Trattamento dei dati personali dei pazienti e adempimenti imposti dal Regolamento Europeo per la protezione dei dati sono ormai due aspetti inscindibili nell’attività quotidiana in studio medico. Quali accorgimenti adottare e cosa fare per rispettare la normativa? L’Ordine dei Medici di Firenze ha pubblicato un utile articolo che raccoglie domande e risposte sul GDPR in studio medico. In questo articolo vedremo i punti salienti individuati dall’Ordine, ma per una lettura più approfondita, rimandiamo all’articolo pubblicato sul suo sito.
Le disposizioni del GDPR valgono per chi tratta dati, dunque per chiunque gestisce informazioni personali in digitale o su carta, compresi i medici e le strutture sanitarie.
Il termine “trattamento dei dati” infatti comprende moltissime “attività” di gestione:
Quindi se sei un medico sicuramente ti occupi di almeno una di queste “attività”.
Sono sufficienti la prenotazione degli appuntamenti, la compilazione della cartella clinica, la preparazione delle fatture per l’invio dei dati sanitari al sistema TS e al commercialista per rientrare negli obblighi derivanti dal GDPR.
Ma vediamo più nel dettaglio cosa deve fare un professionista sanitario per essere in regola con il GDPR, onde evitare sanzioni anche piuttosto salate.
La gestione dei dati dei pazienti è un compito fondamentale per i professionisti sanitari, che devono operare nel rispetto delle normative stabilite dal Regolamento Generale sulla Protezione dei Dati (GDPR). Per rispettare queste disposizioni, è essenziale che i professionisti sanitari raccolgano, trattino e conservino i dati personali dei pazienti in modo sicuro e rispettoso della privacy. Ciò implica l'adozione di misure di sicurezza adeguate per proteggere i dati sensibili, l'ottenimento del consenso informato per il trattamento dei dati, e la limitazione dell'accesso ai dati solo al personale autorizzato.
Inoltre, è importante garantire la precisione e l'aggiornamento costante dei dati, nonché rispettare i diritti dei pazienti in merito all'accesso, alla rettifica e alla cancellazione delle proprie informazioni personali.
L’Ordine dei Medici di Firenze ha stilato una lista di adempimenti da rispettare:
Non sono solo i pazienti. Sono soggetti interessati tutto il personale di un centro medico o di uno studio – segretaria e dipendenti - e i fornitori, dunque la valutazione deve tenerne conto per identificare con chiarezza i soggetti interessati al trattamento dati.
L’informativa è una dichiarazione obbligatoria – scritta con un linguaggio semplice e chiaro – che spiega al paziente come verranno usati i suoi dati e per quali scopi. Può essere consegnata ad ogni paziente o appesa in sala d’aspetto, così chi frequenta lo studio può prenderne visione.
Deve contenere:
Per approfondire questi aspetti, ti consigliamo di leggere anche il nostro approfondimento sul GDPR in Sanità.
Una volta informato il paziente, il medico deve raccogliere il suo consenso, vediamo in quali casi.
Il consenso del paziente va raccolto rispetto all’attività di trattamento dei dati. Secondo il Garante della Privacy, i medici possono trattare i dati dei pazienti per finalità di cura, senza dover chiedere il consenso. Se invece il trattamento non ha come fine la cura – per esempio se il medico usa App, invia newsletter, promozioni… - deve chiedere il consenso. Inoltre, se intende usare i dati per finalità ancora diverse – sperimentazione, pubblicazioni su riviste, presentazioni ai congressi… – deve chiedere consensi ad hoc per i vari scopi.
Se il paziente è minorenne o incapace di intendere e di volere, il consenso va richiesto ai genitori, a chi esercita la potestà genitoriale o al tutore.
Attenzione: questo consenso non equivale al consenso informato.
Ne abbiamo parlato di recente anche in un altro approfondimento su professionisti sanitari e GDPR: cosa fare per essere in regola. Il consenso relativo al trattamento dei dati personali e quello del paziente all’atto medico (art. 32 della Costituzione) – per cui nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà - sono molto diversi.
Infine, dato che normalmente in studio medico lavorano o collaborano col professionista anche altre figure professionali – segreteria, infermieri, terapisti, altri medici – ognuna di loro è responsabile del trattamento dati. Vanno quindi formalizzate queste responsabilità con documenti ad hoc (sul sito dell’Ordine dei Medici di Firenze trovi dei fac-simile che possono aiutarti a capire di cosa si tratta).
Se studio è composto da più medici in forma associativa, ciascun medico è titolare dei dati dei suoi pazienti e contitolare insieme agli altri professionisti.
È un registro che elenca i tipi di trattamenti sui dati personali fatti dallo studio medico, da chi e come vengono trattati i dati. In caso di controlli deve essere mostrato alle autorità competenti.
Non bastano gli adempimenti formali, per proteggere i dati trattati in studio medico bisogna adottare delle procedure di protezione che tengano conto fin da subito della loro sicurezza. Tra queste rientrano:
L’Ordine dei Medici di Firenze cita due esempi molto utili per capire cosa significa “procedura di emergenza”:
1) se il medico non usa il computer, deve creare delle schede sanitarie per ogni assistito in cui conserva consenso firmato e gli altri documenti del paziente, conservare queste schede in un luogo protetto per evitare che altri possano consultarlo, come un armadio, per esempio, che va chiuso a chiave e sistemato in una stanza non accessibile al pubblico, costruito con materiale ignifugo per proteggere i dati da eventuali incendi
2) se il medico usa anche il computer, deve proteggerlo con una password alfanumerica, da cambiare ogni 3 mesi, installare un software antivirus, anti-malware e firewall, oltre a procedere al backup periodico dei dati.
Quanto visto fin qui dimostra che la scelta del software gestionale medico è fondamentale per il rispetto del GDPR in studio medico, perché chi realizza il software è tenuto progettare i suoi prodotti preoccupandosi della tutela della privacy fin dalla progettazione del software che dev’essere conforme al GDPR “by default”.
Con GipoNext, scegli servizi cloud (web application e remote desktop, ecc.) posizionati nel provider più affidabile che c’è attualmente a livello mondiale: Microsoft Windows Azure.
Le applicazioni GipoNext, infatti, sono compliant con le nuove normative in vigore a livello europeo a partire dal 25 Maggio 2018.