News

Privacy e referti medici online: le linee guida

L'autorità garante della privacy ha reso note le proprie Linee guida in tema di referti online pubblicate sulla G.U. n. 288 dell'11 dicembre 2009.

Si tratta di un provvedimento il cui ambito applicativo è circoscritto alla refertazione online, cioè al servizio che offre ad un assistito la possibilità di accedere, con modalità informatiche e telematiche, alla relazione (cd. referto) che il medico rilascia a seguito di un esame di natura clinica o strumentale.

L'obiettivo di queste linee guida, articolate in più punti, è quello di prevedere delle specifiche garanzie a protezione dei dati personali dei cittadini, relativamente alle più comuni modalità con le quali le strutture sanitarie rendono disponibili online i referti medici.

Facoltatività del servizio

L'interessato deve essere libero di scegliere se avvalersi o meno del servizio di refertazione online, senza che questo pregiudichi la facoltà di usufruire delle prestazioni mediche o di continuare a ritirare i referti cartacei presso la struttura che ha erogato la prestazione.

Inoltre, l'interessato che abbia scelto di avvalersi del servizio rimane, comunque, titolare di alcune facoltà, come :

• il diritto di manifestare, in occasione di ogni esame, una volontà diretta ad escludere il singolo referto dal servizio online prescelto;
• la possibilità di confermare, in occasione di successivi accertamenti clinici, l'indirizzo di posta elettronica presso il quale ricevere la comunicazione del referto;
• la possibilità di acconsentire alla comunicazione dei risultati diagnostici al proprio medico curante, al medico di medicina generale oppure al pediatra;

Nel caso di avvisi tramite la rete cellulare (SMS), i messaggi devono limitarsi a dare la notizia della disponibilità del referto e non possono indicare nè la tipologia dell'accertamento effettuato, nè il suo esito, nè le credenziali di autenticazione eventualmente assegnate all'interessato per l'accesso online.

Informativa e consenso

Il titolare del trattamento deve rendere all'interessato una informativa sulle caratteristiche del servizio di refertazione online, compresa in particolare la sua natura facoltativa, per consentirgli di esprimere una scelta informata e consapevole.

L'informativa, come di consueto, deve contenere le indicazioni richieste dall'art. 13 del d.lgs. 196/03 e può essere fornita contestualmente, purchè separatamente, da quella relativa al trattamento dei dati per finalità di cura.

A seguito dell'informativa il titolare deve acquisire il consenso specifico dell'interessato al trattamento dei propri dati attraverso le particolari modalità del servizio.

Archiviazione online dei referti

Nel caso in cui venga offerta anche la possibilità di archiviare e consultare online tutti i referti degli esami eseguiti presso i laboratori della stessa struttura sanitaria, il titolare deve rendere all'interessato una ulteriore informativa specifica ed acquisire un autonomo consenso.

In questo caso specifico l'autorità ritiene che tali archivi possano ricadere nella definizione di dossier sanitario, di cui si occupano le Linee guida in tema di Fascicolo Sanitario Elettronico (FSE) e di dossier sanitario e, quindi, siano soggetti alle speciali misure di sicurezza identificate in tale provvedimento.

Comunicazioni dei dati

L'abilitazione di accesso ai sistemi di refertazione online deve essere assoggettata alla cautele previste dalla disciplina vigente, anche per quanto riguarda l'intermediazione richiesta dall'art. 84 del d.lgs. 196/93 per la comunicazione dei dati concernenti lo stato di salute (provvedimento 9 novembre 2005).

Inoltre i titolari dei dati che offrono il servizio online devono tenere conto delle disposizioni che prevedono una attività di consulenza specifica da parte del personale medico in relazione alla comunicazione dei referti ed all'illustrazione del loro significato diagnostico.

Misure di sicurezza

Particolarmente corposa è la parte del provevdimento concernente le prescrizioni di sicurezza; infatti, la natura particolare dei dati e delle modalità di trattamento richiede l'individuazione e l'applicazione di misure di sicurezza idonee, ai sensi dell'art. 31 del d.lgs. 196/03, oltre a quelle minime previste dagli art. 33 e ss.

Il provvedimento individua comunque alcune misure minime, differenziandole in base a due scenari ipotizzabili in relazione alle modalità più comuni di accesso e consultazione dei referti:

1. consultazione tramite sito web:
   • protocolli di comunicazione basati su standard crittografici, con certificazione digitale dell'identità dei sistemi che erogano il servizio (SSL o Secure Socket Layer);
   • utilizzo di tecniche per evitare l'acquisizione delle informazioni contenute nel file elettronico in caso di una sua memorizzazione in sistemi di caching, locali o centralizzati, a seguito della sua consultazione online;
   • sistemi di autenticazione dell'interessato, preferibilmente tramite strong authentication;
   • disponibilità del referto online limitata ad un periodo massimo di 45 giorni;
   • possibilità per l'utente di evitare la visibilità online o di cancellare, in modo completo o selettivo, i referti che lo riguardano;
2. invio tramite posta elettronica:
   • spedizione del referto come allegato e non come testo accluso al corpo del messaggio (quindi, no alla modalità inline);
   • protezione del file contenente il referto tramite password di apertura o chiave crittografica, rese note attraverso canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti. Questa cautela particolare può essere evitata soltanto quando l'interessato ne faccia richiesta espressa e consapevole;
   • convalida degli indirizzi di posta elettronica attraverso verifiche da compiere online per evitare la spedizione dei documenti riservati a soggetti diversi dal richiedente;

In aggiunta a queste misure che riguardano più direttamente le modalità di erogazione del servizio di refertazione, agli utenti devono essere fornite garanzie su:

• disponibilità di sistemi di autenticazione ed autorizzazione degli incaricati, in funzione dei ruoli e delle esigenze di accesso e trattamento, con l'obbligo del ricorso all'autenticazione forte basata su biometria nel caso di dati idonei a rivelare l'identità genetica di un individuo;
• separazione fisica e logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati trattati per finalità amministrativo-contabili;

Per non mettere a repentaglio la riservatezza dei dati vanno, infine, predisposte delle procedure per interrompere l'invio tramite posta elettronica o rendere indisponibili online i referti relativi ad un interessato che abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione o altre condizioni di rischio.

Direct marketing telefonico: cosa cambia con la riforma ?

La legge 20 novembre 2009, n. 166 ha convertito il D.L. 25 settembre 2009, n. 135 contenente, tra le altre, nuovi disposizioni in materia di marketing telefonico sulle quali, ormai da mesi, imperversa una protesta in rete.

Il motivo di tale protesta, di cui si sono fatte portavoce anche diverse associazioni di consumatori, è insita nella portata delle norme che finiscono per incidere profondamente sulle legittime aspettative degli utenti di non essere tartassati dalle cd. comunicazioni commerciali.

La principale novità

Riguarda il principio che tutela la nostra privacy nell'ambito delle comunicazioni elettroniche (ma solo di quelle telefoniche), ed è rappresentata dal passaggio da un sistema di opt-in ad uno di opt-out.

Volendo tradurre in poche parole l'inevitabile tecnicismo, si passa da un sistema in cui il trattamento dei dati personali poteva considerarsi lecito solo con l'acquisizione del consenso preventivo dell'utente ad un altro in cui il trattamento è sempre lecito a meno che non vi sia l'opposizione espressa dell'utente. Una differenza, quindi, non trascurabile.

Per la verità c'è anche chi, giustamente, ha fatto osservare che il nuovo sistema non travolge affatto il precedente, ma lo affianca, con la conseguenza che ci troviamo di fronte ad un ibrido che si concilia male con la direttiva europea 2002/58/CE (e-privacy).

Quest'ultima, infatti, lascia gli Stati membri liberi di decidere se adottare l'uno o l'altro sistema, ma non sembra lasciare spazio ad una coesistenza di entrambi che, oltretutto, rischia di creare solo incertezza.

Tornando al testo normativo, questo stabilisce che il trattamento dei dati personali contenuti negli elenchi degli abbonati, mediante telefonate aventi la finalità di vendita diretta, di compimento di ricerche di mercato o di comunicazioni commerciali, è consentito nei confronti di chi non abbia manifestato la propria opposizione attraverso l'iscrizione della propria utenza telefonica in un apposito registro pubblico che attualmente non esiste, ma che dovrà essere istituito entro il termine di sei mesi dall'entrata in vigore della legge di conversione, avvenuta il 25 novembre 2009.

C'è però anche una ulteriore novità poichè la precedente deroga sulla privacy, di cui abbiamo già parlato, è stata differita fino al termine di sei mesi successivi alla data di entrata in vigore della legge 166/2009.

Il regime transitorio

In questo periodo di interregno, in attesa della istituzione del registro delle opposizioni, gli utenti sembrerebbero pertanto "costretti" a subire, nonostante la loro eventuale volontà contraria, il trattamento dei propri dati.

Il nuovo sistema non ha però cancellato minimamente il diritto di ogni interessato di:

opporsi in tutto od in parte al trattamento dei dati che lo riguardano a fini dell'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale

che continua ad essere previsto e che può essere esercitato, tra l'altro, senza alcuna formalità, mediante richiesta rivolta al titolare o responsabile, anche attraverso un incaricato.

Ciò vuol dire che un utente potrebbe sempre opporsi al trattamento dei propri dati e potrebbe farlo nel corso delle telefonate che riceve, non essendo richiesto il rispetto da parte sua di una particolare modalità di esercizio di questo diritto.

Anzi, dato che, per espressa previsione, l'iscrizione nel futuro registro delle opposizioni dovrebbe essere governata da "modalità semplificate", sarebbe auspicabile prevedere a carico degli operatori di telemarketing l'obbligo di raccogliere, contestualmente alle telefonate, le eventuali opposizioni degli interessati e di inoltrarle direttamente al gestore del registro per l'immediata iscrizione nello stesso, rilasciando al richiedente un identificativo univoco della transazione.

In questo modo l'onere della semplificazione dell'iscrizione nel registro sarebbe quanto meno rispettato.

Le sanzioni

La nuova legge modifica, infine, l'entità minima della sanzione amministrativa prevista per il trattamento illecito dei dati o per la mancata applicazione delle misure di sicurezza, riducendola da 20.000 a 10.000 euro.

Certo è strana l'esigenza avvertita di una modifica ad una disposizione introdotta soltanto otto mesi fa (legge 27 febbraio 2009, n. 14); purtroppo questo atteggiamento lascia intravedere la preoccupazione del legislatore di non essere troppo severo con i trasgressori nell'applicazione delle sanzioni.

In poche parole il legislatore ci manifesta chiaramente tutto il suo scetticismo sull'efficacia del futuro registro delle opposizioni nel tutelare la privacy dei cittadini, lanciando un segnale sicuramente poco rassicurante.

Direct marketing telefonico: le registrazioni audio degli ordini vanno rese disponibili agli interessati

Anche i suoni e le immagini costituiscono dati personali secondo la normativa del d.lgs. 196/03 (codice privacy) e possono quindi ritenersi oggetto dei diritti degli interessati, tra cui quello di accesso.

E' questa la sostanza di un provvedimento con il quale il garante della privacy ha ordinato ad una società telefonica di mettere a disposizione di un consumatore la registrazione audio di un precedente colloquio telefonico comprovante l'attivazione di un contratto e l'adesione alle sue clausole.

Secondo l'autorità, infatti, la richiesta di accesso formulata dall'interessato non poteva dirsi integralmente soddisfatta mediante la semplice trasposizione su altro supporto dei dati personali forniti nel corso del precedente contatto telefonico, essendo necessaria anche la trasmissione di una copia della registrazione, unico mezzo in grado di consentire l'accesso al dato vocale di natura personale.

Corso online (gratuito) su direct marketing e privacy

Internet e privacy sul luogo di lavoro: come organizzare i controlli?

Traggo spunto dalla recente notizia di un provvedimento del garante della privacy, relativo ad un caso di abuso di strumenti informatici aziendali, per soffermarmi sulla questione della organizzazione dei controlli alla luce di quelle che sono ormai le linee guida per l'utilizzo di Internet e della posta elettronica in azienda.

Nel caso in esame il datore di lavoro, pur adottando un regolamento specifico e fornendo ai dipendenti istruzioni per l'uso della postazione informatica individuale, a seguito di alcuni disservizi causati sulla rete aziendale da un eccessiva attività di scaricamento dati (download), aveva allestito un sistema di monitoraggio degli accessi nei confronti di un dipendente.

Il sistema, organizzato sulla base di un proxy server con funzioni di caching abilitate, aveva permesso di svolgere, per la durata di circa nove mesi, attività di controllo che implicavano la registrazione in chiaro degli "accessi a tutti i siti web visitati […]  con evidenziazione anche dei relativi domìni", realizzando una forma di trattamento inammissibile sulla base dei seguenti profili di illiceità:

• la natura sistematica e continuativa del tracciamento, a causa della sua durata prolungata e della particolare estensione delle informazioni catturate, ha comportato una violazione sia dell'art. 4, comma 1, della legge 300/70 (Statuto dei lavoratori) che vieta l'impiego di apparecchiature (compresi hardware e software) per finalità di controllo a distanza dell'attività dei lavoratori, sia del principio di pertinenza e non eccedenza nella raccolta dei dati;
• mancata attivazione da parte del datore di lavoro delle procedure previste dalla normativa nel caso in cui le funzionalità di controllo connesse all'utilizzo di un software siano motivate da "esigenze organizzative e produttive" (accordo con le rsu oppure autorizzazione della direzione provinciale del lavoro);

Da tali conclusioni è scaturito il provvedimento che ha disposto il divieto di ulteriore trattamento delle informazioni raccolte nel corso del monitoraggio.

Ciò, oltre alle inevitabili ripercussioni sotto il profilo delle eventuali responsabilità connesse, potrebbe comportare anche delle limitazioni relativamente alla prova dei comportamenti scorretti dei lavoratori, tali da giustificare l'applicazione di sanzioni, compresa quella del licenziamento.

Organizzazione dei controlli

Per evitare le conseguenze appena viste, è fondamentale organizzare le attività di controllo in modo conforme alle prescrizioni di legge, per cui:

• non si possono installare apparecchiature, di nessun tipo, preordinate ad un controllo a distanza dei lavoratori: in questo ambito si possono far rientrare i software che, in relazione al modo in cui sono progettati e/o configurati, permettano la memorizzazione o la riproduzione delle pagine web accedute o l'esplicazione di controlli protratti nel tempo;
• sono ammessi per esigenze produttive, organizzative o di sicurezza sul lavoro sistemi di controllo indiretto, ma sempre nel rispetto delle procedure di informazione e consultazione dei lavoratori e dei sindacati;

Altro aspetto da non sottovalutare è quello della gradualità delle verifiche: in linea generale i controlli dovrebbero avere per oggetto dati in forma aggregata.

Se dall'analisi di questi ultimi emergono elementi che fanno presumere utilizzi impropri o non consentiti degli strumenti aziendali, vanno emessi avvisi generalizzati, anche circoscritti a particolari aree di lavoro, con l'invito ad attenersi alle direttive aziendali.

Soltanto nel caso in cui, a seguito degli avvisi, le attività anomale non cessino sarà possibile procedere a controlli su base individuale.

La profilazione degli utenti dei servizi di telecomunicazione: le regole del Garante privacy

Un nuovo giro di vite sui fornitori di servizi di comunicazione elettronica accessibili al pubblico in relazione alle attività di profilazione compiute sulla propria clientela tramite dati personali individuali o dati personali aggregati ricavati da quelli di dettaglio.

Con un provvedimento del 25 giugno 2009 (G.U. n. 159 11 luglio 2009) il garante è intervenuto per  fare chiarezza su alcuni punti emersi nel corso di precedenti attività ispettive.

Consenso

I dati personali individuali possono essere trattati con finalità di profilazione solo se il titolare abbia rilasciato una informativa idonea (art. 13) e vi sia la possibilità di documentare, per iscritto, il consenso libero, informato e specifico del soggetto interessato (art. 23).

L'applicazione di questo principio generale vale anche e, soprattutto, nel caso in cui l'attività di profilazione richieda, per il suo svolgimento, dei dati inizialmente acquisiti per soddisfare una diversa esigenza (es. l'erogazione del servizio).

Ovviamente, una volta acquisito il consenso, esso si estenderà anche all'aventuale utilizzo dei dati in forma aggregata.

Verifica sui dati aggregati

L'aggregazione, di per sè, non trasforma i dati in anonimi, se essi conservano l'idoneità prevista dall'art. 4, comma 1, lett. b) del codice, cioè in pratica la capacità di fare riferimento ad un soggetto identificato o identificabile, anche indirettamente.

Il trattamento di questi dati, generalmente contenuti in sistemi eterogenei e conservati per far fronte ad altre esigenze, anche imposte dalla legge, può presentare per gli interessati dei rischi connessi con i livelli di aggregazione e le modalità tecniche di gestione.

Pertanto, in assenza di consenso, il titolare che intenda utilizzarli con finalità di profilazione deve inoltrare all'autorità una richiesta di verifica preliminare, secondo la procedura di cui all'art. 17 del codice, indicando specificamente i trattamenti, le finalità e le tipologie di dati da utilizzare.

Il processo di verifica verrà effettuato tenendo conto di alcuni parametri e condizioni che il garante qualifica come "minimi", tra cui:

• l'impossibilità di risalire dal dato aggregato ad informazioni dettagliate concernenti l'interessato;
• la separazione funzionale dei sistemi dedicati alla profilazione da quelli originari e dagli altri utilizzati per finalità differenti (es. marketing);
• l'utilizzo dei dati aggregati nell'ambito di processi idonei ad impedire l'immediata identificabilità dell'interessato;
• l'esistenza di un diverso e limitato profilo di autenticazione degli incaricati alla profilazione;
• la conservazione per un limitato periodo di tempo, decorso il quale i dati devono essere cancellati;

Notificazione

La profilazione effettuata con gli strumenti elettronici resta, comunque, soggetta all'obbligo di notificazione (art. 37, comma 1, lett. d) che va effettuata con le modalità previste dall'art. 38.

Si segnala, infine, che le richieste di verifica preliminare dovranno essere inviate all'Autorità entro il 30 settembre 2009.

Sezioni

• Eventi
• Pubblicazioni
• Note Legali
• Blog
• Approfondimenti

Risorse

• Albi Ordini Forensi
• Garante Privacy
• Diritto&Diritti
• Filodiritto
• Altalex
• Legali
• A.I.P.S.I
• A.N.D.I.P
• CERT