Privacy negli studi medici: istruzioni e regolamento
PROFESSIONE | REDAZIONE DOTTNET | 17/01/2017 09:27
Norme rigide per la riservatezza del paziente: come comportarsi e i modelli da far firmare
La data è fissata per il 25 maggio 2018, quando entrerà in vigore il nuovo Regolamento UE 2016/679 sulla protezione dei dati. La norma (UE) 2016/679 del Parlamento e del Consiglio europei, del 27 aprile 2016, relativo alla protezione delle persone fisiche in relazione al trattamento dei dati personali, nonché alla loro libera circolazione, è direttamente applicabile in tutti i Paesi dell’Unione europea, senza necessità di recepimento e sostituisce il "vecchio" Codice della Privacy (Dlgs 196/2003).
Una delle principali novità del Regolamento Privacy Ue, è l’intensificazione dei doveri che gravano sui titolari del trattamento dei dati. Vanno in questo senso l’introduzione del principio di accountability (l’obbligo di responsabilità in capo all’azienda per l’utilizzo dei dati), l’irrobustimento delle garanzie di sicurezza, l’introduzione dei principi di privacy by design (tutela del dato personale fin dalla progettazione) e privacy by default (tutela della vita privata secondo regole predefinite), dei registri aziendali, della valutazione d’impatto e della consultazione preventiva; l’immissione della nuova figura del Data Protection Officer e il ricorso alla certificazione nei processi di trattamento. Chi non si adeguerà entro la data prestabilita andrà incontro a un nuovo regime sanzionatorio che introdurrà multe fino a 20 milioni di euro o al 4 per cento del fatturato annuo globale dell’azienda.
Da maggio 2018, anche le funzioni di controllo delle Autorità garanti saranno chiamate a una collaborazione più stretta e a esercitare poteri di vigilanza stringenti a garanzia dei diritti del cittadino.
Per adempiere agli obblighi previsti dal Sistema di Adeguamento Normativa Privacy (SANP), richiedi la Privacy Box
Ma vediamo nel dettaglio che cosa deve fare il medico nel suo studio:
RACCOLTA DEL CONSENSO: Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy. Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali.
Ovvero la dichiarazione scritta con la quale il medico informa il proprio paziente su quali dati avrà necessità di raccogliere per un efficace rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti.
MODELLI D'INFORMATIVA: L’Autorità, come informa l'Ordine dei medici di Firenze, ha predisposto un modello di informativa che può essere adottato nella maggior parte dei casi dai medici e dagli odontoiatri nei propri studi professionali. E' bene precisare che si tratta di modello standard che può essere adattato e integrato nei casi in cui ciò si renda necessario. Per esempio, se il medico intende usare i dati del paziente per partecipare ad una ricerca scientifica, dovrà integrare l’informativa prospettando al paziente anche questa eventualità. In ogni caso, l’informativa può essere consegnata ad ogni singolo paziente, oppure può essere affissa nella sala d’attesa dello studio in modo da renderla conoscibile da ogni paziente.
Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico. Ma se non vi sono queste situazioni particolari, il consenso vale una volta per tutte.
Il consenso riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura. Tutt’altra cosa è il consenso del paziente all’atto medico, che non riguarda la legge sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà ma che è ben altra materia.
Se il medico, nel proprio studio, si avvale di personale di segreteria, deve redigere una formale lettera di incarico al trattamento dei dati sanitari al personale di segreteria, che si deve attenere alle istruzioni impartite dal medico titolare dello studio.
Se il medico si avvale di un ragioniere e/o commercialista per la tenuta della sua contabilità, anche il consulente fiscale deve firmare una lettera.
ARCHIVIAZIONE DEI DATI: Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e in definitiva trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer. Nel caso di trattamento dei dati in forma cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente la salute del paziente. Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate ne possano prendere conoscenza.
Per adempiere agli obblighi previsti dal Sistema di Adeguamento Normativa Privacy (SANP), richiedi la Privacy Box
Se il medico utilizza un computer, questo deve essere protetto da una password alfanumerica (la meno intuitiva possibile) che deve essere cambiata ogni tre mesi, consiglia Omceo Firenze. Inoltre il computer deve essere protetto da un software antivirus, anti-malware e, se è connesso a internet, anche da un firewall. Infine deve essere previsto un salvataggio periodico dei dati da poter utilizzare in caso di emergenza. Le misure di protezione informatica hanno una rapida evoluzione tecnologica, per cui è opportuno che il medico possa contare su un consulente informatico di propria fiducia per rendere il suo computer sempre protetto al massimo grado
Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha diritto ad ottenere copia di tutti i dati che lo riguardano.
Per adempiere agli obblighi previsti dal Sistema di Adeguamento Normativa Privacy (SANP), richiedi la Privacy Box
Il testo del GDPR in PDF (in Italiano)
30 ottobre 2017Norme
Il nuovo Regolamento Europeo in materia di Protezione dei Dati Personali (2016/679) entrerà pienamente in vigore il 25 maggio 2018. Qui trovi il testo in PDF, le principali novità e una guida in 12 punti per adeguare la tua organizzazione.
Il testo del GDPR in PDF (scarica qui la versione in Italiano)
