Conformità al D. Lgs. 196/2003 del prodotto software GPG e delle relative attività di manutenzione ed assistenza (Novembre 2016)
La particolare delicatezza dei dati trattati dal prodotto software GPG impone un alto livello di attenzione per garantire il pieno rispetto degli obblighi imposti dalla normativa in vigore in tema di privacy, in special modo per quanto attiene alla sicurezza dei dati stessi, in riferimento sia alle misure previste dall’art. 31 D. Lgs. 196/2003, sia alle “misure minime” previste agli artt. 33-34-35-36 e descritte nell’allegato B allo stesso Decreto, che sono state prese in considerazione nella progettazione delle caratteristiche tecniche del prodotto, di cui viene evidenziata la rispondenza in merito a quanto disposto dal citato Decreto, come di evince dai contenuti del Manuale Utente.
Quale premessa a tutto, il Medico utilizzatore del software GPG si configura come titolare dei dati ed ha in carico gli oneri pratici di gestione quali ad esempio le credenziali, la verifica annuale dei profili di conservazione, ecc.
Genomedics invece si configura quale mero responsabile del trattamento e sarà tenuta all’espletamento di alcune attività tecniche, come sotto evidenziate.
Ciò premesso:
- Il prodotto software GPG, supporta le misure minime di sicurezza prevista dal disciplinare tecnico in All. B al D. Lgs.196/2003 ed è conforme ad i requisiti richiesti dalla normativa in vigore per i trattamenti di dati personali.
A maggiore dettaglio di questa dichiarazione di conformità, si precisa che:
- GPG fa completo riferimento tecnico al sistema di autenticazione presente nel gestionale di cartella clinica e non ne utilizza uno proprio. Il sistema utilizzato dai gestionali prevede l’utilizzo di credenziali di autenticazione costituite da user-id e password; consente inoltre di assegnare credenziali di autenticazione individualmente ad ogni incaricato; [Sistema di autenticazione informatica – All. B al D. Lgs. 196/2003 punti 1-2-3].
- Il sistema di autenticazione, utilizzato dai gestionali di cartella clinica a cui GPG fa esclusivo riferimento, supporta esclusivamente password di lunghezza maggiore o uguale a 8 caratteri e consente a ciascun incaricato di modificare la propria password autonomamente. Inoltre il sistema impone la sostituzione della password ogni 90 gg. (All. B al D. Lgs. 196/2003 p.to 5).
- Il Titolare in possesso del profilo amministratore del gestionale di cartella clinica, ha la completa gestione delle credenziali impostate sul sistema. [corretta gestione delle credenziali -All. B al D. Lgs. 196/2003 punti 6-7-8].
- Il sistema GPG prevede la disconnessione dall’applicativo dopo un periodo di inattività della sessione di lavoro, parametricamente definito, e sua ripresa tramite reintroduzione di codice utente e parola chiave [All. B al D. Lgs. 196/2003 p.to 9].
- Il sistema di assegnazione profili utilizzato dai gestionali di cartella clinica, a cui GPG fa completo riferimento, prevede la possibilità di impostare diversi profili di autorizzazione per classi omogenee configurati in base alle specifiche esigenze emerse nell’ambito di uno studio medico. [All. B al D. Lgs. 196/2003 p.to 12-13-14]
- Il prodotto software GPG viene installato in un ambiente protetto con misure, in conformità alla normativa in parola, di competenza del Titolare [Protezione degli strumenti elettronici e dei dati da trattamenti illeciti di dati, da accessi non consentiti e dall’azione di determinati programmi informatici dannosi – All. B al D. Lgs. 196/2003 punti 16 –17 – 20]
- Il sistema di assegnazione profili utilizzato dai gestionali di cartella clinica, a cui GPG fa completo riferimento, adotta la separazione dei dati sensibili da quelli anagrafici, in particolare all’interno del database originato e gestito dal sistema i dati anagrafici e quelli sanitari dei pazienti sono memorizzati su tabelle separate che vengono associate tramite un codice interno generato automaticamente dal programma. [All. B al D. Lgs. 196/2003 p.to 24. – D. Lgs. 196/2003, art. 22 comma 6 e comma 7].
- Infine il gestionale di cartella clinica, a cui GPG fa riferimento/affidamento, offre al Medico Cliente-Utente anche un supporto per la registrazione dei consensi conferiti dai pazienti (che possono essere acquisiti anche verbalmente come previsto dall’art. 81 del D. Lgs. 196/2003) su diversi livelli di consenso la cui valenza dipende essenzialmente dalle scelte operate da ogni singolo Medico e dall’informativa ex art. 13 da questi erogata ai propri pazienti. Il Medico potrà utilizzare questa funzionalità tenendo presente che il sistema è impostato in modo da consentire, in assenza di indicazioni, la consultazione dei dati da parte dei sostituti/collaboratori/Medici in associazione. In ogni caso la correttezza nell’acquisizione del consenso e dei trattamenti conseguenti (quali ad esempio l’invio dei flussi alle ASL) non risiede nelle caratteristiche tecniche del software di cartella clinica.
- Per quanto concerne l’attribuzione di incarichi e responsabilità connessi all’amministrazione del software, seppur la proprietà del gestionale di Cartella sia riferibile alla software house produttrice, quest’ultima non ha parte alcuna nel trattamento dei dati gestiti dal software stesso, la cui titolarità resta in capo unicamente al Medico Cliente-Utente.
- Tuttavia alcune attività di “customer support” connesse all’utilizzo del software comportano la possibilità di accesso da parte di Genomedics S.r.l. ai dati trattati con il software medesimo (es.: recupero dati, teleassistenza, etc.); rispetto a tali attività il Medico Cliente-Utente nella sua qualità di Titolare del trattamento di dati personali procede a nominare Genomedics s.r.l. “RESPONSABILE esterno del trattamento dei dati” secondo quanto citato all’art.29 del D.lgs. 196/2003. Per una completa individuazione degli obblighi assunti da Genomedics S.r.l., in qualità di responsabile esterno, si rinvia al contenuto della stessa, presente nei relativi contratti di cessione in licenza d’uso del prodotto software GPG.
- Genomedics r.l., nella sua qualità di Responsabile esterno del trattamento si impegna a:
- trattare i dati personali nel pieno rispetto della normativa sulla protezione dei dati personali e delle successive modifiche ed integrazioni, operando nell’assoluto rispetto della riservatezza di qualsiasi dato o informazione ovvero di quant’altro venga a conoscenza per effetto dei servizi svolti;
- nell’ambito delle proprie competenze e aree di responsabilità, individuare nominativamente, designare come previsto ( 30 D. Lgs. 1296/2003) e formare il proprio personale adibito alle attività di assistenza (“Incaricati al trattamento”);
- dare piena applicazione, per quanto di Sua competenza, nell’ambito delle proprie strutture, alle misure di sicurezza di cui agli artt. 31-32-33-34-35-36 del D. Lgs n. 196/2003 ed al disciplinare tecnico Allegato B allo stesso Decreto nonché al Provvedimento dell’Autorità Garante in materia di Amministratore di Sistema del 27 novembre 2008 e s.m.i.;
4.1. le attività effettuate in “teleassistenza“, così come l’eventuale trasmissione di dati personali, vengono effettuate dopo aver instaurato una connessione tramite il software “Teamviewer”, che consente di instaurare un canale di comunicazione sicuro cifrato attraverso l’impiego della crittografia asimmetrica e dell’algoritmo AES 256 bit;