06 94316041
349 7093510

FAQ sul GDPR e il Regolamento Europeo sulla Privacy

Domande Frequenti sul GDPR

Quando entrerà in vigore il nuovo Regolamento Europeo sulla Privacy?

Dal 25 maggio 2018 entra in vigore il nuovo Regolamento Europeo sulla Privacy. 

Cosa deve fare il medico nel suo studio per essere in regola con la privacy?
Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy. Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali.

Cos’è l’informativa sul trattamento dei dati personali?
E’ una dichiarazione scritta con la quale il medico informa il proprio paziente su quali dati avrà necessità di raccogliere per un efficace rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti.

L’Autorità Garante per la Privacy ha predisposto un modello di informativa che può essere adottato nella maggior parte dei casi dai medici e dagli odontoiatri nei propri studi professionali:

Gentili signori,

desidero informarvi che i vostri dati sono utilizzati solo per svolgere attività necessarie per prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni da voi richieste, farmaceutiche e specialistiche.

Si tratta dei dati forniti da voi stessi o che sono acquisiti altrove, ma con il vostro consenso, ad esempio in caso di ricovero o di risultati di esami clinici.

Anche in caso di uso di computer, adotto misure di protezione per garantire la conservazione e l’uso corretto dei dati anche da parte dei miei collaboratori, nel rispetto del segreto professionale. Sono tenuti a queste cautele anche i professionisti (il sostituto, il farmacista, lo specialista) e le strutture che possono conoscerli.

I dati non sono comunicati a terzi, tranne quando sia necessario o previsto dalla legge.

Si possono fornire informazioni sullo stato di salute a familiari e conoscenti solo su vostra indicazione.

In qualunque momento potrete conoscere i dati che vi riguardano, sapere come sono stati acquisiti, verificare se sono esatti, completi, aggiornati e ben custoditi, e far valere i vostri diritti al riguardo.

Per attività più delicate da svolgere nel vostro interesse, sarà mia cura informarvi in modo più preciso.

Ovviamente si tratta di un modello standard che può essere adattato e integrato nei casi in cui ciò si renda necessario. L’informativa può essere consegnata ad ogni singolo paziente, oppure può essere affissa nella sala d’attesa dello studio in modo da renderla conoscibile da ogni paziente.

Una volta che il paziente è stato informato, cosa deve fare il medico?
Deve raccogliere il consenso.
Il consenso può essere raccolto anche in forma orale, ma per evitare future ed eventuali contestazioni è opportuno che venga raccolto in forma scritta, con la sottoscrizione di un apposito modulo.

La Federazione Nazionale degli Ordini dei Medici suggerisce il seguente modulo, che può essere scaricato ed inserito tra i prototipi di documenti del gestionale.

Questo consenso firmato dal paziente è “una tantum” o va rinnovato periodicamente?
Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico. Ma se non vi sono queste situazioni particolari, il consenso vale una volta per tutte.

Chi può esprimere il consenso? Solo il diretto interessato?
Generalmente sì. Il paziente maggiorenne, capace di intendere e di volere, è l’unico soggetto autorizzato a dare il consenso per il trattamento dei propri dati sanitari.
Se il paziente invece è minorenne o non è capace di intendere e di volere, allora il consenso deve essere dato rispettivamente dai genitori (anche disgiuntamente e indipendentemente dal loro status giuridico) o da chi esercita la potestà genitoriale o dal tutore.

Il consenso di cui stiamo parlando equivale al consenso al trattamento sanitario?
Assolutamente no.
Il consenso di cui stiamo parlando riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura.
Tutt’altra cosa è il consenso del paziente all’atto medico, che non riguarda la legge sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà.
Adesso ci stiamo occupando solo e soltanto del consenso ai fini della legge sulla privacy.

Dopo aver dato l’informativa e aver raccolto il consenso, cos’altro deve fare il medico nel suo studio?
Se il medico, nel proprio studio, si avvale di personale di segreteria, deve redigere una formale lettera di incarico al trattamento dei dati sanitari al personale di segreteria, che si deve attenere alle istruzioni impartite dal medico titolare dello studio. Un modello di lettera di incarico può essere il seguente, che può essere scaricato ed inserito tra i prototipi documenti del gestionale.

Se il medico si avvale di un ragioniere e/o commercialista per la tenuta della sua contabilità, deve fare qualcosa per tutelare la privacy dei pazienti?
Sì, anche al consulente fiscale va affidata la formale responsabilità per il trattamento dei dati. Anche in questo caso si può utilizzare il seguente modello di lettera, che può essere scaricata ed inserita tra i documenti gestionale.

E nel caso dell’odontoiatra che si avvalga dell’opera dell’odontotecnico?
Anche in questo caso è necessario che l’odontoiatra rediga una apposita lettera, che può essere scaricata ed inserita tra i documenti gestionale, per affidare la responsabilità per il trattamento dei dati.

Una volta espletate queste procedure, cosa deve fare il medico?
Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e in definitiva trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer.

Partiamo dall’ipotesi in cui il medico non utilizzi il computer, ma conservi tutto su carta. Quali accorgimenti deve adottare?
Nel caso di trattamento dei dati in forma cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente la salute del paziente.
Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate ne possano prendere conoscenza. Per esempio, se sono riposte in un armadio, questo dovrebbe essere chiuso a chiave e collocato in una stanza dello studio non accessibile al pubblico in generale. Le chiavi dell’armadio dovrebbero essere in possesso solo del medico e del suo sostituto (o dei suoi collaboratori medici) e non di altre persone. Inoltre l’armadio dovrebbe essere di materiale ignifugo, in modo da evitare il rischio di perdita o distruzione di dati a causa di incendio.
Bisogna infatti ricordare che la legge sulla privacy non solo tutela la riservatezza del paziente, ma impone a chi gestisce i dati dei pazienti di adottare misure e cautele per evitare o minimizzare i rischi da incendio, furto, sottrazione, smarrimento, ecc. Se i dati vengono sottratti o distrutti, il medico deve poter dimostrare di aver messo in atto tutte le cautele possibili per evitare tutto questo perché se invece ha conservato le schede in maniera superficiale, può essere chiamato a risarcire i danni al paziente.

E se il medico utilizza anche il computer?
Vale lo stesso principio di evitare o ridurre al minimo il rischio di perdita, distruzione, sottrazione, manomissione o alterazione dei dati memorizzati nel computer.
Ciò si può realizzare con diversi accorgimenti tecnici:

  • In primo luogo il computer deve essere protetto da una password alfanumerica (la meno intuitiva possibile) che deve essere cambiata ogni tre mesi.
  • Il computer deve essere protetto da un software antivirus, anti-malware e, se è connesso a internet, anche da un firewall.
  • Deve essere previsto un salvataggio periodico dei dati da poter utilizzare in caso di emergenza.
    Le misure di protezione informatica hanno una rapida evoluzione tecnologica, per cui è opportuno che il medico possa contare su un consulente informatico di propria fiducia per rendere il suo computer sempre protetto al massimo grado.

Il sostituto o comunque il collaboratore medico può usare il computer del medico titolare?
Allo stesso modo con cui il sostituto o il collaboratore medico può accedere ai fascicoli cartacei dei pazienti, può certamente accedere ai dati sanitari memorizzati nel computer dello studio.
Però è necessario che vi acceda con un proprio nome utente e una propria password, in modo che sul computer rimanga una “traccia informatica” di chi, come e quando ha acceduto al sistema.

E il personale di segreteria? Può accedere al computer e alle schede dei pazienti?
Il personale di segreteria deve limitare l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei pazienti.
Anche in questo caso è necessario che l’accesso al computer sia effettuato con un nome utente e una password dedicata al personale di segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati comuni e non a quelli sensibili.

E se il medico lavora in associazione con altri colleghi?
E’ sufficiente che nell’informativa sia esplicitato chiaramente che i dati dei pazienti possono essere trattati anche dai colleghi medici facenti parte dell’associazione professionale o della medicina di rete o di gruppo, ovviamente sempre e solo per esclusive finalità di diagnosi e cura.

In pratica, quindi, tutti questi accorgimenti sono delle “misure di sicurezza”…
Esatto. Per ogni potenziale rischio di lesione della privacy del paziente deve sussistere una corrispondente “contromisura” tesa a eliminare o minimizzare tale rischio. Si tratta quindi delle cosiddette “misure di sicurezza”.

Tutto questo sembra molto complicato….
Sembra, ma in definitiva non lo è. Oramai l’uso dei computer è così generalizzato che ogni utente medio ha familiarità con questi concetti. Non c’è quindi ragione perché i medici (che da sempre sono molto sensibili alle necessità di privacy dei pazienti) abbiano difficoltà ad adottare tecniche di protezione dei dati sui loro computer.
In ogni caso i consulenti informatici sono in grado di programmare e impostare il computer del medico in maniera semplice e veloce per raggiungere queste finalità.

Il medico odontoiatra deve segnalare a qualche autorità il fatto che possiede una banca dati (cartacea o su computer) di dati di pazienti?
No, non ha alcun obbligo di segnalazione.

Veniamo ora alla comunicazione dei dati sanitari. Quali diritti ha il paziente diretto interessato?
Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha diritto ad ottenere copia di tutti i dati che lo riguardano.

Ma se il paziente, per ipotesi, chiede al medico di cancellare tutti i suoi dati, il rapporto di cura non può proseguire…
Evidentemente è così. Infatti nell’informativa il medico fa presente che se il paziente si rifiuta di fornire al medico i dati sanitari necessari per instaurare il rapporto di cura questo non può aver luogo. Allo stesso modo, se il paziente chiede la cancellazione dei suoi dati è come se revocasse il consenso che originariamente aveva dato. Per cui il medico non può che prenderne atto, accogliere la richiesta del paziente e considerare terminato il rapporto di cura.

Il paziente ha diritto di chiedere al medico solo una copia degli atti o può pretendere di ottenere gli originali?
Se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso.
Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia.

Il medico può opporsi a queste richieste del paziente?
No, in nessun caso.

La consegna di documenti sanitari (ad esempio un certificato medico o una ricetta) deve farla materialmente il medico o può farlo anche il personale di segreteria?
Può farlo anche il personale di segreteria, ma allora il documento sanitario deve sempre essere chiuso in una busta e spetterà al personale di segreteria identificare il soggetto che ritira la busta: se il diretto interessato o se un delegato. In quest’ultima ipotesi, dovrà acquisire la delega del diretto interessato.

Le buste chiuse contenenti i documenti sanitari possono essere messe a disposizione dei pazienti per il ritiro, ad esempio in uno scaffale della sala d’attesa dello studio?
No, perché così facendo non si sa chi è il soggetto che ritira la busta e potrebbe anche succedere che il paziente (magari anche in buona fede) ritiri una busta che non è la sua.
Per evitare questi rischi di indebita conoscenza di dati sanitari da parte di terzi non autorizzati, una efficace misura di sicurezza, ad esempio, è inserire le buste in appositi schedari ubicati non nella sala d’attesa dello studio, bensì nello spazio dedicato alla segreteria. In questo modo l’identificazione del soggetto e la consegna della busta è mediata dal personale di segreteria, che deve attenersi alle regole di tutela della privacy sopra descritte.

Se il paziente chiede al medico una attestazione dettagliata del suo stato di salute, perché per esempio deve presentarla al datore di lavoro per usufruire di permessi speciali, il medico può rifiutarsi di farlo per motivi di privacy?
Assolutamente no.
La decisione se rivelare al datore di lavoro certi dati inerenti lo stato di salute spetta al paziente, non al medico. Quindi se il paziente desidera ottenere dei permessi speciali e vuole giustificare questa richiesta con una certificazione medica dettagliata, il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico sindacare questa decisione del paziente.

Il diritto alla privacy esiste anche per il paziente defunto?
Sì perché il decesso dell’assistito non esime il medico dal dovere di tutelarne la riservatezza.
Bisogna però ricordare che gli eredi del defunto subentrano in tutti i diritti del deceduto, per cui nei confronti di costoro il medico non può opporre il segreto.

Per quanto tempo il medico deve conservare i dati dei pazienti nel proprio studio?
Il comportamento corretto del medico consiste nel conservare gli atti dei pazienti per tutta la durata del rapporto di cura e per i 10 anni successivi al termine di esso. Una volta decorso tale termine è possibile distruggerli, anche se sarebbe preferibile consegnarli ai pazienti diretti interessati, ove possibile.

Il medico che cessa la propria attività come deve comportarsi?
Vale quanto detto sopra: la cessazione dell’attività corrisponde alla cessazione del rapporto di cura. Da quel momento decorre la conservazione per 10 anni.

Fonte: Ordine dei Medici di Firenze per ulteriori approfondimenti consultare il sito ufficiale http://www.ordine-medici-firenze.it/index.php/faq-domande-frequenti/95-privacy-nello-studio-medico.

In definitiva, è preferibile usare il cartaceo o il computer?

E’ una scelta che dipende esclusivamente dalle modalità organizzative del singolo medico. Semplicemente se si lavora solo su carta, dovranno essere adottati alcuni accorgimenti; se si lavora col computer, altri.
Si può solo dire che nella fase attuale di progresso tecnologico, l’uso del computer è sempre più utile e semplifica notevolmente il lavoro, per una serie di motivi:

  • Tutti gli atti dei pazienti devono essere conservati per 10 anni. Lo stoccaggio cartaceo di 10 anni di storia dei pazienti, richiede una capienza di magazzino notevole. Grazie alla modulistica digitale, alla fatturazione elettronica e alla digitalizzazione delle immagini. è possibile dematerializzare qualsiasi documento cartaceo, permettendo lo stoccaggio di anni di storia in un semplice hard disk di dimensioni esigue.
  • La tutela della legge riguarda i “dati sanitari” indipendentemente del “supporto” che li ospita. Ma siccome il medico è tenuto a tutelare e proteggere la riservatezza dei dati sanitari, è evidente che i supporti che li contengono devono avere un adeguato sistema di protezione. Proteggere dati digitali è più semplice, pratico e veloce rispetto al cartaceo.

Se un paziente esercita il diritto alla cancellazione o rettifica dei suoi dati, farlo con il digitale è assolutamente veloce e con poco dispendio di lavoro.

 

Elenco dei moduli scaricabili: