GDPR e Covid-19 nei poliambulatori: l'ausilio del software gestionale

Software Gestionale Medico | Blog & Notizie | Privacy e GDPR

L’intento è di riuscire a conciliare l’impellente necessità di far fronte alle situazioni di urgenza, che mal si conciliano con certa “burocratizzazione” delle normative sulla privacy, con il mantenimento di uno standard accettabile di protezione della riservatezza dei pazienti.
Il Decreto Legge 14/2020 del 9 marzo, oltre a stanziare risorse finanziarie per potenziare il Servizio Sanitario Nazionale, tocca anche il delicato argomento della tutela dei dati personali, operando una leggera compressione dei diritti individuali, consentendo agli operatori sanitari (pubblici e privati), Protezione civile, Ministero della salute e Istituto Superiore di Sanità, di ricorrere a meccanismi di comunicazione diretta dei dati sensibili e all’esecuzione di misure di monitoraggio dei pazienti positivi al COVID-19 in deroga al Regolamento generale sulla protezione dei dati (GDPR).

Deroga al GDPR: misure temporanee

L’eccezionalità del provvedimento, che durerà fino al termine dello stato di emergenza deliberato il 31 gennaio 2020, viene specificata più volte. Così come le ragioni di pubblico interesse che giustificano l’adozione di severe misure di profilassi, finalizzate ad assicurare la maggiore assistenza possibile ai contagiati e, contestualmente, limitare la diffusione del virus attraverso l’interscambio di dati personali, superando le prescrizioni del GDPR.

C’è da dire che la stessa normativa comunitaria definisce al suo interno i casi in cui è legittima una parziale compressione dei diritti alla riservatezza, come nel caso di iniziative di medicina preventiva legate a motivi di interesse pubblico: la sicurezza della popolazione, la salvaguardia della vita e incolumità fisica, nonché compiti di igiene e sicurezza sui luoghi di lavoro.

Gli Stati possono quindi adottare delle misure straordinarie di limitazione della così detta E-Privacy al fine di contemperare esigenze divergenti. Ecco quindi che la tutela della riservatezza può essere garantita in modalità “semplificata”, ovvero non più solo per iscritto, ma anche oralmente.

Il Decreto ha così introdotto la figura di una persona fisica espressamente incaricata della responsabilità della privacy dei pazienti. Uno snellimento della procedura che va formalizzato nell’ambito dell’assetto organizzativo di ciascuna struttura sanitaria e poliambulatorio, e che consente a questo nuovo titolare/responsabile di individuare le modalità più opportune per reperire l’autorizzazione al trattamento dei dati personali, sotto la propria autorità diretta.

In questo modo strutture come ospedali, poliambulatori, pronto soccorso, centri diagnostici, eccetera, possono effettuare trasferimenti di dati sensibili tra di loro, anche in assenza di scopi specifici: la mera gestione dell’emergenza da covid_19 è motivazione sufficiente.

Il soggetto pubblico o privato, potrà limitarsi ad una comunicazione orale e non sarà nemmeno necessario che l’interessato sia un paziente contagiato o malato; basta che il responsabile al trattamento dei dati percepisca una necessità informativa e potrà procedere allo scambio di dati personali sanitari.

Anche la ricetta elettronica viene semplificata

Altro elemento di sburocratizzazione riguarda alcune novità sulla ricetta elettronica (ordinanza n. 65 del 19 marzo del Dipartimento della Protezione Civile) con cui si supera la necessità di presentare in farmacia il promemoria cartaceo con la prescrizione del medico di base.

L’erogazione del farmaco potrà, anzi, dovrà avvenire a seguito della mera presentazione dei dati personali dell’assistito: nominativo e codice fiscale (basterà la tessera sanitaria) e il numero della ricetta elettronica (più il riferimento dell’eventuale esenzione).

Il medico prescrittore utilizzerà l’email (ordinaria o PEC) per inviare all’assistito la ricetta con il suo numero univoco, allegandola al messaggio (non quindi come testo nel corpo del messaggio). In questo modo si riducono decisamente i contatti tra il medico di famiglia e i pazienti, virando con decisione verso un’efficace digitalizzazione del sistema.

L’Ordinanza non chiarisce i criteri di sicurezza relativi alla privacy ma è possibile ragionevolmente includere questa mancata specificazione, all’interno delle deroghe sul GDPR precedentemente illustrate.

Ripensare il GDPR del proprio Poliambulatorio

Tutte le emergenze portano con sé anche delle opportunità. Tutto sta a non lasciarsi travolgere dalla paura e saper cogliere i segnali dei cambiamenti.
Il trattamento dei dati in ambito sanitario, in particolare, costituisce uno dei contesti più delicati proprio per la natura “sensibile” dei dati che riguardano lo stato di salute degli interessati, dati rispetto ai quali l’aspettativa di riservatezza è, tradizionalmente, molto elevata. Per questo è indispensabile ricorrere ad un software gestionale per poliambulatorio in grado di gestire questa fondamentale funzionalità.

Per facilitare i proprietari e i direttori sanitari delle strutture ad orientarsi nel regolamento europeo sul trattamento dei dati personali, proponiamo una sorta di glossario quale utile vademecum:

Accountability: è un principio fondamentale della nuova normativa che comprende la “responsabilizzazione” del titolare del trattamento dei dati e la contestuale “verificabilità” della sua azione. Ove necessario, cioè, la persona responsabile dovrà essere in grado di dimostrare di aver adottato tutte le possibili condotte volte a proteggere la privacy dei Pazienti.

Consenso: L’articolo 4 del GDPR introduce il “consenso dell’interessato”; un concetto che comprende qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile espressa dal Paziente, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o altra azione esplicita, al trattamento dei dati personali che lo riguardano. Acconsentendo al trattamento (ad esempio, selezionando un’apposita casella in un sito web o di un form di iscrizione, oppure firmando un modulo), l’utente accetta il trattamento proposto.

Data breach: in caso di violazione della sicurezza dei sistemi informatici, il GDPR impone all’azienda di darne comunicazione all’autorità di controllo competente entro 72 ore da quando si è venuti a conoscenza dell’accesso non autorizzato all’archivio dei dati personali.

Data deletion: ogni utente inserito in una banca dati può pretendere, a seguito di semplice richiesta scritta, la cancellazione dei dati che lo riguardano. Con specifico riferimento all’ambito sanitario per esigenze medico-legali, la normativa impone la conservazione di alcuni dati sensibili per un certo numero di anni. In questi casi, pertanto, a seguito della richiesta del paziente, il responsabile provvederà ad “oscurare” il dato.

Garante della Privacy: L’Italia è stato uno dei primi paesi al mondo ad introdurre una specifica autority (Legge 675/1996). Il Garante vigila sul rispetto delle normative sulla privacy, esamina i reclami, può ordinare rettifiche e cancellazione e adottare una serie di provvedimenti, anche sanzionatori.

Misure di sicurezza: in ossequio al principio di “accountability”, il responsabile del trattamento dei dati, non soltanto deve adottare un livello di sicurezza e protezione adeguato al rischio di diffusione di informazioni riservate, ma deve anche garantire che tali misure “minime” di sicurezza siano sufficienti.

Obbligo di informativa: spetta alla struttura sanitaria informare correttamente e in maniera comprensibile il Paziente riguardo alle modalità di trattamento dei dati, oltre ai loro diritti relativi alla rettifica, cancellazione o oblio. Tale obbligo va adempiuto precedentemente o nel momento in cui si avvia la raccolta dei dati.

One stop shop: il nuovo GDPR comunitario, armonizzare le norme dei vari paesi membri, introduce il principio dello sportello unico (one stop shop). In questo modo, tutti i titolari del trattamento dei dati personali avranno a che fare con una sola Autorità di controllo, cioè quella dello Stato dove hanno la sede principale. Pertanto anche i Pazienti stranieri, per far valere i propri diritti, dovranno rivolgersi al Garante italiano.

Portability: per “diritto alla portabilità” si intende la possibilità di ottenere una copia dei propri dati in un formato elettronico interscambiabile (ad esempio il formato excel), a seguito di una semplice richiesta.

Privacy by design: la riservatezza deve diventare un pezzo importante della pianificazione dei servizi dell’impresa (di tutte, ma in modo particolare di quelle sanitarie). Si tratta di un approccio concettuale innovativo: la tutela dei dati dei pazienti non è opzionale. Si deve pertanto procedere alla valutazione ex ante dei possibili problemi di gestione dei dati all’inizio del progetto, garantendo la necessaria sicurezza durante tutto il ciclo dell’erogazione dei servizi sanitari.

Registro dei trattamenti: chi applica un qualsiasi trattamento sui dati personali, è obbligato a conservare un registro delle attività di trattamento svolte (Art. 30 del GDPR). In questo archivio devono essere rendicontati tutti i processi e le attività svolte sui dati dei Pazienti, incluse le informazioni relative a chi ha interagito con il singolo documento.

Responsabile della protezione dei dati: si tratta di una nuova figura introdotta proprio dalla normativa comunitaria. Il Responsabile può essere una persona fisica, ma anche una persona giuridica. Tra i suoi compiti rientra l’elaborazione dei dati personali per conto del Titolare del trattamento, il quale deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.

Sub-responsabile: in organizzazione più complesse e strutturate, il Responsabile del trattamento della protezione dei dati può ricorrere ad un altro responsabile. Questo sub-responsabile dovrà essere nominato tramite contratto o atto giuridico e nel rispetto degli obblighi imposti al primo responsabile del trattamento.

Tracciabilità: il singolo utente ha sempre diritto a conoscere il “luogo” in cui vengono conservati i suoi dati sensibili. Ovviamente è molto vantaggioso per le aziende disporre di un unico punto di controllo che consenta la tracciabilità delle modifiche. In questo modo si rafforza il rapporto di fiducia con i propri Pazienti. Trasparenza: è un fondamentale principio del nuovo regolamento europeo sul trattamento dei dati personali, che impone che le informazioni destinate al pubblico siano scritte con un linguaggio semplice e chiaro, facilmente accessibili e di facile comprensione per chiunque.

Titolare del trattamento: il “data controller” è il soggetto che “da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali”. In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l’obbligo di notifica al Garante nei casi previsti.

Adegua ora il tuo poliambulatorio al GDPR: la soluzione

CGM XMEDICAL è un valido e completo ausilio che consente, con semplicità, di avere indicazioni per essere in regola rispetto alle prescrizioni del GDPR, limitando il rischio di sanzioni in caso di controllo. Infatti, il software gestionale per poliambulatorio della CGM è stato sviluppato in ossequio alla normativa europea sulla privacy entrata in vigore dal 25 maggio 2018 (GDPR – General Data Protection Regulation).

Tutti i dati sono memorizzati in forma crittografata con assoluta garanzia di sicurezza e riservatezza.
Sicurezza vuol dire anche protezione da malfunzionamenti hardware e software. Per questo, è disponibile anche un servizio di backup remoto, per ovviare a eventuali manomissioni o danneggiamenti delle postazioni di lavoro.

Per la precisione, CGM XMEDICAL raccoglie in un solo menù, tutti gli obblighi derivanti dal GDPR:

• Consenso al trattamento dati

• Portabilità

• Oblio e cancellazione

• Backup

• Tracciabilità delle registrazioni

• Permessi utenti

Se è vero pertanto che l’emergenza sanitaria in corso ha oggettivamente bloccato molte attività, occorre altresì utilizzare questo tempo al meglio e non sprecarlo, potenziare il Poliambulatorio e adeguandolo a quella Normativa Europea, il GDPR, che in questo momento diventa ancora più cruciale.

a cura di Redazione CGM in collaborazione con Comunicazione Sanitaria

Layout

Nominativo *

Email *

Layout

Città *

CAP *

Professione *

Layout

Telefono per contatto *

Dalle ore

alle ore

Layout

In che modo sei venuto a conoscenza di CGM XMEDICAL? *

Se utilizzi già un software gestionale, puoi indicare quale?

Consenso Marketing *

Acconsento
Non Acconsento

Presa visione dell'Informativa Privacy, consapevole che il mio consenso è puramente facoltativo, oltre che revocabile in qualsiasi momento, esprimo il consenso al trattamento dei miei dati da parte delle aziende del gruppo CGM Italia, per le finalità di marketing: invio di comunicazioni commerciali/promozionali, tramite modalità automatizzate di contatto (come e-mail, sms o mms) e tradizionali (come telefonate con operatore e posta tradizionale) sui prodotti e servizi o segnalazione di eventi aziendali, rilevazione del grado di soddisfazione della clientela.

Consenso Privacy *

Acconsento

Presa visione dell'Informativa Privacy, con la presente acconsento che i miei dati vengano utilizzati dalle aziende del gruppo CGM Italia per l'elaborazione e la risposta alla mia richiesta. Le risposte alle mie domande possono essere inviate per posta o elettronicamente. La mia dichiarazione di consenso è volontaria. Posso ritirare il consenso in qualsiasi momento, inviando un'e-mail a dpo.it@cgm.com. Se ritiro il mio consenso non ne deriveranno degli svantaggi. Inoltre, ho ulteriori diritti, che sono descritti di seguito. Ho preso nota delle informazioni riguardanti i miei diritti.

I miei dati verranno archiviati nel data center di CompuGroup Medical e non saranno trasmessi a terzi. Sono stato informato che posso richiedere informazioni sui dati personali memorizzati, in qualsiasi momento. Inoltre ho il diritto di accedere e ottenere una copia di questi dati, rettificare dati imprecisi, ottenere la limitazione o oppormi a tale trattamento, oltre il diritto di cancellare i miei dati.

Si prega di contattare il Responsabile della protezione dei dati per qualsiasi domanda relativa al trattamento dei vostri dati personali e per la ricezione delle vostre richieste di informazioni o reclami all'indirizzo mail: dpo.it@cgm.com

Autorità di Supervisione Responsabile

L'autorità di supervisione responsabile per le società del gruppo CGM Italia è il Garante per la protezione dei dati personali, con sede in Piazza Venezia n. 11, 00187 Roma,
email protocollo@gpdp.it , pec protocollo@pec.gpdp.it, centralino (+39) 06.696771

Versione: 1.0

Data: 21.07.2021

Phone

Cookie	Durata	Descrizione
AWSALBCORS	1 week	This cookie is set by Facebook. The purpose of the cookie is not known yet.
cookielawinfo-checkbox-advertisement	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Advertisement'.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Analytics'.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Performance'.
viewed_cookie_policy	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Tipo	Durata	Descrizione
_fbp	0	2 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	1	2 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Tipo	Durata	Descrizione
_gat	0	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
AWSALB	0	1 week	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
ssupp.chatid	0
ssupp.vid	0	5 months
ssupp.visits	0	5 months
YSC	1		This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Tipo	Durata	Descrizione
GPS	0	30 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
Matomo	third party	13 months	These cookies are used for tracking the user's behavior on the website to understand the website's performance and reach.

GDPR nei poliambulatori. Come orientarsi durante il Covid-19 e con l’ausilio di un software gestionale

Deroga al GDPR: misure temporanee

Anche la ricetta elettronica viene semplificata

Ripensare il GDPR del proprio Poliambulatorio

Adegua ora il tuo poliambulatorio al GDPR: la soluzione

Vuoi ricevere una Live Demo del Software?

Ultime News

Area Riservata

Iscriviti alla newsletter
CGM XMEDICAL

Deroga al GDPR: misure temporanee

Anche la ricetta elettronica viene semplificata

Ripensare il GDPR del proprio Poliambulatorio

Adegua ora il tuo poliambulatorio al GDPR: la soluzione

Potrebbe anche piacerti

Sanità Digitale: chi sono i nuovi medici “millennials”?

Poliambulatorio e cartella clinica elettronica: istruzioni per l’uso

Il planner per la gestione del paziente che aiuta lo staff

Vuoi ricevere una Live Demo del Software?

Ultime News

Area Riservata

Iscriviti alla newsletterCGM XMEDICAL

Iscriviti alla newsletter
CGM XMEDICAL