Chat with us, powered by LiveChat
+39 080 86 51 100 info@doctormanager.it
Seleziona una pagina

Trattamento dati sanitari: i chiarimenti del Garante

Data la complessità e la delicatezza del trattamento dei dati sanitari (dati personali del paziente in ambito sanitario), l’autorità garante per la privacy con provvedimento del 7 Marzo 2019, ha considerato opportuno fornire alcuni chiarimenti sull’applicazione del GDPR e sulle relative misure di garanzia da adottare.

Prima di tutto, è essenziale che tu riconosca l’importanza dei dati personali dei pazienti che acquisisci, gestisci e custodisci quotidianamente. Tali informazioni rappresentano un vasto patrimonio per la tua organizzazione e potrai sfruttarle, conformemente al regolamento, per migliorare la tua esperienza di servizio e rafforzare l’immagine della tua struttura ambulatoriale.

E allora vediamo insieme come interpretare i chiarimenti del garante, essere in regola con il GDPR (da adesso in poi regolamento) ed ottimizzare il tuo poliambulatorio e studio medico.

Quando è lecito il trattamento dei dati personali in ambito sanitario

Il trattamento dei dati personali in ambito sanitario è da considerarsi lecito per:

Motivi di interesse pubblico rilevante sulla base del dritto dell’Unione o degli Stati membri;
Motivi di interesse pubblico nel settore della sanità pubblica (quali la protezione da gravi minacce per la salute a carattere transfrontaliero, o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dispositivi medici);
Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (“finalità di cura”), conformemente al contratto con un professionista della sanità effettuati da un professionista sanitario o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Consenso al trattamento dei dati personali: quando NON devi chiederlo al paziente

In quanto professionista sanitario, non devi più richiedere il consenso al trattamento dei dati personali del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista, ovvero all’interno di una struttura sanitaria pubblica o privata.

Consenso al trattamento dei dati personali: quando DEVI chiederlo al paziente

Dovrai richiedere il consenso al paziente per:

Trattamenti connessi all’utilizzo di App mediche (con finalità diverse dalla telemedicina, oppure quando possono avere accesso ai dati soggetti diversi dai professionisti sanitari);

Trattamenti preordinati alla fidelizzazione della clientela (programmi di accumulo punti, ad esempio);

Trattamenti effettuati in ambito sanitario da persone giuridiche private per finalità promozionali o commerciali (promozioni su programmi di screening, ad esempio);

Trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

• Trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico;

• Refertazione online in relazione alle modalità di consegna del referto.

Cosa dire all’interessato nell’informativa al trattamento dei dati personali

Il regolamento impone (art. 13 e 14) ai titolari di informare l’interessato sui principali elementi del trattamento al fine di renderli consapevoli sulle principali caratteristiche dello stesso. Le informazioni devono essere fornite, mediante informativa al trattamento dei dati personali, in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro.

In merito alla modalità, spetta al titolare scegliere le modalità più appropriate tenendo conto delle circostanze del trattamento e del contesto in cui viene effettuato. Ma si suggerisce, per la complessità di alcune organizzazioni, di fornire le informazioni, previste dal regolamento, in modo progressivo.

Ad esempio, si potrebbero inizialmente fornire al paziente le informazioni che rientrano nell’ordinaria erogazione delle prestazioni sanitarie, per poi procedere con le informative relative a particolari attività di trattamento (referti, servizio sms, etc) ai soli pazienti effettivamente interessati al servizio.

Così, si darebbe una maggiore attenzione alle informazioni davvero rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento dati sanitari.

Conservazione e tutela dei dati personali in ambito sanitario

In merito alla documentazione sanitaria l’ordinamento prevede numerosi e differenziati riferimenti ai tempi di conservazione e tutela della stessa.

Ad esempio:

• Documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità sportiva agonistica deve essere conservato per almeno 5 anni;

• Documentazione iconografica radiologica deve essere conservata per un periodo non inferiore a 10 anni;

Cartelle cliniche e referti vanno conservati illimitatamente, etc.

Nel caso in cui invece i tempi non siano stabiliti da una disposizione normativa, il titolare in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati in una forma che ne consenta l’identificazione per un arco di tempo non superiore al conseguimento delle finalità per i quali i dati sono trattati.

È comunque consigliabile conservare i dati per l’esercizio del diritto di difesa, con procedura e forma appropriata, per un periodo di tempo pari ai termini di prescrizione per le responsabilità civili e penali.

Chi è il Responsabile della protezione dei dati e quando devi nominarlo

La designazione del Responsabile della protezione dei dati (RDP), DPO nel GDPR, volta a facilitare l’osservanza della disciplina di protezione dei dati, risulta obbligatoria per autorità o organismi pubblici. Per altri soggetti la designazione, invece, risulta essere obbligatoria se il trattamento dei dati personali viene effettuato su larga scala.

Ma in quale condizione il trattamento dei dati personali in ambito sanitario è considerato su larga scala?

Per definire “larga scala” potrebbero essere considerati congiuntamente i seguenti elementi:

• la percentuale di interessati sul totale di una popolazione di riferimento territoriale;

• il volume e la tipologia dei dati trattati;

• la durata del trattamento.

Ogni struttura, quindi, deve considerare con obiettività tali fattori e valutare in merito alla propria organizzazione l’applicabilità o meno della condizione del trattamento dei dati su larga scala.

Specificatamente il provvedimento sancisce che il trattamento dei dati sanitari su larga scala non trova alcuna applicabilità nella misura dei singoli professionisti sanitari che operano in regime di libera professione a titolo individuale.

Cos’è il registro di attività e quando devi averne uno

Il provvedimento sancisce l’obbligatorietà del registro delle attività di trattamento dati sanitari per tutti gli erogatori di prestazioni sanitarie pubbliche o private (singoli professionisti sanitari, medici, ospedali privati, case di cura, RSA, aziende appartenenti al SSN, nonché farmacie, parafarmacie ed aziende ortopediche).

Rappresenta uno degli elementi per la definizione del quadro di responsabilizzazione previsto dal regolamento. La tenuta del registro, infatti, costituisce un elemento essenziale per il governo dei trattamenti in ambito sanitario e per l’efficace gestione del rischio.

 Vuoi saperne di più?

Approfondisci la tematica del GDPR in sanità!

Condividi questa notizia!