Facciamo il punto sulle normative, gli obblighi e l’ampia documentazione cui devono attenersi i professionisti dei centri polispecialistici e più in generale tutti, o quasi, gli operatori sanitari.
• La normativa
• I soggetti
• Informative e consensi: facciamo chiarezza
• Informativa privacy: obbligo burocratico, ma non solo
• Archiviazione e protezione della documentazione
• Il consenso del paziente: obbligo e prassi deontologica
• Comunicazione dei dati, Personale e misure di sicurezza
La Normativa
L’articolo 4 del General Data Protection Regulation (GDPR) definisce i dati relativi alla salute quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” e fanno parte dei dati soggetti a trattamento speciale in quanto afferiscono a dettagli molto intimi della persona: per questo motivo sono soggetti ad una tutela rafforzata, diremmo blindata.
In generale il regolamento europeo vieta il trattamento dei dati relativi alla salute tranne nel caso in cui questi siano utilizzati esclusivamente per finalità di cura, ricerca o finalità di governo: quando il cittadino quindi decide di sottoporsi ad una cura non occorre dia il consenso al trattamento dei suoi dati a fini della cura stessa e/o della diagnosi.
La norma estende l’esenzione anche alle “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”.
I dati però possono essere gestiti per tali finalità solo se “sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale”
In tutti gli altri casi il trattamento necessita del consenso ed inoltre l’autorità di controllo dovrà anche promuovere delle regole deontologiche per il trattamento dei dati relativi alla salute.
I Soggetti
I soggetti che per legge possono trattare dati sanitari sono:
• coloro che esercitano una professione sanitaria;
• gli organismi sanitari pubblici.
Gli esercenti una professione sanitaria, in base alle leggi vigenti (l. 24/2017), appartengono alle seguenti categorie:
• farmacista ex d.lgs. 258/1991;
• medico chirurgo ex d.lgs. 368/1999;
• odontoiatra ex l.409/1985;
• veterinario ex l. 750/1984;
• psicologo ex l. 56/1989;
• infermiere ex l. 905/1980;
• ostetrico ex l. 296/1985;
• infermiere pediatrico ex d.l. 70/1997;
• esercente professioni sanitarie riabilitative.
Sono esclusi:
• l’operatore di interesse sanitario (l. 403/1971 e l. 43/2006);
• ausiliari delle professioni sanitarie (massaggiatore, ottico, odontotecnico, OSS e puericultrice).
Lo Studio Medico è titolare del trattamento dei dati e se lo studio è composto da un singolo medico sarà la persona fisica il titolare del trattamento.
Nel caso in cui vi siano più medici, come nei Poliambulatori, occorre verificare se vi è un rapporto di contitolarità oppure se si tratta di titolari autonomi che condividono solo gli spazi.
Informative e consensi: facciamo chiarezza
Definiamo subito la distinzione tra informativa privacy, consenso privacy e consenso informato perché si tratta di tipologie documentali completamente differenti e non sempre di facile comprensione sia per lo specialista che per l’utente-paziente:
• INFORMATIVA PRIVACY: informa sulle procedure e modalità di gestione dei dati;
• CONSENSO PRIVACY: rappresenta una vera e propria richiesta autorizzativa;
• CONSENSO INFORMATO: serve ad informare il paziente riguardo le proprie condizioni di salute, le cure, i rischi ed anche l’eventuale rifiuto per un determinato trattamento.
Va puntualizzato nuovamente quindi che medici, centri polispecialistici e strutture sanitarie non sono obbligati a richiedere il consenso ai pazienti per l’utilizzo dei dati personali per “finalità di cura” ovvero per perseguire obiettivi scientifico-professionali in ambito di prevenzione, diagnosi, assistenza, terapia sanitaria o sociale, gestione dei servizi sanitari o sociali.
Il medico è già soggetto al segreto professionale e all’obbligo di massima riservatezza e non occorrono pertanto ulteriori formalità.
Informativa privacy: obbligo burocratico, ma non solo
Diverso invece il discorso sulle informazioni da comunicare al paziente riguardo alle modalità di archiviazione e utilizzo di questi dati. Come si deve procedere?
Il primo passo riguarda la creazione di una INFORMATIVA PRIVACY corretta e coerente, il cui scopo è quello di portare a conoscenza del paziente le modalità di gestione della propria anagrafica; il personale (medico o infermieristico) sottopone questo documento al paziente nel momento in cui lo stesso fornisce i suoi dati.
Il testo deve presentarsi in forma accessibile e comprensibile a tutti utilizzando un linguaggio semplice, conciso, trasparente e di immediata intelligibilità.
Come sempre l’attitudine e la professionalità dell’operatore sanitario “fanno la differenza” perché deve essere in grado di agevolare la comprensione del testo da parte del paziente e fugare ogni suo dubbio, evitando la percezione che si tratti solo di inutili “scartoffie”: in questo caso l’aiuto di un software gestionale efficiente – qual è CGM XMEDICAL – può evidentemente essere fondamentale.
L’informativa pertanto deve indicare:
• chi è il soggetto che raccoglie e tratta i dati ovvero Il titolare;
• le finalità del trattamento;
• le modalità del trattamento;
• la natura obbligatoria o facoltativa del conferimento dei dati e conseguenze per un eventuale rifiuto;
• le terze parti a cui i dati possono essere comunicati;
• le modalità con cui il paziente può esercitare i diritti a tutela dei propri dati.
Archiviazione e protezione della documentazione
Tutte le informative devono poi essere conservate in un registro (meglio se digitale e crittografato) dei trattamenti e affidate alla supervisione di un Responsabile della Protezione dei Dati, il Data Protection Officer (DPO).
In caso di utilizzo dei dati personali dei pazienti per finalità differenti dalla cura (ad esempio per attività promozionali o di campionamento statistico), il Garante della Privacy ha chiarito che va formalmente richiesto all’interessato il via libera per il trattamento dei propri dati attraverso la presa visione e firma del CONSENSO PRIVACY il quale deve essere pertanto chiaro ed inequivocabile, manifestato liberamente e, in maniera specifica, verificabile e potenzialmente revocabile.
Il consenso del paziente: obbligo e prassi deontologica
Il CONSENSO INFORMATO (che avvenga in forma scritta o meno) rappresenta il presupposto che legittima l’attività medica: nessuno può essere infatti sottoposto a trattamenti sanitari contro la propria volontà, fatti salvi quei casi di emergenza, urgenza ed altre specificità.
Il medico ha quindi l’obbligo di richiedere il consenso del paziente – o del suo delegato – prima di procedere alle terapie e, nel caso di minorenni, vale la responsabilità genitoriale.
Dal punto di vista giuridico, il consenso non è regolamentato dal GDPR 2018, ma dalla legge 22 dicembre 2017, n. 219 che all’art. 1 c.3.
Comunicazione dei dati, Personale e misure di sicurezza
I dati sullo stato della salute del paziente possono essere forniti anche a terzi, come parenti, familiari, conviventi, conoscenti, personale volontario, purché l’interessato, se cosciente, sia stato debitamente informato e abbia consentito. Occorre perciò rispettare l’eventuale richiesta della persona ricoverata a non rendere note a terzi la sua presenza nella struttura sanitaria o le informazioni sulle sue condizioni di salute.
È assolutamente fondamentale che siano attuate tutte le misure di sicurezza possibili a tutela dei dati suddetti considerato che si tratta di informazioni sensibili e di elevata importanza: in particolare, se trattati su carta, i documenti vanno chiusi in appositi schedari e non, ad esempio, posti alla vista ed alla mercé degli altri pazienti.
Tutto il personale sanitario infine, rigorosamente autorizzato e preferibilmente con profili specifici di accesso ai dati (in relazione ai diversi ruoli ricoperti nella struttura poliambulatoriale), deve essere debitamente formato ed istruito.
Qui di seguito vi proponiamo l’E-BOOK “Quali sono le corrette prassi da seguire per la gestione della casella email del dipendente nel momento in cui quest’ultimo decide di andare via? I dieci comandamenti”, uno strumento utile per la gestione, a rigore di normativa, dello Studio e del Poliambulatorio.
CGM XMEDICAL è il software gestionale medico più evoluto sul mercato per Specialisti, Poliambulatori e Centri Medici .
La nostra Soluzione professionale
per la gestione del GDPR, specifica per Medici, Farmacisti e Dentisti.