REGOLAMENTO UE 2016/679


PRIVACY E STUDI MEDICI
13/07/2018

ADEMPIMENTI IN MERITO AL REGOLAMENTO EUROPEO RELATIVO AL TRATTAMENTO DEI DATI PERSONALI

PRIVACY E STUDI MEDICI
ADEMPIMENTI IN MERITO AL REGOLAMENTO EUROPEO
RELATIVO AL TRATTAMENTO DEI DATI PERSONALI

 

 

Con la presente comunicazione desideriamo informarvi, pur senza alcuna pretesa di esaustività, dei principali obblighi, adempimenti e cautele che i titolari del trattamento di dati (medici e odontoiatri) sono chiamati ad adottare in base alle norme del Regolamento UE 2016/679 (di seguito chiamato anche GDPR).

La materia è comunque ancora in trasformazione e ciò anche in ragione della mancata adozione in via definitiva del decreto legislativo per l’adeguamento dell’ordinamento interno al nuovo quadro normativo europeo in tema di tutela della privacy. La delega per l’emanazione del decreto scadeva il 21 maggio u.s. ma il termine è stato prorogato di tre mesi. Questo ritardo non ha comunque avuto ripercussioni sull’entrata in vigore del Regolamento UE (applicato dal 25 maggio 2018). Inoltre, per garantire la continuità, sono stati fatti salvi i provvedimenti e le autorizzazioni generali del Garante che saranno oggetto di un successivo riordino, nonché i codici deontologici vigenti.

Il medico di base si trova, nella quotidiana attività professionale, a dover trattare dei dati personali di una certa delicatezza, quali quelli relativi alla salute (i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute - art. 4 n. 15 GDPR), quelli genetici (i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione - art. 4 n. 13 GDPR).

Il presente vuol essere, nelle intenzioni, un documento di sintesi, con l’elencazione di una serie di suggerimenti (alcuni oggetto di obbligo normativo, altri dettati dal semplice buonsenso) utili al singolo medico/odontoiatra per garantire fattivamente la sicurezza dei dati personali trattati.

 

Accountability

Il GDPR si fonda sul principio della “accountability”: è responsabilità del titolare del trattamento cui compete garantire l’efficacia del sistema complessivo di misure di protezione dei dati personali, comprendente il riesame e l’aggiornamento costante di tutte le condizioni adottate.

 

Informativa

Il primo obbligo a carico del medico/odontoiatra, indipendentemente dalle dimensioni del proprio studio professionale, è quello di informare il paziente circa le finalità in ragione delle quali sono raccolti i dati e circa le modalità di trattamento e conservazione dei dati stessi.

Il Regolamento Europeo rinnova e amplia i contenuti dell’informativa.

A seguito della comunicazione e della sottoscrizione dell’informativa, il paziente potrà prestare formalmente il proprio consenso informato.

L’informativa del medico/odontoiatra dovrà fornire con linguaggio semplice e chiaro le informazioni relative al trattamento dei dati in forma concisa, trasparente, intellegibile e facilmente accessibile. 

L'informativa può essere fornita in molti modi purché facilmente accessibile e comprensibile (per esempio pieghevoli, manifesti in sala d’attesa e/o sul sito internet dello studio).

 

Il consenso

È questo un argomento che lo Stato Italiano dovrà regolare con il decreto legislativo per l’adeguamento della normativa nazionale al Regolamento Europeo atteso entro il 21 agosto, in quanto il Regolamento Europeo lascia ai singoli Stati libertà di disciplina.

Facciamo comunque notare che la bozza del decreto prevede che il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, di valutazione della capacità lavorativa del dipendente, di diagnosi, assistenza o terapia sanitaria, … non sia subordinato al consenso scritto ma solo all’osservanza di misure di garanzia stabilite dal Garante. Occorre quindi attendere cosa dirà il legislatore italiano sull’argomento

 

Informazioni a persone diverse dall'interessato

Le informazioni relative allo stato di salute possono essere rese note ai relativi familiari o conoscenti solo se gli assistiti abbiano manifestato uno specifico consenso al proprio medico.

Al riguardo, l'informativa e il consenso possono intervenire anche successivamente alla prestazione nei soli casi, individuati selettivamente dal medico, di impossibilità fisica o di incapacità dell'interessato.

Il paziente può delegare stabilmente una o due persone a tale procedura. In tal caso è opportuno farsi firmare un consenso generale.

 

Medici associati

Se il medico lavora in associazione con altri colleghi è sufficiente che nell’informativa sia esplicitato chiaramente che i dati dei pazienti possono essere trattati anche dai colleghi medici facenti parte dell’associazione professionale o della medicina di rete o di gruppo, ovviamente sempre e solo per esclusive finalità di diagnosi e cura.

 

Dipendenti e collaboratoriI dipendenti e i collaboratori dovranno essere designati in modo formale ”autorizzati al trattamento" mediante uno specifico documento. L'adempimento è simile alla vecchia designazione di ”incaricati del trattamento".

 

Diritti del paziente

Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto ad ottenere copia di tutti o di una parte dei dati che lo riguardano, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano. Se però il paziente chiede la cancellazione dei suoi dati è come se revocasse il consenso che originariamente aveva dato, per cui il medico non può che prenderne atto, accogliere la richiesta del paziente e considerare terminato il rapporto di cura. Tuttavia, bisogna ricordare che a norma del Codice Civile i documenti amministrativi devono essere conservati per almeno 10 anni, per cui il medico dovrà conservare gli atti del paziente per tutta la durata del rapporto di cura e per i 10 anni successivi al termine di esso (anche per eventuali risvolti legali).

 

Modalità di trattamento dei dati

Il medico di medicina generale e il pediatra di libera scelta raccolgono, di regola, i dati personali presso l'interessato e possono trattare informazioni relative ai suoi ricoveri, agli esiti di esami clinici e diagnostici (effettuati sulla base della prescrizione dello stesso medico di medicina generale o del pediatra).

Il trattamento dei dati è consentito solo alle persone autorizzate (il medico/odontoiatra stesso, il sostituto, la segretaria, ecc.) garantendone l’accessibilità riservata, per esempio la segretaria dello studio potrà avere libero accesso ai recapiti del paziente, ma non a quelli concernenti le condizioni di salute dello stesso.

 

Trattamento dei dati su supporto cartaceo:

Il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente alla salute del paziente. Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate ne possano prendere conoscenza (per esempio in armadio o schedario chiuso a chiave e possibilmente di materiale ignifugo).

Le comunicazioni telefoniche con i pazienti debbono essere effettuate in maniera che non possano essere ascoltate da soggetti terzi, estranei al rapporto; sarebbe opportuno, pertanto, che la postazione telefonica della segreteria non sia ospitata nella sala d’attesa dello studio.

 

Trattamento dei dati informatizzato:

Vale lo stesso principio di evitare o ridurre al minimo il rischio di perdita, distruzione, sottrazione o alterazione dei dati memorizzati nel computer. Ciò si può realizzare con diversi accorgimenti tecnici:

In primo luogo, il computer deve essere protetto da una password alfanumerica che deve essere cambiata ogni tre mesi; il codice di autenticazione dell’incaricato non viene assegnato ad incaricati diversi neppure in tempi diversi.

Il computer deve essere protetto da un software antivirus e, se è connesso ad internet, anche da un firewall, aggiornati con cadenza almeno semestrale; deve essere fatto un salvataggio periodico, almeno settimanale, dei dati da poter utilizzare in caso di emergenza.

Sarebbe opportuno procedere ad una pseudonimizzazione dei dati stessi (ricollegandoli al nominativo del paziente solo tramite una chiave, o un codice identificativo che non sia, a sua volta, un dato personale del paziente).

In relazione all’eventuale esistenza di un dispositivo di connessione internet wi-fi si consiglia vivamente di modificare l’originaria chiave di accesso fornita dal gestore della rete e di modificarla ogni tre mesi.

 

Altre misure per il trattamento di dati personali:

Consegnare le singole prescrizioni in busta chiusa, e solo al diretto interessato (o ad altra persona, dallo stesso previamente e formalmente autorizzata al ritiro); le buste chiuse contenenti i documenti sanitari non devono essere messe a disposizione dei pazienti per il ritiro ad esempio in uno scaffale della sala d’attesa, ma devono essere gestite dal personale di segreteria.

Al desk della segreteria, in caso di più segretarie, non chiamare in contemporanea più pazienti di medici diversi.

È sconsigliata la comunicazione delle prescrizioni ai pazienti via mail, ma nel caso è necessario raccogliere una tantum il consenso del paziente.

 

Elenco degli adempimenti privacy

Informative privacy per dipendenti, pazienti e sito internet
Nomina Responsabili esterni, per disciplinare il trattamento di dati personali dello studio da parte di fornitori di servizi (es. commercialisti, consulenti del lavoro, manutenzione informatica, ecc.)
Nomina Autorizzati al trattamento di dati personali per il personale (dipendenti e collaboratori) dello Studio, che andranno a sostituire le precedenti nomine a incaricato del trattamento ex art. 30 del precedente Codice Privacy
Formazione degli Autorizzati al trattamento di dati personali
Procedura per la gestione di data breach, da utilizzare al verificarsi di violazioni di dati personali
Procedura per il riscontro dei diritti degli interessati, da utilizzare per dar seguito alle richieste degli interessati nell’esercizio dei loro diritti
Analisi dei rischi e degli strumenti elettronici e non con cui si trattano i dati
Adeguamento degli strumenti elettroni e non.

Vi sono questioni operative ancora aperte, quale l’obbligo della redazione del Registro dei trattamenti  e la nomina del DPO (che non è obbligatoria per il singolo professionista mentre è ancora da chiarire se gli studi associati sono obbligato a nominarlo).

Back to Top