Trattamento e protezione dei dati personali

Il Centro di Riferimento Oncologico è un Istituto di Ricovero e Cura a Carattere Scientifico (IRCCS) che offre ai suoi pazienti un percorso di eccellenza nella prevenzione, diagnosi, cura e riabilitazione delle malattie oncologiche a cui si aggiungono numerose attività di ricerca clinica, preclinica, traslazionale e attività di formazione specialistica di alto livello.  

Per svolgere tutte queste attività e, in particolare, quelle legate alla cura e alla ricerca, il Centro di Riferimento Oncologico necessita di trattare, in conformità alle indicazioni delle norme vigenti, i dati personali dei suoi pazienti.

La normativa di riferimento

Le norme che regolano, a partire dal 19 settembre 2018, il trattamento dei dati personali sono il Regolamento Europeo 2016/679 (di seguito GDPR), e il Decreto Legislativo 196 del 2003, più conosciuto come "Codice Privacy".

L’entrata in vigore delle nuove norme è stata considerata dal Centro di Riferimento Oncologico un’occasione e un’opportunità per operare una profonda riforma del sistema interno di protezione dei dati personali e implementare, previa analisi dei rischi presentati dalle operazioni di trattamento seguendo l’approccio risk-based delineato dal GDPR, le misure di sicurezza tecniche e organizzative e le policy di protezione dei dati personali.

Il Centro di Riferimento Oncologico, da sempre attento ad assicurare la protezione dei dati personali dei pazienti, anche in ragione della loro delicatezza e importanza, sta quindi procedendo ad adeguare il proprio sistema di protezione dei dati personali seguendo i criteri della privacy by design e della privacy by default, adottando, fin dalla fase di progettazione di un nuovo servizio, misure organizzative e tecniche adeguate a garantire la sicurezza del trattamento dei dati per prevenire possibili violazioni o incidenti di sicurezza.

L'Istituto ha inserito nei suoi obiettivi quello di potenziare la sicurezza dei sistemi informatici sempre più utilizzati nelle operazioni di trattamento dei dati personali, senza però tralasciare la creazione di un’organizzazione interna capace di assicurare la tutela dei diritti, della libertà e della dignità degli Interessati.

Al riguardo, l'Istituto non si limita ad adottare un nuovo sistema di protezione dei dati personali che implementi le misure di sicurezza, ma, in pieno accordo con il principio di responsabilizzazione (accountability) e in un’ottica di piena trasparenza, si sta dotando di strumenti idonei a dimostrare agli Interessati e all’Autorità Garante, le azioni di miglioramento e modifica poste in essere al proprio "sistema privacy" sono di natura sostanziale e non meramente formale.

Le attività necessarie a perseguire tali obiettivi sono ancora in corso e al loro raggiungimento e mantenimento nel tempo collaborano in particolare i componenti di un apposito gruppo di lavoro di natura multidisciplinare, fra cui il Data Protection Officer (DPO), uno specialista in materia di protezione dei dati personali dotato di pluriennale e specifica esperienza nel settore sanitario. 

Il Data Protection Officer è il punto di contatto fra l'Istituto e l’Interessato ed è  per questo motivo che è stato creato un canale diretto di comunicazione (la casella di posta elettronica dpo@cro.it) utilizzabile per richiedere chiarimenti  relativi al sistema di protezione dei dati personali, presentare reclami, qualora si ritenga che i propri dati vengano trattati in modo illecito, ed esercitare i diritti garantiti dalla normativa.

Per evitare qualsiasi conflitto di interesse l’incarico di DPO è stato affidato a un consulente esterno non subordinato alle indicazioni della Dirigenza del Centro di Riferimento Oncologico, così da assicurarne la completa indipendenza.  

Riteniamo che l’impegno e la professionalità del personale e dei consulenti  porterà come risultato la creazione di un modello di protezione dei dati personali all’avanguardia in un settore sempre più importante come quello della protezione dei dati personali.

Garante della privacy

L'Autorità Garante per la Protezione dei Dati Personali è un’autorità amministrativa indipendente istituita dalla legge n. 675 del 31 dicembre 1996, il cui compito è quello di assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

Il GDPR dedica specifiche regole alle Autorità di controllo rafforzando i requisiti di indipendenza e conferendogli poteri più incisivi rispetto alle precedenti legislazioni nazionali per assicurare una migliore tutela dell’Interessato.

L’Autorità è dotata di poteri ispettivi che può utilizzare per ottenere informazioni sull’organizzazione interna dei Titolari e dei Responsabili del trattamento in modo da verificare che questi aspetti siano progettati e gestiti secondo le norme di legge.

A questi poteri si affiancano quelli correttivi, con i quali l’Autorità può invitare il Titolare a eliminare le irregolarità presenti nelle misure tecniche e organizzative o, nei casi più gravi, comminare sanzioni amministrative.  

L’Autorità svolge inoltre una funzione di tutela diretta del cittadino: se l’interessato ritiene che il Titolare o il Responsabile del trattamento abbiano violato il suo diritto alla protezione dei dati personali, può presentare ricorso così da ottenere l’eliminazione della violazione.

Il Data Protection Officer

Il GDPR ha previsto che gli enti pubblici debbano individuare e designare un loro Data Protection Officer (DPO), ovvero uno specialista in materia di protezione dei dati personali che ha il compito di supportare e supervisionare le operazioni di trattamento dei dati personali, implementare le policy interne di protezione del dato personale e le misure tecniche e organizzative adottate dal Titolare.

Il Titolare dovrà coinvolgere il DPO in ogni questione relativa alla protezione dei dati personali e dovrà mettergli a disposizione le risorse necessarie per svolgere le sue funzioni di:

  • promozione e sorveglianza della corretta applicazione del GDPR e della normativa in materia di protezione dei dati personali;
  • punto di contatto fra Titolare e l’Autorità Garante per la protezione dei dati personali;
  • interlocutore dell’Interessato per le problematiche relative alla protezione dei suoi dati personali;
  • sensibilizzare il personale del Titolare sul rispetto degli obblighi previsti dalla normativa in materia di protezione dei dati personali.

Dato che il Data Protection Officer non svolge solo una funzione di consulente, ma anche di controllo e vigilanza sulle operazioni di trattamento, non dovrà essere sottoposto al Titolare, ma ricoprire una posizione indipendente.

Per questo motivo è preferibile che il DPO sia un soggetto esterno all’organizzazione del Titolare invece che un suo dipendente o collaboratore sottoposto a poteri direttivi e di coordinamento derivanti dal rapporto di lavoro. 

I principi del trattamento

Quando il Titolare tratta i dati personali degli Interessati deve seguire dei principi guida dettati dal Regolamento Europeo 2016/679 (GDPR) per garantire la tutela dei loro diritti, delle loro libertà e della loro dignità.

 

Liceità del trattamento

I dati personali sono trattati dal Titolare quando sussiste una base giuridica che ne legittimi il trattamento. Ci sono diversi tipi di basi giuridiche come, ad esempio, la necessità di stipulare un contratto, un obbligo di legge o il consenso dell’Interessato stesso.

Quando il consenso è previsto dalla normativa vigente come condizione di legittimità del trattamento deve essere esplicito, preventivo e inequivocabile anche nel caso in cui sia espresso attraverso mezzi elettronici, ad esempio, selezionando un’apposita casella in un sito web.

L’Interessato potrà esprimere liberamente il proprio consenso solo nel momento in cui viene informato sul perché e sul come il Titolare tratta i dati personali.

Il Titolare dovrà quindi predisporre specifiche modalità organizzative per informare l’Interessato sulle caratteristiche del trattamento e in particolare su quale sia la sua finalità, con quali modalità verranno trattati i dati, per quanto tempo verranno conservati e a chi verranno comunicati o diffusi. 

Il consenso dovrà essere esplicito ed è esclusa ogni forma di consenso tacito; pertanto il silenzio non equivale al consenso e non è legittima l’acquisizione che prescinda da una libera scelta del soggetto, come nel caso si dia per acquisito il consenso con la sottoscrizione di moduli con opzioni precompilate.

In situazioni di urgenza o impossibilità nelle quali siano a rischio gli interessi vitali dell’Interessato o quelli di un’altra persona, è frequente che non possa essere espresso un valido consenso: data l’importanza dei diritti e degli interessi in gioco, i dati necessari alla gestione della situazione critica saranno trattati anche in assenza del consenso.

Il consenso è una base giuridica "temporanea", nel senso che potrà in qualsiasi momento essere revocato senza comunque rendere illecito il trattamento dei dati svolto dal Titolare fino al momento della revoca.

Se il consenso è l’unica base giuridica legittimante, i trattamenti posti in essere dopo la revoca saranno illeciti.

 

Minimizzazione dei dati trattati

Il principio di minimizzazione comporta che il Titolare debba perseguire la propria finalità trattando il numero minore di dati possibile. Il Titolare tratta i dati personali degli Interessati per realizzare una specifica finalità. Secondo il principio della limitazione del trattamento possono essere trattati solo i dati che siano adeguati e pertinenti alla realizzazione della finalità perseguita dal Titolare.

L’applicazione del principio di minimizzazione ha come ulteriore conseguenza quella della limitazione della conservazione. Una volta che il Titolare ha raggiunto la finalità perseguita, i dati dell’Interessato non saranno più necessari e quindi la loro conservazione sarebbe illegittima.

Vi possono comunque essere esigenze contingenti o addirittura obblighi di legge che impongano la conservazione, nel qual caso il raggiungimento della finalità non fa venire meno la possibilità di conservare i dati personali.

I diritti dell’interessato

Un importante diritto dell’Interessato è quello di essere informato dal Titolare con apposite informative chiare, comprensibili e facilmente accessibili.

La corretta e completa informazione è infatti condizione necessaria affinché l’Interessato possa esprimere un valido consenso, controllare che i dati siano utilizzati per la finalità dichiarata dal Titolare nel rispetto del principio di minimizzazione ed essere messo a conoscenza delle modalità di esercizio dei propri diritti.   

Il GDPR prevede inoltre una serie di diritti di cui gode l’interessato che possono essere esercitati, qualora consentito dalla normativa vigente, attraverso i canali dedicati appositamente predisposti da ogni Titolare:

  • diritto di accesso: è il diritto di sapere se un certo Titolare sta trattando i suoi dati, ottenere l’accesso e ricevere una copia degli stessi;
  • diritto alla rettifica: permettere di comunicare al Titolare che i dati personali trattati sono inesatti e quindi ottenerne la correzione;
  • diritto alla cancellazione: è possibile chiedere al Titolare di cancellare i dati oggetto di trattamento che riguardano il richiedente. La cancellazione deve essere eseguita tempestivamente. In alcuni casi cancellazione è invece esclusa;
  • diritto alla limitazione: è il diritto di impedire al Titolare di effettuare una o più operazioni di trattamento con i dati personali del richiedente e può essere esercitato solo a certe condizioni; 
  • diritto alla portabilità: è il diritto di ricevere in formato digitale facilmente leggibile i dati personali forniti a un Titolare per ottenere un certo servizio in modo da poterli trasferire a un altro Titolare. Questo diritto è esercitabile se il trattamento si basa sul consenso oppure sull’esecuzione di un contratto ma non se, ad esempio, il Titolare è obbligato dalla legge a trattare i dati personali;
  • diritto di opposizione: è il diritto di opporsi a un trattamento svolto dal Titolare. Questo diritto può essere esercitato qualora il trattamento venga eseguito per perseguire un legittimo interesse del Titolare o un compito di interesse pubblico. Nel momento in cui il diritto viene esercitato il Titolare deve interrompere il trattamento dei dati, salvo non sussista un legittimo e motivato interesse o il trattamento sia necessario all’esercizio dei propri diritti di difesa in giudizio.

Ulteriori informazioni sulle modalità di esercizio, e eventuali loro limitazioni, sono disponibili sul sito web dell’Autorità Garante per la protezione dei dati personali.

Informative e modelli

Informative del Centro di Riferimento Oncologico:

Dossier Sanitario Elettronico del Centro di Riferimento Oncologico (DSE CRO):

Fascicolo Sanitario Elettronico della Regione Autonoma Friuli Venezia Giulia (FSE FVG)

Il Fascicolo Sanitario Elettronico (di seguito anche “FSE”) è un insieme di dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici, che la riguardano, riferiti a prestazioni erogate dal Servizio Sanitario Nazionale (SSN) e da strutture sanitarie private.

Le attuali funzionalità del Fascicolo Sanitario Elettronico nella Regione Friuli Venezia Giulia sono riportate nell'informativa al trattamento dei dati personali FSE FVG che si rende qui disponibile.

Per opportuna conoscenza, si rende disponibile anche il modello di informativa nazionale, condiviso dal Garante per la Protezione dei Dati Personali, che fa riferimento a quella che sarà la struttura informativo-informatica definitiva del FSE 2.0 ai sensi del citato DM 7 settembre 2023.

Esercizio dei diritti degli Interessati:

Utilizzo e pubblicazione di fotografie e video:

English versions: