{"id":6647,"date":"2024-04-15T19:57:50","date_gmt":"2024-04-15T19:57:50","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=6647"},"modified":"2024-04-15T20:14:24","modified_gmt":"2024-04-15T20:14:24","slug":"salute-digitale-la-privacy-nelle-piattaforme-online","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/","title":{"rendered":"Salute Digitale: La Privacy nelle Piattaforme Online"},"content":{"rendered":"\n<h3 class=\"wp-block-heading\" id=\"h-introduzione\">Introduzione<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img fetchpriority=\"high\" decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/tXefPMUARx-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6682\" style=\"width:294px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/tXefPMUARx-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/tXefPMUARx-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/tXefPMUARx-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/tXefPMUARx-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p>La frontiera della medicina si espande oltre le mura degli ospedali e degli studi medici, tessendo una rete virtuale che connette pazienti e professionisti della salute attraverso il tocco di uno schermo.<\/p>\n\n\n\n<p>Oggi sicuramente viviamo in un mondo dove la tecnologia diventa il ponte tra il bisogno di cura e la sua erogazione, un mondo dove le app e i siti web non sono semplicemente strumenti di convenienza, ma essenziali alleati nella gestione della salute.<\/p>\n\n\n\n<p>In questo scenario, la privacy e la sicurezza dei dati sensibili assumono un ruolo protagonista, trasformandosi in pilastri fondamentali su cui costruire la fiducia tra utenti e piattaforme digitali. <\/p>\n\n\n\n<p>Similmente a una fortezza medievale, circondata da robuste mura per salvaguardare gli abitanti dai rischi esterni, le leggi e i regolamenti sulla privacy, come il GDPR, fungono da barriere invisibili che proteggono le informazioni pi\u00f9 sensibili dei pazienti.<\/p>\n\n\n\n<p>Nel cuore di questo baluardo digitale,<strong> il consenso dell&#8217;individuo si trasforma nel passpartout<\/strong>, un marchio di convalida che consente l&#8217;accesso e la gestione dei dati personali. Ogni individuo, equipaggiato con il proprio libero arbitrio, ha la capacit\u00e0 di scegliere quali porte aprire e quali mantenere sigillate, tracciando di conseguenza i confini del proprio spazio privato.<\/p>\n\n\n\n<p><strong>L&#8217;Ente Regolatore per la Privacy <\/strong>ha reso disponibile una<strong> guida essenziale <\/strong>riguardante la gestione delle informazioni personali attraverso sistemi online progettati per collegare i pazienti con gli esperti del settore salute accessibili mediante internet e applicazioni.<\/p>\n\n\n\n<p>Questo include i medici di base e i pediatri di libera scelta, offrendo servizi essenziali come la selezione del professionista sanitario, la programmazione di appuntamenti, nonch\u00e9 l&#8217;invio e la conservazione di documentazione medica.<\/p>\n\n\n\n<p><strong>Questo documento mira a fornire indicazioni preliminari sul trattamento dei dati personali, inclusi quelli relativi alla salute, tramite piattaforme accessibili via web o App.<\/strong><\/p>\n\n\n\n<p><strong>Queste piattaforme sono progettate<\/strong> per facilitare il contatto tra utenti e professionisti del settore sanitario, tra cui medici di base e pediatri di libera scelta. Offrono una gamma di servizi che includono la prenotazione di visite specialistiche e trattamenti diagnostici, permettendo agli utenti di selezionare professionisti in base alla loro specializzazione e area geografica di operativit\u00e0. <\/p>\n\n\n\n<p><strong>Per i professionisti sanitar<\/strong>i, queste tecnologie semplificano la gestione dei rapporti con i pazienti, l&#8217;organizzazione dell&#8217;agenda (prenotazioni, cancellazioni, spostamenti di appuntamenti), le visite a distanza (ove disponibili), nonch\u00e9 la gestione dei pagamenti per le prestazioni fornite.<\/p>\n\n\n\n<p><strong>Alcune piattaforme<\/strong> permettono anche l&#8217;invio e l&#8217;archiviazione di documenti sanitari, facilitando la condivisione di tali informazioni con il professionista sanitario prima o durante il rapporto di cura. <\/p>\n\n\n\n<p>Offrono, inoltre, <strong>servizi aggiuntivi <\/strong>a vantaggio degli utenti, come la visualizzazione dello storico degli appuntamenti e la ricezione via email di informazioni sulla salute pubblica e comunicazioni promozionali sui servizi offerti.<\/p>\n\n\n\n<p>Tuttavia, \u00e8 importante sottolineare che i <strong>proprietari e i gestori di queste piattaforme<\/strong> non sono autorizzati a trattare dati sulla salute degli utenti per finalit\u00e0 di diagnosi, assistenza e terapia sanitaria. Queste attivit\u00e0 sono<strong> riservate esclusivamente ai professionisti sanitari,<\/strong> che agiscono nel rispetto del segreto professionale e delle normative vigenti (articolo 9, paragrafi 2 lettera h) e 3 del Regolamento). <\/p>\n\n\n\n<p>Di conseguenza, i trattamenti dati da parte dei proprietari e gestori delle piattaforme sono limitati a <strong>quelli strettamente necessari <\/strong>per fornire servizi amministrativi o tecnologici funzionali al rapporto medico-paziente.<\/p>\n\n\n\n<p>Nella gestione delle piattaforme digitali, <strong>spesso gestite da societ\u00e0 con sede in paesi europei diversi dall&#8217;Italia o in paesi terzi,<\/strong> si evidenzia la complessit\u00e0 del trattamento dei dati personali. Questi dati sono utilizzati per vari scopi da molteplici soggetti coinvolti nel processo di trattamento, ren]]]dendo fondamentale un&#8217;adeguata protezione dei dati personali. Ci\u00f2 richiede un impegno costante nel rispettare i principi e gli obblighi stabiliti dal Regolamento generale sulla protezione dei dati (GDPR), garantendo la protezione dei dati personali degli interessati fin dalla fase di progettazione dei servizi e in modo predefinito.<\/p>\n\n\n\n<p>Il documento sottolinea l&#8217;importanza per i titolari del trattamento di aderire ai <strong>principi di responsabilizzazione<\/strong>, dimostrando non solo il rispetto dei principi del GDPR, ma anche l&#8217;effettiva tutela del diritto alla protezione dei dati personali. In particolare, si focalizza sulla necessit\u00e0 per i professionisti sanitari, che utilizzano queste piattaforme per fornire servizi come le televisite, di c<strong>onformarsi alle normative sulla protezione dei dati, trattando i dati personali dei pazienti in modo conforme e responsabile.<\/strong><\/p>\n\n\n\n<p>Inoltre, si <strong>distingue<\/strong> tra i trattamenti dei dati personali effettuati direttamente dai <strong>professionisti<\/strong> <strong>sanitari<\/strong>, che devono essere considerati separatamente e gestiti con la massima cura, in quanto legati alla diagnosi e alla terapia sanitaria, e quelli che possono essere svolti dal <strong>proprietario o gestore della piattaforma. <\/strong><\/p>\n\n\n\n<p>Questi ultimi, in linea con il principio di accountability, richiedono una valutazione attenta delle finalit\u00e0 e delle basi legali del trattamento, per assicurare che ogni azione sia giustificata e conforme alla legge.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-le-finalita\">LE FINALITA&#8217;<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hrihlogqZa-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6661\" style=\"width:220px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hrihlogqZa-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hrihlogqZa-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hrihlogqZa-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hrihlogqZa-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-che-cosa-sono\"><strong>che cosa sono?<\/strong><\/h4>\n\n\n\n<p>Le finalit\u00e0 nell&#8217;ambito del trattamento dei dati personali rappresentano i motivi specifici, espliciti e legittimi per cui i dati personali vengono raccolti e trattati. <\/p>\n\n\n\n<p>Queste finalit\u00e0 devono essere determinate al momento della raccolta dei dati e comunicate agli interessati, garantendo che il trattamento sia conforme alle normative vigenti sulla protezione dei dati, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell&#8217;Unione Europea.<\/p>\n\n\n\n<p>e finalit\u00e0 del trattamento possono variare ampiamente a seconda del contesto e delle esigenze specifiche del titolare del trattamento, ma devono sempre rispettare i principi di liceit\u00e0, correttezza e trasparenza. Alcuni esempi di finalit\u00e0 includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gestione ed esecuzione di rapporti contrattuali<\/strong>: ad esempio, l&#8217;utilizzo dei dati per la gestione dei rapporti precontrattuali, la conclusione, gestione ed esecuzione del rapporto contrattuale<a href=\"https:\/\/www.fincantieri.com\/globalassets\/supplier\/informativa-in-materia-di-trattamento-dei-dati-personali.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>.<\/li>\n\n\n\n<li><strong>Adempimento di obblighi legali<\/strong>: il trattamento dei dati pu\u00f2 essere necessario per adempiere a obblighi previsti da leggi, regolamenti o per rispondere a richieste delle autorit\u00e0<a href=\"https:\/\/www.fincantieri.com\/globalassets\/supplier\/informativa-in-materia-di-trattamento-dei-dati-personali.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.corpea.it\/45-privacy\/197-finalita-del-trattamento-dei-dati?tmpl=component\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.<\/li>\n\n\n\n<li><strong>Finalit\u00e0 di marketing<\/strong>: includono attivit\u00e0 come l&#8217;invio di comunicazioni promozionali o la realizzazione di ricerche di mercato, sempre nel rispetto delle preferenze espresse dall&#8217;interessato e delle normative applicabili<a href=\"https:\/\/www.corpea.it\/45-privacy\/197-finalita-del-trattamento-dei-dati?tmpl=component\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.<\/li>\n\n\n\n<li><strong>Ricerca scientifica o storica e fini statistici<\/strong>: i dati possono essere utilizzati per ricerche scientifiche, storiche o per analisi statistiche, rispettando le condizioni e le garanzie previste dalla normativa<a href=\"https:\/\/www.garanteprivacy.it\/documents\/10160\/0\/Regolamento%2BUE%2B2016%2B679.%2BArricchito%2Bcon%2Briferimenti%2Bai%2BConsiderando%2BAggiornato%2Balle%2Brettifiche%2Bpubblicate%2Bsulla%2BGazzetta%2BUfficiale%2B%2Bdell%27Unione%2Beuropea%2B127%2Bdel%2B23%2Bmaggio%2B2018\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.studioessepi.it\/magazine\/privacy\/principio-finalita-trattamento-gdpr\" target=\"_blank\" rel=\"noreferrer noopener\">8<\/a>.<\/li>\n<\/ul>\n\n\n\n<p>\u00c8 importante sottolineare che, secondo il GDPR, i dati personali devono essere trattati <strong>solo per le finalit\u00e0 per cui sono stati raccolti, <\/strong>a meno che non si ottenga un nuovo consenso per finalit\u00e0 diverse o che il trattamento per una nuova finalit\u00e0 sia considerato compatibile con quella originariaInoltre, il trattamento deve essere limitato a quanto necessario per raggiungere le finalit\u00e0 specificate, rispettando il principio di minimizzazione dei dati<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-che-cosa-sono-i-dati-relativi-alla-salute\">che cosa sono i dati relativi alla salute<\/h4>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/DOGYXqbqbl-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6684\" style=\"width:251px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/DOGYXqbqbl-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/DOGYXqbqbl-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/DOGYXqbqbl-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/DOGYXqbqbl-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p>I dati relativi alla salute sono una categoria specifica di dati personali che riguardano la salute fisica o mentale di una persona fisica. <\/p>\n\n\n\n<p>Questi dati includono informazioni dettagliate che rivelano lo stato di salute attuale, passato o futuro dell&#8217;individuo. <\/p>\n\n\n\n<p><strong>Secondo l&#8217;articolo 4, n. 15<\/strong>, del Regolamento Generale sulla Protezione dei Dati (GDPR), i dati relativi alla salute comprendono &#8220;i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute<\/p>\n\n\n\n<p>Pi\u00f9 specificamente, questi dati possono includere:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Informazioni raccolte durante la registrazione di un individuo per ricevere servizi sanitari.<\/li>\n\n\n\n<li>Numeri, simboli o elementi specifici attribuiti a una persona fisica per identificarla univocamente a fini sanitari.<\/li>\n\n\n\n<li>Risultati da esami e controlli effettuati su parti del corpo o sostanze organiche, inclusi dati genetici e campioni biologici.<\/li>\n\n\n\n<li>Qualsiasi informazione riguardante malattie, disabilit\u00e0, rischio di malattie, anamnesi medica, trattamenti clinici o lo stato fisiologico o biomedico dell&#8217;interessato, indipendentemente dalla fonte, come medici, altri operatori sanitari, ospedali, dispositivi medici o test diagnostici in vitro<a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/protezione-dei-dati-in-sanita-tutti-i-paletti-del-garante-privacy\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/protezionedatipersonali.it\/sanita-e-privacy\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.cybersecurity360.it\/legal\/privacy-dati-personali\/trattamento-dati-sanitari-tra-tutele-ed-esigenza-di-acquisizione-del-quadro-sanitario-del-paziente\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.lm-consulting.it\/privacy-e-gdpr\/dati-sanitari-quali-sono-e-quando-possono-essere-trattati\/\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2018\/04\/11\/dati-sanitari-come-trattarli-alla-luce-del-gdpr\" target=\"_blank\" rel=\"noreferrer noopener\">6<\/a>.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-considerando-numero-35-del-gdpr\">Il considerando numero 35 del GDPR <\/h3>\n\n\n\n<p>Il Considerando n. 35 del GDPR (Regolamento Generale sulla Protezione dei Dati) si riferisce ai dati personali relativi alla salute. <\/p>\n\n\n\n<p>Questo considerando chiarisce che i dati personali relativi alla salute dovrebbero includere tutte le informazioni che riguardano lo stato di salute di un soggetto dei dati, rivelando informazioni relative al passato, al presente o al futuro della salute fisica o mentale della persona<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><em>Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell\u2019interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva&nbsp;2011\/24\/UE del Parlamento europeo e del Consiglio<a href=\"http:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX:32016R0679&amp;from=it#ntr9-L_2016119IT.01000101-E0009\">&nbsp;(9)<\/a>; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilit\u00e0, il rischio di malattie, l\u2019anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell\u2019interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.<\/em><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-il-divieto-di-trattamento-dei-dati-relativi-alla-salute\">Il divieto di trattamento dei dati relativi alla salute<\/h4>\n\n\n\n<p><strong>L&#8217;articolo 9 del Regolamento Generale sulla Protezione dei Dati (GDPR<\/strong>) stabilisce <strong>un divieto generale di trattamento <\/strong>delle categorie particolari di dati, come i dati sulla salute, a meno che non si applichi una delle specifiche eccezioni previste,<\/p>\n\n\n\n<p>l&#8217;articolo 9 del GDPR stabilisce un divieto generale di trattamento delle categorie particolari di dati personali, che includono dati che rivelano l&#8217;origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l&#8217;appartenenza sindacale, nonch\u00e9 i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all&#8217;orientamento sessuale della persona<\/p>\n\n\n\n<p>Tuttavia, questo divieto non \u00e8 assoluto. L&#8217;articolo 9 prevede una serie di eccezioni in cui il trattamento di tali dati \u00e8 permesso. Queste eccezioni includono situazioni in cui:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&#8217;interessato ha dato il proprio <strong>consenso<\/strong> esplicito al trattamento dei propri dati personali per una o pi\u00f9 finalit\u00e0 specifiche<a href=\"https:\/\/www.privacy365.eu\/dallautorita-per-la-protezione-dei-dati-del-liechtenstein-categorie-particolari-di-dati-personali-art-9-gdpr-e-dati-personali-su-condanne-penali-e-reati-art-10-gdpr\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2018\/04\/12\/articolo-9-gdpr-trattamento-di-categorie-particolari-di-dati\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n\n\n\n<li>Il trattamento \u00e8 necessario<strong> per adempiere obblighi e esercitare diritti specifici del titolar<\/strong>e del trattamento o dell&#8217;interessato nel campo del diritto del lavoro e della sicurezza sociale e della protezione sociale<a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9124510\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2018\/04\/12\/articolo-9-gdpr-trattamento-di-categorie-particolari-di-dati\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n\n\n\n<li>Il trattamento \u00e8 necessario per <strong>proteggere un interesse vitale <\/strong>dell&#8217;interessato o di un&#8217;altra persona fisica, nel caso in cui l&#8217;interessato non sia fisicamente o legalmente capace di dare il consenso<a href=\"https:\/\/www.altalex.com\/documents\/news\/2018\/04\/12\/articolo-9-gdpr-trattamento-di-categorie-particolari-di-dati\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-chiarimenti-sull-applicazione-della-disciplina-per-il-trattamento-dei-dati-relativi-alla-salute-in-ambito-sanitario-del-7-marzo-2019\">Chiarimenti sull&#8217;applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario&#8221; del 7 marzo 2019.<\/h4>\n\n\n\n<p><strong>l provvedimento n. 55 del 7 marzo 2019 del Garante <\/strong>per la protezione dei dati personali ha fornito importanti chiarimenti sull&#8217;applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario, in seguito all&#8217;entrata in vigore del GDPR (Regolamento Generale sulla Protezione dei Dati) e del suo recepimento in Italia attraverso il D.lgs. n. 101\/2018.<\/p>\n\n\n\n<p>Questo provvedimento ha avuto l&#8217;obiettivo di chiarire le modalit\u00e0 con cui i dati sulla salute possono essere trattati nel rispetto delle normative vigenti, ponendo particolare attenzione alle condizioni sotto le quali \u00e8 possibile derogare al divieto generale di trattamento di tali dati.Tra i punti salienti del provvedimento, si evidenzia che:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Il trattamento dei dati per &#8220;finalit\u00e0 di cura&#8221; \u00e8 c<\/strong>onsiderato lecito ai sensi dell&#8217;articolo 9, paragrafo 2, lettera h) del GDPR. Questo include il trattamento necessario per finalit\u00e0 di medicina preventiva, di medicina del lavoro, valutazione della capacit\u00e0 lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, nonch\u00e9 la gestione dei sistemi e servizi sanitari o sociali, a condizione che tali trattamenti siano effettuati da professionisti sanitari soggetti al segreto professionale o sotto la loro responsabilit\u00e0<a href=\"https:\/\/www.fnob.it\/2019\/04\/04\/trattamento-dei-dati-sulla-salute-in-ambito-sanitario-chiarimenti-del-garante-per-la-protezione-dei-dati-personali\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.cervato.it\/post\/2019\/05\/13\/privacy-in-sanit%C3%A0-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/protezione-dei-dati-in-sanita-tutti-i-paletti-del-garante-privacy\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2019\/03\/28\/trattamento-dei-dati-personali-in-ambito-sanitario-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9091942\" target=\"_blank\" rel=\"noreferrer noopener\">6<\/a>.<\/li>\n\n\n\n<li>Una delle novit\u00e0 pi\u00f9 significative introdotte dal provvedimento \u00e8 l<strong>&#8216;esenzione dal consenso per i trattamenti necessari alla prestazione sanitaria richiesta dall&#8217;interessato<\/strong>, a patto che siano rispettate le misure di garanzia stabilite dal Garante. Questo rappresenta un cambiamento rispetto al passato, dove il consenso del paziente era generalmente richiesto per il trattamento dei dati relativi alla salute<a href=\"https:\/\/www.fnob.it\/2019\/04\/04\/trattamento-dei-dati-sulla-salute-in-ambito-sanitario-chiarimenti-del-garante-per-la-protezione-dei-dati-personali\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.cervato.it\/post\/2019\/05\/13\/privacy-in-sanit%C3%A0-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/protezione-dei-dati-in-sanita-tutti-i-paletti-del-garante-privacy\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2019\/03\/28\/trattamento-dei-dati-personali-in-ambito-sanitario-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9091942\" target=\"_blank\" rel=\"noreferrer noopener\">6<\/a>.<\/li>\n\n\n\n<li>Il provvedimento elenca anche esempi di dati che, secondo l&#8217;articolo 9, paragrafo 2, lettera a) del GDPR, <strong>richiedono il consenso esplicito dell&#8217;interessato per essere trattati<\/strong>. Questi includono i trattamenti connessi all&#8217;utilizzo di App mediche e altri casi specifici dove i dati sulla salute sono raccolti per finalit\u00e0 che vanno oltre la prestazione sanitaria diretta<a href=\"https:\/\/www.fnob.it\/2019\/04\/04\/trattamento-dei-dati-sulla-salute-in-ambito-sanitario-chiarimenti-del-garante-per-la-protezione-dei-dati-personali\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>.<\/li>\n\n\n\n<li>Inoltre, il provvedimento ribadisce l&#8217;importanza del rispetto del segreto professionale e delle misure di sicurezza adeguate per proteggere i dati sulla salute, sottolineando<strong> il ruolo del DPO (Data Protection Officer)<\/strong> nel contribuire alla gestione del rischio e alla protezione dei dati in ambito sanitario<a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/protezione-dei-dati-in-sanita-tutti-i-paletti-del-garante-privacy\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-sono-identificate-tre-principali-categorie-di-trattamento-dati-con-finalita-e-basi-giuridiche-distinte\">Sono identificate tre principali categorie di trattamento dati con finalit\u00e0 e basi giuridiche distinte:<\/h4>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-trattamento-dei-dati-degli-utenti\"><strong>Trattamento dei dati degli utenti<\/strong><\/h4>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-questo-include-dati-che-potrebbero-rivelare-lo-stato-di-salute-dell-utente-utilizzati-per-scegliere-e-prenotare-servizi-sanitari-tale-trattamento-e-inteso-come-un-servizio-amministrativo-fornito-su-richiesta-esplicita-dell-utente-e-non-si-collega-direttamente-alle-finalita-di-cura-riservate-ai-professionisti-sanitari\">Questo include dati che potrebbero rivelare lo stato di salute dell&#8217;utente, utilizzati per scegliere e prenotare servizi sanitari. Tale trattamento \u00e8 inteso come un servizio amministrativo fornito su richiesta esplicita dell&#8217;utente e non si collega direttamente alle finalit\u00e0 di cura riservate ai professionisti sanitari.<\/h4>\n\n\n\n<p>Tuttavia, il trattamento di tali dati per la scelta e la prenotazione di servizi sanitari pu\u00f2 essere considerato lecito se avviene su richiesta esplicita dell&#8217;utente e se \u00e8 finalizzato a fornire un servizio amministrativo<\/p>\n\n\n\n<p> Questo tipo di trattamento non \u00e8 direttamente collegato alle finalit\u00e0 di cura, che sono riservate ai professionisti sanitari e che implicano un&#8217;interazione diretta con lo stato di salute dell&#8217;individuo per la diagnosi, il trattamento o la gestione dei servizi sanitari<\/p>\n\n\n\n<p>In particolare, il provvedimento n. 55 del 7 marzo 2019 del Garante per la protezione dei dati personali chiarisce che i trattamenti per &#8220;finalit\u00e0 di cura&#8221; sono quelli effettuati da professionisti sanitari soggetti al segreto professionale e sono esenti dal requisito del consenso dell&#8217;interessato, a condizione che siano rispettate le misure di garanzia previste dal GDPR<\/p>\n\n\n\n<p>&nbsp;Questo si applica ai trattamenti necessari per finalit\u00e0 di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale, o per la gestione dei sistemi e servizi sanitari o sociali<\/p>\n\n\n\n<p>.Per quanto riguarda il trattamento dei dati per la scelta e la prenotazione di servizi sanitari, sebbene non sia strettamente una &#8220;finalit\u00e0 di cura&#8221;, pu\u00f2 essere consentito se l&#8217;utente ha fornito il proprio <strong>consenso<\/strong> <strong>esplicito<\/strong> per tale trattamento specifico e se sono state adottate tutte le misure di sicurezza necessarie per proteggere i dati<\/p>\n\n\n\n<p>Inoltre, il trattamento deve essere conforme ai principi di minimizzazione dei dati, limitazione della finalit\u00e0 e integrit\u00e0 e riservatezza, come richiesto dal GDPR<\/p>\n\n\n\n<p>In conclusione, il trattamento dei dati relativi alla salute per la scelta e la prenotazione di servizi sanitari pu\u00f2 essere considerato lecito se avviene su richiesta eslicita dell&#8217;utente, con il suo consenso e nel rispetto delle misure di sicurezza e delle altre disposizioni del GDPR.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-trattamento-dei-dati-personali-dei-professionisti-sanitari-questo-avviene-nell-ambito-di-un-rapporto-contrattuale-tra-il-gestore-della-piattaforma-e-il-professionista-sanitario-e-puo-includere-la-gestione-delle-recensioni-degli-utenti\"><strong>Trattamento dei dati personali dei professionisti sanitari<\/strong>: Questo avviene nell&#8217;ambito di un rapporto contrattuale tra il gestore della piattaforma e il professionista sanitario, e pu\u00f2 includere la gestione delle recensioni degli utenti<\/h4>\n\n\n\n<p>Il trattamento dei dati personali dei professionisti sanitari da parte di una piattaforma online, che pu\u00f2 includere la gestione delle recensioni degli utenti, avviene generalmente nell&#8217;ambito di un rapporto contrattuale tra il gestore della piattaforma e il professionista sanitario. <\/p>\n\n\n\n<p>Questo rapporto contrattuale stabilisce le condizioni per il trattamento dei dati personali del professionista sanitario, come ad esempio le informazioni relative al suo profilo professionale, le specializzazioni, i servizi offerti e le recensioni dei pazienti.<\/p>\n\n\n\n<p>Le piattaforme online che offrono servizi di prenotazione visite mediche o altri servizi sanitari, come MioDottore, operano come intermediari tra i pazienti e i professionisti sanitari. <\/p>\n\n\n\n<p>In questo contesto, i dati personali dei professionisti sanitari vengono trattati per fornire il servizio di prenotazione e per consentire ai pazienti di lasciare recensioni sulle prestazioni ricevute<a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9843319\" target=\"_blank\" rel=\"noreferrer noopener\">7<\/a><a href=\"https:\/\/pro.miodottore.it\/blog\/dottori\/topic\/marketing\/post\/raggiungere-i-pazienti-a-costo-zero\" target=\"_blank\" rel=\"noreferrer noopener\">16<\/a><a href=\"https:\/\/pro.miodottore.it\/blog\/dottori\/aumentare-visibilit%C3%A0-profilo-miodottore\" target=\"_blank\" rel=\"noreferrer noopener\">18<\/a>.Le recensioni online sono diventate uno strumento importante per i pazienti nella scelta dei professionisti sanitari e per i professionisti stessi per costruire e mantenere la loro reputazione online. <\/p>\n\n\n\n<p>Le piattaforme di recensioni, come <strong>MioDottore, <\/strong>consentono ai professionisti sanitari di rispondere alle recensioni, sia positive che negative, e di interagire con i pazienti, influenzando cos\u00ec la loro immagine professionale.<\/p>\n\n\n\n<p>Il GDPR stabilisce che il trattamento dei dati personali deve essere effettuato in modo lecito, corretto e trasparente nei confronti dell&#8217;interessato (art. 5).<\/p>\n\n\n\n<p><strong>l&#8217;articolo 6 del GDPR<\/strong> prevede che il trattamento sia lecito solo se e nella misura in cui almeno una delle condizioni elencate sia soddisfatta, come il consenso dell&#8217;interessato o la necessit\u00e0 di esecuzione di un contratto di cui l&#8217;interessato \u00e8 parte.<\/p>\n\n\n\n<p>Le piattaforme devono fornire ai professionisti sanitari <strong>un&#8217;informativa<\/strong> sul trattamento dei dati personali, che deve includere le finalit\u00e0 e le modalit\u00e0 di trattamento, i diritti degli interessati e altre informazioni richieste dall&#8217;articolo 13 del GDPR<\/p>\n\n\n\n<p>In conclusione, il trattamento dei dati personali dei professionisti sanitari da parte delle piattaforme online deve essere conforme alle disposizioni del GDPR e alle condizioni stabilite nel rapporto contrattuale tra il gestore della piattaforma e il professionista sanitario, garantendo la protezione dei dati personali e il rispetto dei diritti degli interessati.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-trattamento-dei-dati-sulla-salute-dei-pazienti-questi-trattamenti-potenzialmente-effettuati-dal-professionista-sanitario-in-qualita-di-titolare-del-trattamento-sono-direttamente-legati-al-rapporto-medico-paziente-e-includono-attivita-come-la-condivisione-di-documenti-sanitari\"><strong>Trattamento dei dati sulla salute dei pazienti<\/strong>: Questi trattamenti, potenzialmente effettuati dal professionista sanitario in qualit\u00e0 di titolare del trattamento, sono direttamente legati al rapporto medico-paziente e includono attivit\u00e0 come la condivisione di documenti sanitari. <\/h4>\n\n\n\n<p>Questo trattamento include una vasta gamma di attivit\u00e0, tra cui la raccolta, l&#8217;archiviazione, l&#8217;elaborazione e la condivisione di documenti sanitari che sono essenziali per fornire cure mediche appropriate, gestire la storia clinica del paziente e facilitare la comunicazione tra diversi operatori sanitari coinvolti nella cura del paziente.<\/p>\n\n\n\n<p>Il GDPR, come indicato nei risultati della ricerca, stabilisce regole rigorose per il trattamento dei dati personali, in particolare per i dati relativi alla salute, considerati categorie particolari di dati personali che richiedono una protezione aggiuntiva a causa della loro sensibilit\u00e0. <\/p>\n\n\n\n<p>I dati sulla salute includono tutte le informazioni relative allo stato di salute fisico o mentale di una persona, compresi i dettagli su trattamenti medici, diagnosi, prescrizioni, risultati di esami e altre informazioni raccolte nel contesto della fornitura di servizi sanitari<\/p>\n\n\n\n<p>I professionisti sanitari, in qualit\u00e0 di titolari del trattamento, devono assicurarsi che il trattamento dei dati sulla salute avvenga in conformit\u00e0 con i principi del GDPR, che includono la liceit\u00e0, la correttezza, la trasparenza, la limitazione della finalit\u00e0, la minimizzazione dei dati, l&#8217;accuratezza, la limitazione della conservazione, l&#8217;integrit\u00e0 e la riservatezza, nonch\u00e9 la responsabilit\u00e0<\/p>\n\n\n\n<p>&nbsp;Inoltre, il trattamento di tali dati \u00e8 permesso solo in circostanze specifiche, come quando \u00e8 necessario per la fornitura di assistenza sanitaria o trattamento medico, per la gestione dei sistemi e servizi sanitari, o quando il paziente ha dato il proprio consenso esplicito.<\/p>\n\n\n\n<p>La condivisione di documenti sanitari tra professionisti sanitari \u00e8 un aspetto cruciale del trattamento dei dati sulla salute, che facilita una cura coordinata e integrata del paziente.<\/p>\n\n\n\n<p>Tuttavia, questa condivisione deve essere effettuata nel rispetto delle norme sulla privacy e protezione dei dati, assicurando che l&#8217;accesso ai dati sia limitato ai soli professionisti sanitari autorizzati e che siano adottate misure adeguate per proteggere i dati da accessi non autorizzati, divulgazioni o perdite.<\/p>\n\n\n\n<p>L&#8217;utilizzo delle piattaforme digitali a distanza da parte dell&#8217;utente \u00e8 facoltativo e non \u00e8 imposto da normative specifiche, anche quando tali servizi sono offerti da professionisti convenzionati con il Servizio Sanitario Nazionale.<\/p>\n\n\n\n<p>Queste informazioni chiariscono l&#8217;ambito e le finalit\u00e0 dei diversi trattamenti di dati all&#8217;interno delle piattaforme digitali sanitarie, evidenziando l&#8217;importanza di gestire con cura e responsabilit\u00e0 i dati personali e sanitari dei pazienti e dei professionisti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-black-color has-text-color has-link-color wp-elements-8f8a0bd187faf2a64c7704657333d1c3\" id=\"h-la-recente-disciplina-un-quadro-giuridico-complesso-e-variopinto\">LA RECENTE DISCIPLINA: un quadro giuridico complesso e variopinto<\/h3>\n\n\n\n<p>Nell&#8217;era in cui la tecnologia sanitaria sta avanzando a passi da gigante, emerge una questione cruciale: come garantire la privacy dei pazienti in questo nuovo paesaggio digitale? <\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-il-dcpm-8-agosto-2023\">IL DCPM 8 AGOSTO 2023<\/h4>\n\n\n\n<p>il Decreto del Presidente del Consiglio dei Ministri (DPCM) dell&#8217;8 agosto 2013 riguarda specificamente le modalit\u00e0 di consegna digitale dei referti medici da parte delle aziende sanitarie. Questo decreto stabilisce le procedure e le modalit\u00e0 tecniche attraverso le quali le aziende sanitarie possono rendere disponibili i referti medici in formato digitale agli interessati. <\/p>\n\n\n\n<p>La crescente offerta di servizi online da parte delle strutture sanitarie, sia pubbliche che private, richiede un attento bilanciamento con le normative vigenti sulla protezione dei dati personali, come il GDPR (Regolamento (UE) 2016\/679) e il Codice Privacy italiano (d.lgs. 196\/2003, modificato dal d.lgs. 101\/2018).<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-che-cosa-e-un-referto-on-line\">Che cosa \u00e8 un referto on line?<\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/aFNelPKzaS-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6686\" style=\"width:306px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/aFNelPKzaS-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/aFNelPKzaS-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/aFNelPKzaS-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/aFNelPKzaS-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p>Per &#8220;referto online&#8221; si intende quella particolare modalit\u00e0 di accesso al referto medico che permette ai pazienti di consultare, scaricare o ricevere via posta elettronica (anche certificata) o su supporto elettronico i risultati delle proprie analisi cliniche o esami diagnostici effettuati presso strutture sanitarie. <\/p>\n\n\n\n<p>Questa modalit\u00e0 di consegna digitale dei referti medici \u00e8 regolamentata dal DPCM dell&#8217;8 agosto 2013, che stabilisce le procedure e le modalit\u00e0 tecniche per la consegna digitale, includendo requisiti come idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati, formazione per coloro che accedono o trattano i dati dei referti online, e specifiche misure tecniche idonee ad assicurare livelli di protezione dei dati<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-quali-norme-si-applicano\">quali norme si applicano?<\/h4>\n\n\n\n<p>Le leggi applicabili ai referti online in Italia sono principalmente:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Regolamento (UE) 2016\/679<\/strong><\/li>\n\n\n\n<li><strong>Decreto Legislativo 30 giugno 2003, n. 196<\/strong>, <\/li>\n\n\n\n<li><strong>Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013<\/strong> che che stabilisce le modalit\u00e0 di consegna digitale dei referti medici da parte delle aziende sanitarie, un referto online pu\u00f2 essere consegnato attraverso diverse modalit\u00e0 digitali, delineando specifici requisiti tecnici e di sicurezza per la loro trasmissione e consultazione online. Le modalit\u00e0 di consegna possibili dei referti includono: <strong>Consegna tramite Fascicolo Sanitario Elettronico (FSE)<\/strong>: Il FSE \u00e8 una raccolta digitale delle informazioni sanitarie relative a un individuo, accessibile online<a href=\"https:\/\/www.sanita24.ilsole24ore.com\/art\/dal-governo\/2013-10-17\/REFERTI_ONLINE_DPCM_GU-061201.php?uuid=AbUk84uI\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>. <strong>Consegna tramite Web<\/strong>: Questa modalit\u00e0 permette all&#8217;interessato di collegarsi al sito Internet dell&#8217;azienda sanitaria per accedere ai propri referti<a href=\"https:\/\/www.sanita24.ilsole24ore.com\/art\/dal-governo\/2013-10-17\/REFERTI_ONLINE_DPCM_GU-061201.php?uuid=AbUk84uI\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>.<strong>Consegna tramite posta elettronica<\/strong>: Il servizio offre all&#8217;interessato la possibilit\u00e0 di ricevere il referto digitale, o una sua copia informatica, alla casella di posta elettronica che lui stesso indicher\u00e0<a href=\"https:\/\/www.sanita24.ilsole24ore.com\/art\/dal-governo\/2013-10-17\/REFERTI_ONLINE_DPCM_GU-061201.php?uuid=AbUk84uI\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><strong>Consegna tramite posta elettronica certificata<\/strong>: Simile alla posta elettronica ordinaria, ma la consegna avviene alla casella di posta elettronica certificata del paziente o al suo domicilio digitale<a href=\"https:\/\/www.sanita24.ilsole24ore.com\/art\/dal-governo\/2013-10-17\/REFERTI_ONLINE_DPCM_GU-061201.php?uuid=AbUk84uI\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>. <strong>Consegna tramite supporto elettronico<\/strong>: Questa modalit\u00e0 prevede la consegna di referti su dispositivi elettronici come chiavette USB o altri supporti digitali compatibili<a href=\"https:\/\/www.sanita24.ilsole24ore.com\/art\/dal-governo\/2013-10-17\/REFERTI_ONLINE_DPCM_GU-061201.php?uuid=AbUk84uI\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>.<\/li>\n<\/ol>\n\n\n\n<p>Il decreto sottolinea l&#8217;importanza di garantire la sicurezza e la protezione dei dati personali e sanitari durante il processo di consegna digitale, richiedendo l&#8217;utilizzo di almeno due modalit\u00e0 di autenticazione per accedere ai referti online. Queste modalit\u00e0 di autenticazione possono includere l&#8217;uso di una password o PIN (&#8220;qualcosa di conosciuto&#8221;), una smart card o un token crittografico (&#8220;qualcosa di posseduto&#8221;), o caratteristiche biometriche come un&#8217;impronta digitale (&#8220;qualcosa di unico riguardo l&#8217;aspetto o la persona&#8221;)<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Decreto Legislativo 7 marzo 2005, n. 82<\/strong>, &#8220;Codice dell&#8217;amministrazione digitale&#8221; (CAD), che fornisce il quadro normativo per l&#8217;innovazione tecnologica delle pubbliche amministrazioni italiane, comprese le modalit\u00e0 di accesso e gestione dei documenti elettronici come i referti online<\/li>\n<\/ol>\n\n\n\n<p> Il CAD stabilisce le regole per l&#8217;uso delle tecnologie dell&#8217;informazione e della comunicazione (TIC) all&#8217;interno della Pubblica Amministrazione, con l&#8217;obiettivo di migliorare l&#8217;efficienza, garantire l&#8217;accesso ai servizi da parte dei cittadini e promuovere la trasparenza.<\/p>\n\n\n\n<p>Nel contesto dei referti medici online, il CAD e le sue successive modifiche e integrazioni forniscono la base legale per la dematerializzazione dei documenti sanitari e per la loro consegna elettronica ai cittadini. Questo processo \u00e8 parte di un pi\u00f9 ampio sforzo di digitalizzazione dei servizi sanitari, che include la creazione del Fascicolo Sanitario Elettronico (FSE) e la possibilit\u00e0 per i cittadini di accedere ai propri dati sanitari in modo sicuro e protetto attraverso Internet<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-consenso-libero-ed-informato\">il consenso libero ed informato<\/h3>\n\n\n\n<p>Inoltre, prima di procedere con il trattamento dei dati personali per la refertazione online, le strutture sanitarie devono ottenere il consenso esplicito e informato dell&#8217;utente<\/p>\n\n\n\n<p>Il consenso deve essere un atto volontario, specifico, informato e inequivocabile con cui l&#8217;interessato accetta il trattamento dei propri dati personali. <\/p>\n\n\n\n<p>Le linee guida del Garante per la protezione dei dati personali stabiliscono anche che l&#8217;adesione al servizio di invio dei referti online deve essere facoltativa e che l&#8217;interessato deve avere sempre la possibilit\u00e0 di ritirare il proprio consenso o di scegliere di ricevere il referto in formato cartaceo<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-le-misure-di-sicurezza\">Le misure di sicurezza<\/h3>\n\n\n\n<p>Le Linee guida del Garante in tema di referti on-line individuano&nbsp;<strong>una serie di misure, in relazione alle specifiche modalit\u00e0 di consegna, atte a garantire la sicurezza dello specifico trattamento<\/strong>:<\/p>\n\n\n\n<p>Nel caso in cui il servizio che si intenda offrire consti nella possibilit\u00e0 per l\u00b4interessato di collegarsi al sito&nbsp;Internet&nbsp;della struttura sanitaria che ha eseguito l\u00b4esame clinico, al fine di effettuare la copia locale (download) o la visualizzazione interattiva del referto, dovrebbero essere adottate delle specifiche cautele quali:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>I protocolli di comunicazione sicuri, come <strong>HTTPS<\/strong> (Hypertext Transfer Protocol Secure), utilizzano standard crittografici per garantire la sicurezza delle comunicazioni elettroniche su Internet. HTTPS \u00e8 un&#8217;estensione del protocollo HTTP (Hypertext Transfer Protocol) e si basa sull&#8217;uso di SSL (Secure Sockets Layer) o del suo successore, TLS (Transport Layer Security), per crittografare i dati trasmessi tra il client (ad esempio, un browser web) e il server<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La crittografia fornita da <strong>SSL\/TLS<\/strong> protegge le informazioni sensibili durante il loro trasferimento attraverso la rete, impedendo che possano essere intercettate o modificate da attaccanti. Questo \u00e8 particolarmente importante per le transazioni online, la trasmissione di dati personali e finanziari, e qualsiasi altra comunicazione che richieda confidenzialit\u00e0 e integrit\u00e0 dei dati.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Il processo di autenticazione del server, parte fondamentale della sicurezza garantita da <strong>HTTPS<\/strong>, si basa sulla certificazione digitale. <strong>Un certificato digitale<\/strong> \u00e8 un documento elettronico che utilizza la firma digitale per legare una chiave pubblica con l&#8217;identit\u00e0 del proprietario del certificato (ad esempio, il nome di un&#8217;organizzazione e il suo indirizzo Internet). I certificati sono emessi da autorit\u00e0 di certificazione (CA, Certificate Authorities), enti di fiducia che verificano l&#8217;identit\u00e0 dei richiedenti prima di emettere i certificati[1][2<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Quando un utente si connette a un sito web protetto da HTTPS, il server presenta il suo certificato al browser dell&#8217;utente. Il browser verifica che il certificato sia valido, sia stato emesso da una CA affidabile e che corrisponda al sito web a cui l&#8217;utente sta tentando di accedere. Se il certificato supera queste verifiche, viene stabilita una connessione sicura crittografata. In caso contrario, il browser pu\u00f2 avvisare l&#8217;utente del problema di sicurezza<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-tecniche-idonee-ad-evitare-la-possibile-acquisizione-delle-informazioni-nbsp-contenute-nel-file-elettronico-nel-caso-di-sua-memorizzazione-intermedia-in-sistemi-di-nbsp-caching-locali-o-centralizzati-a-seguito-della-sua-consultazione-nbsp-on-line\"><strong>tecniche idonee ad evitare la possibile acquisizione delle informazioni&nbsp;contenute nel file elettronico nel caso di sua memorizzazione intermedia in sistemi di&nbsp;caching, locali o centralizzati, a seguito della sua consultazione&nbsp;on-line;<\/strong><\/h3>\n\n\n\n<p>Per evitare la possibile acquisizione non autorizzata delle informazioni contenute nei file elettronici, specialmente nel caso di loro memorizzazione intermedia <strong>in sistemi di caching, locali o centralizzati<\/strong>, a seguito della loro consultazione online, \u00e8 fondamentale adottare tecniche idonee di sicurezza. <\/p>\n\n\n\n<p>I sistemi di caching, sia locali che centralizzati, sono meccanismi utilizzati per migliorare l&#8217;efficienza dell&#8217;accesso ai dati e alle informazioni in un sistema informatico. Il caching funziona memorizzando temporaneamente copie di dati in posizioni facilmente accessibili, riducendo cos\u00ec il tempo necessario per accedere a tali dati in futuro. <\/p>\n\n\n\n<p>Questo processo \u00e8 particolarmente utile in ambienti dove l&#8217;accesso ai dati originali \u00e8 lento o costoso in termini di risorse computazionali.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Sistemi di caching locali<\/strong>: Questi sistemi memorizzano i dati temporaneamente su dispositivi locali, come il disco rigido di un computer, la memoria RAM o altri tipi di storage interni. L&#8217;obiettivo \u00e8 ridurre il tempo di accesso ai dati frequentemente utilizzati o ridurre il carico su risorse di rete limitate. Un esempio comune di caching locale \u00e8 il caching del browser, dove le pagine web visitate di recente sono memorizzate localmente per accelerare il caricamento in visite future.<\/li>\n\n\n\n<li><strong>Sistemi di caching centralizzati<\/strong>: A differenza del caching locale, i sistemi di caching centralizzati memorizzano i dati in una posizione centrale accessibile da pi\u00f9 utenti o sistemi. Questo approccio \u00e8 comune in ambienti di rete, come i server web, dove le risorse come file, immagini o altri dati possono essere memorizzati in cache su un server dedicato. Questo permette a pi\u00f9 client di accedere rapidamente ai dati senza doverli richiedere direttamente dalla fonte originale, migliorando l&#8217;efficienza e riducendo il carico sui server di origine.<\/li>\n<\/ul>\n\n\n\n<p>Entrambi i tipi di caching sono fondamentali per ottimizzare le prestazioni e l&#8217;efficienza dei sistemi informatici, riducendo i tempi di attesa per gli utenti e diminuendo il carico su risorse computazionali e di rete. <\/p>\n\n\n\n<p>Nel contesto della consultazione online di referti o documenti, l&#8217;uso di sistemi di caching pu\u00f2 presentare rischi per la privacy e la sicurezza dei dati, poich\u00e9 le informazioni sensibili potrebbero essere memorizzate temporaneamente in luoghi accessibili da utenti non autorizzati. Per questo motivo, \u00e8 importante adottare misure di sicurezza adeguate, come la crittografia dei dati e l&#8217;implementazione di politiche di caching che rispettino la privacy degli utenti<\/p>\n\n\n\n<p>Queste tecniche includono:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Crittografia dei dati<\/strong>:<\/li>\n<\/ol>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/image-5-1024x576.png\" alt=\"\" class=\"wp-image-6653\" style=\"width:360px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/image-5-1024x576.png 1024w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/image-5-300x169.png 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/image-5-768x432.png 768w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/image-5-1536x864.png 1536w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/image-5-480x270.png 480w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/image-5.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>L&#8217;uso di standard crittografici robusti per la cifratura dei dati trasmessi online \u00e8 fondamentale per prevenire l&#8217;accesso non autorizzato alle informazioni durante la loro trasmissione e memorizzazione intermedia. <\/p>\n\n\n\n<p>Questo approccio alla sicurezza informatica si basa sull&#8217;impiego di algoritmi crittografici avanzati che trasformano i dati sensibili in un formato che pu\u00f2 essere decifrato e compreso solo da coloro che possiedono le chiavi crittografiche appropriate.<\/p>\n\n\n\n<p> La crittografia end-to-end  rappresenta una delle implementazioni pi\u00f9 efficaci di questa strategia, garantendo che i dati siano leggibili esclusivamente dal mittente e dal destinatario previsto, senza possibilit\u00e0 di accesso da parte di terzi, inclusi gli operatori dei servizi di trasmissione.<\/p>\n\n\n\n<p>La crittografia end-to-end funziona crittografando i dati sul dispositivo del mittente prima che vengano inviati attraverso la rete e mantenendo i dati crittografati durante tutto il percorso fino al dispositivo del destinatario, dove vengono decifrati. <\/p>\n\n\n\n<p>Questo processo assicura che, anche se i dati vengono intercettati durante la trasmissione, non possano essere letti o modificati da attaccanti, fornitori di servizi Internet, o qualsiasi altra entit\u00e0 che non sia in possesso delle chiavi di decrittazione<\/p>\n\n\n\n<p>Gli standard crittografici moderni e robusti, come RSA (Rivest-Shamir-Adleman) con chiavi di lunghezza pari o superiore a 2048 bit, ECC (Elliptic Curve Cryptography), o gli algoritmi di Post Quantum Cryptography (PQC), sono raccomandati per garantire un livello elevato di sicurezza.<\/p>\n\n\n\n<p>&nbsp;Questi algoritmi sono progettati per resistere agli attacchi informatici attuali e futuri, inclusi quelli che potrebbero essere resi possibili dall&#8217;avvento dei computer quantistici.La crittografia end-to-end \u00e8 ampiamente utilizzata in applicazioni di messaggistica come WhatsApp e Google Messaggi, dove garantisce che solo i partecipanti alla conversazione possano leggere i messaggi scambiati. <\/p>\n\n\n\n<p>Questo livello di protezione \u00e8 essenziale non solo per la privacy individuale ma anche per la sicurezza delle comunicazioni aziendali e governative.<\/p>\n\n\n\n<p>In conclusione, l&#8217;adozione di standard crittografici robusti e la crittografia end-to-end sono misure indispensabili per proteggere i dati trasmessi online dall&#8217;accesso non autorizzato. <\/p>\n\n\n\n<p>Queste tecnologie rappresentano un pilastro fondamentale della sicurezza informatica moderna, garantendo la confidenzialit\u00e0 e l&#8217;integrit\u00e0 delle informazioni in un&#8217;era caratterizzata da minacce informatiche sempre pi\u00f9 sofisticate.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-autenticazione-forte-l-adozione-di-sistemi-di-autenticazione-forte-per-gli-utenti-che-accedono-ai-servizi-online-preferibilmente-attraverso-procedure-di-autenticazione-a-piu-fattori-contribuisce-a-garantire-che-solo-gli-utenti-autorizzati-possano-accedere-ai-dati-questo-limita-il-rischio-di-accesso-non-autorizzato-ai-file-elettronici-e-ai-sistemi-di-caching\"><strong>Autenticazione forte<\/strong>: L&#8217;adozione di sistemi di autenticazione forte per gli utenti che accedono ai servizi online, preferibilmente attraverso procedure di autenticazione a pi\u00f9 fattori, contribuisce a garantire che solo gli utenti autorizzati possano accedere ai dati. Questo limita il rischio di accesso non autorizzato ai file elettronici e ai sistemi di caching<\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/nAjGbpYjFD-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6663\" style=\"width:258px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/nAjGbpYjFD-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/nAjGbpYjFD-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/nAjGbpYjFD-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/nAjGbpYjFD-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p>L&#8217;autenticazione forte, specialmente attraverso l&#8217;adozione di sistemi di autenticazione a pi\u00f9 fattori (MFA), rappresenta una misura di sicurezza critica per proteggere l&#8217;accesso ai dati e ai servizi online. Questo approccio alla sicurezza richiede che gli utenti forniscono due o pi\u00f9 credenziali di verifica prima di ottenere l&#8217;accesso, rendendo significativamente pi\u00f9 difficile per gli attaccanti accedere a informazioni sensibili.<\/p>\n\n\n\n<p>Le credenziali utilizzate in un sistema MFA si basano su tre categorie principali:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Qualcosa che l&#8217;utente conosce<\/strong>: Questo pu\u00f2 includere una password o un PIN. \u00c8 una forma di verifica basata sulla conoscenza dell&#8217;utente.<\/li>\n\n\n\n<li><strong>Qualcosa che l&#8217;utente possiede<\/strong>: Questo pu\u00f2 essere un token di sicurezza, una chiavetta USB, o un dispositivo mobile che pu\u00f2 generare o ricevere un codice di verifica temporaneo.<\/li>\n\n\n\n<li><strong>Qualcosa che l&#8217;utente \u00e8<\/strong>: Questo si riferisce a caratteristiche biometriche come impronte digitali, riconoscimento facciale, o scansione dell&#8217;iride.<\/li>\n<\/ol>\n\n\n\n<p>L&#8217;uso combinato di queste diverse forme di verifica aumenta notevolmente la sicurezza, poich\u00e9 un attaccante dovrebbe non solo conoscere la password dell&#8217;utente ma anche avere accesso fisico a un dispositivo posseduto dall&#8217;utente o essere in grado di replicare le sue caratteristiche biometriche.<\/p>\n\n\n\n<p>L&#8217;importanza dell&#8217;autenticazione forte \u00e8 evidenziata da diversi studi e report, come quello condotto da LastPass nel 2019, che ha rivelato come il 57% delle aziende intervistate avesse gi\u00e0 adottato l&#8217;MFA, con previsioni che per la fine del 2020, il 90% delle aziende avrebbe utilizzato questa forma di autenticazione.<\/p>\n\n\n\n<p> Questo trend riflette la crescente consapevolezza della necessit\u00e0 di proteggere l&#8217;accesso ai dati sensibili e ai sistemi online in un&#8217;epoca in cui le minacce informatiche sono in costante evoluzione.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-limitazione-della-disponibilita-temporale-dei-dati-online-impostare-una-disponibilita-limitata-nel-tempo-per-i-dati-accessibili-online-riducendo-cosi-la-finestra-temporale-durante-la-quale-le-informazioni-sono-esposte-a-potenziali-rischi-questo-limita-il-periodo-durante-il-quale-i-dati-possono-essere-potenzialmente-acquisiti-da-sistemi-di-caching-non-autorizzati\"><strong>Limitazione della disponibilit\u00e0 temporale dei dati online<\/strong>: Impostare una disponibilit\u00e0 limitata nel tempo per i dati accessibili online, riducendo cos\u00ec la finestra temporale durante la quale le informazioni sono esposte a potenziali rischi. Questo limita il periodo durante il quale i dati possono essere potenzialmente acquisiti da sistemi di caching non autorizzati<\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/IFGEArcvOm-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6665\" style=\"width:281px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/IFGEArcvOm-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/IFGEArcvOm-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/IFGEArcvOm-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/IFGEArcvOm-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p>La limitazione della disponibilit\u00e0 temporale dei dati online \u00e8 una strategia di sicurezza che consiste nel definire un arco temporale specifico durante il quale i dati sono accessibili online. <\/p>\n\n\n\n<p>Al di fuori di questo intervallo, i dati non sono pi\u00f9 disponibili o sono rimossi. Questo approccio \u00e8 particolarmente utile per ridurre il rischio che le informazioni sensibili siano acquisite da sistemi di caching non autorizzati, che potrebbero altrimenti memorizzare copie dei dati e renderli accessibili anche dopo che sono stati rimossi o resi inaccessibili dalla fonte originale.La limitazione della disponibilit\u00e0 temporale pu\u00f2 essere implementata in diversi modi, tra cui:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Impostazione di date di scadenza<\/strong>: I dati possono essere programmati per essere automaticamente cancellati o resi inaccessibili dopo una certa data o dopo un periodo di tempo definito.<\/li>\n\n\n\n<li><strong>Uso di token di accesso temporanei<\/strong>: L&#8217;accesso ai dati pu\u00f2 essere controllato tramite token che scadono dopo un certo periodo di tempo, impedendo l&#8217;accesso ai dati una volta che il token non \u00e8 pi\u00f9 valido.<\/li>\n\n\n\n<li><strong>Politiche di retention dei dati<\/strong>: Le organizzazioni possono stabilire politiche di retention che specificano per quanto tempo i dati possono essere conservati prima di essere cancellati o archiviati in modo sicuro.<\/li>\n\n\n\n<li><strong>Controllo versioni<\/strong>: In alcuni casi, \u00e8 possibile mantenere disponibili solo le versioni pi\u00f9 recenti dei dati, mentre le versioni precedenti vengono rimosse.<\/li>\n<\/ul>\n\n\n\n<p>.Limitando la disponibilit\u00e0 temporale dei dati, si riduce la finestra di opportunit\u00e0 per i sistemi di caching non autorizzati di acquisire e memorizzare informazioni potenzialmente sensibili.<\/p>\n\n\n\n<p>Tuttavia, \u00e8 importante notare che la limitazione della disponibilit\u00e0 temporale dei dati non elimina completamente il rischio di caching non autorizzato, poich\u00e9 i dati possono essere copiati o archiviati da terze parti durante il periodo di disponibilit\u00e0. Pertanto, questa strategia dovrebbe essere combinata con altre misure di sicurezza, come la crittografia e l&#8217;autenticazione forte, per fornire una protezione pi\u00f9 completa.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-monitoraggio-e-audit-implementare-sistemi-di-monitoraggio-e-audit-per-rilevare-e-rispondere-rapidamente-a-qualsiasi-tentativo-di-accesso-non-autorizzato-o-acquisizione-di-dati-questo-include-il-monitoraggio-dell-accesso-ai-sistemi-di-caching-e-la-verifica-della-conformita-alle-politiche-di-sicurezza\"><strong>Monitoraggio e audit: Implementare sistemi di monitoraggio e audit per rilevare e rispondere rapidamente a qualsiasi tentativo di accesso non autorizzato o acquisizione di dati. Questo include il monitoraggio dell&#8217;accesso ai sistemi di caching e la verifica della conformit\u00e0 alle politiche di sicurezza<\/strong><\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/CJssXSsMSr-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6667\" style=\"width:229px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/CJssXSsMSr-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/CJssXSsMSr-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/CJssXSsMSr-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/CJssXSsMSr-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p>L&#8217;implementazione di sistemi di monitoraggio e audit \u00e8 fondamentale per garantire la sicurezza delle informazioni e dei sistemi IT di un&#8217;organizzazione. Questi sistemi consentono di rilevare e rispondere tempestivamente a tentativi di accesso non autorizzato o acquisizione di dati, compreso il monitoraggio dell&#8217;accesso ai sistemi di caching e la verifica della conformit\u00e0 alle politiche di sicurezza.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-monitoraggio-continuo\">Monitoraggio Continuo<\/h4>\n\n\n\n<p>Il monitoraggio continuo gioca un ruolo chiave nella sicurezza informatica, aiutando le aziende a identificare qualsiasi intrusione nei sistemi e nell&#8217;infrastruttura dell&#8217;organizzazione. <\/p>\n\n\n\n<p>Implementando un Security Operations Center (SOC), le organizzazioni possono ottenere un monitoraggio continuo, raccogliendo registri ed eventi da diversi sistemi e applicazioni, identificando e rilevando anomalie e generando avvisi<\/p>\n\n\n\n<p>\u00a0Questo approccio \u00e8 essenziale poich\u00e9 gli attacchi informatici possono avvenire in qualsiasi momento, spesso al di fuori dell&#8217;orario lavorativo normale, e possono causare perdite finanziarie significative, danni alla reputazione, interruzioni delle operazioni aziendali, frodi transazionali e mancato rispetto dei requisiti normativi<a href=\"https:\/\/www.cybersecurity360.it\/soluzioni-aziendali\/monitoraggio-continuo-in-cyber-security-un-approccio-metodologico\/\" target=\"_blank\" rel=\"noreferrer noopener\">8<\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-audit-di-sicurezza-informatica\">Audit di Sicurezza Informatica<\/h4>\n\n\n\n<p>Gli audit di sicurezza informatica sono un altro strumento cruciale per valutare la sicurezza dei sistemi informativi di un&#8217;organizzazione. <\/p>\n\n\n\n<p>Questi audit consistono nell&#8217;identificare vulnerabilit\u00e0 e lacune nella sicurezza, fornendo una valutazione completa del sistema informativo rispetto a un elenco di best practice del settore e standard nazionali ed europei.<\/p>\n\n\n\n<p>\u00a0Gli audit possono coprire una variet\u00e0 di aree, tra cui la sicurezza dei dati, la conformit\u00e0 normativa, la gestione dei dati, delle applicazioni e dei sistemi.\u00a0Sono fondamentali per contrastare gli attacchi informatici, rendendo i sistemi impenetrabili agli individui malevoli<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-disponibilita-limitata-nel-tempo-del-referto-nbsp-on-line-nbsp-massimo-45-gg\"><strong>disponibilit\u00e0 limitata nel tempo del referto&nbsp;on-line<\/strong>&nbsp;(massimo 45 gg.);<\/h3>\n\n\n\n<p>La disponibilit\u00e0 limitata nel tempo del referto online, con un massimo di 45 giorni, \u00e8 una misura adottata per garantire la sicurezza e la privacy dei dati dei pazienti. <\/p>\n\n\n\n<p>Questa politica implica che i referti medici ottenuti tramite modalit\u00e0 digitali, come il Fascicolo Sanitario Elettronico, siti web, posta elettronica (anche certificata), o supporti elettronici, sono accessibili al paziente per un periodo massimo di 45 giorni dalla data di pubblicazione online. <\/p>\n\n\n\n<p>Dopo questo periodo, il referto non sar\u00e0 pi\u00f9 consultabile attraverso i canali online predisposti dall&#8217;ente sanitario che ha erogato la prestazione<a href=\"https:\/\/doctormanager.it\/referto-online-ambulatorio\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-possibilita-da-parte-dellutente-di-sottrarre-alla-visibilita-in-modalita-nbsp-on-line-nbsp-o-di-cancellare-dal-sistema-di-consultazione-in-modo-complessivo-o-selettivo-i-referti-che-lo-riguardano\"><strong>possibilit\u00e0 da parte dellutente di sottrarre alla visibilit\u00e0 in modalit\u00e0&nbsp;on-line&nbsp;o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.<\/strong><\/h3>\n\n\n\n<p>La possibilit\u00e0 da parte dell&#8217;utente di sottrarre alla visibilit\u00e0 in modalit\u00e0 online o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano \u00e8 una misura di sicurezza e privacy importante menzionata in diverse fonti. Questa funzionalit\u00e0 consente agli utenti di avere un maggiore controllo sui propri dati sanitari online, garantendo che possano gestire la visibilit\u00e0 e l&#8217;accessibilit\u00e0 dei loro referti medici in base alle proprie esigenze e preferenze.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-spedizione-del-referto-tramite-posta-elettronica\">Spedizione del referto tramite posta elettronica<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/KFwaiiBVYV-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6669\" style=\"width:202px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/KFwaiiBVYV-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/KFwaiiBVYV-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/KFwaiiBVYV-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/KFwaiiBVYV-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p>Qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell\u00b4interessato, a seguito di sua richiesta, per il referto prodotto in formato digitale dovranno essere osservate le seguenti cautele:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>spedizione del referto in forma di allegato<\/strong>&nbsp;a un messaggio&nbsp;e-mail&nbsp;e non come testo compreso nella&nbsp;body part&nbsp;del messaggio;<\/li>\n\n\n\n<li><strong>il file contenente il referto dovr\u00e0 essere protetto con modalit\u00e0 idonee a impedire l\u2019illecita o fortuita acquisizione delle informazioni<\/strong>\u00a0trasmesse da parte di soggetti diversi da quello cui sono destinati, che potranno consistere in una\u00a0password\u00a0per l\u00b4apertura del file o in una chiave crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti. Tale cautela pu\u00f2 non essere osservata qualora l\u00b4interessato ne faccia espressa e consapevole richiesta, in quanto l\u2019invio del referto alla casella di posta elettronica indicata dall\u2019interessato non configura un trasferimento di dati sanitari tra diversi titolari del trattamento, bens\u00ec una comunicazione di dati tra la struttura sanitaria e l\u2019interessato effettuata su specifica richiesta di quest\u2019ultimo;<\/li>\n\n\n\n<li><strong>convalida degli indirizzi&nbsp;e-mail&nbsp;tramite apposita procedura di verifica&nbsp;onlin<\/strong>e, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dallutente richiedente il servizio.<\/li>\n<\/ul>\n\n\n\n<p>In ogni caso, per il trattamento dei dati nell\u2019ambito dell\u2019erogazione del servizio&nbsp;online&nbsp;agli utenti dovr\u00e0 essere garantita la disponibilit\u00e0 di:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>idonei sistemi di autenticazione e di autorizzazione<\/strong>&nbsp;per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilit\u00e0 di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla&nbsp;strong authentication&nbsp;con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l\u00b4identit\u00e0 genetica di un individuo;<\/li>\n\n\n\n<li><strong>separazione fisica o logica dei dati<\/strong>&nbsp;idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili.<\/li>\n<\/ul>\n\n\n\n<p>Il titolare del trattamento dovrebbe, inoltre, prevedere apposite procedure che rendano&nbsp;<strong>immediatamente non disponibili per la consultazione online&nbsp;<\/strong>o interrompano la procedura di spedizione per posta elettronica dei&nbsp;<strong>referti relativi a un interessato che abbia comunicato il furto o lo smarrimento delle proprie credenziali<\/strong>&nbsp;di autenticazione all\u2019accesso al sistema di consultazione&nbsp;on-line&nbsp;o altre condizioni di possibile rischio per la riservatezza dei propri dati personali.<\/p>\n\n\n\n<p><strong>In ogni caso dovrebbero essere adottate tutte le misure di sicurezza necessarie per rispettare il divieto di diffusione dei dati sanitari.<\/strong><\/p>\n\n\n\n<p>E\u2019 fondamentale considerare che le cautele elencate dal Provvedimento, precedente all\u2019entrata in vigore del Regolamento europeo, sono da considerarsi \u201cminime\u201d: il principio di&nbsp;<em>accountability<\/em>&nbsp;impone, invece, al titolare del trattamento, \u201c<em>tenuto conto della natura, dell\u2019ambito di applicazione, del contesto e delle finalit\u00e0 del trattamento, nonch\u00e9 dei rischi aventi probabilit\u00e0 e gravit\u00e0 diverse per i diritti e le libert\u00e0 delle persone fisiche<\/em>\u201d, di mettere in atto misure tecniche ed organizzative<strong>&nbsp;adeguate<\/strong>. E\u2019 pertanto necessario che il titolare individui, in relazione alle specificit\u00e0 del servizio offerto e sulla base di una puntuale&nbsp;<strong>valutazione del rischio<\/strong>, le misure di sicurezza pi\u00f9 idonee a garantire la riservatezza, l\u2019integrit\u00e0 e la disponibilit\u00e0 dei dati personali trattati<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-modalita-di-consegna-digitale-dei-referti-medici\">Modalit\u00e0 di <strong>consegna digitale dei referti medici<\/strong><\/h3>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"512\" height=\"512\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/kTnDDcioLl-0x512-1.jpeg\" alt=\"\" class=\"wp-image-6671\" style=\"width:239px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/kTnDDcioLl-0x512-1.jpeg 512w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/kTnDDcioLl-0x512-1-300x300.jpeg 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/kTnDDcioLl-0x512-1-150x150.jpeg 150w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/kTnDDcioLl-0x512-1-480x480.jpeg 480w\" sizes=\"(max-width: 512px) 100vw, 512px\" \/><\/figure>\n\n\n\n<p><strong>Modalit\u00e0 di consegna digitale dei referti medici<\/strong>:Le aziende sanitarie devono adottare protocolli di comunicazione sicuri, basati sull&#8217;utilizzo di standard crittografici per la comunicazione elettronica dei dati. \u00c8 necessario garantire l&#8217;identit\u00e0 digitale dei sistemi che erogano il servizio in rete attraverso protocolli come HTTPS SSL (Secure Socket Layer). <\/p>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-https\">HTTPS<\/h4>\n\n\n\n<p>HTTPS, acronimo di HyperText Transfer Protocol Secure, \u00e8 una versione sicura del protocollo HTTP. \u00c8 utilizzato per la comunicazione sicura su una rete informatica, in particolare su Internet. HTTPS crittografa i dati della sessione tramite il protocollo SSL (Secure Sockets Layer) o il suo successore, TLS (Transport Layer Security), proteggendo cos\u00ec le informazioni trasmesse da potenziali intercettazioni o manipolazioni. <\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Questo protocollo \u00e8 particolarmente importante per transazioni sensibili, come quelle bancarie online o gli acquisti, poich\u00e9 garantisce che i dati inviati e ricevuti siano criptati e quindi leggibili solo dal destinatario inteso<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-ssl-secure-sockets-layer\">SSL (Secure Sockets Layer)<\/h4>\n\n\n\n<p>SSL \u00e8 un protocollo di sicurezza standard globale che consente la crittografia dei dati tra un browser web e un server web, rendendo sicure le transazioni online. SSL utilizza un sistema di chiavi crittografiche per criptare i dati durante la trasmissione, comprese le chiavi pubbliche e private. <\/p>\n\n\n\n<p>Un certificato SSL, rilasciato da un&#8217;autorit\u00e0 di certificazione (CA), verifica l&#8217;identit\u00e0 del titolare del certificato e la sua legittimit\u00e0. <\/p>\n\n\n\n<p>Sebbene SSL sia stato sostituito da TLS (Transport Layer Security), il termine &#8220;SSL&#8221; \u00e8 ancora comunemente usato per riferirsi a questo tipo di protezione della comunicazione<a href=\"https:\/\/www.flaviobiscaldi.it\/blog\/cosa-e-come-funziona-https-differenze-con-http\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/kinsta.com\/it\/knowledgebase\/tls-ssl\/\" target=\"_blank\" rel=\"noreferrer noopener\">7<\/a><a href=\"https:\/\/www.digicert.com\/it\/what-is-ssl-tls-and-https\" target=\"_blank\" rel=\"noreferrer noopener\">8<\/a><a href=\"https:\/\/www.fastweb.it\/fastweb-plus\/digital-magazine\/cosa-sono-i-protocolli-ssl-tls-e-openssl\/\" target=\"_blank\" rel=\"noreferrer noopener\">9<\/a><a href=\"https:\/\/www.register.it\/help\/help-certificati-ssl-cosa-sono-e-a-cosa-servono\/\" target=\"_blank\" rel=\"noreferrer noopener\">10<\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-tls-transport-layer-security\">TLS (Transport Layer Security)<\/h4>\n\n\n\n<p>TLS \u00e8 il successore di SSL e fornisce miglioramenti significativi in termini di sicurezza e prestazioni. <\/p>\n\n\n\n<p>Come SSL, TLS \u00e8 un protocollo progettato per garantire la privacy e l&#8217;integrit\u00e0 dei dati tra due applicazioni comunicanti su Internet (ad esempio, tra un browser web e un server web). <\/p>\n\n\n\n<p>TLS utilizza algoritmi crittografici pi\u00f9 robusti rispetto a SSL e introduce nuove funzionalit\u00e0 per migliorare la sicurezza delle comunicazioni online. <\/p>\n\n\n\n<p>Nonostante le differenze, i termini SSL e TLS sono spesso usati in modo intercambiabile, anche se TLS \u00e8 la tecnologia attualmente raccomandata e pi\u00f9 sicura<\/p>\n\n\n\n<p>In sintesi, HTTPS, SSL e TLS sono protocolli essenziali per la sicurezza su Internet, proteggendo le informazioni sensibili dagli attacchi e garantendo che le comunicazioni tra client e server siano sicure e private.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-limite-temporale\">limite temporale<\/h3>\n\n\n\n<p>Inoltre, deve essere stabilito un limite temporale per la disponibilit\u00e0 online del referto digitale, non superiore a 45 giorni, con la possibilit\u00e0 per l&#8217;interessato di richiedere l&#8217;oscuramento del referto dal sistema web. La consegna pu\u00f2 avvenire anche tramite posta elettronica, con i referti digitali o le loro copie informatiche protette con tecniche di cifratura<a href=\"https:\/\/www.altalex.com\/documents\/news\/2013\/10\/18\/aziende-sanitarie-modalita-di-consegna-digitale-dei-referti-medici\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-gestione-di-un-documento-clinico-elettronico-dce\"><strong>Gestione di un Documento Clinico Elettronico (DCE)<\/strong>: <\/h3>\n\n\n\n<p><strong>Gestione di un Documento Clinico Elettronico (DCE)<\/strong>: Le linee guida per la gestione di un DCE mirano a garantire l&#8217;integrit\u00e0 del dato strutturato e la possibilit\u00e0 di visualizzazione dello stesso sia attraverso servizi di sbustamento online che attraverso strumenti off-line. Questo processo prevede l&#8217;integrazione tra il sistema Dipartimentale Aziendale e il Repository attraverso il profilo XDS-b di IHE (Integrating the Healthcare Enterprise), facilitando cos\u00ec la pubblicazione e la consultazione dei documenti clinici<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-profilo-xds-b-di-ihe-integrating-the-healthcare-enterprise\">Il profilo XDS-b di IHE (Integrating the Healthcare Enterprise) <\/h3>\n\n\n\n<p>\u00e8 una specifica che definisce le linee guida e gli standard per lo scambio di documentazione clinica tra diverse aziende o strutture sanitarie, facilitando l&#8217;interoperabilit\u00e0 e l&#8217;accesso alle informazioni sanitarie in modo sicuro e efficiente<\/p>\n\n\n\n<p>\u00a0Questo profilo fa parte di un insieme pi\u00f9 ampio di specifiche sviluppate da IHE per migliorare il modo in cui i sistemi informatici sanitari condividono le informazioni.<\/p>\n\n\n\n<p>Il profilo XDS-b si concentra sulla condivisione di documenti elettronici, consentendo alle organizzazioni sanitarie di pubblicare, trovare e recuperare documenti clinici all&#8217;interno di una rete di assistenza sanitaria, indipendentemente dalle soluzioni tecnologiche utilizzate dalle singole entit\u00e0. <\/p>\n\n\n\n<p>Questo \u00e8 particolarmente utile per garantire che le informazioni sul paziente siano disponibili quando e dove sono necessarie, migliorando cos\u00ec la qualit\u00e0 dell&#8217;assistenza e l&#8217;efficienza operativa<\/p>\n\n\n\n<p>Le funzionalit\u00e0 chiave del profilo XDS-b includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pubblicazione e registrazione di documenti<\/strong>: Le organizzazioni sanitarie possono pubblicare documenti clinici in un repository centrale, insieme ai metadati associati, che facilitano la ricerca e il recupero dei documenti.<\/li>\n\n\n\n<li><strong>Ricerca e recupero di documenti<\/strong>: I professionisti sanitari possono cercare e recuperare documenti clinici basandosi sui metadati, come il tipo di documento, la data o l&#8217;identit\u00e0 del paziente, garantendo l&#8217;accesso rapido alle informazioni pertinenti.<\/li>\n\n\n\n<li><strong>Interoperabilit\u00e0 e standardizzazione<\/strong>: Il profilo utilizza standard aperti e ampiamente adottati, come ebXML per i metadati e SOAP per i servizi web, per garantire l&#8217;interoperabilit\u00e0 tra sistemi diversi.<\/li>\n\n\n\n<li><strong>Sicurezza e privacy<\/strong>: Il profilo include meccanismi per garantire la sicurezza e la privacy delle informazioni scambiate, conformemente alle normative vigenti.<\/li>\n<\/ul>\n\n\n\n<p>Il profilo XDS-b \u00e8 parte integrante dell&#8217;infrastruttura IT sanitaria in molte regioni e paesi, fornendo una base solida per la creazione di un ecosistema di informazioni sanitarie elettroniche condivise e accessibil<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Integrit\u00e0 dei Dati<\/strong>: Si vuole garantire che le informazioni contenute nel documento elettronico siano sempre complete e non alterate in modo improprio. Questo \u00e8 importante per mantenere la fiducia nelle informazioni sanitarie digitali.<\/p>\n\n\n\n<p><strong>Accessibilit\u00e0<\/strong>: Le informazioni dovrebbero essere facilmente visualizzabili sia online (ad esempio, tramite un sito web) sia offline (senza una connessione internet), utilizzando vari strumenti o applicazioni. Questo assicura che i dati possano essere consultati in diversi contesti e situazioni.<\/p>\n\n\n\n<p><strong>Facilitare la Pubblicazione e la Consultazione<\/strong>: L&#8217;uso di questi standard e sistemi integrati rende pi\u00f9 semplice per i professionisti sanitari pubblicare (caricare) e consultare (visualizzare) i documenti clinici dei pazienti. Questo migliora la qualit\u00e0 dell&#8217;assistenza sanitaria, rendendo le informazioni pi\u00f9 facilmente accessibili quando e dove sono necessarie.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-lo-standard-xds-b\">Lo standard XDS.b<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"647\" height=\"380\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hxihe_xdsb_non_cda_pnr_trace.png\" alt=\"\" class=\"wp-image-6673\" style=\"width:341px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hxihe_xdsb_non_cda_pnr_trace.png 647w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hxihe_xdsb_non_cda_pnr_trace-300x176.png 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/hxihe_xdsb_non_cda_pnr_trace-480x282.png 480w\" sizes=\"(max-width: 647px) 100vw, 647px\" \/><\/figure>\n\n\n\n<p>Lo standard XDS.b, che sta per Cross-Enterprise Document Sharing version b, \u00e8 un profilo di integrazione definito nell&#8217;ambito dell&#8217;iniziativa internazionale Integrating the Healthcare Enterprise (IHE). <\/p>\n\n\n\n<p>XDS.b utilizza una serie di transazioni web standardizzate per l&#8217;invio, la registrazione e il recupero di documenti sanitari elettronici. <\/p>\n\n\n\n<p>Le transazioni principali includono &#8220;Provide and Register Document Set-b&#8221; (ITI-41) per l&#8217;invio e la registrazione di documenti e metadati associati in un repository, e &#8220;Retrieve Document Set&#8221; (ITI-43) per il recupero di un insieme di documenti da un repository.<\/p>\n\n\n\n<p>I documenti e le risposte inviati tramite queste transazioni utilizzano MTOM\/XOP (Message Transmission Optimization Mechanism\/XML-binary Optimized Packaging) per ottimizzare il trasferimento di contenuti binari grandi come documenti sanitari.&nbsp;<\/p>\n\n\n\n<p>Inoltre, lo standard prevede l&#8217;uso di metadati specifici per associare informazioni pertinenti a ciascun documento, come l&#8217;identificativo unico del documento (DocumentUniqueID) e l&#8217;identificativo del repository (RepositoryUniqueId)<a href=\"http:\/\/www.sistemapiemonte.it\/eXoRisorse\/dwd\/servizi\/FascicoloSanitarioOperatori\/2019\/Linee_guida_gestione_DCE_V6-1.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.agid.gov.it\/sites\/default\/files\/repository_files\/regole_tecniche\/affinitydomainitalia_versione_2.1.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.soresa.it\/Lists\/Contenuti\/Integrazione%20Sistemi%20Aziendali\/So.Re.Sa.%20-%20Nota%20integrazioni%20-%20Allegato1%20-%20v1.0.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.XDS.b \u00e8 una versione migliorata del precedente profilo XDS.a e offre maggiore efficienza e interoperabilit\u00e0. Gli implementatori sono incoraggiati a utilizzare il profilo XDS.b per nuove implementazioni, anche se \u00e8 possibile la migrazione da un profilo all&#8217;altro<a href=\"https:\/\/it.wikipedia.org\/wiki\/Integrating_the_Healthcare_Enterprise\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a>.In sintesi, XDS.b \u00e8 uno standard chiave per l&#8217;interoperabilit\u00e0 nel settore sanitario, che consente la condivisione sicura e l&#8217;accesso ai documenti clinici elettronici attraverso diverse organizzazioni e sistemi informativi sanitari.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-spiegato-semplice\">Spiegato semplice<\/h4>\n\n\n\n<p>Lo standard XDS.b \u00e8 come una grande biblioteca digitale per i documenti sanitari, che aiuta ospedali e cliniche a scambiarsi informazioni in modo sicuro e organizzato. Immagina che ogni volta che visiti un medico, lui scriva un resoconto della tua visita e lo metta in un fascicolo. Se poi hai bisogno di vedere un altro specialista o di andare in un altro ospedale, invece di portare con te una pila di carte, il medico pu\u00f2 semplicemente inviare una versione digitale di queste informazioni direttamente al prossimo medico che ti visiter\u00e0.<\/p>\n\n\n\n<p>XDS.b fa questo utilizzando l&#8217;internet per inviare, registrare e trovare i documenti medici. Per esempio, se il tuo medico di base ha bisogno di inviare il tuo fascicolo a uno specialista, usa una procedura chiamata &#8220;Provide and Register Document Set-b&#8221; per caricare il tuo fascicolo in questa &#8220;biblioteca digitale&#8221;. Poi, quando lo specialista vuole vedere il tuo fascicolo, usa un&#8217;altra procedura chiamata &#8220;Retrieve Document Set&#8221; per scaricarlo.<\/p>\n\n\n\n<p>Per assicurarsi che tutto questo scambio di informazioni sia veloce anche con file grandi (come le immagini delle radiografie) e che le informazioni giuste arrivino alla persona giusta, XDS.b usa delle tecniche speciali per l&#8217;invio dei file e associa a ogni documento delle etichette digitali, un po&#8217; come quando metti il tuo nome su un libro per assicurarti che ti venga restituito.<\/p>\n\n\n\n<p>In breve, XDS.b rende molto pi\u00f9 semplice e sicuro per i medici condividere informazioni importanti sulla salute dei pazienti, assicurando che, ovunque tu vada, i tuoi dati medici possano seguirti facilmente e in modo sicuro.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-regole-d-el-garante-per-la-protezione-dei-dati-personal-i\">Regole d<strong><strong>el Garante per la protezione dei dati personal<\/strong><\/strong>i<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"270\" height=\"270\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/OIG1-1.jpeg\" alt=\"\" class=\"wp-image-6675\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/OIG1-1.jpeg 270w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/OIG1-1-150x150.jpeg 150w\" sizes=\"(max-width: 270px) 100vw, 270px\" \/><\/figure>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Regole del Garante per la protezione dei dati personali<\/strong>: Il Garante ha stabilito che i risultati di analisi cliniche, radiografie e referti medici possono essere inviati direttamente sulla propria e-mail o consultabili online dal computer di casa, ma solo con il consenso dell&#8217;assistito e nel pieno rispetto delle misure a protezione dei dati sanitari. \u00c8 necessario che l&#8217;adesione al servizio sia facoltativa e che il referto cartaceo rimanga comunque disponibile. L&#8217;assistito deve dare il suo consenso sulla base di una informativa chiara e trasparente<a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/1632978\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-parere-dell-autorita-del-6-dicembre-2012\">Parere dell&#8217;Autorit\u00e0 del 6 dicembre 2012<\/h3>\n\n\n\n<p>Il parere del Garante per la Protezione dei Dati Personali  riguarda uno schema di decreto proposto dalla Presidenza del Consiglio dei Ministri, incentrato sulla consegna dei referti medici in modalit\u00e0 digitali (tramite web, posta elettronica certificata, e altre forme digitali) da parte delle aziende sanitarie del Servizio Sanitario Nazionale, e sull&#8217;effettuazione del pagamento online delle prestazioni erogate.<\/p>\n\n\n\n<p>Il Garante ha valutato il decreto alla luce del Codice in materia di protezione dei dati personali e altre normative pertinenti, ponendo particolare attenzione alla sicurezza dei dati, al consenso informato degli interessati per il trattamento dei dati personali, anche sanitari, e alle modalit\u00e0 di erogazione dei servizi digitali.<\/p>\n\n\n\n<p>Tra le osservazioni principali, il Garante ha sottolineato l<strong>a necessit\u00e0 di escludere specificamente dalla refertazione online i dati relativi ad analisi genetiche e agli accertamenti sull&#8217;HIV, <\/strong>data la sensibilit\u00e0 particolare di tali informazioni e la necessit\u00e0 di assicurare consulenze appropriate. Inoltre, ha richiesto chiarimenti e perfezionamenti formali sulle misure di sicurezza e sulle procedure di consenso, per garantire la piena conformit\u00e0 alle norme sulla protezione dei dati personali.<\/p>\n\n\n\n<p>Infine, il Garante ha espresso un parere favorevole sullo schema di decreto, condizionato all&#8217;inclusione delle sue osservazioni e raccomandazioni per assicurare una gestione dei dati sanitari digitale sicura, trasparente e rispettosa dei diritti dei pazienti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-la-prescrizione-elettronica\">la prescrizione elettronica<\/h3>\n\n\n\n<p>Con l&#8217;obiettivo di uniformare il processo di generazione e consegna delle prescrizioni digitali ai pazienti, anche attraverso i medici di medicina generale (MMG) e i pediatri di libera scelta (PLS), il Ministero dell\u2019economia e delle finanze ha introdotto una serie di decreti cruciali nelle date del 25 marzo 2020, del 30 dicembre 2020 e del 15 gennaio 2021.<\/p>\n\n\n\n<p>La prescrizione elettronica, nota anche come ricetta elettronica o ricetta dematerializzata, rappresenta un&#8217;innovazione significativa nel sistema sanitario, consentendo la digitalizzazione del processo di prescrizione dei farmaci e delle prestazioni sanitarie. Questo sistema sostituisce la tradizionale ricetta cartacea con una versione digitale, migliorando l&#8217;efficienza, la sicurezza e l&#8217;accessibilit\u00e0 delle prescrizioni mediche.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-funzionamento\">Funzionamento<\/h3>\n\n\n\n<p>Il processo di prescrizione elettronica prevede l&#8217;interconnessione in tempo reale tra il medico prescrittore, le farmacie, le strutture sanitarie e il Sistema di Accoglienza Centrale Tessera Sanitaria (SAC). <\/p>\n\n\n\n<p>Il medico, dopo aver valutato il paziente, genera una prescrizione elettronica attraverso un sistema informatico, attribuendo alla ricetta un Numero di Ricetta Elettronica (NRE) univoco. Questo numero, insieme ai dati del paziente e della prescrizione, viene inviato al paziente tramite email, SMS o altri mezzi digitali<\/p>\n\n\n\n<p>Il paziente pu\u00f2 quindi recarsi in farmacia o presso una struttura sanitaria per l&#8217;erogazione del farmaco o della prestazione, presentando il NRE e la tessera sanitaria. La farmacia o la struttura sanitaria recupera i dati della prescrizione dal SAC utilizzando l&#8217;NRE e procede all&#8217;erogazione[15].<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-implementazione-e-normativa\">Implementazione e normativa<\/h3>\n\n\n\n<p>La prescrizione elettronica \u00e8 stata introdotta in Italia con il Decreto del Ministero dell&#8217;Economia e delle Finanze del 2 novembre 2011 e successivamente estesa a tutti i farmaci e le prestazioni sanitarie. <\/p>\n\n\n\n<p>Il processo di prescrizione elettronica prevede l&#8217;interconnessione in tempo reale tra il medico prescrittore, le farmacie, le strutture sanitarie e il Sistema di Accoglienza Centrale Tessera Sanitaria (SAC). <\/p>\n\n\n\n<p>Il medico, dopo aver valutato il paziente, genera una prescrizione elettronica attraverso un sistema informatico, attribuendo alla ricetta un Numero di Ricetta Elettronica (NRE) univoco. Questo numero, insieme ai dati del paziente e della prescrizione, viene inviato al paziente tramite email, SMS o altri mezzi digitali.<\/p>\n\n\n\n<p>Il paziente pu\u00f2 quindi recarsi in farmacia o presso una struttura sanitaria per l&#8217;erogazione del farmaco o della prestazione, presentando il NRE e la tessera sanitaria. La farmacia o la struttura sanitaria recupera i dati della prescrizione dal SAC utilizzando l&#8217;NRE e procede all&#8217;erogazione<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-le-basi-giuridiche\">LE BASI GIURIDICHE<\/h3>\n\n\n\n<p> Quando un utente sceglie e prenota una prestazione sanitaria tramite una di queste piattaforme, si trova di fronte a una questione delicata: il consenso al trattamento dei propri dati sulla salute. Questi dati, non essendo indispensabili per diagnosi o terapie, richiedono un passo fondamentale:<strong> l&#8217;acquisizione di un consenso informato preventivo<\/strong> da parte dell&#8217;utente, come sancito dall&#8217;art. 9, par. 2., lett. a) del Regolamento.<\/p>\n\n\n\n<p>Questo consenso non \u00e8 un semplice clic su un pulsante; \u00e8 <strong>una dichiarazione di volont\u00e0 chiara e consapevole<\/strong>, espressa attraverso un atto positivo che riflette una scelta libera, specifica, informata, inequivocabile e sempre revocabile riguardo al trattamento dei dati personali che lo riguardano.<\/p>\n\n\n\n<p><strong> Per i dati non sensibili<\/strong>, come quelli legati alla semplice creazione di un account sulla piattaforma, il consenso dell&#8217;utente non \u00e8 necessario, basandosi sull&#8217;art. 6, par. 1, lett. b) del Regolamento. <\/p>\n\n\n\n<p>Tuttavia, se il trattamento dei dati punta a obiettivi secondari non direttamente collegati allo scopo originario della raccolta, come l&#8217;invio di comunicazioni commerciali,<strong> il consenso deve essere specificamente raccolto<\/strong> per ciascuna di queste finalit\u00e0 aggiuntive.<\/p>\n\n\n\n<p>Le norme e le linee guida, comprese quelle del Comitato europeo per la protezione dei dati personali del 4 maggio 2020 e le sentenze C-673\/17 del 1\u00b0 ottobre 2019 e C-61\/19 dell\u201911 novembre 2020, delineano un quadro chiaro: il consenso non \u00e8 un optional, ma una pietra miliare nella tutela della privacy degli utenti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-sentenza-c-673-17-del-1-ottobre-2019\">Sentenza C-673\/17 del 1\u00b0 ottobre 2019<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"640\" height=\"388\" src=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/EuropeanUnionParliament_17_0.webp\" alt=\"\" class=\"wp-image-6677\" style=\"width:259px;height:auto\" srcset=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/EuropeanUnionParliament_17_0.webp 640w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/EuropeanUnionParliament_17_0-300x182.webp 300w, https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/EuropeanUnionParliament_17_0-480x291.webp 480w\" sizes=\"(max-width: 640px) 100vw, 640px\" \/><\/figure>\n\n\n\n<p>La sentenza C-673\/17, conosciuta come il caso &#8220;<strong>Planet49<\/strong>&#8220;, riguarda la validit\u00e0 del consens<strong>o per l&#8217;uso dei cookie su un sito internet.<\/strong><\/p>\n\n\n\n<p> La sentenza, emessa il 1 ottobre 2019, ha stabilito che per l&#8217;installazione di cookie non strettamente necessari al funzionamento tecnico di un sito web \u00e8 necessario il consenso attivo degli utenti.<\/p>\n\n\n\n<p> In particolare, la Corte ha dichiarato che una casella di spunta preselezionata non \u00e8 sufficiente a dimostrare il consenso dell&#8217;utente.<\/p>\n\n\n\n<p>Il caso riguardava una lotteria online organizzata da Planet49 GmbH, dove i partecipanti dovevano accettare l&#8217;installazione di cookie per poter partecipare. <\/p>\n\n\n\n<p>La Corte ha sottolineato che il consenso deve essere un atto positivo chiaro che rifletta una manifestazione di volont\u00e0 dell&#8217;utente, libero da qualsiasi ambiguit\u00e0. <\/p>\n\n\n\n<p>Questo significa che gli utenti devono attivamente selezionare una casella per dare il loro consenso all&#8217;uso dei cookie, piuttosto che avere una casella gi\u00e0 selezionata per loro<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>La sentenza Planet49 <\/strong>ha avuto un impatto significativo sulla pratica del tracciamento online e sulla pubblicit\u00e0 comportamentale, poich\u00e9 ha imposto agli operatori di siti web di ottenere un consenso esplicito e informato prima di poter utilizzare cookie e altri strumenti di tracciamento che non sono essenziali per fornire il servizio richiesto dall&#8217;utente. <\/p>\n<\/blockquote>\n\n\n\n<p>La sentenza ha anche rafforzato l&#8217;interpretazione che il consenso deve essere fornito prima dell&#8217;installazione dei cookie e che gli utenti devono essere adeguatamente informati sull&#8217;uso che sar\u00e0 fatto dei loro dati. Questo ha portato a una maggiore enfasi sulla trasparenza e sul controllo dell&#8217;utente sui propri dati personali<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-sentenza-c-61-19-dell-11-novembre-2020\">Sentenza C-61\/19 dell&#8217;11 novembre 2020<\/h3>\n\n\n\n<p>La sentenza C-61\/19, relativa al caso <strong>&#8220;Orange Romania<\/strong>&#8220;, \u00e8 stata emessa dalla Corte di Giustizia dell&#8217;Unione Europea (CJUE) l&#8217;11 novembre 2020.<\/p>\n\n\n\n<p>Questa sentenza ha affrontato la questione del consenso al trattamento dei dati personali, in particolare nel contesto della raccolta e conservazione delle copie di documenti d&#8217;identit\u00e0 da parte di un fornitore di servizi di telecomunicazione mobile<\/p>\n\n\n\n<p>Il caso ha avuto origine da una sanzione comminata dalla Autoritatea Na\u0163ional\u0103 de Supraveghere a Prelucr\u0103rii Datelor cu Caracter Personal (ANSPDCP) alla societ\u00e0 di telecomunicazioni Orange Romania SA.<\/p>\n\n\n\n<p>La sanzione era stata inflitta per aver r<strong>accolto e conservato i documenti d&#8217;identit\u00e0 dei propri clienti senza ottenere un loro consenso esplicito.<\/strong> <\/p>\n\n\n\n<p>In particolare, al momento della stipula dei contratti di fornitura dei servizi, Orange Romania richiedeva ai clienti di accettare la raccolta e conservazione di una copia del loro documento d&#8217;identit\u00e0, ma il consenso veniva attestato mediante la spunta di una casella presente nella clausola contrattuale, senza un&#8217;adeguata informazione e senza che fosse richiesto un atto positivo da parte dell&#8217;interessato<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>La Corte di Giustizia ha chiarito che il consenso al trattamento dei dati personali deve essere una manifestazione di volont\u00e0 libera, specifica, informata e inequivocabile da parte della persona interessata. In questo caso, la pratica adottata da Orange Romania non soddisfaceva tali criteri, in quanto il consenso non era stato espresso mediante un atto positivo chiaro da parte dell&#8217;interessato.<\/em><\/p>\n<\/blockquote>\n\n\n\n<p>La presenza di una casella preselezionata non era sufficiente a dimostrare che l&#8217;interessato avesse validamente manifestato il proprio consenso al trattamento dei dati personali<\/p>\n\n\n\n<p>La sentenza ha ribadito l&#8217;importanza del consenso attivo e informato nel trattamento dei dati personali, in linea con i principi stabiliti dal Regolamento Generale sulla Protezione dei Dati (GDPR). <\/p>\n\n\n\n<p>Ha inoltre sottolineato che il consenso non pu\u00f2 essere presupposto o indotto per errore, e che deve essere sempre possibile per l&#8217;interessato esprimere il proprio consenso in modo chiaro e distinto<\/p>\n\n\n\n<p>In sintesi, la sentenza C-61\/19 ha rafforzato l&#8217;interpretazione del concetto di consenso nel contesto della protezione dei dati personali, sottolineando la necessit\u00e0 di un&#8217;azione positiva e consapevole da parte dell&#8217;interessato per la validit\u00e0 del consenso al trattamento dei propri dati personal<\/p>\n\n\n\n<p><strong>Entrambe le sentenze<\/strong> enfatizzano l&#8217;importanza di un consenso attivo e informato nel trattamento dei dati personali, in conformit\u00e0 con il GDPR. La necessit\u00e0 di dimostrare che l&#8217;interessato ha prestato un consenso esplicito e non indotto da impostazioni predefinite o da pratiche ingannevoli \u00e8 un principio fondamentale per la protezione della privacy degli individui all&#8217;interno dell&#8217;Unione Europea.<\/p>\n\n\n\n<p>Queste decisioni hanno implicazioni significative per le imprese e gli operatori di servizi online, che devono assicurarsi di adottare pratiche di raccolta del consenso trasparenti e conformi alla legge.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-edpb-european-data-protection-board\">EDPB European Data Protection Board<\/h3>\n\n\n\n<p>Il 4 maggio 2020, il Comitato Europeo per la Protezione dei Dati (EDPB, European Data Protection Board) ha adottato delle linee guida significative per la conformit\u00e0 al Regolamento Generale sulla Protezione dei Dati (GDPR). <\/p>\n\n\n\n<p>Queste linee guida si concentrano sul<strong> consenso valido<\/strong> come base legale per il trattamento dei dati personali nell&#8217;Unione Europea (UE).<\/p>\n\n\n\n<p> L&#8217;EDPB, che \u00e8 l&#8217;organo di vigilanza supremo responsabile dell&#8217;applicazione del GDPR, \u00e8 composto da rappresentanti delle autorit\u00e0 di protezione dei dati di ogni paese membro dell&#8217;UE. <\/p>\n\n\n\n<p>La sua funzione principale \u00e8 quella di adottare linee guida generali e prendere decisioni che chiariscano come il GDPR debba essere interpretato e applicato.<\/p>\n\n\n\n<p>Le linee guida dell&#8217;EDPB (European Data Protection Board) del 4 maggio 2020, identificate come Linee guida 5\/2020, riguardano il consenso ai sensi del regolamento (UE) 2016\/679, noto come Regolamento Generale sulla Protezione dei Dati (GDPR). <\/p>\n\n\n\n<p>Queste linee guida forniscono un&#8217;analisi approfondita della nozione di consenso nel contesto del GDPR, evidenziando i requisiti per un consenso valido e le implicazioni pratiche per la gestione del consenso, in particolare in relazione all&#8217;uso dei cookie e ad altre forme di tracciamento online<\/p>\n\n\n\n<p>Le principali tematiche affrontate nelle linee guida includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Libert\u00e0 del consenso<\/strong>: Il consenso deve essere una manifestazione di volont\u00e0 libera, specifica, informata e inequivocabile. Ci\u00f2 implica che non deve esserci alcun squilibrio di potere tra il titolare del trattamento e l&#8217;interessato, e che il consenso non deve essere condizionato all&#8217;erogazione di un servizio<a href=\"https:\/\/www.edpb.europa.eu\/sites\/default\/files\/files\/file1\/edpb_guidelines_202005_consent_it.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a>.<\/li>\n\n\n\n<li><strong>Condizionalit\u00e0<\/strong>: Le linee guida chiariscono che il consenso non pu\u00f2 essere considerato valido se l&#8217;accesso ai servizi e alle funzionalit\u00e0 \u00e8 subordinato al consenso dell&#8217;utente alla memorizzazione di cookie o ad altre forme di tracciamento. Questo concetto \u00e8 particolarmente rilevante per la pratica dei &#8220;cookie walls&#8221;, che viene esplicitamente censurata<a href=\"https:\/\/privacy.it\/2020\/05\/04\/edpb-guidelines-05-2020-consent-gdpr\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.accademiaitalianaprivacy.it\/dettaglioNews.asp?id=657\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.<\/li>\n\n\n\n<li><strong>Granularit\u00e0<\/strong>: Il consenso deve essere dato per ogni finalit\u00e0 del trattamento dei dati in modo separato, garantendo agli utenti la possibilit\u00e0 di scegliere quali specifici trattamenti di dati autorizzare<a href=\"https:\/\/www.edpb.europa.eu\/sites\/default\/files\/files\/file1\/edpb_guidelines_202005_consent_it.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a>.<\/li>\n\n\n\n<li><strong>Pregiudizio<\/strong>: Le linee guida sottolineano che il consenso non deve portare a situazioni di pregiudizio per l&#8217;interessato se questo decide di non dare il proprio consenso<a href=\"https:\/\/www.edpb.europa.eu\/sites\/default\/files\/files\/file1\/edpb_guidelines_202005_consent_it.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a>.<\/li>\n\n\n\n<li><strong>Cookie e gestione digitale del consenso<\/strong>: Viene data particolare attenzione alla gestione del consenso nell&#8217;ambito dell&#8217;uso dei cookie e di altre tecnologie di tracciamento. Le pratiche di consenso implicito, come il ricorso a caselle preflaggate o il consenso tramite lo scorrimento della pagina, sono considerate non valide. Inoltre, viene chiarito che lo scorrimento o altre interazioni simili non possono essere interpretati come una manifestazione di consenso inequivocabile<a href=\"https:\/\/privacy.it\/2020\/05\/04\/edpb-guidelines-05-2020-consent-gdpr\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/robertarapicavoli.it\/le-linee-guida-sul-consenso\/\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a>.<\/li>\n\n\n\n<li><\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n\n\n<p><strong>Le linee guida sottolineano inoltre che le caselle di opt-in preselezionate non rispettano il GDPR, poich\u00e9 non soddisfano il requisito di un&#8217;azione chiara e affermativa da parte dell&#8217;utente.<\/strong><\/p>\n\n\n\n<p>Questo si allinea con la precedente giurisprudenza della Corte di giustizia dell&#8217;Unione europea (CGUE), che ha stabilito che le caselle preselezionate sui cookie banner non sono ammissibili.<\/p>\n\n\n\n<p> Inoltre, \u00e8 importante che gli utenti possano revocare il loro consenso con la stessa facilit\u00e0 con cui lo hanno concesso<\/p>\n\n\n\n<p> le caselle di opt-in preselezionate non rispettano il GDPR (General Data Protection Regulation), poich\u00e9 non soddisfano il requisito di un&#8217;azione chiara e affermativa da parte dell&#8217;utente. <\/p>\n\n\n\n<p>Questo principio \u00e8 stato ribadito in diverse fonti, tra cui il report pubblicato dal Garante europeo che chiarisce quali banner sono corretti e quali no in base agli obblighi di opt-in previsti dal GDPR, sottolineando che le finestre pre-selezionate per fare opt-in non rappresentano un consenso valido ai sensi del GDPR o dell\u2019ePrivacy directive, proprio perch\u00e9 \u00e8 necessaria un\u2019azione positiva da parte dell\u2019utente e non un semplice s\u00ec a un\u2019opzione che ha gi\u00e0 la \u201cspunta\u201d<\/p>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-provvedimento-del-1-giugno-2023\">provvedimento del 1\u00b0 giugno 2023 <\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-contenuto-del-nbsp-provvedimento\">Contenuto del&nbsp;Provvedimento<\/h4>\n\n\n\n<p>Il provvedimento ha affrontato questioni relative alla\u00a0protezione dei\u00a0dati personali, evidenziando l&#8217;importanza delle\u00a0tecniche di anonimizzazione e\u00a0pseudonimizzazione dei\u00a0dati sanitari.<\/p>\n\n\n\n<p> In\u00a0particolare, \u00e8\u00a0stato sottolineato come\u00a0la corretta implementazione di queste tecniche sia\u00a0fondamentale per\u00a0garantire la\u00a0privacy degli\u00a0individui, facendo riferimento<strong> all&#8217;Opinion 05\/2014 on\u00a0Anonymisation Techniques<\/strong><\/p>\n\n\n\n<p>Il Parere 05\/2014 sulle Tecniche di Anonimizzazione, adottato dal Gruppo di Lavoro Articolo 29 sulla Protezione dei Dati, fornisce un&#8217;analisi approfondita delle varie tecniche di anonimizzazione e della loro efficacia nel contesto del diritto europeo sulla protezione dei dati. <\/p>\n\n\n\n<p>Il documento discute le principali tecniche di anonimizzazione, che includono la randomizzazione e la generalizzazione, ed esplora metodi specifici come l&#8217;aggiunta di rumore, la permutazione, la privacy differenziale, l&#8217;aggregazione, k-anonymity, l-diversity, and t-closeness<\/p>\n\n\n\n<p>Il Parere sottolinea che, sebbene l&#8217;anonimizzazione possa offrire garanzie di privacy, la sua efficacia dipende dalla corretta ingegnerizzazione della sua applicazione. Questo comporta la definizione chiara dei prerequisiti e degli obiettivi del processo di anonimizzazione per raggiungere il livello desiderato di anonimizzazione pur producendo dati utili <\/p>\n\n\n\n<p>Il Gruppo di Lavoro chiarisce inoltre che la pseudonimizzazione non \u00e8 un metodo di anonimizzazione, ma piuttosto una misura di sicurezza che riduce la collegabilit\u00e0 di un dataset con l&#8217;identit\u00e0 originale del soggetto dei dati. La pseudonimizzazione da sola non \u00e8 sufficiente per rimuovere i dati personali dall&#8217;ambito di applicazione delle leggi sulla protezione dei dati <\/p>\n\n\n\n<p>Il Parere stabilisce un alto standard per l&#8217;anonimizzazione, richiedendo che essa debba impedire l&#8217;individuazione di una persona, la collegabilit\u00e0 dei record relativi a un individuo e l&#8217;inferenza di informazioni su un individuo. Riconosce che nessuna tecnica pu\u00f2 soddisfare questi criteri con assoluta certezza, da qui la necessit\u00e0 di un&#8217;ingegnerizzazione attenta e possibilmente di combinare diverse tecniche per aumentare la robustezza <\/p>\n\n\n\n<p>Inoltre, il Parere avverte che i dataset anonimizzati possono ancora presentare rischi residui di re-identificazione, specialmente poich\u00e9 l&#8217;anonimizzazione e la re-identificazione sono campi di ricerca attivi. Ai responsabili del trattamento dei dati viene consigliato di trattare l&#8217;anonimizzazione non come un esercizio una tantum, ma come un processo che richiede una valutazione regolare dei rischi <\/p>\n\n\n\n<p>Il documento discute anche le implicazioni legali dell&#8217;anonimizzazione, affermando che una volta che i dati sono veramente anonimizzati e gli individui non sono pi\u00f9 identificabili, il diritto europeo sulla protezione dei dati non si applica pi\u00f9. Tuttavia, evidenzia le sfide nella creazione di dataset veramente anonimi, specialmente quando combinati con altri dataset, che possono portare alla re-identificazione <\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-il-real-world-data-rwd\">Il &#8220;real world data&#8221; (RWD) <\/h4>\n\n\n\n<p>Il &#8220;real world data&#8221; (RWD) si riferisce a dati relativi allo stato di salute del paziente e\/o alla fornitura di assistenza sanitaria che sono raccolti durante la routine clinica quotidiana, al di fuori degli studi clinici randomizzati. <\/p>\n\n\n\n<p>Questi dati possono includere informazioni provenienti da cartelle cliniche elettroniche, dati di richieste mediche, dati da registri di prodotti o malattie, e dati raccolti da altre fonti come le tecnologie sanitarie digitali<\/p>\n\n\n\n<p>Il RWD \u00e8 considerato particolarmente prezioso per la ricerca in quanto permette di osservare e analizzare i pattern di malattia, l&#8217;efficacia e la sicurezza degli interventi sanitari in un contesto reale, piuttosto che in condizioni controllate come quelle degli studi clinici. Questi dati possono quindi fornire nuove intuizioni e contribuire a migliorare la qualit\u00e0 dell&#8217;assistenza sanitaria e la decisione clinica<\/p>\n\n\n\n<p>Il trattamento dei RWD \u00e8 soggetto a regolamentazioni specifiche per garantire la protezione dei dati personali dei pazienti.<\/p>\n\n\n\n<p>Il Provvedimento n. 226 del 1\u00b0 giugno 2023 del Garante privacy ha analizzato la tematica del trattamento dei dati personali di salute, fornendo indicazioni sulla gestione dei dati sanitari anonimi e pseudonimi. <\/p>\n\n\n\n<p>Il Garante ha contestato la natura di dato anonimo attribuita ai RWD raccolti, sottolineando che le misure di anonimizzazione adottate non erano sufficienti a garantire l&#8217;impossibilit\u00e0 di re-identificazione dei dati.<\/p>\n\n\n\n<p>Il provvedimento ha sollevato questioni interpretative e ha creato confusione tra gli operatori riguardo al riutilizzo dei dati e alle tecniche di anonimizzazione e pseudonimizzazione, in un contesto in cui l&#8217;Unione Europea spinge per la condivisione e lo scambio dei dati per sviluppare un&#8217;economia dei dati<\/p>\n\n\n\n<p>La decisione del Garante ha suscitato preoccupazioni nel settore della ricerca sanitaria, con timori che le restrizioni imposte possano limitare la capacit\u00e0 di condurre ricerche basate su dati reali, essenziali per colmare il divario tra la ricerca clinica controllata e la pratica medica quotidiana<\/p>\n\n\n\n<p>Inoltre, il Tribunale di Milano ha sospeso l&#8217;efficacia esecutiva di alcuni capi del Provvedimento del Garante n. 226 del 1\u00b0 giugno 2023, in particolare quelli concernenti la pubblicazione del provvedimento sul sito web del Garante<\/p>\n\n\n\n<p>Il contesto normativo e le decisioni del Garante per la Protezione dei Dati Personali riflettono la tensione tra la necessit\u00e0 di proteggere la privacy dei pazienti e la volont\u00e0 di promuovere l&#8217;innovazione e il riuso dei dati in ambiti come la ricerca sanitaria, evidenziando le sfide e le complessit\u00e0 legate alla gestione dei dati personali in un&#8217;era digitale<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-caso-sotteso-al-provvedimento-del-garante-il-caso-thin\">il caso sotteso al provvedimento del Garante: il caso THIN<\/h3>\n\n\n\n<p><\/p>\n\n\n\n<p>Il &#8220;Caso THIN&#8221; riguarda la sanzione imposta dal Garante per la protezione dei dati personali a una societ\u00e0 operante nell&#8217;ambito della ricerca scientifica, THIN S.r.l., per aver trattato dati personali non anonimizzati senza una base giuridica adeguata. Il provvedimento del Garante, datato 1\u00b0 giugno 2023, n. 226, ha sollevato un dibattito significativo riguardo all&#8217;anonimizzazione dei dati e alla loro utilizzazione nella ricerca scientifica<\/p>\n\n\n\n<p>THIN S.r.l. gestisce il progetto The Health Improvement Network (THIN), che mira a raccogliere dati clinici reali (Real World Data, RWD) dai medici di medicina generale per supportare la ricerca scientifica. <\/p>\n\n\n\n<p>Questi dati sono essenziali per integrare le sperimentazioni cliniche, migliorare l&#8217;assistenza sanitaria e contribuire alla sicurezza e all&#8217;efficacia degli interventi sanitari. THIN ha sviluppato un sistema per anonimizzare i dati dei pazienti, che prevede la sostituzione dell&#8217;ID del paziente con un codice GUID, l&#8217;applicazione di una funzione di hash SHA256, e l&#8217;adozione di misure di minimizzazione come la generalizzazione e la cancellazione di dati specifici<\/p>\n\n\n\n<p>Tuttavia, il Garante ha ritenuto che le misure adottate da THIN non fossero sufficienti per garantire l&#8217;anonimizzazione completa dei dati, classificandoli come pseudonimizzati e quindi ancora riconducibili a individui specifici. In particolare, il Garante ha evidenziato che la mera sostituzione dell&#8217;ID del paziente con un codice hash non impedisce l&#8217;isolamento, il collegamento o la deduzione di informazioni su una persona, violando cos\u00ec i principi di liceit\u00e0, correttezza e trasparenza previsti dal GDPR<\/p>\n\n\n\n<p>I dati venivano poi inviati a una terza societ\u00e0 indipendente per testare l&#8217;efficacia del processo di anonimizzazione e per assicurare che non ci fosse rischio di riconoscimento. Tuttavia, l&#8217;Autorit\u00e0 Italiana per la Privacy ha concluso che il processo di anonimizzazione era difettoso perch\u00e9 permetteva ancora l&#8217;individualizzazione delle informazioni di ciascun paziente attorno a un singolo codice.<\/p>\n\n\n\n<p>Di conseguenza, THIN \u00e8 stata sanzionata per aver raccolto, conservato e utilizzato i dati senza una base giuridica adeguata, in quanto l&#8217;opt-out proposto non costituisce una manifestazione di consenso valido secondo il GDPR. <\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Come risultato di questa decisione, la filiale italiana di THIN \u00e8 stata penalizzata per aver violato il GDPR. <\/p>\n\n\n\n<p>La multa imposta era relativamente minore (15.000 euro), ma la decisione ha implicazioni significative per THIN e per qualsiasi altra entit\u00e0 che elabora dati anonimizzati in Italia.<\/p>\n\n\n\n<p>La societ\u00e0 \u00e8 stata inoltre ritenuta responsabile per non aver fornito un&#8217;informativa adeguata agli interessati<\/p>\n\n\n\n<p>Il caso ha suscitato diverse reazioni, con alcuni che criticano la decisione del Garante per la sua interpretazione stringente dell&#8217;anonimizzazione e per le potenziali implicazioni negative sulla ricerca scientifica. Altri sostengono l&#8217;importanza di garantire la privacy e la protezione dei dati personali nel contesto della ricerca<\/p>\n\n\n\n<p> Il dibattito evidenzia la complessit\u00e0 del bilanciamento tra la tutela della privacy e le esigenze della ricerca scientifica, un tema di crescente rilevanza nell&#8217;era digitale<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-trattamento-dei-dati-strettamente-necessari-per-le-finalita-di-cura\">Il trattamento dei dati strettamente necessari per le finalit\u00e0 di cura<\/h3>\n\n\n\n<p>per i trattamenti di dati strettamente necessari alle finalit\u00e0 di cura, condotti dal professionista sanitario &#8211; il quale \u00e8 vincolato dal segreto professionale e agisce in qualit\u00e0 di titolare del trattamento all&#8217;interno del sacro rapporto medico-paziente &#8211; non \u00e8 necessario ottenere il consenso del paziente.<\/p>\n\n\n\n<p>Questa eccezione \u00e8 chiaramente delineata nell&#8217;art. 9, par. 2, lett. h) e par. 3 del Regolamento.<\/p>\n\n\n\n<p>Questa disposizione si basa sull&#8217;assunto che, quando un paziente si rivolge a un professionista sanitario per ricevere cure, l&#8217;elaborazione dei dati personali relativi alla sua salute diventa un passaggio inevitabile e intrinsecamente legato all&#8217;atto medico stesso. <\/p>\n\n\n\n<p>Di conseguenza, il consenso esplicito del paziente, sebbene sia un pilastro della privacy in molti altri contesti, in questa specifica situazione cede il passo alla necessit\u00e0 di assicurare un trattamento efficace e tempestivo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-provvedimento-del-7-marzo-2019\">Il provvedimento del 7 marzo 2019<\/h3>\n\n\n\n<p>Il provvedimento del 7 marzo 2019, n. 55, emesso dal Garante per la protezione dei dati personali, fornisce importanti chiarimenti sull&#8217;applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario, in seguito all&#8217;adeguamento al GDPR attraverso il decreto legislativo n. 101\/2018 che ha modificato il d.lgs. 196\/2013 (Codice in materia di protezione dei dati personali).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-principali-punti-del-provvedimento\">Principali punti del provvedimento:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Esenzione dal consenso per finalit\u00e0 di cura<\/strong>: Il provvedimento chiarisce che non \u00e8 pi\u00f9 necessario ottenere il consenso del paziente per il trattamento dei dati necessari per finalit\u00e0 di diagnosi, cura e assistenza sanitaria. Questo si basa sull&#8217;articolo 9, paragrafo 2, lettera h) del GDPR, che permette il trattamento di categorie particolari di dati personali (inclusi quelli relativi alla salute) per finalit\u00e0 di medicina preventiva, diagnosi, assistenza sanitaria o trattamento, o la gestione di sistemi e servizi sanitari<a href=\"https:\/\/www.fnob.it\/2019\/04\/04\/trattamento-dei-dati-sulla-salute-in-ambito-sanitario-chiarimenti-del-garante-per-la-protezione-dei-dati-personali\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.cervato.it\/post\/2019\/05\/13\/privacy-in-sanit%C3%A0-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9094437\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/protezione-dei-dati-in-sanita-tutti-i-paletti-del-garante-privacy\/\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2019\/03\/28\/trattamento-dei-dati-personali-in-ambito-sanitario-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9091942\" target=\"_blank\" rel=\"noreferrer noopener\">6<\/a><a href=\"https:\/\/www.uggettimaccarone.it\/news\/provvedimento-garante-privacy-7-03-2019.php\" target=\"_blank\" rel=\"noreferrer noopener\">7<\/a>.<\/li>\n\n\n\n<li><strong>Trattamenti non coperti dall&#8217;esenzione<\/strong>: Il consenso rimane necessario per trattamenti che non rientrano strettamente nelle finalit\u00e0 di cura, come ad esempio l&#8217;uso di dati per finalit\u00e0 promozionali, commerciali o elettorali, o per la gestione del Fascicolo Sanitario Elettronico e la consultazione online dei referti<a href=\"https:\/\/www.fnob.it\/2019\/04\/04\/trattamento-dei-dati-sulla-salute-in-ambito-sanitario-chiarimenti-del-garante-per-la-protezione-dei-dati-personali\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.cervato.it\/post\/2019\/05\/13\/privacy-in-sanit%C3%A0-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9094437\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n\n\n\n<li><strong>Obblighi informativi e di trasparenza<\/strong>: Il Garante sottolinea l&#8217;importanza di fornire agli interessati informazioni chiare, trasparenti e facilmente accessibili riguardo al trattamento dei loro dati personali. Queste informazioni devono includere, tra l&#8217;altro, i tempi di conservazione dei dati e le misure adottate per garantire la sicurezza dei dati<a href=\"https:\/\/www.fnob.it\/2019\/04\/04\/trattamento-dei-dati-sulla-salute-in-ambito-sanitario-chiarimenti-del-garante-per-la-protezione-dei-dati-personali\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9094437\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9091942\" target=\"_blank\" rel=\"noreferrer noopener\">6<\/a>.<\/li>\n\n\n\n<li><strong>Registro delle attivit\u00e0 di trattamento<\/strong>: \u00c8 richiesto che i titolari del trattamento mantengano un registro delle attivit\u00e0 di trattamento. Questo obbligo \u00e8 esteso a tutti i professionisti sanitari, inclusi medici di medicina generale, ospedali privati, case di cura, e altre strutture sanitarie<a href=\"https:\/\/www.cervato.it\/post\/2019\/05\/13\/privacy-in-sanit%C3%A0-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a><a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/protezione-dei-dati-in-sanita-tutti-i-paletti-del-garante-privacy\/\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.<\/li>\n\n\n\n<li><strong>Ruolo del Responsabile della Protezione dei Dati (DPO)<\/strong>: Il Garante ribadisce l&#8217;obbligatoriet\u00e0 della figura del DPO nelle strutture sanitarie che trattano dati sensibili su larga scala, sottolineando il suo ruolo nel garantire la conformit\u00e0 al GDPR e nel gestire i rischi associati al trattamento dei dati personali<a href=\"https:\/\/www.fnob.it\/2019\/04\/04\/trattamento-dei-dati-sulla-salute-in-ambito-sanitario-chiarimenti-del-garante-per-la-protezione-dei-dati-personali\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9094437\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2019\/03\/28\/trattamento-dei-dati-personali-in-ambito-sanitario-i-chiarimenti-del-garante\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a>.<\/li>\n<\/ol>\n\n\n\n<p>Questo provvedimento rappresenta un passo significativo verso la chiarificazione delle norme relative al trattamento dei dati personali in ambito sanitario, garantendo al contempo la protezione dei diritti degli interessati e facilitando le operazioni quotidiane dei professionisti sanitari nel rispetto del quadro normativo europeo e nazionale<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-diffusione-e-comunicazione\">DIFFUSIONE E COMUNICAZIONE<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Comunicazione<\/strong>: La comunicazione di dati sensibili a terzi \u00e8 consentita solo in presenza di una base legale appropriata, come il consenso esplicito dell&#8217;interessato o quando \u00e8 necessaria per motivi di interesse pubblico rilevante<\/li>\n<\/ul>\n\n\n\n<p>La comunicazione di dati sensibili a terzi \u00e8 effettivamente consentita solo in presenza di una base legale appropriata. <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Diffusione<\/strong>: La diffusione di dati sensibili, intesa come la messa a disposizione dei dati al pubblico in modo ampio, \u00e8 soggetta a restrizioni ancora pi\u00f9 severe. \u00c8 generalmente proibita a meno che non sia specificamente autorizzata da una norma di legge che preveda garanzie adeguate per gli interessati<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n\n\n<p>La diffusione di dati sensibili \u00e8 soggetta a restrizioni severe e generalmente \u00e8 proibita, a meno che non sia specificamente autorizzata da una norma di legge che preveda garanzie adeguate per gli interessati. <\/p>\n\n\n\n<p>Questo principio \u00e8 confermato dalle Linee guida per il trattamento di dati personali effettuato da soggetti pubblici per la pubblicazione e la diffusione di dati personali sulla base di espresse previsioni normative. <\/p>\n\n\n\n<p>In particolare, le pubbliche amministrazioni devono verificare che una norma di legge o di regolamento preveda la possibilit\u00e0 di mettere a disposizione dati personali sui propri siti istituzionali, e ci\u00f2 vale anche per la diffusione di dati personali che possano rivelare lo stato di salute dei singoli, per cui esiste un generale divieto di diffusione<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-articolo-2-septies-del-codice-della-privacy\">Articolo 2-septies del Codice della Privacy<\/h3>\n\n\n\n<p>L&#8217;articolo 2-septies del Codice della Privacy stabilisce misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute. Queste misure di garanzia sono necessarie per proteggere i dati personali che, per la loro natura, sono particolarmente sensibili e possono creare rischi significativi per i diritti e le libert\u00e0 fondamentali delle persone<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-articolo-166-del-codice-della-privacy\">Articolo 166 del Codice della Privacy<\/h3>\n\n\n\n<p>L&#8217;articolo 166, comma 2, del Codice della Privacy prevede sanzioni amministrative per il trattamento illecito di dati personali, comprese le violazioni delle misure di garanzia stabilite per i dati sensibil<\/p>\n\n\n\n<p>In questo scenario, chi si assume la responsabilit\u00e0 di gestire queste piattaforme, che facilitano l&#8217;incontro tra pazienti e professionisti sanitari, deve navigare con grande cautela<\/p>\n\n\n\n<p>. \u00c8 essenziale che durante la progettazione e lo sviluppo di tali piattaforme vengano implementate misure tecniche e organizzative stringenti per prevenire la diffusione non autorizzata dei dati sulla salute. <\/p>\n\n\n\n<p>Questo imperativo non riguarda solo la piattaforma stessa, ma si estende anche alle azioni del professionista sanitario che, utilizzando la piattaforma, tratta i dati sulla salute in qualit\u00e0 di responsabile del trattamento.<\/p>\n\n\n\n<p>Un punto focale di questa gestione prudente \u00e8 il sistema di accesso alle piattaforme, soprattutto per quanto riguarda i processi di identificazione degli utenti al momento della registrazione. <\/p>\n\n\n\n<p>Questi meccanismi devono essere progettati in modo tale da eliminare qualsiasi possibilit\u00e0 che informazioni cos\u00ec sensibili possano finire nelle mani sbagliate, a meno che non esista una giustificazione legale solida per tale accesso.<\/p>\n\n\n\n<p>Le regole sono chiare e impongono a chi gestisce queste piattaforme un impegno non indifferente: assicurare che la privacy degli utenti sia un baluardo inattaccabile, a tutela della loro salute e della loro fiducia nel sistema sanitario digitale.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-dpia\">DPIA<\/h3>\n\n\n\n<p>Nel cuore del Regolamento sulla protezione dei dati personali si trova un principio fondamentale che guida i titolari dei dati attraverso le sfide poste dall&#8217;innovazione tecnologica: prima di tuffarsi nelle acque delle nuove tecnologie, \u00e8 indispensabile fermarsi a riflettere sull&#8217;impatto che queste possono avere sui diritti e le libert\u00e0 delle persone. <\/p>\n\n\n\n<p>L&#8217;art. 35 del Regolamento sottolinea l&#8217;importanza di condurre una valutazione di impatto sul trattamento dei dati, soprattutto quando si naviga nel territorio spesso inesplorato delle nuove tecnologie.<\/p>\n\n\n\n<p> Questo esercizio di riflessione non \u00e8 solo una buona pratica, ma una vera e propria esigenza legale quando il trattamento dei dati, data la sua natura, scopo, contesto e finalit\u00e0, potrebbe mettere a rischio la libert\u00e0 e i diritti fondamentali degli individui.<\/p>\n\n\n\n<p>Ma cosa succede se, nonostante le migliori intenzioni e le misure pi\u00f9 sofisticate, il rischio per i diritti e le libert\u00e0 delle persone persiste, rimanendo a un livello elevato? <\/p>\n\n\n\n<p>Qui entra in gioco l&#8217;art. 36, che apre la porta a una consultazione obbligatoria con l&#8217;Autorit\u00e0 di controllo. Questo passaggio non \u00e8 solo una formalit\u00e0, ma una parte cruciale del processo che assicura che, quando si tratta della privacy e dei diritti delle persone, ogni pietra venga girata per mitigare qualsiasi rischio residuale.<\/p>\n\n\n\n<p>In sintesi, il Regolamento non solo incoraggia ma richiede un approccio oculato e ponderato all&#8217;uso delle nuove tecnologie nel trattamento dei dati personali. <\/p>\n\n\n\n<p>Questo significa che, prima di procedere, i titolari dei dati devono armarsi di una profonda comprensione dell&#8217;impatto potenziale delle loro azioni e, se necessario, cercare la guida e l&#8217;approvazione dell&#8217;Autorit\u00e0 di controllo. In questo modo, mentre ci avventuriamo sempre pi\u00f9 in profondit\u00e0 nel futuro digitale, possiamo farlo con la certezza che i diritti e le libert\u00e0 delle persone rimangano al centro di ogni nostra decisione.<\/p>\n\n\n\n<p> \u00c8 in questo contesto che emergono le Linee guida WP248rev., un faro per navigare nelle acque talvolta tempestose della valutazione di impatto sulla protezione dei dati. <\/p>\n\n\n\n<p>Adottate inizialmente il 4 aprile 2017 e poi aggiornate il 4 ottobre dello stesso anno, queste linee guida rappresentano un punto di riferimento essenziale per chiunque si occupi di trattamento dei dati.<\/p>\n\n\n\n<p>Il messaggio centrale del Gruppo articolo 29 \u00e8 chiaro: la valutazione di impatto non \u00e8 un mero esercizio burocratico da svolgere una volta e poi dimenticare. Al contrario, \u00e8 un processo dinamico, che deve essere costantemente rivisitato e aggiornato. <\/p>\n\n\n\n<p>Questo approccio riflette la realt\u00e0 del mondo digitale, dove le tecnologie e le modalit\u00e0 di trattamento dei dati si evolvono a un ritmo vertiginoso. <\/p>\n\n\n\n<p>Considerare la valutazione d&#8217;impatto come un processo in continuo divenire \u00e8 fondamentale per garantire che la protezione dei dati personali rimanga sempre al passo con i tempi.<\/p>\n\n\n\n<p>La valutazione d&#8217;impatto sulla protezione dei dati \u00e8 un elemento chiave nel garantire che le organizzazioni trattino i dati personali nel rispetto dei diritti e delle libert\u00e0 fondamentali degli individui. Questo processo, ben pi\u00f9 che una semplice formalit\u00e0, si rivela un viaggio approfondito nell&#8217;universo dei dati che un&#8217;organizzazione raccoglie e gestisce.<\/p>\n\n\n\n<p>Al cuore di questo viaggio c&#8217;\u00e8 una descrizione dettagliata e sistematica dei processi di trattamento dei dati e delle finalit\u00e0 per cui questi dati vengono raccolti. Ma non si ferma qui. La valutazione d&#8217;impatto si spinge oltre, sondando le profondit\u00e0 dei potenziali rischi che tali trattamenti possono comportare per i diritti e le libert\u00e0 degli individui coinvolti.<\/p>\n\n\n\n<p>Affrontare questi rischi non \u00e8 un compito da poco. Richiede la definizione e l&#8217;implementazione di una serie di misure, garanzie e strategie di sicurezza mirate a mitigare i pericoli identificati. Questo include l&#8217;adozione di tecnologie e pratiche che assicurino la sicurezza dei dati personali, dalla cifratura alla minimizzazione dei dati, fino all&#8217;istituzione di procedure per rispondere efficacemente a eventuali violazioni dei dati.<\/p>\n\n\n\n<p>Ma la valutazione d&#8217;impatto non si limita a identificare e contrattaccare i rischi. \u00c8 anche un&#8217;espressione dell&#8217;impegno di un&#8217;organizzazione a operare in trasparenza e a dimostrare attivamente la propria conformit\u00e0 al Regolamento sulla protezione dei dati. Questo significa non solo implementare le misure necessarie ma anche documentare scrupolosamente tali sforzi, in modo che possano essere verificati e valutati sia internamente che da enti esterni.<\/p>\n\n\n\n<p> Queste non sono semplicemente linee guida da seguire, ma veri e propri pilastri che sostengono l&#8217;intero edificio della protezione dei dati personali. L&#8217;obiettivo \u00e8 chiaro: assicurare che ogni azione, ogni processo e ogni decisione siano intrisi dei principi fondamentali della privacy e della protezione dei dati.<\/p>\n\n\n\n<p>Per i titolari del trattamento, il compito non si limita a selezionare e implementare queste misure. Va ben oltre. \u00c8 richiesta una dimostrazione tangibile dell&#8217;efficacia di queste strategie, una prova concreta che non solo funzionino sulla carta ma che siano realmente efficaci nel mondo reale, dove i rischi per la privacy possono assumere molteplici forme e dimensioni.<\/p>\n\n\n\n<p>Questo significa che, al di l\u00e0 della semplice adozione di misure preventive o correttive, i titolari devono immergersi profondamente nella valutazione dei rischi specifici legati al trattamento dei dati che stanno conducendo. Devono chiedersi: &#8220;Quali sono i pericoli reali per i diritti e le libert\u00e0 degli individui coinvolti? E come possiamo, attraverso le nostre azioni, minimizzare o eliminare tali rischi?&#8221;<\/p>\n\n\n\n<p>In questo contesto, la responsabilit\u00e0 dei titolari del trattamento si espande, abbracciando non solo la scelta delle misure pi\u00f9 adeguate ma anche la loro continua verifica e aggiornamento. La protezione dei dati personali diventa un processo dinamico, che richiede una costante attenzione e adattamento alle nuove sfide poste dal progresso tecnologico e dalle evoluzioni del panorama dei rischi per la privacy.<\/p>\n\n\n\n<p>Il compito dei titolari del trattamento \u00e8 duplice: devono non solo implementare misure che incarnino i principi di protezione dei dati, ma anche fornire prove inconfutabili della loro efficacia. Questo impegno testimonia la loro dedizione non solo al rispetto delle normative ma anche alla salvaguardia della fiducia e della sicurezza degli individui i cui dati vengono trattati, cementando cos\u00ec la loro posizione come custodi responsabili nell&#8217;era digitale.<\/p>\n\n\n\n<p>La natura stessa dei dati gestiti attraverso queste piattaforme, unita alla vasta gamma e alla potenziale vulnerabilit\u00e0 degli individui coinvolti, pone una lente d&#8217;ingrandimento sui rischi che tali trattamenti possono comportare per i diritti e le libert\u00e0 delle persone.<\/p>\n\n\n\n<p>In questo contesto, il principio di precauzione diventa non solo una buona pratica, ma una necessit\u00e0 inderogabile. <\/p>\n\n\n\n<p>Ai sensi dell&#8217;art. 35 del Regolamento sulla protezione dei dati, e seguendo le direttive delle Linee guida pertinenti, il titolare del trattamento si trova di fronte a un obbligo chiaro: condurre una valutazione d&#8217;impatto sulla protezione dei dati prima di procedere con qualsiasi attivit\u00e0 di trattamento.<\/p>\n\n\n\n<p>Questa valutazione non \u00e8 un semplice esercizio formale. \u00c8 un processo profondo, che richiede di esaminare attentamente come i dati vengono raccolti, utilizzati e conservati, e di valutare le potenziali ripercussioni su coloro che potrebbero essere pi\u00f9 esposti o a rischio. Si tratta di una riflessione critica sulle misure di sicurezza e sulle garanzie che devono essere messe in atto per proteggere efficacemente le persone da possibili abusi o perdite di dati.<\/p>\n\n\n\n<p>L&#8217;obiettivo di questa valutazione preventiva \u00e8 doppio: da un lato, assicurare che il trattamento dei dati sia condotto in maniera responsabile e conforme alle normative vigenti; dall&#8217;altro, garantire che i diritti e le libert\u00e0 degli individui, soprattutto quelli pi\u00f9 vulnerabili, siano salvaguardati in ogni momento.<\/p>\n\n\n\n<p> \u00c8 una bussola che guida i titolari del trattamento attraverso le acque talvolta turbolente della gestione dei dati, assicurando che la loro rotta sia sempre orientata verso la tutela delle persone e il rispetto delle loro libert\u00e0 fondamentali.<\/p>\n\n\n\n<p>Nel caso specifico che stiamo esaminando, ci troviamo di fronte a una situazione in cui almeno quattro criteri fondamentali, come delineati dal Comitato, si applicano con evidente chiarezza. Questi criteri agiscono come veri e propri fari che guidano verso la necessit\u00e0 indiscussa di una valutazione d&#8217;impatto approfondita.<\/p>\n\n\n\n<p>Primo fra tutti, il trattamento coinvolge &#8220;<strong>dati sensibili o aventi carattere altamente personale<\/strong>&#8220;, un dominio in cui la cautela non \u00e8 mai troppa. <\/p>\n\n\n\n<p>In secondo luogo, si entra in contatto con &#8220;<strong>dati relativi ad interessati vulnerabili<\/strong>&#8220;, come i pazienti, che richiedono protezioni aggiuntive per salvaguardare la loro privacy e integrit\u00e0. <\/p>\n\n\n\n<p>Il terzo criterio riguarda il &#8220;<strong>trattamento di dati su larga scala<\/strong>&#8220;, amplificando le potenziali conseguenze di qualsiasi incidente legato alla gestione dei dati. <\/p>\n\n\n\n<p>Infine, si evidenzia l'&#8221;<strong>uso innovativo o l&#8217;applicazione di nuove soluzioni tecnologiche od organizzative<\/strong>&#8220;, un territorio esplorativo che, per quanto eccitante, porta con s\u00e9 sfide inedite per la protezione dei dati.<\/p>\n\n\n\n<p>Questi pilastri, cos\u00ec chiaramente definiti nelle Linee guida e ulteriormente sottolineati da provvedimenti specifici del Comitato (come quelli del 12 marzo 2020 e del 13 maggio 2021), non lasciano spazio a dubbi: siamo in presenza di un contesto in cui la <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-provvedimenti-del-12-marzo-2020\">Provvedimenti del 12 marzo 2020<\/h3>\n\n\n\n<p>Il Provvedimento del 12 marzo 2020  del Garante per la Protezione dei Dati Personali riguarda le Linee guida in materia di valutazione d&#8217;impatto sulla protezione dei dati e la determinazione della possibilit\u00e0 che il trattamento &#8220;possa presentare un rischio elevato&#8221; ai fini del regolamento (UE) 2016\/679 (GDPR). <\/p>\n\n\n\n<p>Queste Linee guida sono state adottate per aiutare i titolari del trattamento a valutare quando \u00e8 necessario effettuare una valutazione d&#8217;impatto sulla protezione dei dati (DPIA) e come gestire tale processo<\/p>\n\n\n\n<p>Una valutazione d&#8217;impatto sulla protezione dei dati \u00e8 un processo che aiuta a identificare e minimizzare i rischi per la privacy derivanti da un nuovo progetto, sistema, processo o qualsiasi altro trattamento di dati personali. <\/p>\n\n\n\n<p>Secondo il GDPR, la DPIA \u00e8 obbligatoria in situazioni in cui il trattamento dei dati \u00e8 suscettibile di presentare un rischio elevato per i diritti e le libert\u00e0 delle persone fisiche. Questo pu\u00f2 includere, ad esempio, trattamenti su larga scala di categorie particolari di dati (come dati sulla salute o dati genetici), sorveglianza sistematica su larga scala, o l&#8217;uso di nuove tecnologie.<\/p>\n\n\n\n<p>Le Linee guida specificano i casi in cui \u00e8 necessaria una DPIA, offrendo esempi e criteri per determinare la presenza di un rischio elevato. Inoltre, forniscono indicazioni su come condurre una DPIA, quali elementi dovrebbero essere inclusi e come gestire i rischi identificati. Questo include la valutazione della necessit\u00e0 e della proporzionalit\u00e0 dei trattamenti di dati personali rispetto alle finalit\u00e0 perseguite, l&#8217;identificazione e la valutazione dei rischi per i diritti e le libert\u00e0 degli interessati, e le misure previste per affrontare tali rischi.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Il provvedimento del 12 marzo 2020 sottolinea l&#8217;importanza di integrare la protezione dei dati fin dalla progettazione e per impostazione predefinita, conformemente ai principi del GDPR. Inoltre, evidenzia il ruolo della DPIA come strumento chiave per garantire la conformit\u00e0 al regolamento e per proteggere i diritti delle persone fisiche nel contesto del trattamento dei dati personali<\/p>\n<\/blockquote>\n\n\n\n<p><\/p>\n\n\n\n<p>L&#8217;applicazione permetteva agli accompagnatori dei pazienti di monitorare il percorso sanitario di questi ultimi nel pronto soccorso, senza rivelare esiti di esami o informazioni personali, ma solo attraverso un codice di accettazione. <\/p>\n\n\n\n<p>L&#8217;Azienda ha dichiarato che il trattamento dei dati era conforme al Regolamento (UE) 2016\/679, richiedendo il consenso dei pazienti per trattare i loro dati di salute.<\/p>\n\n\n\n<p>Nonostante ci\u00f2, l&#8217;Autorit\u00e0 ha sollevato preoccupazioni riguardo la conformit\u00e0 dell&#8217;applicazione alle normative sulla protezione dei dati, in particolare per quanto riguarda la minimizzazione dei dati, la valutazione d&#8217;impatto sulla protezione dei dati, e la mancanza di informazioni chiare fornite agli utenti. In seguito a un&#8217;audizione, l&#8217;Azienda ha sospeso l&#8217;uso dell&#8217;applicazione, apportato modifiche per migliorare la protezione dei dati e fornito una nuova valutazione d&#8217;impatto e informativa agli utenti.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>La classificazione ad alto rischio non \u00e8 soltanto un&#8217;etichetta: essa sottolinea la presenza di sfide significative nella tutela dei diritti e delle libert\u00e0 fondamentali degli individui coinvolti. In questo contesto, la valutazione d&#8217;impatto sulla protezione dei dati emerge non come un mero esercizio formale, ma come una necessit\u00e0 imprescindibile, un faro che illumina la via verso la conformit\u00e0 e la responsabilit\u00e0.<\/p>\n\n\n\n<p>La valutazione d&#8217;impatto, in questi casi, diventa lo strumento per eccellenza attraverso il quale \u00e8 possibile sondare in profondit\u00e0 i rischi associati ai trattamenti di dati, identificando le misure pi\u00f9 idonee per mitigarli.<\/p>\n\n\n\n<p>Alla luce di queste considerazioni, diventa evidente che per le macro-tipologie di trattamenti effettuati attraverso le piattaforme digitali, la valutazione d&#8217;impatto non \u00e8 una scelta, ma un requisito obbligatorio. <\/p>\n\n\n\n<p>La mancanza di una valutazione d&#8217;impatto sulla protezione dei dati si traduce in un vero e proprio ostacolo per i titolari del trattamento, impedendo loro di condurre un&#8217;analisi preventiva e approfondita sull&#8217;efficacia e sulla proporzionalit\u00e0 delle misure di sicurezza che prevedono di adottare. <\/p>\n\n\n\n<p>Questo passaggio non \u00e8 solo una formalit\u00e0, ma una fase critica nel processo di garantire che i trattamenti dei dati, soprattutto quelli sensibili come i dati sulla salute gestiti attraverso le piattaforme digitali, siano condotti con la massima cautela.<\/p>\n\n\n\n<p>In particolare, quando si considera il trattamento dei dati sanitari effettuato da professionisti del settore, come medici di medicina generale (MMG) e pediatri di libera scelta (PLS) che operano all&#8217;interno del sistema sanitario nazionale, la valutazione d&#8217;impatto diventa ancora pi\u00f9 cruciale. <\/p>\n\n\n\n<p>Questi professionisti, data la natura dei dati con cui lavorano e il contesto in cui si muovono, sono tenuti a un livello di responsabilit\u00e0 e di conformit\u00e0 normativa particolarmente elevato.<\/p>\n\n\n\n<p>Senza questa valutazione, i titolari del trattamento si troverebbero a navigare a vista, senza una bussola che li guidi nella scelta e nell&#8217;implementazione delle misure tecniche e organizzative pi\u00f9 adeguate per proteggere i dati personali. <\/p>\n\n\n\n<p>Si tratta di una scommessa rischiosa, che potrebbe non solo esporre i dati a pericoli evitabili ma anche compromettere la fiducia degli utenti nel sistema sanitario digitale e, pi\u00f9 in generale, nella gestione dei loro dati personali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-provvedimenti-del-13-maggio-2021\">Provvedimenti del 13 maggio 2021<\/h3>\n\n\n\n<p>Il provvedimento del Garante per la Protezione dei Dati Personali, datato 13 maggio 2021, \u00e8 relativo all&#8217;uso di un&#8217;applicazione chiamata &#8220;PsOpen&#8221; presso l&#8217;Ospedale Belcolle di Viterbo. <\/p>\n\n\n\n<p>L&#8217;applicazione permetteva agli accompagnatori dei pazienti di monitorare l&#8217;iter diagnostico dei pazienti in pronto soccorso. <\/p>\n\n\n\n<p>Il Garante ha avviato un&#8217;istruttoria dopo aver appreso da notizie stampa l&#8217;uso di questa applicazione, sollevando preoccupazioni sul trattamento dei dati personali effettuato attraverso di essa.<\/p>\n\n\n\n<p>L&#8217;azienda sanitaria locale di Viterbo, responsabile dell&#8217;applicazione, ha fornito documentazione e chiarimenti riguardo al trattamento dei dati, sostenendo che l&#8217;applicazione non forniva dati sensibili o identificativi senza il consenso dei pazienti e che i dati erano trattati in forma anonima. Tuttavia, il Garante ha identificato diverse carenze nella gestione e protezione dei dati, inclusa la mancanza di una valutazione d&#8217;impatto adeguata e di misure di sicurezza adeguate, nonch\u00e9 informazioni insufficienti fornite agli utenti sull&#8217;uso dei loro dati<\/p>\n\n\n\n<p>In seguito all&#8217;istruttoria, il Garante ha concluso che il trattamento dei dati effettuato dall&#8217;azienda sanitaria non era conforme ai principi di minimizzazione e responsabilizzazione previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR). <\/p>\n\n\n\n<p>Di conseguenza, il Garante ha deciso di ammonire l&#8217;azienda per le violazioni riscontrate, pur riconoscendo che l&#8217;azienda aveva sospeso l&#8217;uso dell&#8217;applicazione e aveva collaborato durante l&#8217;istruttoria<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-linee-guida-sui-cookie-e-altri-strumenti-di-tracciamento\">Linee guida sui cookie e altri strumenti di tracciamento<\/h3>\n\n\n\n<p><\/p>\n\n\n\n<p> Queste linee guida avevano lo scopo di aggiornare le disposizioni precedenti alla luce dei nuovi sviluppi e di fornire chiarezza sull&#8217;uso dei cookie e dei banner di consenso su internet. <\/p>\n\n\n\n<p>Il documento, denominato &#8220;Linee guida cookie e altri strumenti di tracciamento &#8211; 10 giugno 2021&#8221;, era inteso ad aiutare gli operatori del settore a valutare periodicamente se i loro banner di richiesta di consenso per i cookie fossero conformi alle nuove linee guida. <\/p>\n\n\n\n<p> Le principali novit\u00e0 e disposizioni contenute nelle linee guida includono:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Consenso attivo degli utenti<\/strong>: \u00c8 necessario ottenere il consenso attivo degli utenti per l&#8217;installazione di cookie e altri strumenti di tracciamento. Una casella di spunta preselezionata non \u00e8 considerata sufficiente per dimostrare il consenso dell&#8217;utente<a href=\"https:\/\/www.garanteprivacy.it\/temi\/cookie\" target=\"_blank\" rel=\"noreferrer noopener\">2<\/a>.<\/li>\n\n\n\n<li><strong>Informativa multilivello<\/strong>: Le informative privacy sui cookie devono essere redatte in un linguaggio semplice e accessibile. \u00c8 raccomandato un approccio multilivello, che prevede la presentazione delle informazioni in pi\u00f9 fasi, per facilitare la comprensione da parte degli utenti. Le informative possono essere veicolate attraverso diversi canali e modalit\u00e0, come pop-up, interazioni vocali, chatbot, ecc<a href=\"https:\/\/www.cybersecurity360.it\/legal\/privacy-dati-personali\/cookie-le-nuove-linee-guida-del-garante-privacy-suggerimenti-pratici-per-le-aziende\/\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.<\/li>\n\n\n\n<li><strong>Dettagli sui cookie installati<\/strong>: L&#8217;informativa deve contenere dettagli espliciti sui cookie installati, compresa la loro tipologia, la durata (data retention) e, come novit\u00e0, anche l&#8217;indicazione di altri strumenti di tracciamento utilizzati diversi dai cookie, specificando i criteri di codifica di ciascuno di essi<a href=\"https:\/\/www.cybersecurity360.it\/legal\/privacy-dati-personali\/cookie-le-nuove-linee-guida-del-garante-privacy-suggerimenti-pratici-per-le-aziende\/\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.<\/li>\n\n\n\n<li><strong>Cookie analytics come cookie tecnici<\/strong>: I cookie analytics, utilizzati per raccogliere informazioni statistiche in forma aggregata sul numero degli utenti e sulle modalit\u00e0 di visita del sito, possono essere trattati come cookie tecnici. Ci\u00f2 significa che possono essere utilizzati senza il consenso preventivo dell&#8217;utente, a condizione che i dati degli utenti siano preventivamente minimizzati e non combinati con altre elaborazioni. Tuttavia, se l&#8217;elaborazione di tali analisi statistiche \u00e8 affidata a soggetti terzi, \u00e8 necessario il consenso dell&#8217;utente<a href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9677876\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a><a href=\"https:\/\/www.garanteprivacy.it\/faq\/cookie\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a>.<\/li>\n\n\n\n<li><strong>Impossibilit\u00e0 di basare il tracciamento sul legittimo interesse<\/strong>: Il Garante ha chiarito che non \u00e8 possibile basare l&#8217;uso dei cookie e degli altri strumenti di tracciamento sul legittimo interesse del titolare del trattamento. Questo perch\u00e9, secondo i principi del GDPR, i diritti degli interessati sarebbero compressi rispetto a quelli del titolare<a href=\"https:\/\/www.cybersecurity360.it\/legal\/privacy-dati-personali\/cookie-le-nuove-linee-guida-del-garante-privacy-suggerimenti-pratici-per-le-aziende\/\" target=\"_blank\" rel=\"noreferrer noopener\">4<\/a>.<\/li>\n\n\n\n<li><strong>Regole per l&#8217;informativa e il consenso<\/strong>: Per l&#8217;installazione dei cookie tecnici e di quelli analytics non \u00e8 richiesto il consenso degli utenti, ma \u00e8 comunque necessario fornire l&#8217;informativa. I cookie di profilazione o altri strumenti di tracciamento possono essere utilizzati solo se l&#8217;utente ha espresso il proprio consenso dopo essere stato informato in modo adeguato<a href=\"https:\/\/www.garanteprivacy.it\/faq\/cookie\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a>.<\/li>\n<\/ol>\n\n\n\n<p>Le linee guida affrontavano anche la necessit\u00e0 per i titolari del trattamento di rivedere le loro pratiche operative per assicurarsi che si allineassero con le istruzioni fornite dal Garante. Inoltre, le linee guida sottolineavano i principi di privacy by design e privacy by default come codificati nell&#8217;Articolo 25 del Regolamento Generale sulla Protezione dei Dati (GDPR), che richiede ai titolari del trattamento di incorporare misure di protezione dei dati nelle loro attivit\u00e0 di trattamento. <\/p>\n\n\n\n<p>Il Garante ha anche espresso la necessit\u00e0 di un sistema universalmente accettato di codifica semantica per i cookie e altri strumenti di tracciamento, poich\u00e9 la distinzione tra le varie categorie di cookie ha implicazioni significative per la privacy e la protezione dei dati. <\/p>\n\n\n\n<p>Fino a quando tale sistema non sar\u00e0 stabilito, il Garante ha esortato i titolari del trattamento a indicare almeno i criteri utilizzati per classificare i loro cookie o altri strumenti di tracciamento. In sintesi, le attivit\u00e0 del Garante il 9 luglio 2021 ruotavano attorno alla pubblicazione di linee guida aggiornate sui cookie e strumenti di tracciamento, che facevano parte degli sforzi pi\u00f9 ampi per garantire la conformit\u00e0 con le normative sulla protezione dei dati e promuovere la privacy by design e by default in linea con il GDPR.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-ruoli\">RUOLI<\/h3>\n\n\n\n<p>Il documento in esame, inoltre, delinea ruoli, responsabilit\u00e0 e doveri per siti web e applicazioni, insieme a misure di sicurezza tecniche e organizzative volte a minimizzare i rischi di distruzione, perdita, alterazione, divulgazione non autorizzata dei dati o accessi non intenzionali o illeciti.<\/p>\n\n\n\n<p>Le piattaforme digitali, spesso gestite da societ\u00e0 con sede in paesi europei diversi dall&#8217;Italia o addirittura al di fuori dell&#8217;Europa, trattano dati personali e sanitari dei pazienti per vari scopi. Questo coinvolge numerosi attori che partecipano al processo di trattamento dati, ciascuno dei quali pu\u00f2 ricoprire differenti ruoli nella protezione dei dati, quali titolare, contitolare e responsabile del trattamento.<\/p>\n\n\n\n<p>Riguardo ai ruoli e alle responsabilit\u00e0 legate alle tre principali categorie di trattamento dati precedentemente delineate, si possono identificare tre scenari distinti per quanto concerne la definizione dei ruoli di trattamento:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Trattamento dei dati personali degli utenti<\/strong>: In questo caso, il proprietario o il gestore della piattaforma agisce come titolare del trattamento per i dati essenziali raccolti durante la registrazione e la creazione degli account, nonch\u00e9 per la fornitura di servizi aggiuntivi offerti dalla piattaforma stessa (ad esempio, la consultazione dello storico appuntamenti, l&#8217;invio di notifiche informative sulla salute pubblica o promozionali riguardanti i servizi disponibili).<\/li>\n\n\n\n<li><strong>Trattamento dei dati personali dei professionisti sanitari<\/strong>: Qui, il proprietario o il gestore della piattaforma assume il ruolo di titolare del trattamento per i dati personali dei professionisti sanitari, necessari all&#8217;esecuzione di un contratto di servizio tra le parti.<\/li>\n\n\n\n<li><strong>Trattamento dei dati sulla salute dei pazienti<\/strong>, che potrebbero essere stati raccolti tramite la piattaforma, ad esempio durante la prenotazione di una visita specialistica, e successivamente trattati dal professionista sanitario a fini di cura. In questo scenario, il professionista sanitario funge da titolare del trattamento e deve quindi gestire i dati nel rispetto delle normative specifiche relative al trattamento dei dati personali per tali finalit\u00e0, all&#8217;interno del rapporto medico-paziente (art. 9, par. 2, lett. h) e par. 3 del Regolamento e artt. 75 e seguenti del Codice). Il proprietario o gestore della piattaforma potrebbe essere nominato responsabile del trattamento da parte del professionista sanitario, se svolge attivit\u00e0 tecniche e amministrative per suo conto, come la gestione dell&#8217;agenda degli appuntamenti, la raccolta, l&#8217;archiviazione e la conservazione della documentazione medica dei pazienti. \u00c8 importante sottolineare che, agendo in qualit\u00e0 di responsabile del trattamento per conto del professionista (titolare del trattamento), il proprietario o gestore della piattaforma \u00e8 limitato a svolgere tali compiti e non \u00e8 autorizzato a utilizzare i dati sulla salute degli utenti per fini di cura.<\/li>\n<\/ol>\n\n\n\n<p>Questo scenario vede la coesistenza di diversi attori, ognuno con un ruolo specifico e ben definito in relazione al trattamento dei dati: titolari, contitolari e responsabili del trattamento. <\/p>\n\n\n\n<p>La comprensione e l&#8217;attribuzione corretta di questi ruoli, come delineato negli articoli 4, numeri 7 e 8, e 24 e 28 del Regolamento, sono passaggi cruciali per navigare con sicurezza nel mare della protezione dei dati.<\/p>\n\n\n\n<p><strong>Il titolare del trattamento <\/strong>emerge come la figura centrale in questo processo. \u00c8 colui che, valutando il contesto specifico in cui si svolge il trattamento dei dati, prende le decisioni chiave riguardanti le finalit\u00e0 e le modalit\u00e0 del trattamento stesso, basandosi sui solidi presupposti di liceit\u00e0 stabiliti dagli articoli 6 e 9 del Regolamento. Questa posizione di comando implica non solo un elevato grado di controllo ma anche una significativa responsabilit\u00e0 nell&#8217;assicurare che ogni aspetto del trattamento sia conforme alla normativa vigente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-le-linee-guida-07-2020\">Le Linee guida 07\/2020<\/h3>\n\n\n\n<p>Le Linee guida 07\/2020, adottate il 7 luglio 2021 dal Comitato Europeo per la protezione dei dati, forniscono una bussola preziosa per orientarsi nella definizione di questi ruoli, offrendo chiarimenti e indicazioni su come distinguere efficacemente tra titolare e responsabile del trattamento. <\/p>\n\n\n\n<p>Le Linee guida 07\/2020, adottate il 7 luglio 2021 dal Comitato Europeo per la protezione dei dati (EDPB), mirano a fornire una definizione uniforme e dettagliata dei concetti di titolare del trattamento, responsabile del trattamento e contitolare, al fine di chiarire i ruoli e le responsabilit\u00e0 connesse in conformit\u00e0 al Regolamento Generale sulla Protezione dei Dati (GDPR). <\/p>\n\n\n\n<p>Il documento si propone di assicurare un&#8217;applicazione uniforme del GDPR in tutto lo Spazio Economico Europeo, affrontando in modo specifico le definizioni e le implicazioni pratiche dei ruoli di titolare e responsabile del trattamento. <\/p>\n\n\n\n<p>In particolare, le linee guida enfatizzano l&#8217;importanza di una corretta individuazione di questi ruoli per determinare gli obblighi e le responsabilit\u00e0 in merito alla protezione dei dati personali<\/p>\n\n\n\n<p>Tra gli aspetti chiave trattati, si evidenzia l&#8217;importanza della trasparenza e della responsabilizzazione, richiamando l&#8217;attenzione sul principio di &#8220;protezione dei dati fin dalla progettazione e per impostazione predefinita&#8221; e sull&#8217;obbligo per i titolari del trattamento di adottare misure tecniche e organizzative adeguate per garantire il rispetto dei principi del GDPR.<\/p>\n\n\n\n<p>Le linee guida includono anche esempi pratici per facilitare l&#8217;interpretazione e l&#8217;applicazione dei concetti di titolare e responsabile del trattamento, oltre a fornire indicazioni su come gestire le relazioni tra le varie figure coinvolte nel trattamento dei dati personali, compreso il ruolo dei contitolari e la definizione di accordi tra titolare e responsabile del trattamento<\/p>\n\n\n\n<p>La distinzione tra titolare e responsabile non \u00e8 puramente accademica ma ha implicazioni pratiche dirette sulla gestione dei dati personali, influenzando tutto, dalla progettazione dei sistemi di trattamento alla risposta a eventuali violazioni dei dati.<\/p>\n\n\n\n<p>In sintesi, l&#8217;identificazione precisa dei ruoli di titolare, contitolare e responsabile del trattamento \u00e8 pi\u00f9 di un requisito formale: \u00e8 il fondamento su cui si costruisce un approccio al trattamento dei dati personali che sia non solo efficace ma anche eticamente responsabile e pienamente conforme alle aspettative normative. <\/p>\n\n\n\n<p>In un mondo dove i dati sono sempre pi\u00f9 una valuta preziosa, questa chiarezza e responsabilit\u00e0 nei ruoli sono indispensabili per mantenere la fiducia degli utenti e proteggere i loro diritti fondamentali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-la-figura-del-responsabile-del-trattamento\">la figura del responsabile del trattamento<\/h3>\n\n\n\n<p>Nel tessuto complesso della protezione dei dati personali, la figura del responsabile del trattamento assume un ruolo di cruciale importanza. <\/p>\n\n\n\n<p>Questo soggetto, selezionato dal titolare del trattamento, viene incaricato di gestire specifiche operazioni di trattamento dei dati personali, sulla base di una delega chiara e definita. <\/p>\n\n\n\n<p>La scelta di un responsabile del trattamento non \u00e8 casuale ma risponde a criteri ben precisi di competenza, affidabilit\u00e0 e capacit\u00e0 di implementare le misure tecniche e organizzative richieste per garantire la conformit\u00e0 ai principi e ai requisiti stabiliti dal Regolamento sulla protezione dei dati.<\/p>\n\n\n\n<p>Il responsabile del trattamento, quindi, non agisce in autonomia, ma sotto la direzione e secondo le istruzioni del titolare del trattamento. <\/p>\n\n\n\n<p>Questa relazione \u00e8 delineata attraverso un accordo che specifica le operazioni di trattamento autorizzate, imponendo al responsabile l&#8217;obbligo di adottare tutte le precauzioni necessarie per proteggere i dati personali e garantire il rispetto della normativa.<\/p>\n\n\n\n<p>Il considerando 81 del Regolamento sottolinea l&#8217;importanza di selezionare un responsabile che possieda le qualifiche tecniche e le conoscenze necessarie per gestire efficacemente i dati personali, evidenziando l&#8217;esigenza che tale soggetto disponga delle risorse adeguate per attuare le misure di sicurezza appropriate. <\/p>\n\n\n\n<p>Questo approccio non solo assicura una gestione dei dati conforme alle norme vigenti ma rafforza anche la fiducia degli interessati nella sicurezza e nella privacy dei loro dati.<\/p>\n\n\n\n<p>Le Linee guida sul concetto di responsabile del trattamento forniscono ulteriori chiarimenti su come questa figura debba operare, enfatizzando la necessit\u00e0 di istruzioni chiare da parte del titolare e di una delimitazione precisa delle responsabilit\u00e0. <\/p>\n\n\n\n<p>Questo quadro normativo e operativo assicura che ogni aspetto del trattamento dei dati personali sia gestito con la massima attenzione e professionalit\u00e0, riflettendo l&#8217;impegno congiunto di titolari e responsabili nel proteggere i diritti e le libert\u00e0 degli individui.<\/p>\n\n\n\n<p>In conclusione, la figura del responsabile del trattamento \u00e8 essenziale nel panorama della protezione dei dati personali, fungendo da garante dell&#8217;efficacia delle misure di sicurezza e della conformit\u00e0 alle normative. <\/p>\n\n\n\n<p>Questa collaborazione ben strutturata tra titolare e responsabile \u00e8 fondamentale per mantenere elevati standard di privacy e sicurezza dei dati in un mondo sempre pi\u00f9 digitale e interconnesso.<\/p>\n\n\n\n<p>Nel contesto della protezione dei dati personali, il ruolo di responsabile del trattamento assurge a una posizione di rilievo, essendo colui che viene designato dal titolare del trattamento per gestire specifiche attivit\u00e0 legate al trattamento dei dati personali. <\/p>\n\n\n\n<p>Questa designazione, prevista dall&#8217;art. 28 del Regolamento, \u00e8 un passaggio cruciale che stabilisce una chiara distinzione tra le responsabilit\u00e0 del titolare e quelle del responsabile, assicurando che ogni operazione sui dati personali sia condotta nel pieno rispetto delle norme vigenti.<\/p>\n\n\n\n<p>La mancata designazione di un soggetto esterno come responsabile del trattamento trasforma qualsiasi trasferimento di dati personali a tale soggetto in una comunicazione di dati, che deve avvenire in conformit\u00e0 con il Regolamento sulla base di un presupposto giuridico valido, come delineato dagli articoli 5, 6 e 9.<\/p>\n\n\n\n<p> Questo aspetto sottolinea l&#8217;importanza di stabilire relazioni contrattuali chiare e conformi alla legge con i soggetti esterni che trattano dati personali per conto del titolare.<\/p>\n\n\n\n<p>Oltre alla designazione formale, \u00e8 fondamentale che tutte le persone fisiche che, operando presso il soggetto esterno, hanno accesso e trattano i dati personali siano debitamente autorizzate e formate riguardo ai loro compiti e obblighi in materia di protezione dei dati. <\/p>\n\n\n\n<p>Questo requisito, stabilito dall&#8217;art. 29 del Regolamento e dall&#8217;art. 2-quaterdecies del Codice, mira a garantire che tutti coloro che entrano in contatto con i dati personali possiedano le competenze e la consapevolezza necessarie per gestirli in modo sicuro e conforme alle normative.<\/p>\n\n\n\n<p>In sintesi, la corretta designazione del responsabile del trattamento e la formazione adeguata del personale coinvolto nel trattamento dei dati sono passaggi chiave per assicurare la conformit\u00e0 al Regolamento sulla protezione dei dati. <\/p>\n\n\n\n<p>Questi elementi costituiscono la base per una gestione dei dati personali che non solo rispetti le normative ma che sia anche improntata alla massima sicurezza e riservatezza, rafforzando cos\u00ec la fiducia degli interessati nei confronti delle organizzazioni che trattano i loro dati.<\/p>\n\n\n\n<p>Nell&#8217;ambito della gestione e del trattamento dei dati personali, la chiara definizione dei ruoli di chi interviene nel processo \u2013 titolari, contitolari e responsabili del trattamento \u2013 \u00e8 una colonna portante della governance dei dati. <\/p>\n\n\n\n<p>Questa necessit\u00e0 diventa ancora pi\u00f9 pressante quando si considerano trattamenti complessi, che possono avere finalit\u00e0 multiple e basarsi su diverse basi giuridiche, come previsto dagli articoli 6 e 9 del Regolamento sulla protezione dei dati (GDPR).<\/p>\n\n\n\n<p>Una visione complessiva  delle operazioni di trattamento \u00e8 fondamentale per garantire che ogni aspetto sia gestito in modo conforme e sicuro. <\/p>\n\n\n\n<p>Questo significa andare oltre la semplice attribuzione nominale dei ruoli, per comprendere in profondit\u00e0 come le diverse finalit\u00e0 di trattamento influenzino le responsabilit\u00e0 e le obbligazioni di ciascun soggetto coinvolto. <\/p>\n\n\n\n<p>La definizione dei ruoli, quindi, non \u00e8 un processo statico o univoco; pu\u00f2 variare in base alla natura specifica del trattamento, alle finalit\u00e0 perseguite e alle modalit\u00e0 con cui i dati vengono gestiti e protetti. Questo approccio dinamico alla governance dei dati assicura che tutte le parti coinvolte siano chiaramente consapevoli delle loro responsabilit\u00e0 e siano adeguatamente equipaggiate per assolverle, garantendo cos\u00ec la protezione dei diritti e delle libert\u00e0 degli interessati.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Nella complessa rete di relazioni e responsabilit\u00e0 che caratterizzano il trattamento dei dati personali, l&#8217;identificazione corretta dei ruoli \u00e8 fondamentale per garantire una gestione conforme e sicura delle informazioni. Alla luce di quanto emerso dalla pratica e dalle valutazioni dell&#8217;Autorit\u00e0 di controllo, possiamo delineare tre scenari principali relativi ai ruoli nel trattamento dei dati, ognuno dei quali si applica a specifiche macro tipologie di trattamento.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-1-trattamenti-dei-dati-personali-degli-utenti\">1. Trattamenti dei dati personali degli utenti<\/h3>\n\n\n\n<p>In questo primo scenario, il proprietario o il gestore della piattaforma digitale assume il ruolo di titolare del trattamento. <\/p>\n\n\n\n<p>Questa figura ha la responsabilit\u00e0 di gestire i dati personali degli utenti che vengono raccolti durante la registrazione e la creazione degli account sulla piattaforma, nonch\u00e9 per la fornitura di servizi aggiuntivi offerti agli utenti. <\/p>\n\n\n\n<p>Questi servizi possono includere, ad esempio, la possibilit\u00e0 per l&#8217;utente di visualizzare lo storico dei propri appuntamenti o di ricevere comunicazioni relative a informazioni sulla salute pubblica e promozioni sui servizi disponibili sulla piattaforma.<\/p>\n\n\n\n<p><strong>Il titolare del trattamento<\/strong> deve assicurare che i dati personali siano raccolti e trattati in modo lecito, trasparente e per finalit\u00e0 specifiche, conformemente ai principi stabiliti dal Regolamento GDPR. <\/p>\n\n\n\n<p>Inoltre, deve implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, proteggendo i dati degli utenti da accessi non autorizzati, divulgazione, alterazione o distruzione illecita.<\/p>\n\n\n\n<p>Questo scenario sottolinea l&#8217;importanza di una chiara definizione delle responsabilit\u00e0 e delle modalit\u00e0 di trattamento dei dati personali, assicurando che gli utenti siano adeguatamente informati e che i loro diritti siano rispettati. <\/p>\n\n\n\n<p>La trasparenza e la corretta gestione dei dati non solo sono obblighi legali ma rappresentano anche elementi chiave per costruire e mantenere la fiducia degli utenti nella piattaforma.<\/p>\n\n\n\n<p>Nel contesto delle piattaforme online che facilitano l&#8217;interazione tra professionisti sanitari e utenti\/pazienti, il trattamento dei dati personali dei professionisti sanitari riveste un&#8217;importanza critica. In questo scenario specifico, il proprietario o il gestore della piattaforma digitale assume il ruolo di titolare del trattamento dei dati personali dei professionisti sanitari. Questa responsabilit\u00e0 si focalizza sui dati strettamente necessari per l&#8217;esecuzione di un contratto di servizi stipulato tra il professionista sanitario e la piattaforma.<\/p>\n\n\n\n<p>La base giuridica per il trattamento di tali dati personali si trova nell&#8217;articolo 6, paragrafo 1, lettera b) del Regolamento Generale sulla Protezione dei Dati (GDPR), che legittima il trattamento dei dati personali necessario all&#8217;esecuzione di un contratto in cui l&#8217;interessato \u00e8 parte o per l&#8217;esecuzione di misure precontrattuali adottate su richiesta dello stesso. <\/p>\n\n\n\n<p>Pertanto, i dati personali che possono essere trattati includono informazioni indispensabili per la gestione del rapporto contrattuale, come dati di contatto, qualifiche professionali, specializzazioni, orari di lavoro e altre informazioni pertinenti che consentono ai professionisti sanitari di offrire i loro servizi tramite la piattaforma.<\/p>\n\n\n\n<p>Il titolare del trattamento \u00e8 tenuto a garantire che i dati dei professionisti sanitari siano raccolti e trattati in modo lecito, corretto e trasparente, rispettando i principi di minimizzazione dei dati e di limitazione delle finalit\u00e0. <\/p>\n\n\n\n<p>Ci\u00f2 implica l&#8217;adozione di misure tecniche e organizzative appropriate per proteggere i dati personali da accessi non autorizzati, perdite o distruzioni accidentali, garantendo un livello di sicurezza adeguato al rischio presentato dal trattamento.<\/p>\n\n\n\n<p>Inoltre, \u00e8 fondamentale che sia stabilita una chiara comunicazione tra la piattaforma e i professionisti sanitari riguardo alla natura, alla finalit\u00e0 del trattamento dei dati personali e ai diritti di cui godono in qualit\u00e0 di interessati sotto il GDPR. <\/p>\n\n\n\n<p>Questo include il diritto di accesso ai propri dati personali, di rettifica, di cancellazione (il &#8220;diritto all&#8217;oblio&#8221;), e di limitazione o opposizione al trattamento.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-trattamenti-di-dati-sulla-salute-dei-pazienti\">Trattamenti di dati sulla salute dei pazienti<\/h3>\n\n\n\n<p>Nel contesto delle piattaforme digitali che facilitano l&#8217;incontro tra pazienti e professionisti sanitari, ad esempio per la prenotazione di visite specialistiche, il trattamento dei dati sulla salute assume una dimensione estremamente delicata e regolamentata. <\/p>\n\n\n\n<p>Quando questi dati vengono trattati dal professionista sanitario per finalit\u00e0 di cura, tale professionista assume il ruolo di titolare del trattamento. Questo significa che \u00e8 direttamente responsabile della gestione dei dati personali dei pazienti nel rispetto della normativa specifica sul trattamento dei dati personali in ambito sanitario, in particolare secondo quanto stabilito dall&#8217;articolo 9, paragrafi 2, lettera h) e 3 del Regolamento GDPR, nonch\u00e9 dagli articoli 75 e seguenti del Codice relativo alla protezione dei dati personali.<\/p>\n\n\n\n<p>In questo scenario, il rapporto medico-paziente \u00e8 al centro, e il trattamento dei dati sulla salute \u00e8 strettamente legato alle necessit\u00e0 di diagnosi, cura e gestione delle terapie. La delicatezza e la specificit\u00e0 di tali dati richiedono un livello di protezione e una considerazione etica di prim&#8217;ordine.<\/p>\n\n\n\n<p>Il proprietario o il gestore della piattaforma, in questo contesto, pu\u00f2 assumere un ruolo differente: quello di responsabile del trattamento. <\/p>\n\n\n\n<p>Questa designazione avviene quando il professionista sanitario (titolare del trattamento) affida alla piattaforma compiti di natura tecnico-amministrativa, come la gestione dell&#8217;agenda degli appuntamenti o l&#8217;archiviazione e conservazione della documentazione medica.<\/p>\n\n\n\n<p> In tale veste, il proprietario\/gestore della piattaforma agisce sotto la direzione e secondo le istruzioni del professionista sanitario, garantendo che i trattamenti tecnico-amministrativi siano eseguiti nel pieno rispetto delle normative vigenti.<\/p>\n\n\n\n<p>\u00c8 fondamentale sottolineare che, operando come responsabile del trattamento, il proprietario o il gestore della piattaforma non \u00e8 autorizzato a utilizzare i dati sulla salute dei pazienti per finalit\u00e0 di cura o per qualsiasi altro scopo che non sia stato esplicitamente delegato dal professionista sanitario.<\/p>\n\n\n\n<p> La sua attivit\u00e0 \u00e8 circoscritta alle operazioni tecniche e amministrative necessarie per supportare il professionista nel suo lavoro, senza alcuna possibilit\u00e0 di deviazione verso finalit\u00e0 diverse.<\/p>\n\n\n\n<p>In sintesi, questo scenario evidenzia un&#8217;organizzazione dei ruoli ben definita e regolamentata all&#8217;interno del trattamento dei dati personali in ambito sanitario, dove la tutela della privacy e la sicurezza dei dati dei pazienti sono di massima priorit\u00e0. La collaborazione tra professionisti sanitari e piattaforme digitali, se gestita nel rispetto delle normative e con una chiara definizione dei ruoli e delle responsabilit\u00e0, pu\u00f2 offrire servizi efficienti e sicuri, migliorando l&#8217;accessibilit\u00e0 e la qualit\u00e0 delle cure per i pazienti.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Quando un professionista sanitario designa il proprietario o il gestore di una piattaforma digitale come responsabile del trattamento per la gestione di specifiche attivit\u00e0 tecnico-amministrative, \u00e8 fondamentale che questa designazione sia formalizzata attraverso un atto giuridico chiaro e dettagliato, come un contratto. Questo documento deve rispettare i requisiti stabiliti dall&#8217;articolo 28, paragrafo 3 del Regolamento Generale sulla Protezione dei Dati (GDPR), che delineano le condizioni per il trattamento dei dati personali da parte del responsabile del trattamento.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-elementi-chiave-dell-atto-di-designazione\">Elementi chiave dell&#8217;atto di designazione:<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Istruzioni sul Trattamento dei Dati<\/strong>: L&#8217;atto deve specificare chiaramente le istruzioni che il responsabile del trattamento \u00e8 tenuto a seguire nel gestire i dati personali. Questo include le finalit\u00e0 del trattamento, le categorie di dati trattati, e qualsiasi limitazione relativa al trattamento stesso. Le istruzioni devono riflettere la necessit\u00e0 di trattare i dati esclusivamente per le finalit\u00e0 concordate e secondo le direttive del titolare del trattamento (il professionista sanitario).<\/li>\n\n\n\n<li><strong>Misure di Sicurezza<\/strong>: L&#8217;accordo deve includere un dettaglio delle misure di sicurezza tecniche ed organizzative che il responsabile del trattamento \u00e8 obbligato ad implementare per proteggere i dati personali. Questo \u00e8 in linea con quanto richiesto dall&#8217;articolo 32 del GDPR, che impone l&#8217;adozione di misure adeguate per garantire un livello di sicurezza appropriato al rischio, includendo, ad esempio, la cifratura dei dati personali, la capacit\u00e0 di garantire la riservatezza, l&#8217;integrit\u00e0, la disponibilit\u00e0 e la resilienza dei sistemi e dei servizi di trattamento, e la capacit\u00e0 di ripristinare tempestivamente i dati in caso di incidente.<\/li>\n\n\n\n<li><strong>Responsabilit\u00e0 e Obblighi<\/strong>: L&#8217;atto deve chiarire le responsabilit\u00e0 del responsabile del trattamento, incluso l&#8217;obbligo di agire solo su istruzioni documentate del titolare del trattamento, di garantire la sicurezza dei dati, e di rispettare i diritti degli interessati. Inoltre, deve essere specificato l&#8217;obbligo da parte del responsabile del trattamento di assistere il titolare nel garantire la conformit\u00e0 con vari aspetti del GDPR, come la gestione delle richieste degli interessati e la valutazione dell&#8217;impatto sulla protezione dei dati.<\/li>\n<\/ol>\n\n\n\n<p>La formalizzazione di questa relazione attraverso un atto di designazione che soddisfi tutti questi elementi non solo assicura la conformit\u00e0 con il GDPR, ma stabilisce anche una base solida per la protezione dei dati personali, rafforzando la fiducia tra tutte le parti coinvolte e, soprattutto, degli utenti e pazienti i cui dati sono trattati. Questo approccio meticoloso e trasparente alla designazione del responsabile del trattamento sottolinea l&#8217;impegno verso la sicurezza dei dati e la tutela della privacy in un contesto tanto sensibile quanto quello sanitario.<\/p>\n\n\n\n<p>In un contesto complesso come quello del trattamento dei dati personali attraverso piattaforme digitali, \u00e8 possibile che un singolo soggetto, quale il gestore della piattaforma, si trovi a ricoprire ruoli diversi a seconda delle specifiche operazioni di trattamento. Questa dualit\u00e0 di ruoli riflette la flessibilit\u00e0 e la dinamicit\u00e0 del Regolamento Generale sulla Protezione dei Dati (GDPR) nell&#8217;adattarsi a realt\u00e0 operative multifacetiche, garantendo al tempo stesso la protezione dei dati personali degli interessati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-ruolo-di-titolare-del-trattamento\">Ruolo di Titolare del Trattamento<\/h3>\n\n\n\n<p>Il gestore della piattaforma pu\u00f2 agire come titolare del trattamento quando decide le finalit\u00e0 e i mezzi del trattamento di dati personali. Ad esempio, questa figura determina come i dati degli utenti vengano raccolti, trattati e utilizzati per la registrazione e la creazione di account o per fornire servizi specifici attraverso la piattaforma. In questa veste, il gestore ha la piena responsabilit\u00e0 di garantire che il trattamento dei dati sia conforme ai principi del GDPR, implementando misure tecniche e organizzative adeguate per proteggere i dati personali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-ruolo-di-responsabile-del-trattamento\">Ruolo di Responsabile del Trattamento<\/h3>\n\n\n\n<p>Parallelamente, lo stesso gestore della piattaforma pu\u00f2 assumere il ruolo di responsabile del trattamento quando svolge operazioni di trattamento per conto di un altro titolare del trattamento, ad esempio un professionista sanitario che utilizza la piattaforma per gestire appuntamenti o archiviare documentazione medica. In questi casi, il gestore agisce seguendo le istruzioni specifiche del titolare del trattamento (il professionista sanitario), limitandosi a trattare i dati personali per le finalit\u00e0 stabilite e garantendo la sicurezza e la protezione dei dati affidati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-considerazioni-importanti\">Considerazioni Importanti<\/h3>\n\n\n\n<p>Questa capacit\u00e0 di adattare il proprio ruolo a seconda delle circostanze implica una chiara comprensione e definizione dei confini tra le diverse operazioni di trattamento e delle relative responsabilit\u00e0. \u00c8 essenziale che ci\u00f2 sia riflettuto in accordi formali, come contratti o altri atti giuridici, che specificano i dettagli del trattamento, le istruzioni e le misure di sicurezza da implementare, conformemente agli articoli 28 e 32 del GDPR.<\/p>\n\n\n\n<p>Inoltre, la trasparenza verso gli interessati riguardo al ruolo che il gestore della piattaforma assume in relazione al trattamento dei loro dati \u00e8 cruciale per mantenere la fiducia e assicurare la conformit\u00e0 con i principi di responsabilit\u00e0 e trasparenza del GDPR.<\/p>\n\n\n\n<p>In sintesi, la possibilit\u00e0 che un gestore di piattaforma possa assumere sia il ruolo di titolare che di responsabile del trattamento sottolinea l&#8217;importanza di una gestione flessibile ma rigorosa dei dati personali, che tenga conto delle diverse responsabilit\u00e0 e obblighi in ogni specifico contesto di trattamento<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-importanza-della-trasparenza-e-dell-informativa\">Importanza della Trasparenza e dell&#8217;Informativa<\/h3>\n\n\n\n<p>La trasparenza nei confronti degli interessati si manifesta principalmente attraverso l&#8217;informativa sulla privacy, uno strumento fondamentale che deve delineare chiaramente chi \u00e8 il titolare del trattamento, chi agisce come responsabile del trattamento per conto del titolare, e per quali specifiche finalit\u00e0 i dati personali vengono raccolti e trattati. Questa informativa deve inoltre illustrare le basi giuridiche del trattamento, le misure di sicurezza adottate per proteggere i dati e i diritti degli interessati in relazione ai loro dati personali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-corrette-basi-giuridiche-e-responsabilita\">Corrette Basi Giuridiche e Responsabilit\u00e0<\/h3>\n\n\n\n<p>La corretta identificazione dei ruoli \u00e8 fondamentale per stabilire le adeguate basi giuridiche del trattamento, come il consenso, l&#8217;esecuzione di un contratto, l&#8217;adempimento di un obbligo legale o l&#8217;interesse legittimo. Ogni base giuridica comporta specifiche responsabilit\u00e0 per i titolari e i responsabili del trattamento, inclusa la gestione consapevole dei dati e la risposta alle eventuali richieste degli interessati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-autodeterminazione-informativa-e-diritti-degli-interessati\">Autodeterminazione Informativa e Diritti degli Interessati<\/h3>\n\n\n\n<p>La trasparenza contribuisce in modo significativo all&#8217;autodeterminazione informativa degli interessati, permettendo loro di comprendere come i loro dati vengono utilizzati e di esercitare consapevolmente i diritti garantiti dal GDPR, tra cui il diritto di accesso, di rettifica, di cancellazione (&#8220;diritto all&#8217;oblio&#8221;), di limitazione del trattamento, di opposizione al trattamento e il diritto alla portabilit\u00e0 dei dati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-conclusione\">Conclusione<\/h3>\n\n\n\n<p>In sintesi, la chiara definizione e rappresentazione dei ruoli nel trattamento dei dati personali non solo assicura la conformit\u00e0 con le normative sulla protezione dei dati, ma rafforza anche la fiducia degli interessati nel modo in cui le loro informazioni vengono gestite. Questo approccio trasparente e responsabile \u00e8 fondamentale per costruire e mantenere una relazione di fiducia tra gli utenti e le piattaforme digitali, garantendo al contempo che i diritti alla privacy e alla protezione dei dati personali siano pienamente rispettati e tutelati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-principio-di-correttezza-e-trasparenza\">Il principio di correttezza e trasparenza <\/h3>\n\n\n\n<p>Il principio di correttezza e trasparenza occupa una posizione centrale nel Regolamento Generale sulla Protezione dei Dati (GDPR), stabilendo le fondamenta su cui si costruisce la relazione tra titolari del trattamento e interessati, ovvero le persone fisiche cui si riferiscono i dati personali. Questi principi assicurano che gli interessati siano pienamente consapevoli del trattamento a cui sono sottoposti i loro dati personali, comprese le finalit\u00e0 per cui i dati vengono raccolti e trattati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-informazioni-da-rendere-agli-interessati\">Informazioni da Rendere agli Interessati<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-in-caso-di-raccolta-diretta-dei-dati-art-13-del-gdpr\">In Caso di Raccolta Diretta dei Dati (Art. 13 del GDPR)<\/h4>\n\n\n\n<p>Quando i dati personali vengono raccolti direttamente dall&#8217;interessato, il titolare del trattamento \u00e8 tenuto a fornire una serie di informazioni al momento della raccolta stessa. Queste includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&#8217;identit\u00e0 e i dati di contatto del titolare del trattamento e, se presente, del suo rappresentante.<\/li>\n\n\n\n<li>I dati di contatto del responsabile della protezione dei dati, se nominato.<\/li>\n\n\n\n<li>Le finalit\u00e0 del trattamento a cui sono destinati i dati personali, nonch\u00e9 la base giuridica del trattamento.<\/li>\n\n\n\n<li>I destinatari o le categorie di destinatari dei dati personali, se presenti.<\/li>\n\n\n\n<li>Se applicabile, l&#8217;intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o un&#8217;organizzazione internazionale, e l&#8217;esistenza o l&#8217;assenza di una decisione di adeguatezza della Commissione Europea.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-in-caso-di-raccolta-dei-dati-presso-soggetti-terzi-art-14-del-gdpr\">In Caso di Raccolta dei Dati Presso Soggetti Terzi (Art. 14 del GDPR)<\/h4>\n\n\n\n<p>Se i dati personali non vengono raccolti direttamente dall&#8217;interessato, ma presso soggetti terzi, il titolare del trattamento deve comunque fornire all&#8217;interessato una serie di informazioni, che includono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le categorie di dati personali trattati.<\/li>\n\n\n\n<li>La fonte da cui i dati personali provengono, e se provengono da fonti pubblicamente accessibili.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-principi-comuni\">Principi Comuni<\/h4>\n\n\n\n<p>In entrambi i casi, il Regolamento richiede che le informazioni siano fornite in modo che siano facilmente accessibili e comprensibili, utilizzando un linguaggio semplice e chiaro. Questo \u00e8 fondamentale per garantire che gli interessati possano facilmente comprendere cosa accade ai loro dati e quali diritti hanno in relazione a tali dati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-obiettivo-dei-principi-di-correttezza-e-trasparenza\">Obiettivo dei Principi di Correttezza e Trasparenza<\/h3>\n\n\n\n<p>L&#8217;obiettivo principale di questi principi \u00e8 di assicurare che gli interessati non siano soltanto a conoscenza del trattamento dei loro dati personali, ma che siano anche in grado di controllare tale trattamento. Ci\u00f2 \u00e8 in linea con il diritto alla autodeterminazione informativa, che \u00e8 alla base del GDPR. La trasparenza e la correttezza nel trattamento dei dati personali contribuiscono a costruire un rapporto di fiducia tra titolari del trattamento e interessati, promuovendo una cultura di rispetto della privacy e protezione dei dati personali.<\/p>\n\n\n\n<p>L&#8217;obbligo di fornire agli interessati le informazioni in forma \u201cconcisa e trasparente\u201d implica che il titolare del trattamento presenti le informazioni in maniera efficace e succinta al fine di evitare una sovraesposizione informativa. Esse dovrebbero essere \u201cconcrete e certe, non dovrebbero essere formulate in termini astratti o ambigui n\u00e9 lasciare spazio a interpretazioni multiple\u201d (cfr. punti 8 e 12, delle Linee guida sulla trasparenza ai sensi del regolamento 2016\/679, adottate dal Gruppo Articolo 29, il 29 novembre 2017, versione emendata adottata l\u201911 aprile 2018 e paragrafo e paragrafo 3.7). In ossequio al principio di trasparenza devono quindi risultare chiare, prima che il trattamento abbia inizio, in particolare sia le finalit\u00e0 perseguite, che le distinte e corrispondenti basi giuridiche del trattamento.<\/p>\n\n\n\n<p>La disponibilit\u00e0 di queste informazioni \u00e8 infatti fondamentale per ottenere il consenso al trattamento dei dati personali dell\u2019utente, laddove necessario, che pu\u00f2 ritenersi valido solo se l&#8217;interessato \u00e8 stato previamente informato in merito agli elementi chiave del trattamento dei dati e quindi consapevole delle scelte in materia di trattamento dei dati che sta effettuando attraverso la manifestazione del consenso. Inoltre, si dovrebbe comunicare agli utenti con un linguaggio semplice e chiaro se i dati potranno essere riutilizzati da terzi e in tal caso per quali scopi (cfr. paragrafo 3.7 del Parere 02\/2013, sulle applicazioni per dispositivi intelligenti adottato il 27 febbraio 2013).<\/p>\n\n\n\n<p>Tenuto conto che tali piattaforme sono principalmente accessibili tramite un sito internet e che i trattamenti effettuati mediante le stesse perseguono molteplici finalit\u00e0, \u00e8 raccomandato l\u2019uso di informative stratificate o progressive, che consentano agli utenti di consultare le specifiche sezioni di interesse.<\/p>\n\n\n\n<p>In termini pratici, tenuto conto delle richiamate tre macro tipologie di trattamento svolte attraverso le piattaforme, si sottolinea l\u2019importanza che tra le informazioni da rendere agli interessati siano chiaramente rappresentati gli elementi che seguono. 1. Trattamenti dei dati personali degli utenti che si registrano sulle piattaforme, \u00e8 importante che siano chiaramente illustrati, in particolare: o i trattamenti svolti dal proprietario\/gestore della piattaforma in qualit\u00e0 di titolare e quelli eventualmente svolti con il ruolo di responsabile, evidenziando, in particolare, per ciascuna di queste fattispecie, le diverse finalit\u00e0 del trattamento, le relative basi giuridiche e i tempi di conservazione dei dati; o la natura transfrontaliera o meno del trattamento con l\u2019indicazione dell&#8217;autorit\u00e0 di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento, competente ad agire in qualit\u00e0 di autorit\u00e0 di controllo capofila, secondo la procedura di cui all&#8217;articolo 60 del Regolamento; o eventuali trattamenti dei dati personali, inclusi quelli sulla salute, per finalit\u00e0 ulteriori rispetto a quelle di cura, come ad es. di natura commerciale, avendo cura di indicare per ciascuna finalit\u00e0 la corretta base giuridica del trattamento (quale ad esempio il consenso dell\u2019interessato).<\/p>\n\n\n\n<p>Trattamenti dei dati personali dei professionisti sanitari: il proprietario\/gestore della Piattaforma, in qualit\u00e0 di titolare, dovr\u00e0 fornire ai professionisti sanitari, prima che il trattamento abbia inizio e quindi prima che questi ultimi si registrino alla piattaforma, tutte le informazioni di cui all\u2019art. 13 del Regolamento, tra cui i tempi di conservazione, avendo cura di specificare:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>i criteri in base ai quali viene visualizzato dall\u2019utente l\u2019elenco dei professionisti a seguito della ricerca con particolare riferimento all\u2019eventuale uso di algoritmi o sistema di intelligenza artificiale;<\/li>\n\n\n\n<li>eventuali trattamenti in ordine ai giudizi di gradimento espressi dal paziente sul professionista sanitario.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-trattamenti-di-dati-sulla-salute-dei-pazienti-che-potrebbero-essere-venuti-in-contatto-con-il-professionista-sanitario-attraverso-la-piattaforma\">Trattamenti di dati sulla salute dei pazienti -che potrebbero essere venuti in contatto con il professionista sanitario attraverso la piattaforma.<\/h3>\n\n\n\n<p>Trattamenti di dati sulla salute dei pazienti che potrebbero essere venuti in contatto con il professionista sanitario attraverso la piattaforma, in occasione, ad esempio, della prenotazione di una visita specialistica, eventualmente effettuati dal predetto professionista per finalit\u00e0 di cura, in qualit\u00e0 di titolare, \u00e8 necessario che:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Prima che il trattamento di cura abbia inizio, sia resa ai propri pazienti un\u2019autonoma e specifica informativa con tutti gli elementi di cui all\u2019art. 13 del Regolamento;<\/li>\n\n\n\n<li>Qualora, prima di entrare in contatto con il paziente per l\u2019erogazione delle prestazioni sanitarie, il professionista sanitario decida anche di usufruire dei servizi offerti dalla piattaforma per la gestione del rapporto medico-paziente e ci\u00f2 comporti un trattamento di dati sulla salute dei propri pazienti da parte della piattaforma per conto del professionista sanitario, in qualit\u00e0 di responsabile, il professionista sanitario pu\u00f2 prevedere, nell\u2019atto di designazione ai sensi dell\u2019art. 28 del Regolamento, che l\u2019informativa sia resa al paziente dal proprietario\/gestore della piattaforma per conto del predetto professionista;<\/li>\n\n\n\n<li>Qualora la piattaforma sia utilizzata dai professionisti sanitari quali i MMG e dai PLS per gestire le proprie relazioni con i pazienti, i servizi potranno essere offerti solo a seguito di una espressa richiesta da parte dell\u2019interessato, il quale dovr\u00e0 essere preventivamente e chiaramente informato della facoltativit\u00e0 di utilizzo di questo canale per entrare in contatto con i predetti medici.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading has-black-color has-text-color has-link-color wp-elements-86694ac4dcd588a3d1b7fbe667998870\" id=\"h-trattamenti-effettuati-al-di-fuori-del-territorio-nazionale\">Trattamenti effettuati al di fuori del territorio nazionale: <\/h3>\n\n\n\n<p>Dalle istruttorie condotte da questa Autorit\u00e0 \u00e8 emerso che le piattaforme in esame, nella maggior parte dei casi, sono gestite da soggetti non sempre stabiliti in Italia. Il trattamento svolto pu\u00f2 pertanto assumere la natura di trattamento transfrontaliero, definito dal Regolamento quale: \u201ca) il trattamento di dati personali che ha luogo nell&#8217;ambito delle attivit\u00e0 di stabilimenti in pi\u00f9 di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell&#8217;Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in pi\u00f9 di uno Stato membro;<\/p>\n\n\n\n<p>b) il trattamento di dati personali che ha luogo nell&#8217;ambito delle attivit\u00e0 di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell&#8217;Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in pi\u00f9 di uno Stato membro (art. 4(23) del Regolamento)<\/p>\n\n\n\n<p>In caso di trattamento transfrontaliero, l&#8217;autorit\u00e0 di controllo che ha sede nel luogo in cui si trova lo stabilimento principale o unico nell&#8217;UE del titolare o responsabile del trattamento, assume il ruolo di Autorit\u00e0 capofila, alla quale viene trasferita la competenza da tutte le altre autorit\u00e0 di controllo (definite, in questo caso, &#8220;autorit\u00e0 interessate&#8221;) per quanto riguarda i &#8220;trattamenti transfrontalieri&#8221; di dati personali svolti da tali titolari o responsabili.<\/p>\n\n\n\n<p>L&#8217;obiettivo della devoluzione di competenze a favore dell&#8217;autorit\u00e0 capofila \u00e8 quello di garantire l&#8217;esistenza di uno &#8220;sportello unico&#8221; per i trattamenti transfrontalieri di dati personali. Infatti, \u201cl&#8217;autorit\u00e0 di controllo capofila \u00e8 l&#8217;unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile&#8221; (art. 56, par. 6, del Regolamento), fatte salve alcune eccezioni come quelle previste dall\u2019art. 56, par. 2 del Regolamento in base al quale: \u201cIn deroga al paragrafo 1, ogni autorit\u00e0 di controllo \u00e8 competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l&#8217;oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro\u201d.<\/p>\n\n\n\n<p>A tale riguardo, la natura transfrontaliera del trattamento deve essere portata a conoscenza degli interessati prima che il trattamento abbia inizio, assieme agli elementi indicati al precedente punto 7); ci\u00f2 al fine di renderli edotti della circostanza che la presentazione del reclamo presso altre Autorit\u00e0 (c.d. Autorit\u00e0 interessata), comporta da parte di quest\u2019ultima l\u2019avvio della procedura di cooperazione tra l\u2019Autorit\u00e0 di controllo capofila e le altre Autorit\u00e0 interessate, ai sensi dell\u2019art. 60 del Regolamento (cfr. Linee guida 8\/2022 sull&#8217;individuazione dell&#8217;autorit\u00e0 di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento Versione 2.0, Adottate il 28 marzo 2023\u201d). Qualora, il trattamento coinvolga anche soggetti stabili presso paesi terzi, si applicano le specifiche disposizioni di cui agli artt. 45 e seguenti del Regolamento e si rende necessario informare l\u2019interessato di tali operazioni, avendo cura di evidenziare il presupposto legittimante il predetto trasferimento e le garanzie adeguate che si intendono prevedere.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-principio-di-privacy-by-design\">Il principio di Privacy by Design: <\/h3>\n\n\n\n<p>L\u2019art. 25, par. 1, del Regolamento prevede che \u201ctenendo conto dello stato dell&#8217;arte e dei costi di attuazione, nonch\u00e9 della natura, dell&#8217;ambito di applicazione, del contesto e delle finalit\u00e0 del trattamento, come anche dei rischi aventi probabilit\u00e0 e gravit\u00e0 diverse per i diritti e le libert\u00e0 delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all&#8217;atto del trattamento stesso il titolare del trattamento [debba mettere] in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati\u201d.<\/p>\n\n\n\n<p>In base al principio della <strong>\u201cprotezione dei dati fin dalla progettazione<\/strong>\u201d, il titolare del trattamento \u00e8 tenuto, pertanto, ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libert\u00e0 degli interessati.<\/p>\n\n\n\n<p><strong>Il Considerando 78 del Regolamento <\/strong>(cfr. EDPB &#8211; Linee Guida 4\/2019 Data Protection by Design and by Default) prevede che \u201cin fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorch\u00e9 sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell&#8217;arte, a far s\u00ec che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. <\/p>\n\n\n\n<p>Il considerando 78 del Regolamento evidenzia una responsabilit\u00e0 dei titolari, ossia quella di valutare costantemente se stiano utilizzando, in qualunque momento, mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilit\u00e0 rilevate. <\/p>\n\n\n\n<p>Inoltre, i titolari dovrebbero effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali, nonch\u00e9 della procedura per la gestione delle violazioni dei dati ai sensi degli artt. 33 e 34 del Regolamento.<\/p>\n\n\n\n<p><strong>Il principio di &#8220;privacy by design&#8221;<\/strong> ha dunque lo scopo di garantire l&#8217;esistenza di un corretto livello di protezione dei dati personali fin dalla fase di progettazione (design) di qualunque sistema, servizio, prodotto o processo cos\u00ec come durante il loro ciclo di vita al fine di attuare in modo efficace i principi di protezione dei dati personali (cfr. Sent. Cass. Dell\u201911 ottobre 2023, n. 28385).<\/p>\n\n\n\n<p>Queste misure potranno comprendere diverse soluzioni: sia avanzate e di natura tecnologica, come l&#8217;uso di sistemi di codifica; sia organizzative come la formazione del personale. <\/p>\n\n\n\n<p>In ogni caso, il titolare, nell\u2019implementazione di tali misure, deve tenere conto di alcuni elementi imprescindibili, quali: il contesto in cui si svolge il trattamento; la natura dei dati trattati; le finalit\u00e0 del trattamento; la natura transfrontaliera del trattamento; i potenziali rischi in materia di diritti e libert\u00e0 degli interessati; lo stato dell&#8217;arte tecnologico; i costi di attuazione, sia in termini temporali che di risorse umane. <\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-le-linee-guida-4-2019-sull-articolo-25-del-gdpr\">Le Linee Guida 4\/2019 sull&#8217;articolo 25 del GDPR<\/h4>\n\n\n\n<p>Le Linee Guida 4\/2019 sull&#8217;articolo 25 del GDPR, adottate dal Comitato Europeo per la Protezione dei Dati (EDPB), si concentrano sull&#8217;obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita, noto come Data Protection by Design and by Default (DPbDD)<\/p>\n\n\n\n<p>Queste linee guida delineano come i titolari del trattamento debbano integrare la protezione dei dati personali nelle fasi iniziali del design dei sistemi e dei processi, e come debbano assicurare che le impostazioni predefinite proteggano i dati personali in modo efficace.<\/p>\n\n\n\n<p>Le principali aree di focus delle linee guida includono:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Implementazione dei Principi di Protezione dei Dati<\/strong>: I titolari del trattamento sono tenuti a implementare misure tecniche e organizzative che garantiscano la protezione dei dati personali fin dalla fase di progettazione dei sistemi e durante tutto il ciclo di vita del trattamento dei dati<a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/data-protection-by-design-e-by-default-ecco-le-linee-guida-edpb\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/privacy.it\/2020\/10\/20\/edpb-linee-guida-4-2019-by-design-default\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n\n\n\n<li><strong>Misurazione dell&#8217;Efficacia delle Misure<\/strong>: \u00c8 essenziale che i titolari del trattamento siano in grado di dimostrare l&#8217;efficacia delle misure di protezione dei dati adottate, garantendo che queste siano adeguatamente progettate per proteggere i diritti e le libert\u00e0 degli interessati<a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/data-protection-by-design-e-by-default-ecco-le-linee-guida-edpb\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a><a href=\"https:\/\/privacy.it\/2020\/10\/20\/edpb-linee-guida-4-2019-by-design-default\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n\n\n\n<li><strong>Cooperazione tra Titolari e Produttori<\/strong>: Le linee guida raccomandano una collaborazione tra i titolari del trattamento, i responsabili del trattamento e i produttori di sistemi e servizi per garantire che la protezione dei dati sia integrata efficacemente<a href=\"https:\/\/privacy.it\/2020\/10\/20\/edpb-linee-guida-4-2019-by-design-default\/\" target=\"_blank\" rel=\"noreferrer noopener\">3<\/a>.<\/li>\n\n\n\n<li><strong>Certificazione e Conformit\u00e0<\/strong>: Gli elementi che contribuiscono a dimostrare la conformit\u00e0 all&#8217;articolo 25, come i processi di progettazione e la governance organizzativa, possono essere utilizzati per ottenere certificazioni di conformit\u00e0 ai sensi dell&#8217;articolo 42 del GDPR<a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/data-protection-by-design-e-by-default-ecco-le-linee-guida-edpb\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>.<\/li>\n\n\n\n<li><strong>Valutazione e Correzione<\/strong>: Le autorit\u00e0 di vigilanza possono valutare la conformit\u00e0 con l&#8217;articolo 25 e, se necessario, esercitare poteri correttivi come l&#8217;emissione di avvertenze, rimproveri, e multe amministrative per garantire l&#8217;adeguamento<a href=\"https:\/\/www.agendadigitale.eu\/sicurezza\/privacy\/data-protection-by-design-e-by-default-ecco-le-linee-guida-edpb\/\" target=\"_blank\" rel=\"noreferrer noopener\">1<\/a>.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-la-sicurezza-del-trattamento\">La sicurezza del trattamento<\/h3>\n\n\n\n<p> Il Regolamento prevede che il titolare del trattamento metta in atto \u201cmisure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio\u201d, tenendo conto, tra l\u2019altro, \u201cdella natura, dell&#8217;oggetto, del contesto e delle finalit\u00e0 del trattamento, come anche del rischio di varia probabilit\u00e0 e gravit\u00e0 per i diritti e le libert\u00e0 delle persone fisiche\u201d e che \u201cnel valutare l\u2019adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall\u2019accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati\u201d (art. 32 del Regolamento).<\/p>\n\n\n\n<p>L&#8217;articolo 32 del GDPR (General Data Protection Regulation) si concentra sulla sicurezza del trattamento dei dati personali, stabilendo che il titolare del trattamento e il responsabile del trattamento devono implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio<\/p>\n\n\n\n<p>Questo include, tra le altre cose, la <strong>pseudonimizzazione e la cifratura dei dati personali<\/strong>; la capacit\u00e0 di assicurare in modo continuativo la riservatezza, l&#8217;integrit\u00e0, la disponibilit\u00e0 e la resilienza dei sistemi e dei servizi di trattamento; la capacit\u00e0 di ripristinare tempestivamente la disponibilit\u00e0 e l&#8217;accesso ai dati personali in caso di incidente fisico o tecnico; e un processo per testare, valutare e valutare regolarmente l&#8217;efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento<\/p>\n\n\n\n<p>L&#8217;articolo 32 richiede inoltre che il titolare del trattamento e il responsabile del trattamento prendano misure per garantire che qualsiasi persona fisica che agisca sotto l&#8217;autorit\u00e0 del titolare o del responsabile e che abbia accesso ai dati personali non li tratti se non su istruzioni del titolare, a meno che non sia richiesto dalla legge dell&#8217;Unione o degli Stati membri<\/p>\n\n\n\n<p>Nell&#8217;adottare le misure di sicurezza, devono essere presi in considerazione lo stato dell&#8217;arte, i costi di attuazione, nonch\u00e9 la natura, l&#8217;ambito, il contesto e le finalit\u00e0 del trattamento e il rischio di varia probabilit\u00e0 e gravit\u00e0 per i diritti e le libert\u00e0 delle persone fisiche. <\/p>\n\n\n\n<p>L&#8217;adesione a un codice di condotta approvato o a un meccanismo di certificazione approvato pu\u00f2 essere utilizzata come elemento per dimostrare la conformit\u00e0 con i requisiti stabiliti in questo articolo<\/p>\n\n\n\n<p>Con riferimento ai trattamenti in esame, il titolare deve porre particolare attenzione ad individuare <strong>misure tecniche e organizzative <\/strong>volte a ridurre il rischio di distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.<\/p>\n\n\n\n<p>Allo stato dell\u2019arte,<strong> l\u2019utilizzo di tecniche crittografiche <\/strong>\u00e8 una delle misure pi\u00f9 comunemente adottate per proteggere, in particolar modo, i dati personali degli utenti di un servizio on-line durante la loro trasmissione su rete Internet. <\/p>\n\n\n\n<p>Al riguardo, si richiama l\u2019attenzione sulla scelta <strong>di un protocollo di rete<\/strong> che garantisca la riservatezza e l\u2019integrit\u00e0 dei dati scambiati tra il browser dell\u2019utente e il server che ospita i servizi delle predette piattaforme, consentendo inoltre agli utenti di verificare l\u2019autenticit\u00e0 del sito web visualizzato.<\/p>\n\n\n\n<p>I proprietari\/gestori delle piattaforme dovranno inoltre prevedere a titolo esemplificativo e non esaustivo le seguenti misure:<br>a) Procedura di adesione alla piattaforma da parte dello specialista che preveda la verifica del possesso della qualifica professionale (es. invio di un codice OTP all\u2019indirizzo PEC -censito su INI-PEC- del medesimo professionista);<br>b) Procedura di verifica\/convalida del dato di contatto scelto dall\u2019utente (es. indirizzo di posta elettronica, numero di cellulare);<br>c) Misure volte alla riduzione degli errori di omonimia\/omocodia;<br>d) Procedure di autenticazione informatica a pi\u00f9 fattori;<br>e) Meccanismi di blocco della app in caso di inattivit\u00e0 (es. time out) o di chiusura della medesima;<br>f) Sistemi di monitoraggio anche automatici per rilevare accessi non autorizzati o anomali alle piattaforme.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-le-informazioni-che-devono-essere-fornite-ai-pazienti\">Le informazioni che devono essere fornite ai pazienti.<\/h3>\n\n\n\n<p>Il documento dedica una sezione specifica alle<strong> informazioni che devono essere fornite ai pazienti<\/strong>. <\/p>\n\n\n\n<p>Queste informazioni, seguendo i principi di correttezza e trasparenza, devono essere presentate in modo semplice, chiaro, conciso, trasparente, intelligibile e facilmente accessibile. Questo approccio rispetta i principi fondamentali di trasparenza e correttezza.<\/p>\n\n\n\n<p>Nella pratica, considerando le tre principali categorie di trattamento dati attraverso le piattaforme, \u00e8 cruciale che le informazioni fornite agli utenti includano chiaramente:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-per-i-dati-personali-degli-utenti-registrati-sulle-piattaforme\"><strong>Per i dati personali degli utenti registrati sulle piattaforme<\/strong>: <\/h4>\n\n\n\n<p>\u00c8 fondamentale illustrare chiaramente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>I trattamenti effettuati dal proprietario\/gestore della piattaforma come titolare e quelli potenzialmente svolti come responsabile, specificando per ciascuno le finalit\u00e0 del trattamento, le basi giuridiche e i periodi di conservazione dei dati.<\/li>\n\n\n\n<li>Se il trattamento ha una dimensione transfrontaliera, indicando l&#8217;autorit\u00e0 di controllo principale o unica competente come capofila secondo l&#8217;articolo 60 del Regolamento.<\/li>\n\n\n\n<li>Eventuali trattamenti dei dati personali, inclusi quelli relativi alla salute, per finalit\u00e0 diverse dalla cura, come quelle commerciali, specificando per ciascuna la base giuridica appropriata (es. il consenso dell&#8217;interessato).<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-per-i-dati-personali-dei-professionisti-sanitari\"><strong>Per i dati personali dei professionisti sanitari<\/strong>: <\/h4>\n\n\n\n<p>Il proprietario\/gestore della piattaforma, in qualit\u00e0 di titolare, deve fornire ai professionisti sanitari, prima dell&#8217;inizio del trattamento e quindi prima della loro registrazione sulla piattaforma, tutte le informazioni previste dall&#8217;articolo 13 del Regolamento, inclusi i periodi di conservazione, specificando:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>I criteri utilizzati per presentare l&#8217;elenco dei professionisti agli utenti dopo una ricerca, particolarmente in relazione all&#8217;uso di algoritmi o intelligenza artificiale.<\/li>\n\n\n\n<li>Eventuali trattamenti relativi ai feedback espressi dai pazienti sui professionisti sanitari.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-per-i-dati-sulla-salute-dei-pazienti\"><strong>Per i dati sulla salute dei pazienti<\/strong> <\/h4>\n\n\n\n<p>che potrebbero aver interagito con il professionista sanitario tramite la piattaforma, ad esempio per prenotare una visita specialistica, e che il professionista potrebbe trattare a fini di cura:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00c8 necessario che, prima dell&#8217;inizio del trattamento a fini di cura, i pazienti ricevano un&#8217;informativa specifica e indipendente contenente tutti gli elementi previsti dall&#8217;articolo 13 del Regolamento.<\/li>\n\n\n\n<li>Se il professionista sanitario decide di utilizzare i servizi della piattaforma per gestire il rapporto medico-paziente, e ci\u00f2 comporta un trattamento dei dati sulla salute dei pazienti da parte della piattaforma per conto del professionista, quest&#8217;ultimo pu\u00f2 stabilire che l&#8217;informativa sia fornita ai pazienti dal proprietario\/gestore della piattaforma per suo conto.<\/li>\n\n\n\n<li>Se la piattaforma \u00e8 utilizzata da professionisti sanitari, come i medici di medicina generale o i pediatri di libera scelta, per gestire le relazioni con i pazienti, i servizi devono essere offerti solo su esplicita richiesta dell&#8217;interessato, il quale deve essere preventivamente informato in modo chiaro sulla facoltativit\u00e0 di utilizzare questo canale per comunicare con i medici.<\/li>\n\n\n\n<li><\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n\n\n<p>In conclusione, in questo viaggio attraverso il regno della sanit\u00e0 digitale, emerge chiaramente che la fiducia e la sicurezza sono tanto il punto di partenza quanto di arrivo. La tecnologia, nella sua incessante marcia, offre straordinarie possibilit\u00e0 di migliorare la cura e il benessere dei pazienti, ma richiede una mappa etica e normativa che guidi i suoi passi nella giusta direzione, assicurando che ogni avventura nel digitale sia sicura come una notte tranquilla all&#8217;interno delle mura di una cittadella ben difesa.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Introduzione La frontiera della medicina si espande oltre le mura degli ospedali e degli studi medici, tessendo una rete virtuale che connette pazienti e professionisti della salute attraverso il tocco di uno schermo. Oggi sicuramente viviamo in un mondo dove la tecnologia diventa il ponte tra il bisogno di cura e la sua erogazione, un [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6692,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[617,618,616,613,614,619,615],"class_list":["post-6647","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorizzato","tag-app-di-telemedicina","tag-conservazione-dei-dati-medici-digitali","tag-gdpr-e-salute-digitale","tag-piattaforme-sanitarie-digitali","tag-privacy-in-medicina-digitale","tag-servizi-sanitari-online","tag-sicurezza-dei-dati-sanitari-online"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v23.3 (Yoast SEO v25.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Salute Digitale: La Privacy nelle Piattaforme Online - PB Consulting<\/title>\n<meta name=\"description\" content=\"Esplora l&#039;innovazione delle piattaforme sanitarie digitali nel nostro ultimo articolo, dove affrontiamo la cruciale importanza della privacy e sicurezza dei dati in telemedicina. Scopri come il GDPR e le normative sulla salute digitale stanno plasmando l&#039;accesso ai servizi sanitari online, garantendo la protezione dei dati personali e la fiducia dei pazienti. Un approfondimento essenziale per professionisti e utenti interessati al futuro della medicina digitale.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Salute Digitale: La Privacy nelle Piattaforme Online\" \/>\n<meta property=\"og:description\" content=\"Esplora l&#039;innovazione delle piattaforme sanitarie digitali nel nostro ultimo articolo, dove affrontiamo la cruciale importanza della privacy e sicurezza dei dati in telemedicina. Scopri come il GDPR e le normative sulla salute digitale stanno plasmando l&#039;accesso ai servizi sanitari online, garantendo la protezione dei dati personali e la fiducia dei pazienti. Un approfondimento essenziale per professionisti e utenti interessati al futuro della medicina digitale.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/\" \/>\n<meta property=\"og:site_name\" content=\"PB Consulting\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/alberto.bozzo.9\" \/>\n<meta property=\"article:published_time\" content=\"2024-04-15T19:57:50+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-04-15T20:14:24+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"640\" \/>\n\t<meta property=\"og:image:height\" content=\"832\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Alberto Bozzo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alberto Bozzo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"125 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/\",\"url\":\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/\",\"name\":\"Salute Digitale: La Privacy nelle Piattaforme Online - PB Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/www.consultingpb.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg\",\"datePublished\":\"2024-04-15T19:57:50+00:00\",\"dateModified\":\"2024-04-15T20:14:24+00:00\",\"author\":{\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\"},\"description\":\"Esplora l'innovazione delle piattaforme sanitarie digitali nel nostro ultimo articolo, dove affrontiamo la cruciale importanza della privacy e sicurezza dei dati in telemedicina. Scopri come il GDPR e le normative sulla salute digitale stanno plasmando l'accesso ai servizi sanitari online, garantendo la protezione dei dati personali e la fiducia dei pazienti. Un approfondimento essenziale per professionisti e utenti interessati al futuro della medicina digitale.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#primaryimage\",\"url\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg\",\"contentUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg\",\"width\":640,\"height\":832},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.consultingpb.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Salute Digitale: La Privacy nelle Piattaforme Online\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.consultingpb.com\/#website\",\"url\":\"https:\/\/www.consultingpb.com\/\",\"name\":\"PB Consulting\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.consultingpb.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\",\"name\":\"Alberto Bozzo\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"caption\":\"Alberto Bozzo\"},\"sameAs\":[\"https:\/\/www.consultingpb.com\/\",\"https:\/\/www.facebook.com\/alberto.bozzo.9\",\"https:\/\/www.instagram.com\/ab_dirittorovescio\/\",\"https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/\"],\"url\":\"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Salute Digitale: La Privacy nelle Piattaforme Online - PB Consulting","description":"Esplora l'innovazione delle piattaforme sanitarie digitali nel nostro ultimo articolo, dove affrontiamo la cruciale importanza della privacy e sicurezza dei dati in telemedicina. Scopri come il GDPR e le normative sulla salute digitale stanno plasmando l'accesso ai servizi sanitari online, garantendo la protezione dei dati personali e la fiducia dei pazienti. Un approfondimento essenziale per professionisti e utenti interessati al futuro della medicina digitale.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/","og_locale":"en_US","og_type":"article","og_title":"Salute Digitale: La Privacy nelle Piattaforme Online","og_description":"Esplora l'innovazione delle piattaforme sanitarie digitali nel nostro ultimo articolo, dove affrontiamo la cruciale importanza della privacy e sicurezza dei dati in telemedicina. Scopri come il GDPR e le normative sulla salute digitale stanno plasmando l'accesso ai servizi sanitari online, garantendo la protezione dei dati personali e la fiducia dei pazienti. Un approfondimento essenziale per professionisti e utenti interessati al futuro della medicina digitale.","og_url":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/","og_site_name":"PB Consulting","article_author":"https:\/\/www.facebook.com\/alberto.bozzo.9","article_published_time":"2024-04-15T19:57:50+00:00","article_modified_time":"2024-04-15T20:14:24+00:00","og_image":[{"width":640,"height":832,"url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg","type":"image\/jpeg"}],"author":"Alberto Bozzo","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Alberto Bozzo","Est. reading time":"125 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/","url":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/","name":"Salute Digitale: La Privacy nelle Piattaforme Online - PB Consulting","isPartOf":{"@id":"https:\/\/www.consultingpb.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#primaryimage"},"image":{"@id":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#primaryimage"},"thumbnailUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg","datePublished":"2024-04-15T19:57:50+00:00","dateModified":"2024-04-15T20:14:24+00:00","author":{"@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50"},"description":"Esplora l'innovazione delle piattaforme sanitarie digitali nel nostro ultimo articolo, dove affrontiamo la cruciale importanza della privacy e sicurezza dei dati in telemedicina. Scopri come il GDPR e le normative sulla salute digitale stanno plasmando l'accesso ai servizi sanitari online, garantendo la protezione dei dati personali e la fiducia dei pazienti. Un approfondimento essenziale per professionisti e utenti interessati al futuro della medicina digitale.","breadcrumb":{"@id":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#primaryimage","url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg","contentUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/Default_Un_medico_digitale_che_tiene_in_mano_uno_smartphone_da_0.jpg","width":640,"height":832},{"@type":"BreadcrumbList","@id":"https:\/\/www.consultingpb.com\/blog\/non-categorizzato\/salute-digitale-la-privacy-nelle-piattaforme-online\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.consultingpb.com\/en\/"},{"@type":"ListItem","position":2,"name":"Salute Digitale: La Privacy nelle Piattaforme Online"}]},{"@type":"WebSite","@id":"https:\/\/www.consultingpb.com\/#website","url":"https:\/\/www.consultingpb.com\/","name":"PB Consulting","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.consultingpb.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50","name":"Alberto Bozzo","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","caption":"Alberto Bozzo"},"sameAs":["https:\/\/www.consultingpb.com\/","https:\/\/www.facebook.com\/alberto.bozzo.9","https:\/\/www.instagram.com\/ab_dirittorovescio\/","https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/"],"url":"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/"}]}},"_links":{"self":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6647","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/comments?post=6647"}],"version-history":[{"count":15,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6647\/revisions"}],"predecessor-version":[{"id":6696,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6647\/revisions\/6696"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media\/6692"}],"wp:attachment":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media?parent=6647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/categories?post=6647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/tags?post=6647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}