Data protection

La rete della dispositiva vigilanza e la compilazione della segnalazione di incidente da parte dell’operatore sanitario

Come noto,

gli operatori sanitari pubblici o privati che nell’esercizio della loro attività rilevino un incidente grave (come definito dall’art.2 del Regolamento UE 745/2017), anche solo sospetto, che veda coinvolto un dispositivo medico, sono tenuti a darne comunicazione al Ministero della Salute, nei termini e con le modalità riportate nella Circolare del 29 novembre 2022.

La comunicazione è effettuata direttamente o tramite la struttura sanitaria ove avviene l’incidente segnalato, nel rispetto di eventuali disposizioni regionali che prevedano la presenza di referenti per la vigilanza sui dispositivi medici.

La comunicazione deve essere inviata anche al fabbricante o al suo mandatario, anche per il tramite del distributore del dispositivo medico.

L’attività relativa alla compilazione delle schede di segnalazione di incidente[1], da parte dell’azienda sanitaria, da trasmettere alla competente funzione regionale comporta il rispetto della vigente normativa in materia di protezione dei dati personali.

Di conseguenza è vietato inserire i dati identificativi del paziente nella suddetta scheda di segnalazione, in quanto un siffatto trattamento avverrebbe in violazione del principio di minimizzazione dei dati personali.[2]

Presa visione della normativa di settore, in materia di trattamento dei dati personali, che di seguito si elenca:

– REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. (regolamento generale sulla protezione dei dati) – (di seguito, “GDPR”). Per quanto di interesse in questa sede si riportano i seguenti articoli:

Articolo 4 Definizioni

Ai fini del presente regolamento s’intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile  «interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

(C26, C28-C29)

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; (C85)

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; (C35)

Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile

con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).

DECRETO LEGISLATIVO 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” (in S.O n. 123 alla G.U. 29 luglio 2003, n. 174)  integrato con le modifiche introdotte dal  DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”(in G.U. 4 settembre 2018 n.205)

Tutto quanto sopra richiamato, a chiarimento di quanto sancito dal Legislatore comunitario negli articoli sopra riportati, si forniscono le seguenti esplicitazioni dei termini sopra riportati:

  1. Dato personale è qualsiasi informazione riguardante una persona fisica almeno identificabile. Da questa definizione emergono quattro elementi:

a.1) informazione, ossia il contenuto predicato;

a.2) persona fisica, cioè il soggetto a cui il contenuto informativo viene collegato;

a.3) collegamento, l’operazione che consente di collegare la informazione con la relativa persona fisica;

a.4) identificazione/identificabilità, cioè un attributo necessario della persona fisica, che ne consenta l’individuazione o, quantomeno, la individuabilità.

È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.

  • Identificazione diretta o indiretta: la differenza poggia nel collegamento tra a.1) e a.3), che può essere immediato (“diretta”) oppure mediato (“indiretta”). È considerato identificativo diretto il nome anagrafico, mentre sono identificativi indiretti: un numero di badge, un numero di matricola, il codice fiscale. In questi ultimi casi (identificativi indiretti) è richiesto un confronto con elenchi (es. quello del personale in servizio), attraverso i quali risalire al nome.
  • Principio di minimizzazione sintetizza i tre principi di adeguatezza, pertinenza e necessità rispetto alle finalità per le quali sono trattati. Come affermato da Pizzetti, la minimizzazione può essere definita come la “relazione tra le finalità del trattamento e la valutazione da parte del titolare dei dati che è necessario trattare per raggiungere gli scopi prefissati”
  • Trattare un dato personale in violazione del principio di minimizzazione, è ciò che avviene quando si utilizza un dato personale sebbene esso non sia necessario per raggiungere la finalità per la quale il trattamento è posto in essere (per restare al caso di che trattasi, inserire un dato personale, finanche le iniziali del nome e del cognome del paziente in una scheda per la dispositivo vigilanza, in un trattamento che non li richiede – perché la finalità che consiste nella segnalazione dell’incidente rende di per sé ultroneo conoscere se il paziente vittima dello stesso si chiami Mario Rossi piuttosto che Antonia Bianchi – costituisce una violazione dei dati).
  • La violazione dei dati costituisce un rischio per i diritti e le libertà degli interessati, in quanto i loro dati vengono portati a conoscenza di soggetti non autorizzati a conoscerli; tale fattispecie si verifica nei seguenti casi (l’elenco non è esaustivo ma viene riportato al solo scopo di esempio:
  •  trasmissione del referto di un paziente ad un soggetto terzo non autorizzato;
  • comunicazione di dati personali, a maggior ragione se di carattere sanitario, a soggetti non autorizzati;
  • consegna di una cartella clinica di un paziente ad un soggetto non autorizzato, ecc.

Istruzioni operative

Si coglie l’occasione per richiamare l’attenzione del Titolare del trattamento sulla necessità dell’adozione di ulteriori forme di sensibilizzazione; si fa riferimento – in prima battuta – all’adozione di una più ampia e capillare campagna di sensibilizzazione e formazione continua finalizzata all’aumento di consapevolezza del personale a vario titolo presente nella ASL (a cominciare dal personale dipendente). In particolare, si propone di integrare le azioni formative con corsi (diversificati per target ed argomenti) svolti in presenza o tramite video-lezioni riguardanti anche, ma non esclusivamente, le policy e procedure aziendali che regolamentano la gestione organizzativa e le misure di sicurezza adottate.

Per quanto attiene ai Soggetti Autorizzati al Trattamento con Delega (SATD), premesso che:

  1. L’ambito del trattamento è definito da tutti i trattamenti di dati personali effettuati dall’UO da Essi diretta e riportati nell’Allegato all’Atto di Nomina.
  2. Natura e finalità del trattamento: il SATD tratta i dati personali nella misura necessaria a raggiungere gli obiettivi relativi alle attività istituzionali svolte dall’Unità Operativa da Lui diretta. Le attività di trattamento sono correlate allo svolgimento delle Sue funzioni (Contratto di Lavoro).
  3. Il SATD è responsabile per il proprio rispetto delle disposizioni di legge applicabili in materia di protezione dei dati personali e delle istruzioni impartite dal Titolare
  4. Nell’ambito di Trattamento definito, sarà compito del SATD fare in modo che i dati personali, trattati dalla propria UO, siano:

    a)trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (principi di liceità, correttezza e trasparenza);

    b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (principio di limitazione della finalità);

    c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati);

    d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio di esattezza);

    e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione);

Ulteriori obblighi in capo ai SATD attengono alla:

  • nomina dei Soggetti Autorizzati al Trattamento dei dati (ci si riferisce a tutto il personale assegnato alla UO di cui il SATD è Responsabile), da effettuare ai sensi dell’art. 29 del Regolamento UE 679/2016[3] e dell’art. 2-quaterdecies del Codice[4], conferendo loro apposite istruzioni sulle norme e le procedure da osservare e richiedendo al Titolare di provvedere alla relativa formazione;
  • controllo delle operazioni di trattamento svolte dagli autorizzati e la loro conformità all’ambito di trattamento consentito;
  • organizzazione, gestione e supervisione di tutte le operazioni di trattamento dei dati personali affinché esse vengano effettuate nel rispetto delle disposizioni normative in materia di protezione di dati personali e predisposizione di tutti i documenti richiesti dai relativi adempimenti.

Resta inteso che qualora il SATD determini autonomamente le finalità e i mezzi di trattamento in violazione delle istruzioni impartite dal Titolare, sarà considerato, a sua volta, Titolare del trattamento, assumendo i conseguenti oneri, rischi e responsabilità.

Si suggerisce ai Direttori/Dirigenti nominati dal Titolare in qualità di Soggetti Autorizzati al Trattamento con Delega (SATD), ai quali la presente comunicazione è rivolta, di veicolare la presente nota al personale da essi nominati in qualità di Soggetti autorizzati al trattamento (SAT), affinché pongano la dovuta attenzione per il rispetto dei principi richiamati al precedente punto 4, lettera da a) ad f), con particolare riferimento – per quanto di stretto interesse in questa sede – al principio di minimizzazione, per ogni attività di trattamento dei dati personali che porranno in essere nell’esercizio dei loro compiti.

Si rammenta che i comportamenti che violano le prescrizioni normative sono soggetti a sanzioni amministrative pecuniarie che, nell’ipotesi della violazione del principio di minimizzazione, possono arrivare all’importo di 20 milioni di euro (art. 83, paragrafo 5, lettera a) del Regolamento (UE) 2016/679).

[1] Il Ministero della Salute svolge le attività di vigilanza con un attento monitoraggio delle segnalazioni di incidente con i dispositivi medici provenienti dagli operatori sanitari e dai fabbricanti.

Il 28 settembre 2022 è entrato in vigore il Decreto legislativo 5 agosto 2022, n.137, che all’articolo 10 dispone adempimenti per i fabbricanti di dispositivi medici e per gli operatori sanitari in caso di incidenti gravi, incidenti diversi da quelli gravi e reclami che vedono coinvolti dispositivi medici successivamente alla loro immissione sul mercato.

Nelle more dell’adozione dei decreti ministeriali attuativi previsti dall’art. 10 del Decreto legislativo 137/2022, è stata diffusa la Circolare del 29 novembre 2022 (prot. n. 87235), con cui si forniscono indicazioni operative sulle modalità e tempistiche delle segnalazioni, inerenti ai dispositivi medici, di incidenti gravi, di incidenti diversi da quelli gravi, dei reclami, delle azioni correttive di sicurezza, nonché delle relazioni di sintesi periodiche e delle relazioni sulle tendenze.

Riguardo i reclami sui dispositivi medici è di recente pubblicazione il Decreto ministeriale 26 gennaio 2023 che ne disciplina tempi e modalità di segnalazione. Link:https://www.salute.gov.it/portale/dispositiviMedici/dettaglioContenutiDispositiviMedici.jsp?lingua=italiano&id=26&area=dispositivi-medici&menu=vigilanza

[2] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

(omissis)

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

[3] Articolo 29 Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento (C81)

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[4] Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati)

1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

attacco ransomware
Il registro dei rischi

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Piattaforma digitale
AGID ha pubblicato la Piattaforma digitale sulla quale i soggetti obbligati dovranno accreditarsi.
9 Luglio 2024
SICUREZZA INFORMATICA
ENISA – RELAZIONE 2024 SULLO STATO DELLA SICUREZZA INFORMATICA NELL’UNIONE
30 Gennaio 2025
sicurezza aziendale
L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.
25 Giugno 2025

Start typing and press Enter to search