NEWSLETTER N. 389 del 26 giugno 2014

• Fascicolo sanitario elettronico: via libera al primo decreto attuativo
• Bankitalia: sì del Garante alle telecamere "intelligenti"
• Ancic: ok all´informativa semplificata sul web

Fascicolo sanitario elettronico: via libera al primo decreto attuativo
Serve il consenso del paziente, gli accessi al fascicolo saranno tracciati

Primi passi concreti per la realizzazione del fascicolo sanitario elettronico, l´insieme dei dati e dei documenti digitali che rappresentano la storia clinica e sanitaria di una persona. Il Garante per la privacy ha espresso parere favorevole [doc. web n. 3230826] su uno schema di decreto del  Presidente del Consiglio dei ministri -  il primo di  una serie di decreti attuativi previsti dalla norma di legge - che consentirà a Regioni e Province autonome di dare il via al Fse. Già nel 2009 l´Autorità era intervenuta  in tale materia con un provvedimento generale, svolgendo un ruolo di "supplenza" in attesa di una normativa adeguata. Lo schema odierno individua i primi contenuti  da attivare a livello nazionale: i dati e i documenti da inserire nel fascicolo elettronico; le responsabilità e i compiti dei soggetti coinvolti;  le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali;  le modalità e i livelli diversificati di accesso al fascicolo; i criteri di interoperabilità, nonché i contenuti informativi  e le codifiche del profilo sanitario sintetico e del referto di laboratorio.

Lo schema di decreto è stato elaborato nell´ambito di un tavolo di lavoro istituito presso il Ministero della salute cui ha partecipato anche l´Ufficio del Garante fin dalla sua costituzione nel gennaio 2013. Il testo che ha avuto l´ok del Garante prevede, in particolare, che il paziente sia informato chiaramente e possa decidere con maggiore consapevolezza se dare il consenso all´alimentazione del Fse (in mancanza del quale il fascicolo rimarrà vuoto e quindi non accessibile,  né per finalità di cura, né per finalità di ricerca o di programmazione sanitaria e monitoraggio), e in caso positivo, decidere se dare anche il consenso per finalità di cura (in mancanza del quale il fascicolo potrà essere utilizzato solo per finalità di monitoraggio, programmazione e ricerca, con le dovute garanzie di anonimato).

Il paziente potrà decidere, inoltre, con un consenso ad hoc, se far inserire nel Fse alcune informazioni di particolare delicatezza (sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti,  parto in anonimato). Giova comunque ricordare che la mancata  adesione al Fse non preclude la possibilità di aderire alle prestazioni del servizio sanitario nazionale.

Gli accessi al Fse da parte degli operatori del Ssn dovranno essere tracciabili e la consultazione del Fse dovrà essere limitata al personale sanitario che abbia in cura effettivamente il paziente, e solo per il tempo necessario. Per scongiurare il rischio di accessi abusivi, lo schema è stato integrato prevedendo l´obbligo per il titolare del trattamento di avvisare immediatamente il Garante nel caso in cui i dati trattati nell´ambito del Fse subiscano violazioni (c.d. "data breach": derivanti da attacchi informatici, incendi o altre calamità).

Bankitalia: sì del Garante alle telecamere "intelligenti"
Ammesse per tutelare la sicurezza di edifici e beni

Il Garante per la privacy ha accolto [doc. web n. 3230814] la richiesta di verifica preliminare presentata dalla Banca d´Italia relativa all´uso di sistemi di videosorveglianza intelligente da istallarsi presso le sedi dell´Amministrazione centrale e delle filiali. Lo scopo della Banca è garantire la sicurezza degli edifici e dei beni dell´Istituto in relazione agli specifici rischi connessi allo stoccaggio e alla gestione di elevate quantità di valori.

Gli impianti sottoposti alla verifica del Garante prevedono un  sistema di "alert" che si attiva a fronte del superamento di una barriera virtuale predefinita, o dell´accesso a determinate aree interdette, o del riconoscimento della presenza di persone.

Le ulteriori funzionalità del sistema che Bankitalia intende installare  (tra le quali la lettura targhe e identificazione mezzi e il conteggio delle persone)  non rientrano invece tra le ipotesi per le quali è necessario richiedere la verifica preliminare perché non prevedono la generazione di allarmi. Anche le funzioni di "riconoscimento oggetto abbandonato" e "mancanza oggetto", pur prevedendo l´attivazione di un allarme, non richiedono la verifica preliminare, in quanto non comportano un trattamento di dati personali.

Alla luce della verifica effettuata, il Garante ritiene proporzionato e quindi ammissibile il trattamento dei dati personali che la Banca d´Italia intende effettuare. Esso infatti non comporta un pregiudizio rilevante per gli interessati dal momento che i sistemi sono volti esclusivamente a richiamare l´attenzione degli addetti al controllo e non ad attivare ulteriori funzionalità (ad esempio la geolocalizzazione o il confronto con dati biometrici).

In ogni caso, sulla base del Codice privacy e del provvedimento generale sulla videosorveglianza del 2010 (doc web n. 1712680), il Garante ha richiamato la Banca d´Italia al rispetto delle  prescrizioni relative alle misure minime di sicurezza, delle indicazioni in materia di informativa agli interessati e delle garanzie previste sul controllo a distanza dei lavoratori.

Ancic: ok all´informativa semplificata sul web

Le società di informazione commerciale associate all´Ancic potranno avvalersi di modalità più agili e  meno onerose per rendere l´informativa sul trattamento dei dati personali. Lo ha stabilito il Garante privacy che ha accolto [doc. web n. 3211922] la richiesta di semplificazione dell´Associazione ritenendo superate le precedenti modalità divenute ormai troppo costose e sproporzionate rispetto al diritto tutelato.

La decisione dell´Autorità, oggi in Gazzetta Ufficiale,  tiene conto anche dei dati forniti da Ancic che evidenziano una capillare diffusione dell´informativa presso una vasta platea di imprese e famiglie, avvenuta dal 2009 ad oggi attraverso la distribuzione di 120 milioni di volumi di elenchi telefonici e ripetute visualizzazioni dei banner presenti in molteplici siti. 

L´Autorità ha stabilito che il vecchio modello cartaceo può essere sostituito da un´unica informativa "standard",  da pubblicare sui siti delle singole imprese  e dell´Associazione,  contenente gli estremi identificativi di tutti i titolari del trattamento e gli altri elementi previsti dall´art. 13 del Codice. L´informativa dovrà essere diffusa on line con cadenza almeno annuale a cura delle imprese  e  dell´associazione di categoria. L´obbligo potrà essere adempiuto anche attraverso l´implementazione di un servizio di comunicazione che si avvale dei banner già esistenti sui portali di Seat e di un sistema che dovrà assicurare all´utente, che ricerchi il nominativo "ANCIC" o la ragione sociale di una delle sue associate sui siti di "Pagine Gialle" e di "Pagine Bianche",  di accedere ad un ambiente virtuale in grado di fornire anche il testo dell´informativa.

L´informativa dovrà essere pubblicata sui siti delle società in autonomi riquadri di immediata consultazione ed ANCIC dovrà continuare a tenere costantemente aggiornato l´elenco delle società ad essa aderenti.

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

• Caso Yara: Garante privacy, basta accanimento informativo - Comunicato del 19 giugno 2014
• Pagamenti con smartphone e tablet: più tutele per gli utenti - Comunicato del 17 giugno 2014
• Relazione annuale del Garante -  Comunicato del 10 giugno 2014
• Report Vodafone: dichiarazione di Antonello Soro - Comunicato del 6 giugno 2014
• Internet: Garante privacy, no ai cookie per profilazione senza consenso  - Comunicato del 4 giugno 2014
• Google, modulo per diritto all´oblio: dichiarazione di Antonello Soro - Comunicato del 30 maggio 2014

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it