L’avevamo detto : 231 e privacy sono sempre integrati !

Quante volte negli ultimi due anni abbiamo trattato il tema di Dlgs 231/2001 nelle aziende e della sua ridicola sperequazione con la privacy (1, 2, 3). Per qualche motivo ora che il Sole24ore lo dice, le nostre innumerevoli discussioni acquistano una rilevanza dignitosa.

Tutto parte con l’articolo 9 del Dl 14/8/2013, n. 93 contenente disposizioni urgenti in materia di sicurezza e per il contrasto della violenza. Essenzialmente anche i reati Privacy sono annoverati tra quelli di responsabilità nelle società. Ricordiamo a titolo di esempio la frode informatica, contraffacione delle carte di credito e le manomissioni commerciali in seno ad una azienza.

Il fatto che questa sia una seria faccenda la la Corte di Cassazione , con la recente relazione III/01/2013 del 22/8/2013 che ha fornito una prima interpretazione sulle novità apportate dal citato Dl 93/2013.

In breve un prospetto :

Articolo 9 : aggravante per la frode ottenuta con sostituzione di identità digitale
Sanzioni :  reato piunibile con reclusione da due a sei anni e da 600 a 3000€.
Falsificazioni : ma anche ricettazione, uso indebito carte di pagamento
Falsità : dichiarazioni di notificazioni al GaranteInosservanza : provvedimenti del Garante

Nuovi reati : frode indormatica con aggravante di sostituzione della identità digitale, l’indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (articolo 55 comma 9 del Dlgs 231/2007), nonché i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal Dlgs 196/2003 – e cioè le fattispecie di trattamento illecito dei dati, di falsità nelle dichiarazioni notificazioni al Garante e di inosservanza dei provvedimenti del Garante – nel catalogo dei reati che fanno scattare la responsabilità degli enti a norma del Dlgs 231/2001.

E allora ?  Che abbiano i modelli della 231 o siano inadeguati, le aziende a cui fossero ascritti anche reati in materia di privacy, sono soggette ad una sanzione da 100 a 500 quote. Una quota singola va dal minimo di 258 fino a un massimo di 1.549 euro.

Per la dettagliata descrizione della relazione si rimanda al link primario del Sole24ore

Salvo Reina

Categorie: Documenti Privacy, Domande e risposte, Privacy e società, Pubblico contenuto, Rubriche elettroniche | Tag: articolo 55, articolo 9, dl 93, dlgs 196, il sole24ore, violazione della privacy | Permalink.

Ma le Farmacie possono …………..?

Chi scrive ha molto spesso fronteggiato le domande dei titolari di farmacia il cui unico problema appare essere quello della striscia gialla.

Si’, nelle farmacie, soprattutto quelle dei centri storici, lo spazio e sempre un problema che diventa una preoccupazione inconsolabile quando si deve anche ricavare una distanza utile (e non ipocrita) per la linea di cortesia.

Eppure ai Titolari di Farmacie, di fatto anche titolari del trattamento dei dati, sfuggono clamorose e più pericolose mancanze.

Chiediamoci ad esempio :  le farmacie possono avvalersi delle semplificazioni introdotte dal Decreto Legge 25.06.2008 n.112 in materia di privacy ?

Questo è uno degli errori più diffusi basato su mitologia e credenze alimentate dalla misinformazione

La risposta è NO !

 La facoltà data dall’articolo 29 del Decreto Legge 112/2008 di poter ricorrere ad autocertificazione ai sensi del D.P.R. 445/2000,  riguarda esclusivamente i soggetti titolari del trattamento “che trattano dati personali non sensibili e l’unico dato sensibile e costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi”.

Le prescrizioni di riferimento sono quelle relative all’art.4 sub d) del Dlgs 196/2003.

Le farmacie sono esluse dalle categorie di soggetti che possono avvalersi delle suddette semplificazioni. Infatti, anche quando queste potessero ipoteticamente limitarsi a trattare i dati personali dei loro clienti riportati nelle ricette mediche senza l’indicazione della relativa diagnosi,  anche solamente la mera prescrizione di un farmaco costituisce nella maggioranza dei casi un dato idoneo a rivelare lo stato di salute del paziente.

Pensiamo alla ricetta  di una aspirina:  anche se non riporta la diagnosi tipo “sindrome influenzale”, costituisce già un dato personale idoneo a rivelare lo stato di salute del paziente, quindi un dato sensibile di una persona che non è proprio dipendente.

Molto peggiori sarebbero le considerazioni relative al rapporto, quasi mai regolato e conforme, che le farmacie hanno con la softwarehouse che detiene i server dove hanno registrato i dati dei clienti/pazienti, senza dimenticare quei casi di clienti che anche senza essere pazienti, sono nella stessa banca dati  perchè sono registrate con una card-fedeltà per le cremine e gli unguenti della cosmesi.
Come poi commentare  se si scoprisse che la banca dati è fisicamente locata su un datacenter remoto o un servizio Cloud in alter loco sconosciuto… Ma questa è un’altra storia.

Categorie: Domande e risposte, Privacy e società, Pubblico contenuto | Tag: articolo 29, decreto legge 25, dlgs 196, legge 112, malattia | Permalink.

Quale qualità e quale sicurezza

Salvo Reina

Nella accezione corrente e largamente acquisita, il termine “Qualità” è concettualmente esteso e tuttavia univocamente interpretato. Diversamente, il termine “Sicurezza” è suscettibile di accezioni diverse in ragione del contesto; nella cultura anglosassone, infatti, si discrimina tra Security e Safety. In effetti, oltre agli obblighi e alle misure necessarie per la qualità e la sicurezza, il responsabile del CPMA trova nel Dlg. 191/07 anche i riferimenti relativi al trattamento dei dati “sensibili” ai sensi del Dlgs196/03 più noto come Codice della Privacy (Art. 14) e alla salubrità ambientale riferita a coloro che operano nella struttura secondo il Dlg.81/10 (legge per la sicurezza dei lavoratori ex Dlg.626/94).

Questi due temi, ognuno dei quali meriterebbe una vasta trattazione, devono di fatto integrarsi armoniosamente nel sistema qualità del CPMA. Di seguito vediamo le maggiori implicazioni e suggeriamo alcune soluzioni pratiche ai fini della documentazione. Consideriamo quindi le misure del Dlgs 196/03, del Dlg 191/07 (Art. 14) e quelle adottate per la prevenzione e la protezione della salute dei lavoratori nei luoghi di lavoro come da Dlgs 81/08 (Sez A, p. 5 delle linee guida CNT).

Codice sulla Privacy

Che siano su supporto cartaceo o informatico, i dati “sensibili” (per brevità dati sanitari e giudiziari della persona) dei soggetti donatori o pazienti trattati, devono essere protetti e preservati. Anche queste sono prescrizioni legali che se disattese e contestate possono compromettere la attività di un centro e prefigurano un quadro sansionatorio. In effetti, non è molto coerente pensare di avere registri per la criopreservazione, un Log-Book per la strumentazione laboratoristica, un pennarello indelebile (paillette e vials) se poi non abbiamo stilato un documento di frontiera per il trattamento delle informazioni “sensibili”. Attenzione a interpretare la ridotta enfasi posta nel Art. 14 del Dlg191/07 con un riferimento generico alla tutela della riservatezza; non si tratta di una scelta superficiale semplicemente il Codice della Privacy è legge, come tale si considera implicitamente applicato. Anche pensando ad una società di consulenza che fornisca un sistema ISO, il raggiungimento di una certificazione contrattuale è possibile solo per soggetti che applichino tutte le prescrizioni di leggi. E’ un requisito stesso per la candidatura al pre-audit di certificazione.

Nella pratica, chiunque operi in ambito PMA, già dal 1996 (Legge 675/96) espleta i diritti del paziente con un consenso informato (Art. 13). I medici conoscono questa prassi da molto prima che si istituisse la stessa Autorità Del Garante a P.za Monte Citorio in Roma. Eppure, la informativa e/o il consenso sono misure minime che non manlevano dagli altri obblighi previsti per la redazione di un DPS (Documento Programmatico della Sicurezza). Naturalmente, nei casi in cui un CPMA fa parte di una struttura più grande come ad esempio un ospedale, la documentazione sarà ridotta ad un semplice documento di contitolarità con il quale il responsabile di struttura recepisce la politica generale. Nel caso di utilizzo del supporto informatico di rete, adotta e si conforma con il Disciplinare Tecnico dell’Allegato B del Dlg.196/03 acquisito dall’ Amministratore di Sistema (Provv. G.U. n. 45 Feb 2009), altro requisito soggetto a sanzione.

Sicurezza dei lavoratori

In termini organizzativi è raccomandabile integrare il SDQS in modo analogo a quanto visto per il Documento Programmatico della Sicurezza (DPS previsto dal Dlgs196/03) anche per il Documento di Valutazione dei Rischi come prescritto dal Dlgs 81/08 (ex lege Dlgs 626/94). In pratica, il SDQS per la PMA dovrà includere un riferimento al Documento di valutazione dei Rischi (VDR previsto dal Dlg 81/08). In effetti, nell’ambito delle registrazioni del personale, non è possibile eludere un riferimento alla formazione per i rischi e l’uso dei Dispositivi di Protezione Individuali (DPI).

Dimostrare un avvenuto addestramento per le manovre dei campioni in prossimità di un contenitore di azoto liquido è mandatorio anche in considerazione delle implicazioni infettivologiche della manipolazione di campioni non sierologicamente indenni (Dlg 16/10, Sez B p.6.1.2 LG CNT, 2007; Sez. C p1.1 LG CNT) Uno slogan commerciale legato alla formula 1 che andò molto di moda nel 2000 recitava : i migliori vanno con i migliori. In merito è molto importante comprendere che tutti gli aspetti di sicurezza sopra trattati vanno considerati non solo in termini interni ma anche, e forse maggiormente, in termini esterni. Ricordiamo che la Sez. A p. 8 delle linee guida del CNT fa riferimento esplicito e mandatorio all’obbligo di stipulare convenzioni e accordi di semi lavorazioni solo con soggetti e/o istituti le cui strutture dimostrino un livello di qualità e sicurezza commensurabile al proprio. La resitenza di una catena di acciaio AISI 430 con un anello di allumino è quella dell’alluminio.

Categorie: Lezioni e seminari, PMA : reports e letture | Tag: codice sulla privacy, dlg 626, dlgs 196, linee guida, luoghi di lavoro | Permalink.