Personal Health Information Act (Nuova Scozia)

Panoramica

Il Personal Health Information Act (PHIA) è una legge provinciale sulla privacy della Nuova Scozia, che si applica alla raccolta, all’uso, alla divulgazione, alla conservazione, all’eliminazione e alla distruzione delle informazioni sanitarie personali. Il PHIA riconosce agli individui il diritto di proteggere le proprie informazioni sanitarie personali e ai depositari quello di raccogliere, utilizzare e divulgare tale tipo di informazioni allo scopo di fornire, sostenere e gestire la sanità.

I clienti possono sempre controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. Poiché AWS non può sapere cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerarsi soggetti alle norme PHIA, i clienti sono responsabili del rispetto della conformità al PHIA. I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme PHIA.

È finalmente disponibile per diversi servizi AWS la regione AWS Canada (Centrale); tra i servizi offerti: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Per un elenco completo delle regioni AWS e dei relativi servizi, consulta la pagina Infrastruttura globale. I prezzi per la regione Canada sono disponibili nella pagina dei dettagli di ciascun servizio alla quale si può accedere dalla nostra pagina dei prodotti e servizi. 

• Cosa sono PIPEDA, PIIDPA e PHIA? Qual è la relazione fra queste leggi?

  PIPEDA (Personal Information Protection and Electronic Documents Act) è una legge federale canadese applicabile alla raccolta, utilizzo e divulgazione delle informazioni personali nel corso delle attività commerciali in tutte le province del Canada. Alcune province del Canada hanno inoltre adottato delle leggi generali specifiche sulla privacy sia per il settore pubblico che per quello privato, così come leggi sulla privacy dedicate alle informazioni sanitarie personali. Il Personal Information International Disclosure Protection Act (PIIDAPA) è una legge sulla privacy emanata per far sì che le informazioni personali dei residenti in Nuova Scozia non vengano divulgate al di fuori del Canada. Con il termine informazioni personali sanitarie si intende l’insieme di dati personali identificati in base al PIIDAPA. Il Personal Health Information Act (PHIA) è una legge sulla privacy della Nuova Scozia, che si applica alla raccolta, all’uso, alla divulgazione, alla conservazione, all’eliminazione e alla distruzione delle informazioni sanitarie personali in possesso o sotto il controllo di un custode.

  Per informazioni sanitarie personali si intendono tutti quei dati che identificano un individuo, vivente o deceduto, sia in forma registrata che non registrata, se l’informazione riguarda l’anamnesi clinica, l’idoneità o le informazioni di registrazione come ulteriormente definite nel PHIA. Il termine “custode” è riferito a un individuo o a un’organizzazione che si occupa della custodia o del controllo delle informazioni sanitarie personali, come risultato o in relazione all'esercizio delle competenze o dei doveri delle persone o dell'organizzazione e come ulteriormente definito nel PHIA. I custodi possono essere professionisti del settore sanitario e poliambulatori regolamentati, autorità sanitarie, centri sanitari, commissioni di revisione, farmacie e Canadian Blood Services, nonché strutture sanitarie permanenti come specificato nel PHIA.

  Il fatto che, e la misura in cui, un cliente AWS sia soggetto alla legge PIIDPA, PHIA o a qualsiasi altra norma sulla privacy delle province del Canada può variare a seconda dell’attività del cliente.

  Anche altre organizzazioni potrebbero essere soggette a PIPEDA o ad altre leggi provinciali sulla privacy. Per ulteriori informazioni su PIPEDA, visita la pagina PIPEDA AWS qui.

  È consigliabile che i clienti si rivolgano ai propri consulenti legali per comprendere appieno a quali leggi per la privacy sono soggetti.
  

• In che modo i clienti possono rispettare il PHIA su AWS?

  I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme PHIA.

  I clienti che sono soggetti a PHIA potrebbero essere tenuti a rispettare i requisiti relativi alla raccolta, all’utilizzo, alla divulgazione, alla conservazione, all’eliminazione e alla distruzione delle informazioni sanitarie. AWS offre ai clienti il controllo del modo in cui i propri contenuti sono conservati o elaborati durante l’utilizzo dei servizi AWS, incluso il controllo di come tali contenuti sono protetti e di chi può accedere a tali informazioni. AWS fornisce servizi personalizzabili dai clienti in modo da contribuire alla sicurezza delle informazioni sanitarie personali conservate tramite AWS. È responsabilità del cliente elaborare una soluzione che soddisfi le norme sulla privacy applicabili.

  Nota: non vi è alcuna certificazione ufficialmente riconosciuta per il rispetto delle norme PHIA equivalente alle certificazioni o autorizzazioni SOC, PCI o FedRAMP. AWS offre invece ai propri clienti molte informazioni relative alle politiche, ai processi e ai controlli stabiliti ed effettuati da AWS. AWS fornisce workbook, whitepapers e guide di best practice alla pagina AWS Compliance Resources e i clienti hanno accesso, su richiesta, ai report sugli audit di terze parti AWS su AWS Artifact.
  

• AWS può accedere a informazioni sanitarie conservate dai clienti su AWS?

  I clienti hanno sempre la possibilità di controllare la gestione e l'accesso ai propri contenuti archiviati su AWS. AWS fornisce una serie di funzionalità avanzate per l’accesso, la crittografia e il logging per aiutare i clienti a gestire il loro accesso e i propri contenuti. AWS non accede a né divulga i contenuti dei propri clienti se non dietro indicazione del cliente stesso o se necessario in conformità alla legge o dietro ordine legalmente valido e vincolante di un organismo governativo o di regolamentazione avente giurisdizione. Salvo ove ad AWS sia proibito o a meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei servizi AWS, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di AWS ai clienti stessi, per consentire loro di tutelare i contenuti. Per maggiori informazioni consulta le domande frequenti sulla privacy dei dati.
  

• PHIA proibisce agli utenti AWS di trasferire o conservare dati al di fuori della Nuova Scozia o del Canada?

  È consigliabile che i clienti si confrontino con i propri consulenti legali per quanto è necessario in merito al rispetto delle norme sulla privacy. La legge PHIA potrebbe consentire ai custodi di conservare o divulgare le informazioni sanitarie personali al di fuori della Nuova Scozia, a determinate condizioni. Secondo il PIIDPA, gli enti pubblici potrebbero essere obbligati a conservare e ad accedere alle informazioni personali all’interno del Canada. È responsabilità di ciascun cliente determinare se il trasferimento e la conservazione dei dati al di fuori della Nuova Scozia o del Canada soddisfi i loro requisiti di sicurezza e gli obblighi della privacy ai sensi del PHIA e del PIIDPA.

  
  I clienti AWS devono verificare se si applica PIPEDA o le leggi di altre province del Canada e controllare se tali leggi prevedono delle limitazioni in merito alla conservazione dei dati. I clienti AWS scelgono le regioni in cui saranno archiviati i propri contenuti. AWS non trasferisce o replica contenuti dei clienti al di fuori della regione o delle regioni scelte senza il loro consenso.
  

• PHIA richiede che le informazioni sanitarie siano crittografate?

  PHIA non prevede requisiti di crittografia delle informazioni sanitarie. Tuttavia, le entità soggette alle norme PHIA devono adoperarsi per proteggere le informazioni sanitarie ed è responsabilità di ciascun cliente valutare se la crittografia sia una misura appropriata per soddisfare i requisiti di sicurezza PHIA. AWS consiglia di crittografare sempre le informazioni sanitarie durante la loro conservazione e trasferimento come best practice.
  

• In che modo i clienti possono ottenere informazioni per completare un Privacy Impact Assessment quando utilizzano AWS?

  AWS rende disponibile una gran varietà di materiali per aiutare i clienti a comprendere l’ambiente e i controlli di sicurezza AWS. AWS fornisce ai clienti l’accesso, previa richiesta, ai report degli audit di terze parti (ad esempio, i report SOC 1 e SOC 2) in AWS Artifact. AWS fornisce anche workbook, whitepaper e best practice alla pagina AWS Compliance Resources, con informazioni su come gestire i carichi di lavoro AWS in modo sicuro.
  

• In che modo i clienti possono implementare l’auditing e il logging del loro ambiente su AWS?

  In linea con il modello di responsabilità condivisa, i clienti dovrebbero valutare l’implementazione dell’auditing e del logging all’interno del proprio ambiente AWS in modo da soddisfare i propri requisiti di conformità. AWS offre servizi che rendono le architetture di logging scalabile e di analisi di log più facili da implementare. AWS dispone anche di diversi partner in AWS Marketplace che forniscono soluzioni di registrazione di log sicuro. Per ulteriori informazioni su come implementare la registrazione di log su AWS, consulta la pagina AWS Security-Logging Capabilities.
  

• Quali sono degli esempi di altre organizzazioni sanitarie del Canada che utilizzano AWS?

  Per informazioni sui trend nella sanità del Canada, è possibile consultare il nostro blog aggiornato. Per informazioni sulla conformità sanitaria su Cloud AWS, consulta questa pagina.