- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
- Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
- Lavoro, Calderone: in prossimo Cdm provvedimento organico in materia di salute e sicurezza
GDPR, che cambia per il medico di famiglia: i nodi della privacy
l settore sanitario è senza dubbio uno degli ambiti maggiormente interessati dal nuovo Regolamento europeo sul trattamento dei dati personali (GDPR – General Data Protection Regulation), entrato pienamente in vigore il 25 maggio.
In particolare sono coinvolti dagli adempimenti a queste nuove norme i medici, i quali stabiliscono con i pazienti una relazione centrata sulle informazioni e i dati che gli stessi pazienti forniscono ai medici.
Uno degli elementi che rende complesso e per molti versi inevitabile l’intervento del legislatore su questi temi, è la presenza dell’informatica che, attraverso le sue molteplici applicazioni, è in grado di archiviare, gestire, manutenere, corrispondere dati personali e sanitari, con grande efficacia, utilizzando modalità oramai affermate, diventate in poco tempo consuete e addirittura scontate. L’elevata capacità dei sistemi di amministrare e di accedere a elevatissime moli di informazioni sensibili, crea pertanto i presupposti per interventi regolatori orientati a tutelare le riservatezze e le proprietà dei dati e a minimizzare il rischio di loro diffusioni non autorizzate.
Il GDPR e il medico di famiglia
Per più motivi, tra le figure più esposte su questo fronte c’è quella del medico di famiglia, un professionista che costituisce, per il paziente, il primo collettore della raccolta di dati sensibili, accumulati nel tempo sulla base di relazioni quasi sempre ultradecennali. In Italia, poi, dove il medico di medicina generale è stata la figura del SSN che prima ha adottato l’uso dell’informatica, i database della medicina di famiglia contengono storie lunghe e dense di notizie. Sul medico di famiglia si centrano inoltre le attenzioni dei tanti sistemi che a lui attribuiscono un ruolo centrale dell’assistenza, e quindi della gestione e condivisione dei dati del paziente provenienti da altre fonti.
Con queste premesse l’obbligo al segreto professionale, pilastro della professione e della relazione medico-paziente, pur rimanendo imprescindibile, diventa adesso insufficiente a garantire la sicurezza e la preservazione di informazioni tanto delicate. Norme più complesse devono oramai governare una realtà che enormemente complessa è diventata.
E allora, come interviene il GDPR su questo settore? Quali sono le questioni che prevalentemente affronta e quali invece lascia sostanzialmente irrisolte? Quali sono, poi, gli aspetti che non riesce completamente a dirimere, in assenza, tra l’altro, di un decreto attuativo la cui pubblicazione è slittata a fine estate?
Il GDPR, come sappiamo, verte sui princìpi di responsabilizzazione dei titolari dei dati che sono chiamati ad adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate alla applicazione del Regolamento. Il GDPR prevede l’obbligo di procedere, in piena autonomia, ad una valutazione di impatto sulla sicurezza dei dati nella propria attività e di tenere un registro delle operazioni di trattamento, da rendere disponibile per eventuali supervisioni da parte del Garante, ma anche per avere un quadro aggiornato delle misure adottate.
Informativa e acquisizione del consenso
Uno degli aspetti su cui il GDPR focalizza maggiormente l’attenzione è quello dell’informativa e dell’acquisizione del consenso al trattamento dei dati. L’informativa deve specificare la base giuridica del trattamento, qual è il suo interesse legittimo, i soggetti che condividono queste informazioni e le modalità con cui i dati vengono gestiti, conservati e per quanto tempo è previsto che questo debba avvenire. L’informativa deve essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile; può essere fornita per iscritto o in formato elettronico. Non è prescritto invece che il consenso debba necessariamente essere documentato per iscritto, anche se è precisato che deve essere “esplicito” e “inequivocabile”. E qui subentrano le prime difficoltà interpretative, anche alla luce della mancata pubblicazione del decreto attuativo del Regolamento e la conseguente mancata abrogazione del Codice in materia di protezione dei dati personali del 30 giugno 2003. In quest’ultimo viene infatti prevista una modalità semplificata per acquisire il consenso da parte del medico di medicina generale e pediatra di libera scelta, attraverso la sua registrazione con una biffatura su un campo elettronico della cartella sanitaria del paziente.
Bisognerebbe avere certezze se tale modalità può considerarsi attualmente adeguata, avendola il MMG utilizzata fino ad ora per i propri assistiti, dopo avere acquisito il consenso a seguito di un dettagliato aggiornamento, secondo le nuove raccomandazioni, di informative affisse in sala d’attesa e/o direttamente erogate e distribuite ai pazienti.
In realtà un approccio “realistico” al problema, è stato ventilato sulla base del nuovo GDPR, prendendo in considerazione il fatto che il paziente nel momento in cui si riferisce al medico è scontato che debba condividere con lo stesso dati sensibili e il consenso al loro trattamento apparterrebbe implicitamente alla particolare tipologia della relazione. Ci si chiede ora se anche per il MMG può essere esteso lo stesso principio, alla luce del fatto però che lo stesso medico, nella sua attività, è tenuto all’invio di tanti dati sensibili ad altri soggetti: accade quotidianamente per l’invio di ricette dematerializzate, su server remoti di cui lo stesso medico ignora le delocalizzazioni, le possibilità di accesso, l’identità dei soggetti a questo autorizzati, dovendosi fidare ciecamente di un intero “sistema” che poco conosce e certamente non governa.
Le criticità
Non solo: deve anche fidarsi (per lo meno sino ad ora così è stato) che tutti i sistemi di cui è dotato, dedicati a questi trasferimenti dei dati (i software di cartella ambulatoriale, i vari portali online dei diversi istituti di tutela e così via), agiscano secondo norma, collocando queste informazioni “cristallizzate” nel loro formato elettronico dal processo di autenticazione (peraltro “debole”, in genere user name e password, che si riducono ad una singola password del gestionale) del medico, sugli effettivi repository di destinazione.
In altri termini, il medico dovrebbe richiedere il consenso (che sinora non ha avuto) al paziente per inviare i suoi dati in percorsi che non conosce e di cui non è in grado di garantire completamente la liceità; senza sapere, inoltre, che dovrebbe accadere per il paziente che non desidera e quindi non autorizza l’invio di una propria ricetta/diagnosi a Sogei, il braccio informatico del MEF. Quello dell’acquisizione del consenso è una questione che interessa i medici di famiglia anche per situazioni nelle quali vengono coinvolti per richiedere il consenso alla attivazione del FSE avvalendosi del favorevole rapporto fiduciario stabilito negli anni con l’assistito.
Medicina generale e DPO
Altro aspetto oggetto di differenti livelli interpretativi è quello relativo alla designazione del DPO (Data Protection Officier), una figura professionale destinata a svolgere un ruolo di referente per le istanze della protezione dei dati. Nonostante alcuni tentativi da parte delle istituzioni europee (conclusioni del gruppo di lavoro ex articolo 29) di individuare i casi in cui tale obbligo scatterebbe, rimangono forti dubbi se la maggior parte dei MMG (quelli che operano in forme aggregative che oramai rappresentano la grande maggioranza della professione) sono tenuti a dotarsi di questa figura. Il concetto del trattamento di dati in “larga scala”, che costituirebbe il cut-off per definire l’obbligo o meno per disporre di tale dotazione, è evidentemente troppo aleatorio: le tante diverse interpretazioni che sono state date ne sono la conferma più evidente.
Le questioni non risolte dal GDPR
Sappiamo come si stia imponendo all’attenzione di tutti il fenomeno degli elevati tassi di pensionamento dei medici. Con la pensione, il medico che cessa l’attività, lascia un database ambulatoriale pieno di dati clinico-assistenziali che, in assenza di una policy definita, difficilmente potranno essere riutilizzati. Non esistono infatti procedure per gestire il database del medico che abbandona più o meno improvvisamente l’attività, per pensionamento o per altro motivo. La conseguenza è la perdita, per l’assistito, di dati che riguardano le storie sanitarie di una vita; per il medico che subentra la stessa impossibilità di giovarsene. Le soluzioni estemporanee che vengono “normalmente” adottate, anche se sono efficaci per gestire “al meglio” una situazione non altrimenti normata, sono applicate in deroga palese a qualsiasi regola e principio.
Sono tutti aspetti appartenenti alla specificità della professione, che non vengono affrontati nel GDPR e che lo stesso GDPR, pertanto, non risolve. Dovranno essere presi in considerazione attraverso riflessioni dapprima condotte nello stesso ambito professionale, in modo tale da produrre, proprio su questi temi, un codice di condotta.
D’altronde è il Garante che individua nel codice di condotta, previsto tra l’altro dal nuovo Regolamento, uno strumento attraverso cui tutti i soggetti che fanno parte di un unico contesto di trattamento, come il settore sanitario, possono definire dal basso delle regole per far sì che tutto ciò che viene fatto sia conforme alle previsioni del Regolamento. Le autorità di protezione dei dati hanno il ruolo di incoraggiarne l’adozione, valutare le proposte che provengono dalle associazioni coinvolte e, qualora giudicate congrue con la cornice regolatoria del GDPR, approvarle e promuoverle.
Fonte: agendadigitale.eu
