gestione della
sicurezza delle informazioni) rappresenta un esempio
di best practice.
Non copre direttamente alcuni requisiti previsti dal
Regolamento Privacy (come: il diritto ad essere
informati; il diritto di far eliminare i propri dati; la
portabilità dei dati), ma allo stesso tempo identifica i
dati personali come asset di sicurezza informativa e
fornisce i mezzi per garantire questa protezione.

32. Grazie per l’attenzione
Avv. Pasquale Lopriore
Responsabile del Sistema di protezione dei dati personali
Responsabile Ufficio Consulenza PA – U.O. SarPULIA