CompuGroup Medical
Synchronizing Healthcare

Scopri tutto sulla visione, la missione e le persone che danno forma a CompuGroup Medical in tutto il mondo.

CGM Global
Cambia paese
Effettua una scelta
Austria
Belgio
Cechia
Danimarca
Francia
Germania
Irlanda
Italia
Norvegia
Paesi Bassi
Polonia
Romania
Slovacchia
Spagna
Stati Uniti
Sudafrica
Svezia
Svizzera
Investor Relations
Eine Person tippt mit dem Finger auf ein Tablet-PC mit einer Investor-Relations-Präsentation
Carriera
CGM Global
Mehrere CGM-Flaggen
Supporto
Jobs
Contatti
CGM Global
CGM Global
Soluzioni
Medici
Dentisti
Farmacie
Industria Farmaceutica
Assistenza Territoriale
Regioni e ASL
Soluzioni
Prodotti
PRODOTTI

Tutte le nostre soluzioni tecnologiche che supportano gli operatori sanitari e i cittadini lungo l'intero percorso del paziente.

Tutte le news
Medici delle Cure Primarie
CGM STUDIO
PROFIM
INFANTIA
FPF
drCLOUD
CLICKDOC Agenda
Integrazione MedQuestio
CGM AIDA: l'assistente virtuale per il tuo studio
Moduli Aggiuntivi
CGM IGEA
CGM STUDIO Fatturazione
Moduli Aggiuntivi
Promozioni Hardware
Privacy
Medici delle Cure Primarie
Dentisti
XDENT
CLICKDOC Teleconsulto
Privacy
Dentisti
Medici Neo Convenzionati
Farmacie
Soluzioni Software
CGM PHARMASUITE
WINGESFAR
APODESK
PHARMASTORE
CGM STELLA STORE
WEBCARE
WEBDPC
MULTIPHARMACY
CGM E-PHARMANET
CGM E-FATTURE
E-FIDELITY
SECURE FARMA DB
Soluzioni Software
Integrazioni Software
FIDELYFARM
CGM ASK STELLA
CGM PREDICT
CGM E-DDT FULL
CGM DATA POWER
Connect CGM
CLICKDOC Farmacie
App MyCGMPharmacy
CGM E-MARKETING
CGM E-TAR
CGM E-ORDER
CGM E-STAT
CGM E-CASH
CGM E-ROBOT
CGM E-SMS
CGM WINGESFAR MOBILE
PharmaQUI
PHARMAP
SOCIALFARM
CGM E-SIGN
CGM U-NEXT
CGM U-SHOP
Integrazioni Software
Strumenti & Hardware
CGM LOCKER
CGM DIGITAL PAY
CGM AUTHENTICATOR
TOTEM ELIMINACODE
CGM E-VISION
Etichette elettroniche
Dispenser Automatici
Magazzino Verticale Compatto
Termoscanner
Magazzino Automatizzato
Casse Automatiche
Monitor Led per VETRINE DIGITALI
Digital Signage Soluzioni
Inventario di Farmacia
Hardware CGM
Connettività e Fonia
Strumenti & Hardware
Telemedicina
CGM POINT OF CARE Farmacie
EXDIA PT10S
CLICKDOC Teleconsulto
CGM TELEMEDICINE KIT
MEMORY MED
Telemedicina
Incentivi Fiscali
Farmacie Rurali - Bando
Incentivi Fiscali
Wingesfar Academy
Ricetta in Farmacia
Vetrina Prodotti
Portale Acquisti
Empower your pharmacy
Farmacie
Specialisti, Poliambulatori e Centri Medici
CGM XMEDICAL
CGM STUDIO Fatturazione
Telemonitoraggio
Point of Care
Telemonitoraggio
Privacy
Specialisti, Poliambulatori e Centri Medici
Assistenza Territoriale
Regioni e ASL
Sicurezza
CGM DATA-PROTECT
Sicurezza
Hardware e Kit Integrativi
CGM CARDKIT
CGM ONETOUCH
CGM ONENOW 14''
CGM ONENOW 15''
CGM ONEACT
CGM QUADRO
Hardware e Kit Integrativi
Supporto
Medici delle Cure Primarie
Farmacie
WEBDPC
WEBCARE
Dentisti
Specialisti, Poliambulatori e Centri Medici
Specifiche Tecniche
Supporto
Download
Documenti e Brochure
Dichiarazione Protezione dei Dati
Informative Privacy Clienti
Download
Prodotti
Telemedicina
Telemedicina

Con CGM TELEMEDICINE puoi prenderti cura di chi ne ha bisogno, sempre, ovunque sia.

tutte le news
CGM TELEMEDICINE
CGM CONTINUITY CARE
CGM CARE MAP
CGM POINT OF CARE
CGM TELEMONITORING
CGM HI 3 LEADS ECG
CLICKDOC Teleconsulto
Case Study
Area Burlo
Asl n.3 di Nuoro
Case Study
Telemedicina
Magazine
Carriera
Chi Siamo
WE CREATE THE FUTURE OF
E-HEALTH

Forniamo agli operatori sanitari e ai pazienti informazioni mediche utili a beneficio di tutte le parti interessate nel sistema sanitario, sempre e ovunque. 

PROFILO
Profilo
Certificazioni
Aree di Intervento
Governance
Responsabilità Aziendale e Codice Etico
Modello Organizzativo D.lgs n.231/2001
Whistleblowing
Governance
Condizioni generali di vendita
Partner
Management
Contatti e Dati Societari
Comunicati Stampa
Chi Siamo

Novità rilevanti in tema PRIVACY e GDPR.

20 novembre 2020 | CompuGroup Medical Italia

La nostra Soluzione professionale per la gestione del GDPR, specifica per Medici, Farmacisti e Dentisti.

Vai al prodotto
Software per la Sicurezza CGM DATA-PROTECT

Recentemente il Garante è tornato ad approfondire il trattamento dati nell'attività di refertazione online: vediamo insieme gli aspetti più rilevanti tra quelli trattati.
 

  • Cosa si intende con l’espressione "referto online"?
    Per "referto online" si intende la possibilità di accedere al referto tramite modalità digitali (Fascicolo sanitario elettronico, sito Web, posta elettronica anche certificata, supporto elettronico).
     
  • Come vengono protetti i dati personali degli utenti in caso di referti disponibili sul sito web della struttura sanitaria?
    La struttura sanitaria deve:
    - adottare protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication);
    - rendere disponibile il referto online sul proprio sito web per un massimo di 45 gg.
    - garantire all'utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
     
  • Come avviene la consegna tramite posta elettronica?
    Il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio. Il file contenente il referto dovrà essere protetto, ad es. con una password. Su richiesta dell’interessato si deve in ogni caso rilasciare anche una copia cartacea del referto digitale.
     
  • Quale tipo di informativa è necessario rilasciare?
    Il Titolare del trattamento deve fornire agli interessati un’informativa distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, idonea e specifica che esponga, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online in conformità agli art. 13-14 del GDPR (deve indicare, ad es., i tempi di conservazione dei referti).
     
  • Per tali servizi deve essere richiesto il consenso dell’interessato?
    È necessario che l’interessato esprima il proprio consenso esplicito, libero, specifico e informato alla refertazione online. Il mancato consenso non deve precludere in alcun modo la possibilità di accedere alla prestazione medica richiesta.
    Il Decreto Rilancio (convertito in legge nel mese di luglio2020) ha eliminato la necessità di prestare esplicito consenso solamente per l’accesso ai referti tramite FSE, mentre nulla è stato modificato per quanto riguarda le altre modalità digitali (come individuate nella domanda n. 1).
    Come indicato dal Garante nel provvedimento del 7 marzo 2019, di cui ci siamo già occupati, non è più necessario che il titolare (es. laboratorio di analisi, ospedale) raccolga il consenso dell’interessato per il trattamento dei dati necessario all'erogazione della prestazione sanitaria (art. 9, par. 2, lett. h), del GDPR.
     
  • Anche se l’interessato ha dato il consenso a ricevere il referto online, può decidere diversamente per alcuni esami a cui si sottoporrà in futuro?
    Sì. All'interessato deve essere garantita, in relazione ai singoli esami clinici a cui si sottoporrà di volta in volta, la possibilità di manifestare una volontà contraria ovvero che i relativi referti non siano oggetto del servizio di refertazione online precedentemente scelto.
  • Può l’interessato scegliere di inviare il referto al proprio medico curante?
    Sì, l’interessato ha la possibilità di indicare un medico al quale consegnare il referto in modalità digitale.
     
  • L’interessato può chiedere di essere avvisato della disponibilità del referto tramite SMS?
    Sì, ma in questo caso nel messaggio inviato deve essere data solo notizia della disponibilità del referto e non anche del dettaglio della tipologia degli accertamenti effettuati, del loro esito o delle credenziali di autenticazione assegnate all'interessato.
     
  • Vi sono particolari indagini cliniche i cui referti non possono essere comunicati all'interessato tramite modalità digitali?
    Sì, quelle che riguardano accertamenti relativi ad indagini genetiche o all'HIV.
     
  • Quali sono gli adempimenti relativi ai data breach?
    In un’ottica di accountability è necessario predisporre un’apposita procedura per la gestione dei data breach, che consenta di intervenire tempestivamente in caso di violazione del sistema di refertazione online e di monitorarne costantemente la sicurezza.

 

A tal proposito segnaliamo il provvedimento del 1.10.2020, con cui il Garante ha inflitto una sanzione pari ad €. 20.000,00 ad un policlinico per aver violato la riservatezza dei referti on line di alcuni utenti. Nel caso di specie è emerso che a causa di un bug informatico 39 utenti, mentre consultavano le proprie radiografie, accedendo con le proprie credenziali al servizio di refertazione on line, avevano avuto la possibilità di accedere all'elenco alfabetico di 74 altri assistiti, visualizzare i loro referti radiologici e l'elenco degli esami.


La violazione era avvenuta nel passaggio tra due sistemi informatici di cui si avvaleva l’istituto ospedaliero. In particolare, nel corso dell’integrazione tra il “vecchio” sistema ed il “nuovo”, a causa di un errore umano nella configurazione di tale integrazione, alcuni utenti (nello specifico solo quelli che avevano effettuato l’accesso mediante un proprio dispositivo mobile) avevano avuto la possibilità di visualizzare dati personali relativi ad altri utenti.


A seguito della segnalazione il policlinico aveva immediatamente sospeso il servizio e provveduto alla correzione dell’errore informatico che aveva causato la violazione dei dati.


A conclusione dell’istruttoria, il Garante, considerando che la condotta aveva esaurito i suoi effetti, visto che trattamento l’errore informatico che aveva determinato la violazione dei dati oggetto del data breach era stato corretto, ha ingiunto al policlinico la sanzione di €. 20.000,00 non ritenendo sussistenti i presupposti per l’adozione di ulteriori misure correttive di cui all'art. 58, par. 2, del Regolamento.

 

Quali sono gli adempimenti rispetto al registro dei trattamenti e alla valutazione d’impatto?

La refertazione online, con le sue specifiche caratteristiche e misure di sicurezza, deve essere inserita all'interno del Registro delle attività di trattamento in base all'art. 30 del GDPR.


Qualora il titolare intenda implementare l’uso di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione dovrà effettuare, prima di procedere al trattamento, la valutazione d’impatto (cd. DPIA) secondo le regole previste dal GDPR.


Proprio a questo riguardo il Garante, nella sua ultima relazione annuale, ha rilevato come siano giunte in ambito sanitario numerose richieste di valutazione preventiva da parte di aziende sanitarie: in alcuni casi il Garante ha rilevato la mancanza di elementi essenziali della valutazione di impatto, tale da non consentire di poter esprimere il parere sulla richiesta.
In particolare, il Garante ha sottolineato come nella richiesta di consultazione preventiva il titolare sia chiamato a indicare le misure che sono state individuate in fase di DPIA per affrontare (e ridurre) i rischi che un determinato trattamento può comportare per i diritti e le libertà delle persone, affinché il Garante possa valutarne l’adeguatezza e prevedere eventuali ulteriori misure preventive.


Il Garante ha riportato l’esempio di consultazione preventiva avanzata da una società operante in ambito sanitario in relazione alla possibilità di procedere alla consegna dei referti ai pazienti attraverso l’app Telegram: anche in questo caso il Garante ha risposto di non poter rendere il parere richiesto perché la domanda non presentava le ragioni per le quali si intendeva introdurre, nel rispetto dei principi di minimizzazione e di proporzionalità dei dati, una modalità differente di consegna dei referti all'interessato rispetto a quelle indicate nel D.P.C.M. 8 agosto 2013 relativo alle modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali.

La richiesta è risultata altresì priva dell’indicazione dei rispettivi ruoli e delle responsabilità dei titolari e dei responsabili del trattamento, né erano state indicate le ragioni dell’inidoneità delle misure e delle garanzie previste per proteggere i diritti e le libertà degli interessati tali da dover richiedere la consultazione preventiva del Garante. La valutazione d’impatto si era limitata, infatti, a descrivere le menzionate modalità di consegna dei referti e a indicare sommariamente i rischi, senza procedere a determinare le specifiche misure adottate per ridurli.

L’utilizzo dell'app Telegram avrebbe determinato una sistematica comunicazione di categorie particolari di dati alla società Telegram LLC, con riferimento alla quale non sono state indicate le misure e le garanzie con le quali il titolare del trattamento avrebbe inteso proteggere i diritti e le libertà degli interessati nell'ambito del suddetto flusso di dati sulla salute.
Valutazioni analoghe potrebbero farsi per altri servizi di messaggistica istantanea molto diffusi, come ad es. Whatsapp: tali servizi di messaggistica istantanea (realizzati per comunicazioni di carattere personale, privi di configurazioni ad hoc per le finalità diverse e ulteriori che permettano di adottare misure appropriate e specifiche per tutelare i dati del paziente, e di verificare periodicamente tali misure), se da un lato potrebbero garantire maggiore immediatezza nella comunicazione (e nello specifico, nella disponibilità del referto), dall'altro devono essere in grado di realizzare un sistema di refertazione aderente al principio di accountability alla base della protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita.

 


Il Garante ha poi dedicato particolare attenzione agli adempimenti relativi alle misure di sicurezza, per le quali oltre ad adottare protocolli di comunicazione sicuri (https), sistemi di autenticazione forte dell’interessato (strong authentication) e provvedere alla protezione del file allegato nel caso di invio del referto tramite posta elettronica (come già illustrato nei precedenti paragrafi), il titolare del trattamento deve:


- adottare specifiche misure e accorgimenti tecnici così da conformarsi ai livelli di protezione dei dati previsti sia in base alle Linee Guida in materia di refertazione online del Garante che al DPCM 08/08/2013 - disponibili, rispettivamente, ai seguenti link:

www.garanteprivacy.it/DPCM

www.gazzettaufficiale.it/DPCM

 

- prevedere idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati a seconda dei ruoli e delle finalità dei trattamenti.

- definire differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica anche certificata o supporto elettronico. Chiunque abbia accesso o tratti i dati dei referti online deve essere opportunamente formato.

La nostra Soluzione professionale per la gestione del GDPR, specifica per Medici, Farmacisti e Dentisti.
scopri di più
Articoli correlati
Come il medico deve gestire correttamente il consenso informato nella pratica quotidiana.
Consenso informato: quali sono le responsabilità del medico?

Il consenso informato è definito come l'espressione della volontà ...

Read more
Linee guida per gestire i dati sanitari secondo le disposizioni del Garante per la Protezione dei Dati
5 regole chiave per gestire i dati sanitari in linea con le nuove disposizioni del Garante della Privacy

 

Il concetto di dato sanitario ha subito una...

Read more