Blog di Fabio Di Resta

Presentazione del volume “Fascicolo Sanitario Elettronico” il 14 aprile 2010 ore 17:50 presso la conferenza eHealthcare, in via Aurelia Antica, 415, Roma - Programma e iscrizione gratuita:
http://www.forumhealthcare.it/conferenza_programma.asp?id_conferenza=2

Descrizione sintetica del volume - copertina copertina-fse

Le sfide da superare per una sanità sostenibile vanno dalla centralità del paziente, alla clinical governance per la qualità delle prestazioni e sicurezza, alla valutazione dei servizi e misurazione dei risultati, alla riorganizzazione del sistema dell’offerta. La sanità elettronica può costituire un elemento cruciale di una strategia complessiva di innovazione.

Il testo offre una panoramica su un tema di grande attualità, il Fascicolo Sanitario Elettronico (FSE), nel contesto più ampio dell’e-government, sintetizzando lo stato dell’arte, le normative fondamentali, le iniziative istituzionali e gli standard internazionali per l’interoperabilità. Si approfondiscono inoltre le problematiche sulla gestione elettronica della documentazione clinica, sulla sicurezza, sulla crittografica e gestione dei dati crittografati, sull’attuazione del fascicolo e sulla sua possibile evoluzione, a supporto della collaborazione degli operatori sanitari e della partecipazione consapevole dei cittadini alla gestione della propria salute. Vengono infine esaminati la titolarità del FSE e le responsabilità che ne derivano, a cui sono interconnessi i profili legali: i problemi definitori e di valore legale del FSE, i suoi tempi di conservazione e i profili critici di diritto sanitario.

Elenco Autori del volume “Fascicolo Sanitario Elettronico”:

• 
  Paola Tarquini 

  , Ufficio II Studi e Tecnologie del Dipartimento per le Innovazioni e le Tecnologie, Presidenza del Consiglio dei Ministri

• 
  Rosanna Ugenti 

  , Direttore Generale Sistema Informativo del Ministero della Salute

• 
  Angelo Rossi Mori 

  , Ricercatore presso l’Unità Sanità Elettronica dell’Istituto Tecnologie Biomediche del CNR

• 
  Massimo Mangia 

  , Vice Presidente Onorario HL7 Italia

• 
  Fabio Di Resta 

  , Specialista legale privacy e diritto delle nuove tecnologie - LL.M - ISO 27001 ICT Security Auditor

• 
  Giuseppe Chiaravalloti 

  , Vice Presidente Garante per la Protezione dei Dati  Personali

• 
  Claudio De Paoli 

  , RSA - Resp. Servizi Professionali EMEA South

In uscita da oggi sul portale altalex il nuovo e-book sull’applicazione delle misure minime di sicurezza privacy e la misure di semplicazione introdotte dal Garante privacy.

per ulteriori dettagli si rinvia alla recensione: http://www.altalex.com/index.php?idnot=49220

Seminario intensivo due giorni 14 ore presso il MICC dell’Università di Firenze

Titolo: Modello 231, Amministratori di sistema e crimini informatici

Location: Aula Anfiteatro (Ex Farmacologia) - MICC (Centro per la comunicazione e l’integrazione dei Media) - Viale Morgagni, 65, Firenze, 50134

Categoria: Modello 231 – Amministratori di sistema – Crimini Informatici e attività investigativa - Durata: 2 giorni – giovedì 11 e venerdì 12 febbraio 2010 - 12 crediti formativi per avvocati come da regolamento AIGA sez. Firenze

Argomenti Trattati: Crimini informatici e attività investigativa; Misure a protezione delle informazioni critiche aziendali;Codice della Privacy e normative connesse;Normativa sui crimini informatici; Normativa sulla responsabilità amministrativa degli enti (Modelli 231)

Si riporta in programma:
Flyer Seminario

Iscrizioni:
per iscriversi online consultare il sito: www.consultingco.it oppure chiedere informazioni cell. 3292997124

Con il nuovo disegno di legge n. 1784 approvato al Senato, viene tutelato il telemarketing e viene ridotta la tutela della privacy degli abbonati, queste le principali novità della riforma:

- la nuova deroga inserisce un principio del consenso preventivo (c.d. opt in), principio stabilito anche a livello comunitario e sostituito da un diritto al rifiuto (c.d. opt out), ci si può opporre solo successivamente al contatto telefonico, questo con solo riferimento alle banche dati comunque costituite sulla base di elenchi telefonici pubblici registri anteriormente al 5 agosto 2005 (d.l. 207/2008 - si veda http://www.fabiodiresta.com/?p=375); a questo riguardo molti si interrogano su quali siano i requisiti della prova di costituzione della data anteriore al 5 agosto 2005, non essendo obbligatoria la data certa, si naviga su un ampio ventaglio di possibilità tecniche che lascia incertezze e favorisce soprattutto chi voglia profittare di un opportunità per costuire ex novo o ampliare la banca dati esistente.

- verrà costituita la c.d. Robinson list (registro indicante gli abbonati che non possono essere chiamati), tale registro laddove è adottato (per esempio in Inghilterra) è volto principalmente a tutelare l’interesse delle imprese ma a scapito tuttavia della privacy degli utenti (in effetti le finalità che si perseguono sono la tutela della concorrenza e le esigenze di liberalizzazione del mercato), i risultati in termini di monitoraggio sono scarsi con  ridotta efficacia delle sanzioni che rimangono inapplicate, fra l’altro l’importo delle sanzioni è molto contenuto e poco dissuasivo (max 5000,00 £). A questo riguardo, il Garante, pur non condividendo nel contenuto questa “deroga”, negli interventi pubblici auspica quantomeno di prevedere sanzioni serie e sufficiente certezza di colpire gli Operatori che disattendono la volontà degli utenti (monitoraggio efficace e garanzie di esercizio del rifiuto al trattamento).

- ridurre a 10.000 euro la pena minima per la violazione dei provvedimenti del Garante ex art. 154, sembra una modifica inutile, in effetti 10.000 euro potrebbero essere molti per una piccolissima azienda, ma un inezia per una grande azienda, insomma la solita storia, il problema infatti è come noto la scarsa efficacia delle norme in questione, non di eccessiva gravità delle sanzioni.

Fra l’altro tutto il corpus dei provvedimenti del Garante in materia di marketing verrà completamente nichilizzato dopo poco tempo con prevalenza della nuova disciplina legislativa. Si prevede infatti che entro sei mesi dall’entrata in vigore della riforma: “restano in vigore i provvedimenti adottati dal Garante per la protezione dei dati personali ai sensi dell’articolo 154 del citato codice di cui al decreto legislativo n. 196 del 2003, e successive modificazioni, in attuazione dell’articolo 129 del medesimo codice”

Si riportano le prime osservazioni ufficiali del Garante privacy e l’estratto del Disegno di legge N. 1784:

osservazioni-garante-privacy-su-telemarketing e 19112009-garante-su-telemarketing

http://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Ddlmess&leg=16&id=442419

«Art. 20-bis. - (Adeguamento alla normativa comunitaria in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, di cui alla direttiva 2002/58/CE) - 1. Al fine di superare a regime la disciplina introdotta dall’articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14, al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modifiche:

            a) al comma 3 dell’articolo 130 sono aggiunte, in fine, le seguenti parole: “nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo”;
            b) dopo il comma 3 dell’articolo 130 sono inseriti i seguenti:

        ”3-bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario in un registro pubblico delle opposizioni.

        3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi generali:

            a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;

            b) previsione che l’ente o organismo deputato all’istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;
            c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;
            d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
            e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
            f) obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione della linea chiamante e di fornire all’utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
            g) previsione che l’iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24.

        3-quater. La vigilanza e il controllo sull’organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante”;
            c) all’articolo 162:
                1) al comma 2-bis, le parole: “ventimila euro” sono sostituite dalle seguenti: “diecimila euro”;

                2) è aggiunto, in fine, il seguente comma:

        ”2-quater. La violazione del diritto di opposizione nelle forme previste dall’articolo 130, comma 3-bis, e dal relativo regolamento è sanzionata ai sensi del comma 2-bis del presente articolo”.
        2. Il registro previsto dall’articolo 130, comma 3-bis, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal comma 1, lettera b), del presente articolo, è istituito entro sei mesi dalla data di entrata in vigore della legge di conversione del presente decreto. Fino al suddetto termine, restano in vigore i provvedimenti adottati dal Garante per la protezione dei dati personali ai sensi dell’articolo 154 del citato codice di cui al decreto legislativo n. 196 del 2003, e successive modificazioni, in attuazione dell’articolo 129 del medesimo codice.

        3. All’articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14, le parole: “sino al 31 dicembre 2009″ sono sostituite dalle seguenti: “sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135″.
        4. All’articolo 58 del codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206, il comma 1 è sostituito dal seguente:

            ”1. L’impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista dall’articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico”.
        5. Dall’applicazione del presente articolo non devono derivare nuovi o maggiori oneri per la finanza pubblica.

Indice

introduzione-sanita-e-innovazione1

Capitolo I - L’innovazione nella sanità e la protezione dei dati personali
(Giuseppe Chiaravalloti , Vice Presidente Garante per la protezione dei dati personali)

Capitolo II - Il trattamento dei dati personali in ambito sanitario
(Luciano Versace, Funzionario del Garante)

Capitolo III - La protezione dei dati personali nella sanità elettronica: trattamento dei dati sensibili, furto dei dati sanitari e furto di identità
(Fabio Di Resta, LLM - ISO 27001 Security Lead Auditor - Data Protection and I.P. Law Specialist)

Capitolo IV - Innovazione e problematiche di sicurezza
(Andrea Briasol, Roberto Setola, Marco Venditti, Università Campus Bio-Medico di Roma)

Capitolo V - Digitalizzazione dei dati sanitari: linea di confine tra norma e processi di dematerializzazine

(Andrea Lisi, Professore di Informatica Giuridica e Simonetta Zingarelli)

Capitolo VI - L’evoluzione dei Sistemi Informativi Ospedalieri e le Nuove Minacce Informatiche
(Enrico Frumento, Ricercatore Cefriel - Politecnico Milano)

Capitolo VII - Il Fascicolo Sanitario Elettronico (FSE)
(Paolo Donzelli, Direttore Ufficio Studi e Tecnologie Dipartimento per le Innovazioni e le Tecnologie, Presidenza del Consiglio dei Ministri)

Definizione di FSE
Piani di attuazione del FSE e problematiche
Panoramica sullo stato attuale del FSE e prospettive future

Per informazioni ed acquisto del volume: http://www.edisef.it/rivista_sanita.asp

Ancora una proroga in tema di data retention relativamente ai dati telefonici e di traffico. Il nuovo decreto legge è entrato in vigore il 2 ottobre 2008, il giorno successivo sarebbero scaduti i termini previsti dal decreto legislativo n. 109 del 30 maggio 2008.

Decreto-legge 2 ottobre 2008, n. 151

(estratto del decreto)

“Misure urgenti in materia di prevenzione e accertamento di reati, di contrasto alla criminalità organizzata e all’immigrazione clandestina”

pubblicato nella Gazzetta Ufficiale n. 231 del 2 ottobre 2008

Art. 1.
Modifiche al decreto legislativo 30 maggio 2008, n. 109

1. All’articolo 6 del decreto legislativo 30 maggio 2008, n. 109, sono apportate le seguenti modificazioni:
a) al comma 3 le parole: «ha effetto decorsi tre mesi dalla data di entrata in vigore del presente decreto.», sono sostituite dalle seguenti: «ha effetto a decorrere dal 31 dicembre 2008.»;
b) al comma 5:
1) le parole: «entro novanta giorni dalla data di entrata in vigore del presente decreto.» sono sostituite dalle seguenti: «a decorrere dal 31 dicembre 2008.»;
2) dopo il primo periodo, e’ aggiunto, in fine, il seguente: «Fino al 31 dicembre 2008 i predetti fornitori di servizi sono autorizzati a conservare i dati del traffico telematico, di cui all’articolo 6, comma 1, del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, in deroga a quanto previsto dal medesimo comma 1, compresi quelli non ancora cancellati.».

Art. 4.
Entrata in vigore

1. Il presente decreto entra in vigore il giorno stesso della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana e sarà presentato alle Camere per la conversione in legge.

06/10/2008 - Il Tribunale del Riesame di Bergamo annulla il sequestro del sito www.thepiratebay.org, pur riconoscendosi la evidente violazione del diritto d’autore (fumus delicti) si afferma che il ricorso al sequestro ex art. 321 c.p.p. (TR di Bergamo 1 agosto 2008) non è consentito, affermano infatti i giudici che l’utilizzo del sequestro può essere diretto solo alla apprensione del bene al fine di privare la disponibilità dello stesso. Il Tribunale di Riesame afferma inoltre che il profilo inerente alla falsa applicazione dell’art. 321 c.p.p., ha natura assorbente degli ulteriori profili eccepiti, annullando così l’ordinanza di sequestro e sostenendo che in materia di diritto processuale penale le misure cautelari sono un numerus clausus, consentire un utilizzo atipico di tale sequestro significherebbe sovvertirne natura e funzione.

Repubblica Italiana
Tribunale di Bergamo
Sezione penale del dibattimento in funzione di giudice del riesame
ordinanza di accoglimento di riesame avverso sequestro preventivo
- art. 324 c.p.p. -

********
Il Tribunale di Bergamo, composto dai Magistrati:
dott. Vittorio Masia Presidente
dott. Stefano Storto Giudice Rel.
Dott. Marialuisa Mazzola Giudice

letti
gli atti del procedimento in epigrafe nei confronti di S.K.P. Ed altri per il reato di cui agli artt. 110 c.p. e 171 ter co. 2 lett a bis) L. 633/41 ed esaminata la documentazione;

udite
le parti all’udienza in data 24.9.2008;

premesso
che, su richiesta del Pubblico Ministero, in data 1.8.2008 il GIP di Bergamo disponeva il sequestro preventivo del sito web www.thepiratebay.org, disponendo che i fornitori di servizi internet (Internet Service Provider) e segnatamente i provider operanti sul territorio dello Stato italiano inibiscano ai rispettivi utenti - anche a mente degli artt. 14 e 15 del Decreto Legislativo n. 70 del 9.4.2003 - l’accesso:
all’indirizzo www.thepiratebay.org;
ai relativi alias e nomi di dominio presenti e futuri, rinvianti al sito medesimo;
all’indirizzo IP statico 83.140.176.146, che al momento risulta associato ai predetti nomi di dominio, e ad ogni ulteriore indirizzo IP statico associato ai nomi stessi nell’attualità ed in futuro;

rilevato
che con ricorso ex art. 324 c.p.p. e successiva memoria depositata il giorno dell’udienza, i difensori di S.K. chiedevano la revoca del sequestro, eccependo nullità di ordine processuale; difetto di giurisdizione; insussistenza del fumus delicti; nonché falsa applicazione dell’art. 321 c.p.p., degli artt. 14/17 D.L.vo 70/03 e della direttiva 2000/31/CE;

ritenuto
che non può allo stato revocarsi in dubbio la sussistenza del fumus delicti (quantomeno secondo la tipicità dell’art. 171 co. 1 lett. a bis) L. 633/41), alla luce di quanto evidenziato dalla Guardia di Finanza, che riferisce di un elevatissimo numero di contatti al sito in questione registrati sul territorio nazionale (in termini di alcune centinaia di migliaia);
che tali contatti, per specificità, l’evidenza e l’ampiezza dell’offerta contenuta nel sito oggetto di cautela, devono essere ragionevolmente ricondotti, almeno in una significativa parte, all’acquisizione in rete di beni protetti dal diritto di autore, in violazione delle norme a presidio dello stesso;
che in proposito a nulla rileva il fatto che tali beni non siano nella diretta disponibilità degli indagati, ma collocati in archivi contenuti in apparecchi elettronici di altri soggetti, dal momento che solo le informazioni contenute nel sito in questione (nel quale si trovano le chiavi per accedere agli archivi di cui sopra e attingerne direttamente documenti) consentono la realizzazione di quei contatti in numero esorbitante cui fa riferimento la Guardia di Finanza;
che in tale contesto risulta del tutto evidente come gli indagati, attraverso il sito www.thepiratebay.org, quantomeno mettano a disposizione del pubblico della rete opere dell’ingegno protette, condotta astrattamente rispondente alla tipicità dell’art. 171 citato;
che, riconosciuto il fumus per come esposto, deve altresì affermarsi la sussistenza del periculum, dovendosi in proposito osservare che l’elevatissimo numero di connessioni rilevate induce a ritenere in via probabilistica (valutazione del tutto compatibile con il carattere della delibazione cautelare) l’attualità della commissione del delitto ipotizzato;
che, atteso il concreto atteggiarsi del fatto come sopra tratteggiato, all’affermazione della sussistenza di fumus e periculum, deve conseguentemente affermarsi anche la sussistenza della giurisdizione italiana;

considerato
che occorra ora esaminare il profilo inerente alla falsa applicazione dell’art. 321 c.p.p., che, in quanto attinente al merito, ha natura assorbente degli ulteriori profili eccepiti;

ritenuto
che le misure cautelari - e segnatamente i sequestri, secondo l’ordinamento processuale penale - hanno carattere di numerus clausus, non conoscendo il codice di rito un istituto atipico quale quello di cui all’art. 700 c.p.c.;
che di conseguenza non è giuridicamente possibile emettere sequestro preventivo al di fuori delle ipotesi nominate per le quali l’istituto fu concepito;
che il sequestro preventivo ha una evidente natura reale (come peraltro fatto palese dallo stesso nomen iuris del genere al quale esso appartiene), in quanto si realizza nell’apposizione di un vincolo di indisponibilità sulla res, che sottrae il bene alla libera disponibilità di chiunque;
che dunque l’ambito di incidenza del sequestro preventivo deve essere ristretto alla effettiva apprensione della cosa oggetto del provvedimento;

considerato
che il decreto censurato ha il contenuto di un ordine imposto dall’Autorità Giudiziaria a soggetti (allo stato) estranei al reato, volto ad inibire, mediante la collaborazione degli stessi, ogni collegamento al sito in questione da parte di terze persone;
che tale decreto (pur astrattamente in linea con la previsione degli artt. 14 e ss. D.L.vo 70/03), lungi dal costituire materiale apprensione di un bene, si risolve in verità in una inibitoria atipica, che sposta l’ambito di incidenza del provvedimento da quello reale - come detto ambito proprio del sequestro preventivo - a quello obbligatorio, in quanto indirizzato a soggetti indeterminati (i cd. provider), cui è ordinato di conformare la propria condotta (cioé di non fornire la propria prestazione), al fine di ottenere l’ulteriore e indiretto risultato di impedire connessioni al sito in questione;

ritenuto
che l’uso del tipo di cui all’art. 321 c.p.p., quale inibitoria di attività, non può però essere condiviso, in quanto produce l’effetto di sovvertirne natura e funzione, di talché il sequestro deve essere annullato;

PQM
visti gli artt. 321, 322 e 324 c.p.p.

annulla
il decreto di sequestro preventivo emesso in data 1.8.2008 dal GIP di questo Tribunale.
Manda alla cancelleria per quanto di competenza.
Così deciso in Bergamo, il 24 settembre 2008
F.to I Giudici