L’intento è di riuscire a conciliare l’impellente necessità di far fronte alle situazioni di urgenza, che mal si conciliano con certa “burocratizzazione” delle normative sulla privacy, con il mantenimento di uno standard accettabile di protezione della riservatezza dei pazienti.
Il Decreto Legge 14/2020 del 9 marzo, oltre a stanziare risorse finanziarie per potenziare il Servizio Sanitario Nazionale, tocca anche il delicato argomento della tutela dei dati personali, operando una leggera compressione dei diritti individuali, consentendo agli operatori sanitari (pubblici e privati), Protezione civile, Ministero della salute e Istituto Superiore di Sanità, di ricorrere a meccanismi di comunicazione diretta dei dati sensibili e all’esecuzione di misure di monitoraggio dei pazienti positivi al COVID-19 in deroga al Regolamento generale sulla protezione dei dati (GDPR).
Deroga al GDPR: misure temporanee
L’eccezionalità del provvedimento, che durerà fino al termine dello stato di emergenza deliberato il 31 gennaio 2020, viene specificata più volte. Così come le ragioni di pubblico interesse che giustificano l’adozione di severe misure di profilassi, finalizzate ad assicurare la maggiore assistenza possibile ai contagiati e, contestualmente, limitare la diffusione del virus attraverso l’interscambio di dati personali, superando le prescrizioni del GDPR.
C’è da dire che la stessa normativa comunitaria definisce al suo interno i casi in cui è legittima una parziale compressione dei diritti alla riservatezza, come nel caso di iniziative di medicina preventiva legate a motivi di interesse pubblico: la sicurezza della popolazione, la salvaguardia della vita e incolumità fisica, nonché compiti di igiene e sicurezza sui luoghi di lavoro.
Gli Stati possono quindi adottare delle misure straordinarie di limitazione della così detta E-Privacy al fine di contemperare esigenze divergenti. Ecco quindi che la tutela della riservatezza può essere garantita in modalità “semplificata”, ovvero non più solo per iscritto, ma anche oralmente.
Il Decreto ha così introdotto la figura di una persona fisica espressamente incaricata della responsabilità della privacy dei pazienti. Uno snellimento della procedura che va formalizzato nell’ambito dell’assetto organizzativo di ciascuna struttura sanitaria e poliambulatorio, e che consente a questo nuovo titolare/responsabile di individuare le modalità più opportune per reperire l’autorizzazione al trattamento dei dati personali, sotto la propria autorità diretta.
In questo modo strutture come ospedali, poliambulatori, pronto soccorso, centri diagnostici, eccetera, possono effettuare trasferimenti di dati sensibili tra di loro, anche in assenza di scopi specifici: la mera gestione dell’emergenza da covid_19 è motivazione sufficiente.
Il soggetto pubblico o privato, potrà limitarsi ad una comunicazione orale e non sarà nemmeno necessario che l’interessato sia un paziente contagiato o malato; basta che il responsabile al trattamento dei dati percepisca una necessità informativa e potrà procedere allo scambio di dati personali sanitari.
Anche la ricetta elettronica viene semplificata
Altro elemento di sburocratizzazione riguarda alcune novità sulla ricetta elettronica (ordinanza n. 65 del 19 marzo del Dipartimento della Protezione Civile) con cui si supera la necessità di presentare in farmacia il promemoria cartaceo con la prescrizione del medico di base.
L’erogazione del farmaco potrà, anzi, dovrà avvenire a seguito della mera presentazione dei dati personali dell’assistito: nominativo e codice fiscale (basterà la tessera sanitaria) e il numero della ricetta elettronica (più il riferimento dell’eventuale esenzione).
Il medico prescrittore utilizzerà l’email (ordinaria o PEC) per inviare all’assistito la ricetta con il suo numero univoco, allegandola al messaggio (non quindi come testo nel corpo del messaggio). In questo modo si riducono decisamente i contatti tra il medico di famiglia e i pazienti, virando con decisione verso un’efficace digitalizzazione del sistema.
L’Ordinanza non chiarisce i criteri di sicurezza relativi alla privacy ma è possibile ragionevolmente includere questa mancata specificazione, all’interno delle deroghe sul GDPR precedentemente illustrate.
Ripensare il GDPR del proprio Poliambulatorio
Tutte le emergenze portano con sé anche delle opportunità. Tutto sta a non lasciarsi travolgere dalla paura e saper cogliere i segnali dei cambiamenti.
Il trattamento dei dati in ambito sanitario, in particolare, costituisce uno dei contesti più delicati proprio per la natura “sensibile” dei dati che riguardano lo stato di salute degli interessati, dati rispetto ai quali l’aspettativa di riservatezza è, tradizionalmente, molto elevata. Per questo è indispensabile ricorrere ad un software gestionale per poliambulatorio in grado di gestire questa fondamentale funzionalità.
Per facilitare i proprietari e i direttori sanitari delle strutture ad orientarsi nel regolamento europeo sul trattamento dei dati personali, proponiamo una sorta di glossario quale utile vademecum:
Accountability: è un principio fondamentale della nuova normativa che comprende la “responsabilizzazione” del titolare del trattamento dei dati e la contestuale “verificabilità” della sua azione. Ove necessario, cioè, la persona responsabile dovrà essere in grado di dimostrare di aver adottato tutte le possibili condotte volte a proteggere la privacy dei Pazienti.
Consenso: L’articolo 4 del GDPR introduce il “consenso dell’interessato”; un concetto che comprende qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile espressa dal Paziente, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o altra azione esplicita, al trattamento dei dati personali che lo riguardano. Acconsentendo al trattamento (ad esempio, selezionando un’apposita casella in un sito web o di un form di iscrizione, oppure firmando un modulo), l’utente accetta il trattamento proposto.
Data breach: in caso di violazione della sicurezza dei sistemi informatici, il GDPR impone all’azienda di darne comunicazione all’autorità di controllo competente entro 72 ore da quando si è venuti a conoscenza dell’accesso non autorizzato all’archivio dei dati personali.
Data deletion: ogni utente inserito in una banca dati può pretendere, a seguito di semplice richiesta scritta, la cancellazione dei dati che lo riguardano. Con specifico riferimento all’ambito sanitario per esigenze medico-legali, la normativa impone la conservazione di alcuni dati sensibili per un certo numero di anni. In questi casi, pertanto, a seguito della richiesta del paziente, il responsabile provvederà ad “oscurare” il dato.
Garante della Privacy: L’Italia è stato uno dei primi paesi al mondo ad introdurre una specifica autority (Legge 675/1996). Il Garante vigila sul rispetto delle normative sulla privacy, esamina i reclami, può ordinare rettifiche e cancellazione e adottare una serie di provvedimenti, anche sanzionatori.
Misure di sicurezza: in ossequio al principio di “accountability”, il responsabile del trattamento dei dati, non soltanto deve adottare un livello di sicurezza e protezione adeguato al rischio di diffusione di informazioni riservate, ma deve anche garantire che tali misure “minime” di sicurezza siano sufficienti.
Obbligo di informativa: spetta alla struttura sanitaria informare correttamente e in maniera comprensibile il Paziente riguardo alle modalità di trattamento dei dati, oltre ai loro diritti relativi alla rettifica, cancellazione o oblio. Tale obbligo va adempiuto precedentemente o nel momento in cui si avvia la raccolta dei dati.
One stop shop: il nuovo GDPR comunitario, armonizzare le norme dei vari paesi membri, introduce il principio dello sportello unico (one stop shop). In questo modo, tutti i titolari del trattamento dei dati personali avranno a che fare con una sola Autorità di controllo, cioè quella dello Stato dove hanno la sede principale. Pertanto anche i Pazienti stranieri, per far valere i propri diritti, dovranno rivolgersi al Garante italiano.
Portability: per “diritto alla portabilità” si intende la possibilità di ottenere una copia dei propri dati in un formato elettronico interscambiabile (ad esempio il formato excel), a seguito di una semplice richiesta.
Privacy by design: la riservatezza deve diventare un pezzo importante della pianificazione dei servizi dell’impresa (di tutte, ma in modo particolare di quelle sanitarie). Si tratta di un approccio concettuale innovativo: la tutela dei dati dei pazienti non è opzionale. Si deve pertanto procedere alla valutazione ex ante dei possibili problemi di gestione dei dati all’inizio del progetto, garantendo la necessaria sicurezza durante tutto il ciclo dell’erogazione dei servizi sanitari.
Registro dei trattamenti: chi applica un qualsiasi trattamento sui dati personali, è obbligato a conservare un registro delle attività di trattamento svolte (Art. 30 del GDPR). In questo archivio devono essere rendicontati tutti i processi e le attività svolte sui dati dei Pazienti, incluse le informazioni relative a chi ha interagito con il singolo documento.
Responsabile della protezione dei dati: si tratta di una nuova figura introdotta proprio dalla normativa comunitaria. Il Responsabile può essere una persona fisica, ma anche una persona giuridica. Tra i suoi compiti rientra l’elaborazione dei dati personali per conto del Titolare del trattamento, il quale deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
Sub-responsabile: in organizzazione più complesse e strutturate, il Responsabile del trattamento della protezione dei dati può ricorrere ad un altro responsabile. Questo sub-responsabile dovrà essere nominato tramite contratto o atto giuridico e nel rispetto degli obblighi imposti al primo responsabile del trattamento.
Tracciabilità: il singolo utente ha sempre diritto a conoscere il “luogo” in cui vengono conservati i suoi dati sensibili. Ovviamente è molto vantaggioso per le aziende disporre di un unico punto di controllo che consenta la tracciabilità delle modifiche. In questo modo si rafforza il rapporto di fiducia con i propri Pazienti. Trasparenza: è un fondamentale principio del nuovo regolamento europeo sul trattamento dei dati personali, che impone che le informazioni destinate al pubblico siano scritte con un linguaggio semplice e chiaro, facilmente accessibili e di facile comprensione per chiunque.
Titolare del trattamento: il “data controller” è il soggetto che “da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali”. In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l’obbligo di notifica al Garante nei casi previsti.
Adegua ora il tuo poliambulatorio al GDPR: la soluzione
CGM XMEDICAL è un valido e completo ausilio che consente, con semplicità, di avere indicazioni per essere in regola rispetto alle prescrizioni del GDPR, limitando il rischio di sanzioni in caso di controllo. Infatti, il software gestionale per poliambulatorio della CGM è stato sviluppato in ossequio alla normativa europea sulla privacy entrata in vigore dal 25 maggio 2018 (GDPR – General Data Protection Regulation).
Tutti i dati sono memorizzati in forma crittografata con assoluta garanzia di sicurezza e riservatezza.
Sicurezza vuol dire anche protezione da malfunzionamenti hardware e software. Per questo, è disponibile anche un servizio di backup remoto, per ovviare a eventuali manomissioni o danneggiamenti delle postazioni di lavoro.
Per la precisione, CGM XMEDICAL raccoglie in un solo menù, tutti gli obblighi derivanti dal GDPR:
• Consenso al trattamento dati
• Portabilità
• Oblio e cancellazione
• Backup
• Tracciabilità delle registrazioni
• Permessi utenti
Se è vero pertanto che l’emergenza sanitaria in corso ha oggettivamente bloccato molte attività, occorre altresì utilizzare questo tempo al meglio e non sprecarlo, potenziare il Poliambulatorio e adeguandolo a quella Normativa Europea, il GDPR, che in questo momento diventa ancora più cruciale.
- Richiedi info e una demo gratuita di CGM XMEDICAL
- Iscriviti alla newsletter CGM XMEDICAL e ricevi gratuitamente contenuti di valore, utili per la tua professione