Volontari

VOLONTARI

Lo IOM per attuare la sinergia derivante dalla posizione di Onlus di riferimento della Struttura Complessa di Oncologia Medica ed Ematologia e della Struttura Complessa di Cure Palliative dell'Azienda Ospedaliera”Carlo Poma” si avvale di oltre 60 (sessanta) volontari (appositamente formati), che operano con turni programmati fornendo varie tipologie di servizio nei confronti dei pazienti ricoverati nei Reparti di degenza o che accedono al Day Hospital delle suddette Strutture e dei loro familiari.

Organico IOM

N. 8 c/o Ufficio Segreteria

N 40 c/o Day Hospital / Reparto

N 17 c/o Cure Palliative

FORMAZIONE :

la delicatezza dei compiti presuppone un adeguato percorso formativo che si articola su un CORSO BASE propedeutico alla immissione in servizio e a successivi momenti di FORMAZIONE CONTINUA.

I CORSI vengono programmati in relazione alle esigenze dei vari servizi.

CALENDARIO: Verrà data specifica comunicazione per la programmazione nel capitolo NOTIZIE

 

DOMANDA DI ISCRIZIONE AI CORSI:

Il modulo di iscrizione al corso BASE è scaricabile da quì:

modulo iscrizione

 

Codice deontologico del volontario


ARTICOLO 1 Il volontario opera per il benessere e la dignità della persona e per il bene comune, sempre nel rispetto dei diritti fondamentali delluomo. Non cerca di imporre i propri valori morali.

ARTICOLO 2 Rispetta le persone con cui entra in contatto senza distinzioni di età, sesso, razza, religione, nazionalità, ideologia o censo.

ARTICOLO 3 Opera liberamente e continuità agli impegni assunti ed ai compiti intrapresi.

ARTICOLO 4 Interviene dovè utile e quando è necessario, facendo quello che serve e non tanto quello che lo gratifica.

ARTICOLO 5 Agisce senza fini di lucro anche indiretto e non accetta regali o favori.

ARTICOLO 6 Collabora con gli altri volontari e partecipa attivamente alla vita della sua Organizzazione. Prende parte alle riunioni per verificare le motivazioni del suo agire, nello spirito di un indispensabile lavoro di gruppo.

ARTICOLO 7 Si prepara con impegno, riconoscendo la necessità della formazione permanente che viene svolta allinterno della propria Organizzazione.

ARTICOLO 8 Evincolato allosservanza del segreto professionale su tutto ciò che gli è confidato o di cui viene a conoscenza nellespletamento della sua attività.

ARTICOLO 9 Rispetta le leggi dello Stato, nonché lo Statuto ed il Regolamento della sua Organizzazione e si impegna per sensibilizzare altre persone ai valori del volontariato.

ARTICOLO 10 Svolge la propria attività permettendo a tutti di poterlo identificare. Non si presenta in modo anonimo, ma offre la garanzia che alle sue spalle cè unOrganizzazione riconosciuta dalle leggi dello Stato.


 

Trattamento dei dati personali e sensibili ( Privacy)


Istituto Oncologico Mantovano IOM Onlus


Azienda Socio Sanitaria Territoriale di Mantova

STRADA LAGO PAIOLO 10

46100 MANTOVA

 

Egr. Associato:

___________________________________

Oggetto: Lettera di incarico per il trattamento dei dati personali e sensibili

La normativa sulla privacy prevede che anche i volontari siano tenuti alla assoluta riservatezza in merito a tutto ciò che si viene ad apprendere nello svolgimento delle proprie attività: quindi ad esempio nominativi degli assistiti, di parenti e di assistenti familiari, patologie, percorsi di cura, servizi sanitari utilizzati, tipologia delle visite e delle indagini diagnostiche.

L’applicazione della normativa rappresenta una garanzia, sia per l’Associazione che per il singolo volontario, che in tal modo è autorizzato a prendere conoscenza di quelle informazioni che gli sono utili per svolgere la propria missione, nei limiti dell’incarico ricevuto.

Le formule previste dalla legge, essendo in primis rivolte ai professionisti, possono apparire ridondanti nei confronti dei volontari i quali raramente “trattano” le informazioni acquisite mediante archivi cartacei o informatizzati, ma il senso rimane quello sopra illustrato.

L’art. 30 del D.lgs 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali” dispone che:

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad un’unità per la quale è individuato, l’ambito del trattamento consentito agli addetti all’unità medesima.

Lo scrivente, in qualità di Responsabile del Trattamento dei dati personali, conformemente a quanto stabilito dal D.lgs 30 giugno 2003, n. 196, nomina

_____________________________________________________________________________,

Incaricato del Trattamento dei dati personali necessari per lo svolgimento delle mansioni assegnate, nell’ambito della convenzione stipulata fra l’Azienda e l’Associazione e del piano di lavoro, effettuato con o senza l’ausilio di strumenti elettronici o comunque automatizzati o con strumenti diversi, nell’ambito del trattamento consentito al personale della Struttura di appartenenza.Nell’effettuare il trattamento dei dati personali, devono essere soddisfatti i principi contenuti nella normativa in materia di Privacy e di sicurezza dei dati personali trattati.Le operazioni di trattamento devono, quindi, essere svolte in modo lecito e secondo correttezza; la raccolta e la registrazione dei dati stessi devono avvenire per scopi determinati, espliciti e legittimi, e con le finalità di utilizzo dei dati non possono essere incompatibili con tali scopi.È obbligo che i dati personali siano esatti, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati e la loro conservazione deve avvenire per un periodo di tempo non superiore a quello necessario agli scopi. Il trattamento dei dati deve, in ogni caso avvenire conformemente al “Principio di necessità”, che prevede l’utilizzo del minor numero di dati personali ed identificativi qualora le finalità del trattamento possano essere realizzate anche mediante atti anonimi. L’incaricato, nello svolgimento delle operazioni di trattamento è tenuto, altresì, ad adottare idonee misure di custodia e di controllo, nonché, più in generale, qualunque accorgimento che consenta di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, ovvero di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

L’incaricato, apponendo la firma, si impegna a svolgere le operazioni di trattamento dei dati assegnategli nel rispetto delle regole indicate negli allegati consultabili presso la Sede dello IOM e/o sul sito www.iomn.it alla voce VOLONTARI.

- l’allegato denominato “Regole di Comportamento per il trattamento dei dati    personali”, il quale può essere integrato da procedure appositamente approntate dal Responsabile dei trattamenti oppure dal Titolare, per evitare i rischi sopra descritti;

- l’allegato B del Codice in materia di protezione dei dati personali, che prevede particolari regole alle quali ogni incaricato dovrà attenersi nel trattamento dei dati personali.

Si ringrazia per la collaborazione e si porgono distinti saluti.

IL RESPONSABILE DEL TRATTAMENTO  (Presidente dell’Associazione)

Rag. Attilio ANSERINI

____________________

 

FIRMA PER ACCETTAZIONE E RICEVUTA (da parte dell’Associato)

__________________________________________________________________

LUOGO E DATA

 

 

 


Azienda Socio Sanitaria Territoriale di Mantova

STRADA LAGO PAIOLO 10

46100 MANTOVA

CENTRALINO 0376/2011

CODICE FISCALE E PARTITA IVA 02481840201

REGOLE DI COMPORTAMENTO PER INCARICATI DEL TRATTAMENTO DEI DATI PERSONALI(D.Lgs. 196/2003 – “Codice in materia di protezione dei dati personali”)

Conformemente a quanto stabilito dall’art. 30 del “Codice in materia di protezione dei dati personali”, il personale incaricato dell’Azienda Ospedaliera deve svolgere le operazioni di trattamento dei dati personali attenendosi alle istruzioni impartite dal Titolare e/o dal Responsabile del trattamento dati. Si ritiene pertanto opportuno stabilire regole di comportamento volte ad uniformare il più possibile i trattamenti svolti all’interno delle Strutture nell’Azienda stessa.Le seguenti regole rivestono carattere vincolante sia per il personale interno che per tutte le persone che a vario titolo trattano dati personali per conto dell’Ospedale.REGOLE GENERALIStrumenti informatici L’accesso agli strumenti informatici che trattano dati personali è consentito solo agli Incaricati in possesso di “credenziali d’autenticazione”. Le credenziali d’autenticazione consistono in un codice per l’identificazione dell’Incaricato (USER-ID) associato ad una parola chiave riservata (PASSWORD), oppure di un dispositivo d’autenticazione (es. SMART CARD) associato ad un PIN. Le USER-ID individuali per l’accesso alle applicazioni non devono mai essere condivise tra più utenti (anche se Incaricati del trattamento). Nel caso altri utenti abbiano la necessità di accedere ai dati, è necessario richiedere l’autorizzazione al Responsabile del trattamento. La componente segreta della credenziale di autenticazione (la PASSWORD ed il PIN), che consente l’accesso alle applicazioni, deve essere mantenuta riservata. Essa non va mai condivisa con altri utenti (anche se Incaricati del trattamento). In particolare, la password deve essere sostituita, a cura del singolo Incaricato, al primo utilizzo e successivamente almeno ogni sei mesi, se il trattamento ha ad oggetto dati personali e, ogni tre mesi, se il trattamento ha ad oggetto dati sensibili. Deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Le password non devono contenere riferimenti agevolmente riconducibili all’Incaricato (ad esempio: date di nascita, nomi di familiari ecc...). Non bisogna lasciare incustodito il PC con l’utenza abilitata, ciò al fine di impedirne l’utilizzo fraudolento.

 Non bisogna lasciare in vista le informazioni presenti sul monitor. Alla fine del lavoro bisogna scollegarsi dal PC eseguendo la “chiusura di sessione” di Windows. Non è consentita l’installazione di programmi o parti di essi, senza una preventiva autorizzazione da parte dell’Amministratore di Sistema. Sui PC sono installati solo programmi/applicativi testati ed autorizzati dall’Amministratore di Sistema, che dispone di un elenco di software ufficiale. Tutti i dati e supporti informatici provenienti dall’esterno vanno controllati, prima dell’uso, per la possibile presenza di virus informatici. Tale controllo avviene mediante aggiornati programmi anti-virus. Non è consentito l’allacciamento di dispositivi hardware (modem, sistemi wireless wi-fi, scanner, masterizzatori, ecc…) senza previa autorizzazione dell’Amministratore di sistema. PC di terzi, prima di poter essere collegati alla rete dell’Azienda, devono essere verificati ed autorizzati dall’Amministratore di Sistema in merito alla conformità ai requisiti di sicurezza. Floppy, CD-ROM, cassette di backup ed ogni altro supporto informatico contenente dati personali o sensibili non vanno gettati interi nei cestini, poiché è possibile che siano recuperati e letti da terzi. Vanno formattati o in alternativa devono essere resi illeggibili.Internet e Posta elettronica L’utilizzo di Internet e della Posta elettronica è consentito agli utenti solo per scopi lavorativi. Si deve porre molta attenzione durante la consultazione di pagine WEB Internet evitando assolutamente di scaricare qualunque componente di programmi o simili. L’invio di dati sensibili via Posta elettronica/e-mail o attraverso altri mezzi elettronici all’esterno dell’Azienda è consentito solo in forma criptata. In alternativa i dati devono essere convertiti in modo da renderli anonimi (ad esempio, sostituendo l’anagrafica del paziente con il numero dell’episodio). Sono da intendersi destinazioni esterne anche le utenze e le e-mail di personale dell’Azienda presso altri service-providers come: Hotmail, Iol, Libero, Tiscali, Virgilio ecc…Sono esclusi i casi per i quali l’interessato ha espresso specifica autorizzazione o i casi previsti da norme e regolamenti. Per limitare i rischi d’introduzione di virus informatici, l’apertura di eventuali allegati (“attachments”) è da effettuarsi con estrema cautela. Verificare bene il nome del file allegato e valutare attentamente se la presenza dell’allegato abbia una sua ragione (in particolare verificare l’oggetto del messaggio, il testo contenuto, il nome del mittente, ecc…).Nomi di file pericolosi e da non aprire contengono, per esempio, estensioni tipiche come BAT, COM, DLL, EXE, PIF, SCR, VBS. Le linee guida dei CED per l’utilizzo dei PC contengono un elenco più preciso. L’accesso alla rete per PC dismessi deve essere disabilitato.

 Tutti i documenti cartacei contenenti dati personali e sensibili devono essere gestiti in modo da ridurre al minimo i tempi di permanenza al di fuori degli archivi, o locali ad accesso controllato, o degli armadi/contenitori in dotazione delle Strutture. Gli eventuali armadi in dotazione delle Strutture devono essere mantenuti chiusi a chiave, compatibilmente con le esigenze di servizio. Qualora non vi sia la possibilità all’interno dei locali/uffici di utilizzare armadi/contenitori e quant’altro chiudibile con serratura, si considererà il locale come contenitore, pertanto quando sono terminate le operazioni di trattamento, e non vi è nessuno tra il personale autorizzato che possa vigilare sulla documentazione, il locale dovrà essere chiuso a chiave. Le chiavi devono essere in possesso esclusivamente del personale autorizzato (c.d. accesso selezionato). I documenti contenenti dati personali e/o sensibili che vengano prelevati dagli archivi o da armadi/contenitori per l’attività quotidiana, devono esservi riposti a fine giornata. Gli Incaricati devono avere accesso esclusivamente ai documenti la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati. Al fine di una sessione di lavoro non si devono lasciare documenti contenenti dati personali sulla scrivania, o comunque fuori dagli armadi/contenitori, al fine di evitarne la visione da parte di terzi non autorizzati. In particolare le cartelle cliniche vanno gestite in modo tale da evitare la lettura del nome del paziente (frontespizio – etichette) da persone non autorizzate. I documenti contenenti dati personali o sensibili non vanno mai gettati interi nel cestino, poiché è possibile che siano recuperati e letti da terzi. A tal fine vanno utilizzate le macchine “distruggi documenti”, o in alternativa devono essere resi illeggibili. L’accesso agli archivi è consentito al personale a ciò espressamente autorizzato in via continuativa od occasionale. Per i locali adibiti ad archivio contenente dati sensibili, è opportuno predisporre un registro cartaceo, ove vengono indicati i soggetti autorizzati che vi accedano (nome e cognome – data – ora di ingresso e di uscita – dato consultato e/o prelevato – firma). Gli archivi devono essere mantenuti costantemente chiusi a chiave, compatibilmente con le esigenze di servizio, inoltre dovranno essere autorizzati e registrati eventuali accessi agli stessi compiuti al di fuori degli usuali orari d’apertura. Per accedere agli archivi contenenti dati personali o sensibili fuori dall’orario di lavoro, è necessario ottenere una preventiva autorizzazione da parte del Responsabile oppure farsi identificare e registrare su appositi registri. La documentazione contenente dati personali o sensibili deve essere trasportata all’interno dell’ospedale utilizzando tutti gli accorgimenti utili al fine di impedire un accesso non autorizzato a tale documentazione; inoltre chi si occupa del relativo trasporto deve adottare tutte le cautele necessarie ad impedire un accesso non autorizzato ai dati.Richiesta di modifica/cancellazione dati della documentazione clinica In nessun caso possono essere apportate modifiche ai dati contenuti nella documentazione clinica. Ove risulta necessario rettificare o integrare dati si procede con annotazione separata, secondo le specifiche della Direzione Sanitaria. In particolare le rettifiche alla cartella clinica sono da effettuare senza alterare il dato originale; cancellazioni non sono possibili. Non è consentita l’omissione d’informazioni dalle copie delle cartelle cliniche.Banche Dati Banche dati presenti su PC portatili devono essere prive dell’anagrafica dei pazienti. In alternativa devono riportare un numero identificativo in sostituzione (ad esempio: numero della cartella clinica). Qualunque creazione di banche dati contenente dati personali deve essere comunicata all’Azienda Ospedaliera ed autorizzata singolarmente.Utilizzo di FAX Non è consentito l’invio all’esterno di certificati o altra documentazione contenente dati sensibili, senza specifica autorizzazione scritta da parte dell’interessato. L’invio è altrimenti comparabile alla diffusione di dati sensibili, poiché non è possibile verificare chi è il ricevente. Nel caso si debba procedere alla comunicazione tramite fax di dati sensibili all’interno delle aree di pertinenza dell’Azienda Ospedaliera, è opportuno che lo strumento fax sia collocato in un’area protetta e presidiata, accessibile facilmente e continuativamente da parte del personale in servizio, e che i Responsabili e gli Incaricati prestino attenzione alle fasi di invio e di ricevimento della documentazione contenente dati sensibili. Per le fasi di invio alle altre Unità Operative si dovrà far riferimento all’elenco telefonico interno, contenente i numeri di fax corrispondenti alle strutture aziendali. Nel caso di debba procedere alla comunicazione di dati sensibili, sempre tramite fax, ad Ente esterno, autorizzato per legge all’acquisizione di tale documentazione, occorre adottare uno specifico accorgimento. Ossia, la prima volta che si stabilisce un rapporto con l’Ente esterno, bisognerà chiedere all’Ente stesso, prima dell’invio della documentazione, di indicare il numero di fax al quale inviare la stessa (si noti che la risposta l’Ente dovrà fornirla sempre via fax). Pertanto occorrerà avere e conservare un documento cartaceo inviato all’Ente, ove quest’ultimo indica il numero di fax presso il quale inviargli la documentazione contenente i dati sensibili.Utilizzo di stampanti e fotocopiatrici Non è consentito stampare e/o fotocopiare su carta riciclata, in quanto la stessa potrebbe contenere informazioni personali e/o sensibili.

 In caso di stampa di documenti contenenti dati personali e sensibili, occorre ricordarsi di recuperare al più presto le stampe (soprattutto in caso di stampante condivisa con altri utenti o altri servizi). Gli originali dei documenti da fotocopiare e le copie vanno recuperati immediatamente. Per smaltire la documentazione stampata o fotocopiata devono essere utilizzate, ove possibile, le macchine “distruggi documenti”. In alternativa i documenti devono essere resi illeggibili.MISURE DI GARANZIA A TUTELA DELLA DIGNITÀ DEI PAZIENTIAccettazione/Portinerie/Cup Nel caso venga chiesto se una persona è ricoverata o meno presso uno dei reparti dell’Azienda Ospedaliera, è possibile fornire tale informazione solo se l’interessato (ossia il paziente) non ha chiesto, al momento della sua accettazione, che la sua presenza sia mantenuta anonima. Pertanto se il paziente non si pronuncia, con modalità di cui risulti documentazione, il personale addetto in questione può fornire tale informazione. Tutti i punti di accettazione devono essere muniti di strumenti idonei a garantire la “distanza di cortesia” per gli utenti; tali strumenti possono essere ad esempio: una riga di segnalazione a terra o un cartello che indichi il rispetto della distanza di cortesia ovvero qualunque altro sistema garantisca il medesimo risultato.Reparto Non si devono mettere i nominativi dei pazienti in correlazione con informazioni sullo stato di salute, pertanto le tabelle relative ai degenti presenti in reparto non vanno esposte nei corridoi o in altri punti visibili a terzi, ma devono essere collocate in locali o aree protette, accessibili solo al personale autorizzato (ad esempio nel locale infermieristico).Le eventuali cartelle termometriche ai piedi del letto dei pazienti vanno rimosse o comunque protette.Colloqui tra parenti/pazienti e medici e tra medici (o altro personale sanitario) Al momento dell’accettazione l’interessato, previa visione dell’apposita informativa (art. 13 D.Lgs n. 196/2003), dovrà compilare e firmare il modulo del consenso al trattamento dei dati, ove indicherà eventuali soggetti da lui autorizzati a ricevere informazioni inerenti il suo stato di salute (comunicazioni di dati personali sensibili) durante la degenza. Tale modulo del consenso sarà conservato nella cartella clinica e dovrà essere consultato dal personale prima di fornire a terzi indicazioni inerenti lo stato di salute dell’interessato.

 Il dialogo-colloquio tra personale dell’Azienda (medici, infermieri, ecc…) e gli utenti, qualora abbia ad oggetto informazioni inerenti lo stato di salute dell’interessato ed avvenga in spazi o in situazioni di promiscuità (come ad esempio nelle stanze di degenza doppie o nei punti ove vengono ritirati dagli interessati esami e referti oppure presso le accettazioni e le segreterie delle Divisioni e Unità operative), deve essere improntato ad un criterio di prudenza. A tale prudenza devono altresì essere improntate tutte le condizioni usuali di colloquio tra operatori nell’esercizio della professione: discussione di casi clinici durante il giro-visita, supervisione di casi in luoghi aperti all’utenza, consulenze specialistiche effettuate al letto di degenza, passaggi di consegne tra personale, comunicazioni di servizio effettuate mediante apparecchi telefonici portatili o meno non posizionati in luoghi protetti, informazioni fornite a studenti o frequentatori. Gli interessati che intendono esercitare i loro diritti in riferimento all’art. 7 del D.Lgs n. 196/2003 (informazione - conferma d’esistenza e rettifica dati personali – cancellazione), devono rivolgersi all’Ufficio Relazioni con il Pubblico, il quale raccoglie le richieste e le trasferisce alla Direzione Sanitaria. Tutte le altre richieste relative all’accesso a dati clinici rimangono di competenza della Direzione Sanitaria con regolamentazione specifica.Comunicazione dei dati dell’interessato Si possono dare informazioni sullo stato di salute esclusivamente all’interessato o a persone da lui autorizzate. Si rammenta al personale sanitario che i nominativi delle persone legittimate, ivi incluso il nominativo del medico curante, devono essere desunti dal modulo del consenso al trattamento dei dati. Tutti i referti per pazienti esterni (quindi non degenti) devono essere consegnati in busta chiusa sulla quale non deve comparire il nome del reparto; quelli relativi ai pazienti interni devono essere consegnati sempre in busta chiusa o secondo modalità tali che il personale addetto alla movimentazione non abbia la possibilità d’accesso e consultazione dei dati contenuti nel referto. Il personale designato deve essere istruito debitamente in ordine alle modalità di consegna a terzi dei documenti contenenti dati idonei a rivelare lo stato di salute dell’interessato (ad esempio, referti diagnostici). I referti diagnostici, i risultati delle analisi e i certificati rilasciati dai laboratori di analisi o dagli altri reparti/ambulatori/servizi possono essere ritirati, in busta chiusa, anche da persona diversa dal diretto interessato, purché munita di delega scritta e firmata dallo stesso e di documenti di identità validi del delegante e del delegato. La persona addetta alla consegna dei referti deve accertarsi dell’identità del delegato prima di consegnare il referto stesso. Di norma i referti diagnostici, i risultati di analisi e gli esiti di esami specialistici vengono ritirati presso le accettazioni o presso gli apparati elettronici (totem) appositamente dislocati. Tuttavia, in casi particolari, il dirigente sanitario/medico cha ha prodotto o ha avuto conoscenza del referto, può ritenere opportuno in base a valutazione discrezionale, fare contattare direttamente l’interessato per comunicargli personalmente la diagnosi.

Conversazioni al telefono Il personale non è tenuto in nessun caso a rilasciare per telefono notizie sia sulla presenza, sia sullo stato di salute dell’interessato, se non si è certi dell’identità dell’interlocutore e del fatto che egli sia autorizzato ad acquisire tali informazioni. Un accorgimento potrebbe essere quello di farsi lasciare dal chiamante nominativo e numero di telefono; dopo di ché si provvederà a ricontattarlo, per verificare la veridicità dei dati forniti e previa verifica che tale soggetto sia autorizzato a ricevere le informazioni richieste.Questa regola generale subisce un’eccezione solo per i pazienti ricoverati presso il Pronto Soccorso. Infatti, ove necessario, il Personale può dare correttamente notizia o conferma, anche telefonica, sul passaggio e/o sulla presenza di un paziente, solo a terzi legittimati di cui deve essere accertata l’identità anche avvalendosi di elementi desunti dall’interessato.L’interessato, se cosciente e capace, va comunque interpellato e può decidere a quali soggetti (ad esempio parenti, familiari, conviventi) possono essere comunicate tali informazioni. La comunicazione non autorizzata di dati personali e/o sensibili viene considerata conferimento illecito di dati a terzi. Durante la telefonata mai pronunciare nominativi ad alta voce.Chiamata del paziente in sala d’attesa I pazienti che sostano nelle sale d’attesa aspettando di ricevere una prestazione sanitaria o amministrativa non devono, ove possibile, essere chiamati per nome e cognome ma con modalità alternative quali ad esempio la chiamata numerica.Domande relative alle convinzioni religiose, filosofiche o di altro genere Evitare, se possibile, domande dirette relative alla convinzione religiosa del nostro interlocutore (nello specifico il paziente). Ciò rappresenterebbe trattamento di dati sensibili non necessari ai fini della permanenza della persona nell’Azienda (pertanto trattamento illecito) e la persona potrebbe infastidirsi. Sono quindi da preferire forme alternative e indirette. Esempio a riguardo: per stabilire le preferenze alimentari del paziente (magari per evitare le portate a base di maiale) non domandare: «A quale religione appartieni?» o «È di religione ebraica?», ma usare formule indirette come: «Ha delle preferenze alimentari?».Volontariato I volontari devono mantenere il massimo segreto su tutte le informazioni ottenute durante la loro attività. I volontari non possono accedere ai dati clinici o alle generalità del paziente.

 


 

Allegato B del D.lgs n. 196/2003 “Codice della Privacy”DISCIPLINARE TECNICOIN MATERIA DI MISURE MINIME DI SICUREZZAArtt. da 33 a 36 del Codice della Privacy

TRATTAMENTI CON STRUMENTI ELETTRONICI

Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici:Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.

6. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10. Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.Altre misure di sicurezza

15. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per le classi omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615 – quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggere difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.Documento programmatico sulla sicurezza(…)(1) Il paragrafo che così recitava: “

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la prevenzione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, al’esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.” è stato soppresso dall’art. 45, D.L. 9 febbraio 2012, n. 5, convertito con L. 4 aprile 2012, n. 35.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all'art. 615 – ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche dati con le modalità di cui all’art. 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all’identità genetica sono trattati esclusivamente all’interno dei locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.(…)(2) Il paragrafo che così recitava: “

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.” è stato soppresso.TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICIModalità tecniche da adottare a cura del titolare, del responsabile ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici.

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

 

 


Additional information