GDPR: la tutela del dato sensibile nel Poliambulatorio

Software Gestionale Medico | Blog & Notizie | Leggi e Norme

• La normativa
• I soggetti
• Informative e consensi: facciamo chiarezza
• Informativa privacy: obbligo burocratico, ma non solo
• Archiviazione e protezione della documentazione
• Il consenso del paziente: obbligo e prassi deontologica
• Comunicazione dei dati, Personale e misure di sicurezza

La Normativa

L’articolo 4 del General Data Protection Regulation (GDPR) definisce i dati relativi alla salute quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” e fanno parte dei dati soggetti a trattamento speciale in quanto afferiscono a dettagli molto intimi della persona: per questo motivo sono soggetti ad una tutela rafforzata, diremmo blindata.

In generale il regolamento europeo vieta il trattamento dei dati relativi alla salute tranne nel caso in cui questi siano utilizzati esclusivamente per finalità di cura, ricerca o finalità di governo: quando il cittadino quindi decide di sottoporsi ad una cura non occorre dia il consenso al trattamento dei suoi dati a fini della cura stessa e/o della diagnosi.

La norma estende l’esenzione anche alle “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”.

I dati però possono essere gestiti per tali finalità solo se “sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale”
In tutti gli altri casi il trattamento necessita del consenso ed inoltre l’autorità di controllo dovrà anche promuovere delle regole deontologiche per il trattamento dei dati relativi alla salute.

I Soggetti

I soggetti che per legge possono trattare dati sanitari sono:

• coloro che esercitano una professione sanitaria;

• gli organismi sanitari pubblici.

Gli esercenti una professione sanitaria, in base alle leggi vigenti (l. 24/2017), appartengono alle seguenti categorie:

• farmacista ex d.lgs. 258/1991;

• medico chirurgo ex d.lgs. 368/1999;

• odontoiatra ex l.409/1985;

• veterinario ex l. 750/1984;

• psicologo ex l. 56/1989;

• infermiere ex l. 905/1980;

• ostetrico ex l. 296/1985;

• infermiere pediatrico ex d.l. 70/1997;

• esercente professioni sanitarie riabilitative.

Sono esclusi:

• l’operatore di interesse sanitario (l. 403/1971 e l. 43/2006);

• ausiliari delle professioni sanitarie (massaggiatore, ottico, odontotecnico, OSS e puericultrice).

Lo Studio Medico è titolare del trattamento dei dati e se lo studio è composto da un singolo medico sarà la persona fisica il titolare del trattamento.
Nel caso in cui vi siano più medici, come nei Poliambulatori, occorre verificare se vi è un rapporto di contitolarità oppure se si tratta di titolari autonomi che condividono solo gli spazi.

Informative e consensi: facciamo chiarezza

Definiamo subito la distinzione tra informativa privacy, consenso privacy e consenso informato perché si tratta di tipologie documentali completamente differenti e non sempre di facile comprensione sia per lo specialista che per l’utente-paziente:

• INFORMATIVA PRIVACY: informa sulle procedure e modalità di gestione dei dati;
• CONSENSO PRIVACY: rappresenta una vera e propria richiesta autorizzativa;
• CONSENSO INFORMATO: serve ad informare il paziente riguardo le proprie condizioni di salute, le cure, i rischi ed anche l’eventuale rifiuto per un determinato trattamento.

Va puntualizzato nuovamente quindi che medici, centri polispecialistici e strutture sanitarie non sono obbligati a richiedere il consenso ai pazienti per l’utilizzo dei dati personali per “finalità di cura” ovvero per perseguire obiettivi scientifico-professionali in ambito di prevenzione, diagnosi, assistenza, terapia sanitaria o sociale, gestione dei servizi sanitari o sociali.
Il medico è già soggetto al segreto professionale e all’obbligo di massima riservatezza e non occorrono pertanto ulteriori formalità.

Informativa privacy: obbligo burocratico, ma non solo

Diverso invece il discorso sulle informazioni da comunicare al paziente riguardo alle modalità di archiviazione e utilizzo di questi dati. Come si deve procedere?
Il primo passo riguarda la creazione di una INFORMATIVA PRIVACY corretta e coerente, il cui scopo è quello di portare a conoscenza del paziente le modalità di gestione della propria anagrafica; il personale (medico o infermieristico) sottopone questo documento al paziente nel momento in cui lo stesso fornisce i suoi dati.
Il testo deve presentarsi in forma accessibile e comprensibile a tutti utilizzando un linguaggio semplice, conciso, trasparente e di immediata intelligibilità.
Come sempre l’attitudine e la professionalità dell’operatore sanitario “fanno la differenza” perché deve essere in grado di agevolare la comprensione del testo da parte del paziente e fugare ogni suo dubbio, evitando la percezione che si tratti solo di inutili “scartoffie”: in questo caso l’aiuto di un software gestionale efficiente – qual è CGM XMEDICAL – può evidentemente essere fondamentale.
L’informativa pertanto deve indicare:

• chi è il soggetto che raccoglie e tratta i dati ovvero Il titolare;

• le finalità del trattamento;

• le modalità del trattamento;

• la natura obbligatoria o facoltativa del conferimento dei dati e conseguenze per un eventuale rifiuto;

• le terze parti a cui i dati possono essere comunicati;

• le modalità con cui il paziente può esercitare i diritti a tutela dei propri dati.

Archiviazione e protezione della documentazione

Tutte le informative devono poi essere conservate in un registro (meglio se digitale e crittografato) dei trattamenti e affidate alla supervisione di un Responsabile della Protezione dei Dati, il Data Protection Officer (DPO).
In caso di utilizzo dei dati personali dei pazienti per finalità differenti dalla cura (ad esempio per attività promozionali o di campionamento statistico), il Garante della Privacy ha chiarito che va formalmente richiesto all’interessato il via libera per il trattamento dei propri dati attraverso la presa visione e firma del CONSENSO PRIVACY il quale deve essere pertanto chiaro ed inequivocabile, manifestato liberamente e, in maniera specifica, verificabile e potenzialmente revocabile.

Il consenso del paziente: obbligo e prassi deontologica

Il CONSENSO INFORMATO (che avvenga in forma scritta o meno) rappresenta il presupposto che legittima l’attività medica: nessuno può essere infatti sottoposto a trattamenti sanitari contro la propria volontà, fatti salvi quei casi di emergenza, urgenza ed altre specificità.
Il medico ha quindi l’obbligo di richiedere il consenso del paziente – o del suo delegato – prima di procedere alle terapie e, nel caso di minorenni, vale la responsabilità genitoriale.
Dal punto di vista giuridico, il consenso non è regolamentato dal GDPR 2018, ma dalla legge 22 dicembre 2017, n. 219 che all’art. 1 c.3.

Comunicazione dei dati, Personale e misure di sicurezza

I dati sullo stato della salute del paziente possono essere forniti anche a terzi, come parenti, familiari, conviventi, conoscenti, personale volontario, purché l’interessato, se cosciente, sia stato debitamente informato e abbia consentito. Occorre perciò rispettare l’eventuale richiesta della persona ricoverata a non rendere note a terzi la sua presenza nella struttura sanitaria o le informazioni sulle sue condizioni di salute.
È assolutamente fondamentale che siano attuate tutte le misure di sicurezza possibili a tutela dei dati suddetti considerato che si tratta di informazioni sensibili e di elevata importanza: in particolare, se trattati su carta, i documenti vanno chiusi in appositi schedari e non, ad esempio, posti alla vista ed alla mercé degli altri pazienti.

Tutto il personale sanitario infine, rigorosamente autorizzato e preferibilmente con profili specifici di accesso ai dati (in relazione ai diversi ruoli ricoperti nella struttura poliambulatoriale), deve essere debitamente formato ed istruito.

Qui di seguito vi proponiamo l’E-BOOK “Quali sono le corrette prassi da seguire per la gestione della casella email del dipendente nel momento in cui quest’ultimo decide di andare via? I dieci comandamenti”, uno strumento utile per la gestione, a rigore di normativa, dello Studio e del Poliambulatorio.

a cura di Redazione CGM in collaborazione con Comunicazione Sanitaria

Nominativo *

Email *

Città *

CAP *

Professione *

Telefono per contatto *

Dalle ore

alle ore

In che modo sei venuto a conoscenza di CGM XMEDICAL? *

Se utilizzi già un software gestionale, puoi indicare quale?

Consenso Marketing *

Acconsento
Non Acconsento

Presa visione dell'Informativa Privacy, consapevole che il mio consenso è puramente facoltativo, oltre che revocabile in qualsiasi momento, esprimo il consenso al trattamento dei miei dati da parte delle aziende del gruppo CGM Italia, per le finalità di marketing: invio di comunicazioni commerciali/promozionali, tramite modalità automatizzate di contatto (come e-mail, sms o mms) e tradizionali (come telefonate con operatore e posta tradizionale) sui prodotti e servizi o segnalazione di eventi aziendali, rilevazione del grado di soddisfazione della clientela.

Consenso Privacy *

Acconsento

Presa visione dell'Informativa Privacy, con la presente acconsento che i miei dati vengano utilizzati dalle aziende del gruppo CGM Italia per l'elaborazione e la risposta alla mia richiesta. Le risposte alle mie domande possono essere inviate per posta o elettronicamente. La mia dichiarazione di consenso è volontaria. Posso ritirare il consenso in qualsiasi momento, inviando un'e-mail a dpo.it@cgm.com. Se ritiro il mio consenso non ne deriveranno degli svantaggi. Inoltre, ho ulteriori diritti, che sono descritti di seguito. Ho preso nota delle informazioni riguardanti i miei diritti.

I miei dati verranno archiviati nel data center di CompuGroup Medical e non saranno trasmessi a terzi. Sono stato informato che posso richiedere informazioni sui dati personali memorizzati, in qualsiasi momento. Inoltre ho il diritto di accedere e ottenere una copia di questi dati, rettificare dati imprecisi, ottenere la limitazione o oppormi a tale trattamento, oltre il diritto di cancellare i miei dati.

Si prega di contattare il Responsabile della protezione dei dati per qualsiasi domanda relativa al trattamento dei vostri dati personali e per la ricezione delle vostre richieste di informazioni o reclami all'indirizzo mail: dpo.it@cgm.com

Autorità di Supervisione Responsabile

L'autorità di supervisione responsabile per le società del gruppo CGM Italia è il Garante per la protezione dei dati personali, con sede in Piazza Venezia n. 11, 00187 Roma,
email protocollo@gpdp.it , pec protocollo@pec.gpdp.it, centralino (+39) 06.696771

Versione: 1.0

Data: 21.07.2021

Website

Cookie	Durata	Descrizione
AWSALBCORS	1 week	This cookie is set by Facebook. The purpose of the cookie is not known yet.
cookielawinfo-checkbox-advertisement	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Advertisement'.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Analytics'.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Performance'.
viewed_cookie_policy	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Tipo	Durata	Descrizione
_fbp	0	2 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	1	2 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Tipo	Durata	Descrizione
_gat	0	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
AWSALB	0	1 week	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
ssupp.chatid	0
ssupp.vid	0	5 months
ssupp.visits	0	5 months
YSC	1		This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Tipo	Durata	Descrizione
GPS	0	30 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
Matomo	third party	13 months	These cookies are used for tracking the user's behavior on the website to understand the website's performance and reach.