Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


il sistema budgetario nelle aziende sanitarie, Tesi di laurea di Infermieristica

tesina intermedia esame numero 5 unitelma

Tipologia: Tesi di laurea

2022/2023

Caricato il 16/06/2023

marco-salzillo-1
marco-salzillo-1 🇮🇹

5

(1)

1 documento

1 / 18

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Master di primo livello in “Management e funzioni di
coordinamento delle professioni sanitarie”
IL SISTEMA SANITARIO: ASPETTI ISTITUZIONALI E
NORMATIVI
La tutela dei dati personali in ambito
sanitario e la responsabilità civile
07/06/2023
Studente Docenti
Salzillo Marco Prof. Angelo Tuzza
Matr. 088925 Dott.ssa Fabiola Orlandi
1
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12

Anteprima parziale del testo

Scarica il sistema budgetario nelle aziende sanitarie e più Tesi di laurea in PDF di Infermieristica solo su Docsity!

Master di primo livello in “Management e funzioni di

coordinamento delle professioni sanitarie”

IL SISTEMA SANITARIO: ASPETTI ISTITUZIONALI E

NORMATIVI

La tutela dei dati personali in ambito

sanitario e la responsabilità civile

Studente Docenti Salzillo Marco Prof. Angelo Tuzza Matr. 088925 Dott.ssa Fabiola Orlandi

Indice

- Introduzione

………………………………………………………………… Pag.

- Capitolo 1: Evoluzione Normativa ………………………………

Pag.

- Capitolo 2: Il GDPR – UE 679/2016 …........................Pag.

- Capitolo 3: Figure Professionali …………………………………..

Pag 9

- 3.1 Il titolare del trattamento

- 3.2 Il responsabile del trattamento

- 3.3 Il responsabile della protezione dei dati

- Capitolo 4: Il trattamento dei dati sanitari …………………

Pag.

- Capitolo 5: La responsabilità civile nel trattamento dei

dati…………………………………………………………………………… Pag. 13

- 5.1 La responsabilità in solido

- 5.2 Il danno risarcibile

- Conclusioni

…………………………………………………………………. Pag. 16

- Bibliografia e Sitografia ………………………………………………

Pag. 17

Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ovvero il GDPR, General Data Protection Regulation, che vedremo nello specifico più avanti.

Capitolo 1

Evoluzione normativa

L’evoluzione storico-normativa della disciplina della privacy parte dall’analisi della legislazione europea per passare poi alla normativa vigente in Italia, tra decreti legge attuativi delle direttive europee e il connaturale riferimento alla carta costituzionale. In Italia per lungo tempo non è giuridicamente esistito un diritto alla privacy, gli unici riferimenti erano sentenze della Suprema Corte di Cassazione che si era pronunciata in relazione ad alcuni casi dove si trattava di situazioni denunciate come lesive della riservatezza, come ad esempio il domicilio, la libertà e segretezza della corrispondenza e la libertà di manifestazione del pensiero. Un passo avanti nella formazione di una normativa adeguata è stato fatto, per rispetto di obblighi internazionali, con la legge n. 98 del 21 febbraio 1989 con cui viene ratificata in Italia la Convenzione di Strasburgo sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale. La direttiva Europea 95/46/CE determinò poi l'adozione della legge n. 675 del 31 dicembre 1996 che, oltre a considerare il trattamento dei dati personali così come previsto dall'Unione Europea, istituisce la figura del Garante per la protezione dei dati personali. La Legge 31 dicembre 1996, n. 675, considerata la prima legge nazionale in materia di riservatezza, aveva previsto, in particolare, agli artt. 22 e 23 disposizioni inerenti il trattamento dei dati particolari come quelli riguardanti la salute (art). La legge prevede che chi eserciti professioni sanitarie e gli organismi sanitari pubblici possano, anche senza autorizzazione del Garante Privacy, procedere al trattamento di dati dai quali potrebbero emergere informazioni sullo stato di salute di un individuo. Successivamente, a livello europeo, vengono emanate la Direttiva 2002/58/CE (ePrivacy), che affianca la Direttiva 95/46/CE ed è introdotta per ovviare alle carenze di quest’ultima dovute all'evoluzione della tecnologia e dei trattamenti automatizzati dei dati, e la Direttiva 2009/136/CE che modifica la Direttiva 2002/58/CE (ePrivacy), relativamente al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. In Italia, nel 2003, viene emanato il D. Lgs. 196/2003, detto Codice Privacy, che ha previsto espressamente al titolo V la materia relativa al trattamento dei dati sanitari. Infatti l’art. 75 ne individua l’ambito applicativo.

Il GDPR – UE 679/

Il GDPR (General Data Protection Regulation) è il regolamento generale sulla protezione dei dati dell’Unione Europea in materia di trattamento dei dati personali e di privacy. Non necessità di recepimento da parte degli stati membri e deve essere attuato senza libertà da parte degli Stati Membri e chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione. Il suo obiettivo è quindi quello di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati. La normativa contenuta nel GDPR - Regolamento n. 679 del 2016 si fonda su importanti novità che possono essere così descritte:  applicazione delle medesime regole in tutti i Paesi appartenenti all’UE dello spazio economico europeo ed estensione extra UE per quei trattamenti svolti da titolari non stabiliti nel territorio dell’Unione;  sanzioni uniformi e nel massimo corrispondenti al 4% del fatturato annuo mondiale del trasgressore o fino a 20 milioni di Euro;  obbligatorietà della nomina del Responsabile della protezione dei dati (DPO), che assolve ad una funzione di vigilanza e può essere anche esterno all’organizzazione;  termine della centralità del consenso ed introduzione di condizioni di legittimità del trattamento;  ampliamento della categoria dei dati particolari;  obbligo di notifica al Garante della comunicazione agli interessati delle violazioni di dati personali;

 obbligo di effettuare una valutazione d’impatto privacy;  responsabilità solidale tra titolare e responsabile;  obbligo di tenuta del registro dei trattamenti; obbligo di effettuare la formazione ai dipendenti, di svolgere audit periodici, nonché, di adottare misure di sicurezza proporzionate ai rischi.

Capitolo 3

Figure Professionali

materia disciplinata, la durata del trattamento e prevedere le finalità del trattamento nonché il tipo di dati personali e le categorie di interessati a cui gli stessi dati di riferiscono. Evidentemente la figura del responsabile del trattamento è necessariamente connessa ad un soggetto in possesso di determinate competenze che collabori concertamento e strettamente con il titolare al fine di ricreare tutte le condizioni tecniche e organizzative necessarie per l’adempimento degli obblighi del titolare stesso, anche con l’assunzione di determinate responsabilità dalla stipula di un accordo contrattuale. 3.3 Il responsabile della protezione dei dati Tra le novità introdotte dal GDPR – UE 679/2016 c’è anche la figura del responsabile della protezione dei dati, è una figura che affianca il responsabile per le funzioni di supporto, controllo e prassi formativa. È nominata obbligatoriamente da tutte le pubbliche amministrazioni ed enti pubblici, ma anche da tutti i soggetti che nelle loro attività principali trattano dati sensibili su larga scala, o svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Il responsabile della protezione dei dati deve essere individuato come un professionista in possesso di una conoscenza della normativa e della gestione dei dati, che possa svolgere il compito in modo indipendente e in assenza di conflitti di interesse. Deve, anche, avere a disposizioni risorse sia umane che finanziarie per cui il Garante ha precisato che per essi non è più necessario ottenere il consenso scritto dei pazienti per il trattamento dei loro dati sanitari.

Capitolo 4

Il trattamento dei dati sanitari

Il divieto generale di trattare le “categorie particolari di dati”, tra cui anche quelli sulla salute, consente alcune deroghe, che rendono lecito

il trattamento di tali dati. Le eccezioni, previste dall’art. 9 del GDPR, sono riconducibili ai trattamenti necessari per:  Motivi di interesse pubblico rilevante sulla base del diritto dell’UE o degli Stati membri (art. 9, par. 2, del GDPR);  Motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, del GDPR), ad esempio, emergenze sanitarie conseguenti a sismi e sicurezza alimentare;  Finalità di cura, e cioè finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2 e par. 3 del GDPR). I trattamenti essenziali per finalità determinate e connesse alla cura della salute ed effettuati da un professionista sanitario soggetto al segreto professionale (o altra persona soggetta all’obbligo di segretezza), non richiedono il consenso dell’interessato al trattamento dei dati. Per quanto riguarda i trattamenti in ambito sanitario che non rientrano nelle ipotesi sopra richiamate e che richiedono il consenso esplicito dell’interessato si riporta, come esempio, il caso dei trattamenti effettuati attraverso il Fascicolo sanitario elettronico e i trattamenti connessi all’utilizzo di App mediche, con le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale. In base al principio di trasparenza i titolari devono informare l’interessato sui principali elementi del trattamento, al fine di renderli consapevoli sulle principali caratteristiche dello stesso. L’informativa deve essere concisa, trasparente, intellegibile, facilmente accessibile. Il linguaggio con la quale l’informativa è scritta deve essere semplice e chiaro. Per quanto riguarda i tempi di conservazione, invece, se non fissati da specifiche norme, sono definiti dal titolare del trattamento e, in ogni caso, devono essere indicati nella informativa. Il tempo di

questi ambiti il Decreto 101/2018 ha apportato qualche cambiamento, alcuni sostanziali, altri di aspetti prettamente tecnico – giuridico. L’entrata in vigore del D 101/2018, abrogando tutto il titolo III del D. Lgs. 196/03, ha anche abrogato il riferimento, contenuto nell’articolo 15, all’art. 2050 del Codice Civile: “Chiunque cagiona danno ad altri nello svolgimento di una attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. All’articolo 15 era presente anche un richiamo alla risarcibilità del danno non patrimoniale anche nel caso di errata applicazione dell’articolo 11 in tema di modalità del trattamento e dei requisiti dei dati. Alla luce di ciò, per quanto riguarda il campo della responsabilità civile, rimane il solo riferimento al GDPR-UE 679/ che, all’articolo 82, sancisce il diritto di chiunque di ottenere il risarcimento del danno subito, ogni qual volta vi sia stata una violazione delle disposizioni del GDPR da parte del Titolare o del Responsabile del trattamento. Da notare che in tema di risarcimento si specifica che chiunque, non solo l’interessato, possa chiedere un risarcimento e che, con la normativa vigente, sono tenuti al risarcimento del danno il Titolare o il Responsabile del trattamento, mentre ai sensi dell’articolo 15 obbligato al risarcimento era ‘chiunque avesse cagionato un danno. Naturalmente cambiano le circostanze in cui possono essere coinvolte le due figure che, come visto, hanno attribuzioni e responsabilità diverse, in particolare:  il Titolare risponde per il danno cagionato dal trattamento che violi le norme del Regolamento;  il Responsabile del trattamento risponderà per il danno causato solo se non ha adempiuto agli obblighi che il Regolamento pone a suo carico o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare. L’articolo 82 prosegue, inoltre, stabilendo un onere di inversione della prova in continuità con quanto previsto dal codice della privacy poiché pone in capo al Titolare e al Responsabile l’onere di dimostrare che l’evento non è a loro imputabile e ciò accade quando riescono a dimostrare che l’evento dannoso è causato da una fonte esterna alla loro fonte di controllo oppure non hanno predisposto e messo in atto tutte le misure per evitare che accadesse. 5.1 La responsabilità in solido

L’articolo 82 prevede un regime di responsabilità solidale tra il titolare e il responsabile, se entrambi i soggetti sono responsabili sono chiamati a rispondere nei confronti del danneggiato in solido per l’intero ammontare del danno al fine di garantire il risarcimento effettivo. Si applica, dunque, il principio cumulativo tra i vari soggetti in modo che i danneggiati ottengono sempre l’intero risarcimento, potendo agire per l’intero danno indifferentemente contro uno dei soggetti tenuti solidalmente al risarcimento, indipendentemente da eventuali ripartizione interne. La responsabilità civile a carico del Responsabile del trattamento non si esaurisce con il mancato rispetto delle norme sopra indicate in quanto, essendo i rapporti tra Titolare del trattamento e Responsabile del trattamento regolamentati da una sorta di contratto, le previsioni in esso contenute fanno sì che siano messe a disposizione del Titolare anche tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 Reg. UE 679/ e consentano le attività dire revisione ed ispezione, realizzate dal Titolare, in più il Responsabile del trattamento ha l’obbligo di informare immediatamente il Titolare una delle istruzioni ricevute violi il Regolamento o altre disposizioni in materia. Per quanto detto si evidenzia l’ampia portata delle attribuzioni del Responsabile, fermo restando quelle del Titolare, tra le quali quella sulla vigilanza dell’operato del Responsabile incaricato. 5.2 Il danno risarcibile Un’importante considerazione deve essere fatta nell’ottica di una possibile richiesta risarcitoria da parte dell’interessato e cioè che il danno risarcibile non si identifica nell'evento dannoso di per sé, vale a dire nell'illecito trattamento dei dati, ma è necessario che si realizzi un pregiudizio della sfera di interessi del danneggiato, al quale, come visto, spetta l’onere della prova del danno. Il GDPR-UE 679/2016, al considerando 85, elenca una serie di possibili danni che possono essere conseguenti ad un trattamento illecito o negligente dei dati, quali ad esempio perdita del controllo dei dati, perdite finanziarie, furto di identità, pregiudizio alla reputazione e comunque qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.

processo culturale di cambiamento negli atteggiamenti e nei comportamenti degli operatori sanitari e nell’organizzazione stessa dell’erogazione dei servizi. Gli operatori addetti al trattamento dei dati personali devono utilizzare tutta la loro conoscenza della materia e la loro esperienza per assistere le aziende e i professionisti, per dialogare con i responsabili esterni e sensibilizzare tutti al rispetto delle regole. Il percorso dovrà costantemente adattarsi alle innovazioni continue che provengono a un tempo dall’evoluzione della normativa sanitaria e dagli aggiustamenti continui della tecnologia informatica. Oggi la pubblica amministrazione è obbligatoriamente indirizzata verso l’informatizzazione dei suoi servizi, le strutture del servizio sanitario nazionale sono legate sempre più all’evoluzione della telemedicina e della sanità elettronica: si pensi all’introduzione del fascicolo sanitario elettronico del cittadino, alla certificazione on-line di malattia e alla ricetta elettronica.

Bibliografia e Sitografia

 V. Zambrano, Dati sanitari e tutela della sfera privata, in Diritto dell’informatica, 1/1999, p. 1 ss;  Art. 75 D. Lgs. 30 giugno 2003, n. 196, “Il presente titolo disciplina il trattamento dei dati personali in ambito sanitario”;  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile;

 P. Guarda, I dati sanitari, in i dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio, V. Ricciuto, Giappichelli, 2019;  Decreto legislativo 30 giugno 2003, n° 106 – “Codice in materia di protezione dei dati personali” – come modificato dal DL 101/2018. 6- L’applicazione del GDPR privacy nei servizi sociosanitari L. Degani, A. Lopez, S. Familiari, 2018, Maggioli Editore;  Il processo di adeguamento al GDPR. Aggiornato al D. lgs. 10 agosto 2018, n. 101 di G. Cassano, V. Colarocco, G. B. Gallus, 2018, Giuffrè;  Protezione dei dati personali nell’emergenza COVID-19 Gruppo di lavoro Bioetica COVID-19;  protezionedatipersonali/sanita-e-privacyhttp://eprints.luiss  dirittierisposte/Schede/Tutela-della-privacy/ Diritticgsse/  iusinitinere/i-dati-sanitari-e-levoluzione- normativa-nazionale-e- comunitaria-fino-allintroduzione-del-regolamento-ue-2016-679- 25202diritto  aspcs.gov/images/affari_generali/2_%20Manuale_RDRRIT:// pubblicaamministrazione  agendadigitale/cittadinanza-digitale/gdpr-tut to- cio-che-ce-da- sapere-per-essere-preparati/http:// testolegge  altalex/documents/news/2019/06/21/gdp r- prime-valutazioni-a- un-anno-da-entrata-in-vigore  cybersecurity360/legal/privacy-dati-personali/ trattamento-dei- dati-sanitari-alla-luce-del-gdpr-il-quadro- normativo/  cybersecurity360/legal/privacy-dati-persona li/ trattamento-dei- dati-sanitari-alla-luce-del-gdpr-il-quadro- normativo/