L'approfondimento

Fascicolo sanitario elettronico, tutti i profili privacy: ecco come tutelare i dati

Con il Fascicolo sanitario elettronico vengono trattate diverse tipologie di dati dei pazienti: vediamo tutti gli aspetti legati alla privacy di questo strumento e le indicazioni fornite dal GDPR e dal Garante per gestire i dati in modo corretto

Pubblicato il 03 Dic 2020

Serena Nanni

Security Consulting Analyst presso Accenture

digitale-healthcare

Il Fascicolo sanitario elettronico presenta diversi aspetti privacy che è bene approfondire alla luce della normativa europea prevista dal GDPR. Indispensabile infatti gestire i dati particolari dei pazienti, soprattutto quelli sanitari, nel modo corretto per garantirne la tutela. Questo richiede un approccio su più fronti, legislativo in primis ma anche tecnico.

Le tappe normative del FSE

L’attuazione del FSE in Italia è stata, infatti, complessa e, ad oggi, il cammino non è del tutto compiuto. Fino a poco tempo fa, mancava nell’ordinamento italiano una definizione di FSE, lacuna che ad oggi è stata colmata, come ricordato, dal Garante per la Protezione dei Dati Personali, che ne ha dato una definizione nelle Linee Guida sul FSE del 2009. A seguire, una definizione è presente nell’articolo 12 del Decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 221, come modificato dall’articolo 1, comma 382 della Legge 11 dicembre 2016, n. 232, che è rubricato «Fascicolo sanitario elettronico e sistemi di sorveglianza nel settore sanitario» e così recita: «è l’insieme dei dati e documenti digitali di tipo sanitario e socio- sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito»1. A seguire, sono stati diversi gli interventi legislativi in materia:

  • il 17 marzo 2014 sono state pubblicate dal Ministero della Salute Linee di indirizzo nazionali – Telemedicina2;
  • il 31 marzo 2014 il Ministero della Salute ha pubblicato Linee guida per la presentazione dei piani di progetto regionali per il FSE13;
  • il 15 settembre 2015 è stato pubblicato, attraverso il D.P.C.M. N.179, il Regolamento definitivo in materia di FSE;
  • il Decreto Rilancio (D.l.n. 34 del 2020, convertito con L. n. 77 del 17 luglio 2020).

Il DPCM n.178 del 2015

Il DPCM distingue tra elementi obbligatori e elementi integrativi del FSE. Tra gli elementi obbligatori, elencati all’articolo 2 dello stesso, rientrano i dati identificativi e amministrativi, i referti, i verbali di pronto soccorso, la lettera di dimissione, il patient summary, il dossier farmaceutico; il consenso o diniego alla donazione di organi o tessuti.

Mentre per elementi integrativi si intendono quelli che possono essere inseriti in funzione delle scelte regionali in materia di politica sanitaria e del livello di digitalizzazione raggiunto, ad esempio, rientrano le prescrizioni (specialistiche, farmaceutiche, ecc.); le prenotazioni, le cartelle cliniche, i bilanci di salute; l’assistenza domiciliare, i piani diagnostico –terapeutici. Inoltre, si introduce all’articolo 3 dello stesso DPCM, il concetto di profilo sanitario sintetico o patient summary, definito come: «documento socio-sanitario informatico redatto e aggiornato dal medico di medicina generale o pediatra di libera scelta, che riassume la storia clinica dell’assistito e la sua situazione corrente conosciuta»14 ,precisandone la sua finalità, cioè favorire la continuità di cura, permettendo un rapido inquadramento dell’assistito al momento di un contatto con il SSN. Il patient summary si considera come «la carta d’identità sanitaria dell’assistito»5. Ad esempio, al suo interno sono contenuti, oltre ai dati identificativi del paziente e del suo medico curante, tutte le informazioni cliniche che descrivono lo stato dell’assistito (ad esempio, le diagnosi, le allergie, le terapie farmacologiche).

Un altro concetto che merita attenzione è il taccuino personale dell’assistito, disciplinato dall’art. 4 del DPCM, da intendere come «una sezione riservata del FSE all’interno della quale è permesso all’assistito di inserire dati e documenti personali relativi ai propri percorsi di cura, anche effettuati presso strutture al di fuori del SSN»6. Pertanto, l’assistito può inserire, in completa autonomia, tutti i dati e i documenti che vuole, attinenti al proprio percorso di cura, anche al di fuori del Servizio Sanitario Nazionale (SSN). Queste informazioni non certificate dagli operatori del SSN e l’assistito può scegliere chi ne ha accesso. Proprio questa autonomia rappresenta un «unicum anche a livello europeo, costituendo il primo e fondamentale riconoscimento di fonte legislativa del c.d. patient empowerment. (..) Possono individuarsi quattro profili particolarmente critici relativi ai problemi di titolarità del trattamento, alla condivisione dei dati contenuti nel taccuino, al valore giuridico dei dati e ai regimi di responsabilità»7. Nel tentativo di ricostruire un iter normativo di riferimento per quanto attiene alla figura del taccuino, un primo riferimento si rinviene nelle Linee Guida sul FSE emanate dal Garante, seppur in questo caso non era stata data una definizione, che invece perviene nelle Linee Guida Nazionali emanate in sede di Conferenza Stato- Regioni8 , in cui per la prima volta appare la sezione intitolata taccuino personale del cittadino: «nell’ambito del FSE si può prevedere una sezione riservata al cittadino per offrirgli la possibilità di inserire dati ed informazioni personali (es. dati relativi a nucleo familiare, dati sull’attività sportiva, ecc.) file di documenti sanitari (es. referti di esami effettuati in strutture non convenzionate, referti archiviati in casa), diario degli eventi rilevanti (visite, esami diagnostici, misure dei parametri di monitoraggio), promemoria con i controlli medici periodici. Questo consente di arricchire il FSE con ulteriori informazioni al fine di completare la descrizione dello stato di salute, ma tali informazioni e documenti risulteranno non certificate»9.

Il trattamento dati del FSE

Continuando l’analisi del decreto, si nota come questo distingue tre diverse tipologie di trattamenti effettuate per mezzo del FSE:

  • trattamenti per finalità di cura,
  • trattamenti per finalità di ricerca,
  • trattamenti per finalità di governo,

prevedendo diverse regole e regimi di responsabilità per ciascuno di essi. In particolare per i trattamenti per finalità di cura, gli operatori del SSN che prendono in cura l’assistito, presso cui sono redatti i dati e i documenti sanitari che alimentano il FSE, sono titolari del trattamento, ai sensi del quadro normativo in materia di protezione dei dati personali. Inoltre, ai sensi dell’articolo 11 del Regolamento in materia di FSE, i dati presenti nel FSE, oggetto del trattamento per finalità di cura, sono trattati «coerentemente con i principi di indispensabilità, necessità, pertinenza e non eccedenza».10

L’articolo 13 del DPCM n.178/2015, richiamando quanto previsto dal comma 5 dell’articolo 12 del decreto legge 18 ottobre 2012, n.179, stabilisce che l’accesso alle informazioni contenute nel FSE è consentito solo se l’assistito ha espresso esplicito consenso per questi soggetti effettivamente coinvolti nel processo di cura. Diverso è il caso dell’accesso in emergenza: ai sensi all’art. 14 del DPCM, sulla base di quanto previsto dall’articolo 82 del Codice in materia di protezione dei dati personali, gli operatori e professionisti sanitari possono accedere al FSE a seguito di una esplicita dichiarazione da loro sottoscritta e potranno consultare le sole informazioni rese visibili dall’assistito.

Per quanto attiene ai trattamenti per finalità di ricerca, l’art. 16 del DPCM chiarisce che i dati trattati per finalità di ricerca non devono contenere di tutti gli elementi identificativi diretti dell’assistito, nel rispetto dei principi di indispensabilità, necessità, pertinenza e non eccedenza in relazione alle suddette finalità. L’accesso alle informazioni del FSE per finalità di ricerca è consentito alle Regioni, Province Autonome ed al Ministero della salute in conformità dell’art. 17 del DPCM. Ultima tipologia di trattamento menzionata dal DPCM è quella per finalità di governo: l’art. 18 individua come legittimi titolari di tale trattamento, ex art. 28 del Codice, le Regioni e Province Autonome, il Ministero della salute e il Ministero del lavoro e delle politiche sociali, nei limiti delle rispettive competenze attribuite dalla legge.

L’accesso ai dati

Anche in questa circostanza, i dati oggetto del trattamento devono essere privati di tutti gli elementi identificativi diretti dell’assistito. Inoltre, ai sensi dell’articolo 20 del DPCM, l’accesso alle informazioni del FSE è consentito:

  • alle Regioni e Province Autonome, con le modalità previste per le attività di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria;
  • al Ministero della salute principalmente nell’ambito delle attività di valutazione e monitoraggio dell’erogazione dei Livelli essenziali di assistenza;
  • ed al Ministero del lavoro e delle politiche sociali in forma individuale e prive di ogni riferimento che ne permetta il collegamento diretto con gli assistiti.

Il Capo V del DPCM in esame è dedicato alle misure di sicurezza: si prevede che nell’utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere attuati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione digitali. Gli articoli 24 e 25 del DPCM si soffermano su alcuni aspetti tecnici, tra cui rientra l’adozione di sistemi di codifica dei dati e la necessità di garantire l’interoperabilità interregionale del FSE. In fine, il Decreto si chiude con l’articolo 26, in cui si prevede l’istituzione di un tavolo tecnico di monitoraggio e indirizzo, nell’ambito del NSIS (Nuovo Sistema Informativo Sanitario) con il compito di vigilare sull’attuazione delle disposizioni relative al FSE di cui al D.L. 179/2012 convertito dalla Legge n.221/2012, in un’ottica di garantire la reale operatività del fascicolo.

Figura 1. NIS

Profili giuridici del FSE

Le questioni giuridiche sottesa all’utilizzo del FSE si legano ai profili privacy, in un’ottica di bilanciamento tra un diritto all’autodeterminazione individuale e un interesse collettivo. Tra gli obblighi posti in capo alle strutture sanitarie nei casi di trattamento dei dati tramite FSE, vi è un’informativa specificamente riferita a quel trattamento, diversa dalla comune informativa che viene data all’interessato nell’ambito della gestione dei suoi dati per fini sanitari. L’interessato deve scegliere liberamente se trattare le informazioni cliniche che lo riguardano con un fascicolo sanitario elettronico o se agire diversamente, non incidendo questo in modo negativo sulla possibilità di accedere alle cure mediche richieste.

Profili critici attengono anche ai sistemi di accesso ai dati sanitari contenuti nel FSE e alle misure di sicurezza poste in essere dalle stesse strutture sanitarie per evitare eventuali accessi abusivi o diffusione di dati sensibili. Inoltre, una riflessione critica può nascere in relazione al diritto di autodeterminazione informativa del minore in relazione al FSE. A questi, seguono problemi di interoperatività del FSE nell’ambito dell’infrastruttura nazionale.

L’intervento del Garante

Tra gli attori coinvolti nella gestione del FSE all’interno delle strutture sanitarie centrale risulta sicuramente la funzione del titolare del trattamento. Infatti, «il Garante suggerisce che la titolarità del trattamento dei dati personali tramite FSE sia riconosciuta alla struttura o organismo sanitario nel suo complesso presso cui sono state redatte le informazioni sanitarie (ad es. azienda sanitaria o ospedale)»11. In altre parole, nelle Linee Guida si stabilisce che il trattamento di dati personali effettuato attraverso il FSE deve essere posto in essere esclusivamente da parte di titolari del trattamento che siano soggetti operanti in ambito sanitario. Il titolare è colui che «nel fornire il servizio on-line e nel trattare i dati, deve implementare le misure di sicurezza (..) idonee a ridurre il rischio di distruzione, perdita anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta»12.

I titolari hanno la facoltà di designare gli eventuali responsabili del trattamento, mentre hanno l’obbligo di indicare in ogni caso le persone fisiche incaricate, che possono venire lecitamente a conoscenza dei dati personali trattati. In virtù di quanto detto, il titolare risulta essere «il principale destinatario degli obblighi di responsabilità e delle sanzioni previste dalla normativa sul trattamento dei dati personali»13. Titolare del trattamento che, secondo la definizione data dall’articolo 4 del GDPR, risulta essere la «persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali»14.

Nel quadro normativo presentato dalle LG FSE, si individua come titolare del trattamento in un sistema gestito tramite FSE l’ASL, la quale ha il compito di prendere decisioni con riferimento alle finalità e alle modalità del trattamento, nonché sulle misure di sicurezza da adottare. Problemi sorgono nel momento in cui si considera la pluralità di soggetti coinvolti nella gestione dei dati nell’ambito del FSE, come l’ALS e le strutture private, i MMG, i PLS, ecc., ove in tal caso sovviene quanto detto in tema di contitolarità. Il Garante esamina anche gli obblighi in materia di trattamento dei dati degli operatori sanitari: quando il trattamento avviene mediante l’utilizzo del FSE, si deve assicurare la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione sanitaria in formato digitale, nel rispetto della disciplina in materia di trattamento dei dati personali.

Tra gli obblighi della struttura sanitaria vi è quello di fornire all’interessato una specifica informativa privacy sulle caratteristiche del servizio di FSE, ai sensi dell’artt. 13 del GDPR e di richiedergli un apposito consenso per il trattamento dei dati personali connessi a tale servizio. Ad oggi, il sistema è costruito in modo da lasciare traccia dell’identità del soggetto che accede al FSE, nonché di colui che immette informazione all’interno dello stesso fascicolo. Non è lontano dalla realtà, immaginare un sistema che generi un’email diretta all’interessato per informarlo che un suo dato sanitario è stato visualizzato da un soggetto terzo che non era autorizzato.

È interessante notare come un problema potrebbe sorgere in relazione al livello di affidamento che il medico di medicina generale, cosi come il pediatra di libera scelta, ma anche gli operatori incaricati dalla ASL, possono riporre nelle informazioni sanitarie inserite dal paziente. In linea generale, il personale medico qualora non faccia affidamento su questa informazione, che in un secondo momento si dimostri veritiera, potrebbe essere accusato di aver sbagliato diagnosi; cosi come, quella stessa informazione inserita dal paziente potrebbe essere imprecisa o errata, e il medico che la consideri veritiera, potrebbe essere condotto in errore. Per questo, si deve avere sempre traccia del soggetto che inserisce l’informazione sanitaria e del momento in cui ciò si è verificato. Il «MMG e PSL potranno gradualmente attribuire a questo tipo di informazioni autoprodotte dal paziente un livello di fiducia corrispondente a quello che sussiste anche nel contesto reale di un qualsiasi percorso di cura che avviene vis-à-vis»15.

La sicurezza dei dati del FSE

Accesso abusivo, furto, smarrimento parziale o integrale dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi, comunicazione a soggetti non legittimati sono solo alcuni dei principali rischi cui possono incorrere i titolari del trattamento nell’utilizzo del FSE. È necessario, pertanto, analizzare le misure di sicurezza da adottare. L’articolo 23, comma 5, del DPCM n. 178 del 2015, prevede che: «Per la consultazione in sicurezza dei dati contenuti nel FSE sono assicurati: a) idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento; b) procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati; c) protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti; d) individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; e) tracciabilità degli accessi e delle operazioni effettuate; f) sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie; g) procedure di anonimizzazione degli elementi identificativi diretti»16.

Concetti già in precedenza affermati dalle LG FSE del 200927. In altre parole, il titolare del trattamento deve predisporre:

  • idonei sistemi di autenticazione e di autorizzazione per gli incaricati, in relazione ai ruoli e alle esigenze di accesso al FSE da parte del personale sanitario e amministrativo. Tali sistemi devono consentire un accesso selettivo al FSE, cioè il titolare del trattamento può consentire l’accesso al solo personale sanitario coinvolto nel processo di cura e a quello amministrativo, per le sole finalità strettamente correlate alla cura.
  • tracciabilità degli accessi e delle operazioni effettuate. Le strutture sanitarie prevedono sistemi di controllo delle operazioni effettuate tramite FSE, mediante la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute. In particolare, i file di log devono registrare ogni operazione di accesso al fascicolo effettuata da un incaricato, fornendo le seguenti informazioni: il codice identificativo del soggetto che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui FSE si riferisce, e la tipologia dell’operazione compiuta sui dati. Il periodo di conservazione dei log di tracciamento delle operazioni è individuato dal titolare, che ne risponde dianzi a colui cui quei dati si riferiscono, sia dell’avvenuto accesso ai propri dati personali, sia delle motivazioni che lo hanno determinato.
  • sistemi di audit log. Il titolare deve predisporre l’attivazione di specifici alert che individuino comportamenti anomali o a rischio, relativi alle operazioni eseguite dagli incaricati del trattamento; ad esempio relativi ad un numero eccessivo di accessi eseguiti. L’attività di controllo posta in essere dal titolare del trattamento deve essere adeguatamente documentata, cosi che sia sempre possibile ricostruire gli eventi e le operazioni effettuate.
  • separazione e cifratura dei dati. Il titolare deve separare i dati particolarmente sensibili dagli altri dati personali. Inoltre, devono essere determinati i criteri per la cifratura degli stessi, al fine di renderli inintelligibili.

Il tema delle misure di sicurezza è trattato anche all’interno del GDPR, che in linea generale prevede che il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Questo viene sancito sia nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso; sia all’art. 32, che così recita: «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio»18. Più nello specifico, col titolare o il responsabile del trattamento dei dati potranno adottare le seguenti misure, come stabilito dall’art. 32, paragrafo 1:

  • la cifratura dei dati personali e la pseudonimizzazione: per quanto concerne quest’ultima, la definizione datane dal GDPR, all’art. 4, n. 5, è la seguente: «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile»29;
  • la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
  • una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Sembra a parere di chi scrive, che quanto stabilito dal GDPR in tema di misure di sicurezza, ben si concili con quanto riportato in tema di sicurezza dei dati trattati mediante strumenti informatici, come il FSE.

__

Note

1 Sezione IV, Sanità elettronica, articolo 12 del decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 221, come modificato dall’articolo 1, comma 382 della Legge 11 dicembre 2016, n. 232 (Bilancio di previsione dello Stato per l’anno finanziario 2017 e bilancio pluriennale per il triennio 2017- 2019).

2 Ministero della Salute, Linee di indirizzo nazionali – Telemedicina, pubblicate il 17 marzo 2014, Nella seduta del 10 luglio 2012 l’Assemblea generale del predetto Consiglio Superiore di Sanità ha approvato le Linee di indirizzo nazionali sulla Telemedicina.

3 Ministero della Saluta, Linee guida per la presentazione dei piani di progetto regionali per il FSE, pubblicate il 31 marzo 2014.

4 Articolo 3 DPCM n. 178/2015.

5 Definizione di patient summary, fornita dall’AgID

6 Articolo 4, comma 1, DPCM n. 178/2015.

7 P.GUARDA, R. DUCATO, op.cit., in Rivista critica del diritto privato, volume n.32, n. 3, 2014, p. 389- 420. 18 Conferenza permanente Stato, Regioni e Province Autonome, Intesa 10 febbraio 2011, n.19/CSR, ai sensi dell’art.8, co.6, della l.5 giugno 2003, n.131, tra il Governo, le Regioni e le Province autonome di Trento e Bolzano sul documento recante il Fascicolo sanitario elettronico – Linee guida nazionali. ( Rep. Atti n. 19/CSR del 10 febbraio 2011), in G.U. 2 marzo 2011, n. 50, S. O.

19 Par. 3.5 LG FSE Conferenza Stato- Regioni, op. cit.

10 Articolo 11, del DPCM 28 settembre 2015, n. 178, Regolamento in materia di fascicolo sanitario elettronico.

G.U. , n. 263 del 1 novembre 2015.

11 P.GUARDA, op.cit., Università degli Studi di Trento, Dipartimento di Scienze Giuridiche, 2011, p.114.

12 U.IZZO, P.GUARDA, Sanità elettronica, tutela dei dati personali e digital divide generazionale. Ruolo e criticità giuridica della delega alla gestione dei servizi di sanità elettronica da parte dell’interessato, in Trento Law and Technology Research Group Research Papers, n. 3, Trento: Università degli Studi di Trento,2010.

13 P.GUARDA, op.cit., Università degli Studi di Trento, Dipartimento di Scienze Giuridiche, 2011, p.114.

14 Articolo 4, GDPR.

15 P.GUARDA, op.cit., Università degli Studi di Trento, Dipartimento di Scienze Giuridiche, 2011, p.122.

16 Articolo 23, comma 5, DPCM n. 178/2015.

17 LG FSE, 2009, alla sezione n.10 dedicata alle “Misure di sicurezza”, si afferma: “la particolare delicatezza dei dati personali trattati mediante il Fse/Dossier impone l’adozione di specifici accorgimenti tecnici per assicurare idonei livelli di sicurezza (art. 31 del Codice), ferme restando le misure minime che ciascun titolare del trattamento deve comunque adottare ai sensi del Codice (artt. 33 e ss.). Nell’utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere utilizzati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l’applicazione anche parziale di tecnologie crittografiche a file system o database, oppure tramite l’adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati).Devono essere, inoltre, assicurati: • idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati); • procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati; • individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;• tracciabilità degli accessi e delle operazioni effettuate;• sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie. Nel caso di Fse, devono essere, poi, garantiti protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti”.

18 Articlo 32 del GDPR.

19 Articolo 4, n. 15 del GDPR.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 3