GDPR negli studi e centri medici

Trattamento dei dati personali dei pazienti e adempimenti imposti dal Regolamento Europeo per la protezione dei dati sono ormai due aspetti inscindibili nell’attività quotidiana in studio medico. Quali accorgimenti adottare e cosa fare per rispettare la normativa? L’Ordine dei Medici di Firenze ha pubblicato un utile articolo che raccoglie domande e risposte sul GDPR in studio medico. In questo articolo vedremo i punti salienti individuati dall’Ordine, ma per una lettura più approfondita, rimandiamo all’articolo pubblicato sul suo sito.

Il GDPR vale per tutti

Le disposizioni del GDPR valgono per chi tratta dati, dunque per chiunque gestisce informazioni personali in digitale o su carta, compresi i medici e le strutture sanitarie.
Il termine “trattamento dei dati” infatti comprende moltissime “attività” di gestione:

• Raccolta
• Registrazione
• Organizzazione
• Conservazione
• Consultazione
• Elaborazione
• Modifica
• Confronto
• Uso
• Diffusione
• Cancellazione
• Selezione
• Distruzione

Quindi se sei un medico sicuramente ti occupi di almeno una di queste “attività”.

Sono sufficienti la prenotazione degli appuntamenti, la compilazione della cartella clinica, la preparazione delle fatture per l’invio dei dati sanitari al sistema TS e al commercialista per rientrare negli obblighi derivanti dal GDPR.

Ma vediamo più nel dettaglio cosa deve fare un professionista sanitario per essere in regola con il GDPR, onde evitare sanzioni anche piuttosto salate.

Cosa deve fare un professionista sanitario per essere in regola?

La gestione dei dati dei pazienti è un compito fondamentale per i professionisti sanitari, che devono operare nel rispetto delle normative stabilite dal Regolamento Generale sulla Protezione dei Dati (GDPR). Per rispettare queste disposizioni, è essenziale che i professionisti sanitari raccolgano, trattino e conservino i dati personali dei pazienti in modo sicuro e rispettoso della privacy. Ciò implica l'adozione di misure di sicurezza adeguate per proteggere i dati sensibili, l'ottenimento del consenso informato per il trattamento dei dati, e la limitazione dell'accesso ai dati solo al personale autorizzato.

Inoltre, è importante garantire la precisione e l'aggiornamento costante dei dati, nonché rispettare i diritti dei pazienti in merito all'accesso, alla rettifica e alla cancellazione delle proprie informazioni personali.

L’Ordine dei Medici di Firenze ha stilato una lista di adempimenti da rispettare:

1) Identificare i soggetti interessati al trattamento dei dati

Non sono solo i pazienti. Sono soggetti interessati tutto il personale di un centro medico o di uno studio – segretaria e dipendenti - e i fornitori, dunque la valutazione deve tenerne conto per identificare con chiarezza i soggetti interessati al trattamento dati.

2) Redigere un’informativa sul trattamento dei dati personali

L’informativa è una dichiarazione obbligatoria – scritta con un linguaggio semplice e chiaro – che spiega al paziente come verranno usati i suoi dati e per quali scopi. Può essere consegnata ad ogni paziente o appesa in sala d’aspetto, così chi frequenta lo studio può prenderne visione.

Deve contenere:

• i dati di contatto del Titolare dello studio medico
• i dati di contatto del Responsabile del trattamento dei dati (se presente)
• i dati di contatto del Responsabile della protezione dei dati o Data Protection Officer DPO (se presente)
• finalità e scopo del trattamento dei dati (normalmente uno studio medico usa questi dati per diagnosi, prevenzione, cura…ma anche per altre finalità obbligatorie per legge o per eventuali contratti, come le polizze assicurative)
• in che modo vengono trattati i dati (in forma cartacea, elettronica, da chi vengono trattati…)
• per quanto tempo vengono conservati
• a chi vengono comunicati e se vengono trasferiti all’estero
• quali sono i diritti dell’interessato

Per approfondire questi aspetti, ti consigliamo di leggere anche il nostro approfondimento sul GDPR in Sanità.

Una volta informato il paziente, il medico deve raccogliere il suo consenso, vediamo in quali casi.

3) Raccogliere il consenso quando è necessario

Il consenso del paziente va raccolto rispetto all’attività di trattamento dei dati. Secondo il Garante della Privacy, i medici possono trattare i dati dei pazienti per finalità di cura, senza dover chiedere il consenso. Se invece il trattamento non ha come fine la cura – per esempio se il medico usa App, invia newsletter, promozioni… - deve chiedere il consenso. Inoltre, se intende usare i dati per finalità ancora diverse – sperimentazione, pubblicazioni su riviste, presentazioni ai congressi… – deve chiedere consensi ad hoc per i vari scopi.
Se il paziente è minorenne o incapace di intendere e di volere, il consenso va richiesto ai genitori, a chi esercita la potestà genitoriale o al tutore.

Attenzione: questo consenso non equivale al consenso informato.
Ne abbiamo parlato di recente anche in un altro approfondimento su professionisti sanitari e GDPR: cosa fare per essere in regola. Il consenso relativo al trattamento dei dati personali e quello del paziente all’atto medico (art. 32 della Costituzione) – per cui nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà - sono molto diversi.

Infine, dato che normalmente in studio medico lavorano o collaborano col professionista anche altre figure professionali – segreteria, infermieri, terapisti, altri medici – ognuna di loro è responsabile del trattamento dati. Vanno quindi formalizzate queste responsabilità con documenti ad hoc (sul sito dell’Ordine dei Medici di Firenze trovi dei fac-simile che possono aiutarti a capire di cosa si tratta).

Se studio è composto da più medici in forma associativa, ciascun medico è titolare dei dati dei suoi pazienti e contitolare insieme agli altri professionisti.

4) Creare il Registro dei trattamenti

È un registro che elenca i tipi di trattamenti sui dati personali fatti dallo studio medico, da chi e come vengono trattati i dati. In caso di controlli deve essere mostrato alle autorità competenti.

5) Fissare delle procedure in caso di violazione della privacy

Non bastano gli adempimenti formali, per proteggere i dati trattati in studio medico bisogna adottare delle procedure di protezione che tengano conto fin da subito della loro sicurezza. Tra queste rientrano:

• formazione di dipendenti e collaboratori sulla protezione dei dati
• in caso di violazione dei dati (data breach) come invio di dati personali alla persona sbagliata, furto, perdita o alterazione dei dati… va notificato il fatto al Garante entro 72 ore dal momento in cui si è venuti a conoscenza e spiegare cosa si sta facendo, in concreto, per risolverlo, quindi vanno stabilite a monte delle procedure di emergenza per affrontare la violazione

L’Ordine dei Medici di Firenze cita due esempi molto utili per capire cosa significa “procedura di emergenza”:

1) se il medico non usa il computer, deve creare delle schede sanitarie per ogni assistito in cui conserva consenso firmato e gli altri documenti del paziente, conservare queste schede in un luogo protetto per evitare che altri possano consultarlo, come un armadio, per esempio, che va chiuso a chiave e sistemato in una stanza non accessibile al pubblico, costruito con materiale ignifugo per proteggere i dati da eventuali incendi

2) se il medico usa anche il computer, deve proteggerlo con una password alfanumerica, da cambiare ogni 3 mesi, installare un software antivirus, anti-malware e firewall, oltre a procedere al backup periodico dei dati.

6) Scegliere un software pazienti che sia conforme al GDPR

Quanto visto fin qui dimostra che la scelta del software gestionale medico è fondamentale per il rispetto del GDPR in studio medico, perché chi realizza il software è tenuto progettare i suoi prodotti preoccupandosi della tutela della privacy fin dalla progettazione del software che dev’essere conforme al GDPR “by default”.

Con GipoNext, scegli servizi cloud (web application e remote desktop, ecc.) posizionati nel provider più affidabile che c’è attualmente a livello mondiale: Microsoft Windows Azure.

Le applicazioni GipoNext, infatti, sono compliant con le nuove normative in vigore a livello europeo a partire dal 25 Maggio 2018.