Privacy Sanità - trea - rete contratto

Vai ai contenuti
GDPR per la privacy nella sanità privata
 
 
il 25 Maggio 2018 è divenuto pienamente attuativo il nuovo Regolamento UE 679/2016 sulla Protezione dei Dati Personali (o General Data Protection Rule, GDPR), pubblicato nel maggio 2016.
Esso apporta importanti novità alla Legge sulla Privacy italiana ( ex D. Lgs 196/2003 e s.m.i.), ed impone un diverso modo per affrontare la privacy nelle organizzazioni che trattano dati sanitari, i quali costituiscono una particolare categoria di “dati sensibili” (ora definiti “dati particolari” dal GDPR).
 
Secondo la nostra Cassazione, tutte le volte che si parla di dati riguardanti la salute ed il sesso degli interessati, detti dati sono “supersensibili” in quanto sono involgenti la parte più intima della persona nella sua corporeità e nelle sue convinzioni psicologiche più riservate. Pertanto, essi beneficiano di una protezione rafforzata (Cass. civ., sez. VI, sent. del 11 gennaio 2016, n. 222; sez. I, sent. del 7 ottobre 2014, n. 21107; sez. I, sent. 1 agosto 2013, n. 18443; sent. 8 luglio 2005, n. 14390).
 
La gestione delle informazioni sanitarie viene ricompresa nell’articolo 9 –
 
Nei dati personali relativi alla salute rientrano, d’ora in poi, tutte le notizie riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse al suo stato fisico o mentale passato, presente o futuro dello stesso:Nei dati personali relativi alla salute rientrano, d’ora in poi, tutte le notizie riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse al suo stato fisico o mentale passato, presente o futuro dello stesso:
  • Dati genetici
  • Campioni biologici
  • Malattie
  • Disabilità
  • Trattamenti clinici
  • Stato fisiologico o biomedico.
Per quanto riguarda la Sanità Privata, a volte l’organizzazione interna non contempla competenze e tecnologie adeguate per far fronte al nuovo Regolamento 679/2016. Parliamo di organizzazioni di piccole e medie dimensioni, che vanno dalle Farmacie ai Poliambulatori di analisi diagnostiche, alle Cliniche e Case di Cura Private.
Alcuni adempimenti nelle organizzazioni private che si occupano di servizi sanitari sono da interpretare, in quanto la norma europea non fornisce indicazioni così precise su alcuni aspetti, ma pone l’accento sulla “responsabilizzazione” del titolare del trattamento, ovvero sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento, cioè misure tecniche ed organizzative adeguate.
Una vera e propria rivoluzione culturale scandita dal Regolamento UE 679/2016 che, per la prima volta nel nostro ordinamento, vede l’entrata in scena del “dato sanitario”, summa di tutte le informazioni sullo stato di salute fisica o mentale, passata, presente e futura della persona.
Un insieme di dati ultrasensibili ad alto rischio privacy che strutture sanitarie e socio sanitarie pubbliche e private, chiamate a diverso titolo a gestire database e dati personali, dovranno maneggiare con cura: dal fascicolo sanitario elettronico alla cartella clinica elettronica, dal dossier sanitario ai referti on line fino ai siti web dedicati, tutto richiederà la massima sorveglianza. Anche perché chi sbaglia paga: per quanti non rispetteranno gli obblighi imposti dal Regolamento Privacy sono previste sanzioni fino a 20 milioni di euro o fino al 4% del volume d’affari totale annuo.
Ci troviamo così di fronte ad un problema di competenze: il titolare del trattamento di queste organizzazioni della Sanità Privata è la società stessa che gestisce la struttura (a volte il singolo professionista), quindi tutte le responsabilità ricadono, di fatto, sul legale rappresentante della stessa, il quale normalmente si occupa di tutt’altro (medico, farmacista o manager amministrativo) e non sa quali misure adottare per tutelarsi, non solo dalle possibili sanzioni (fino al 4% del fatturato annuo), ma anche da eventuali richieste di risarcimento danni di pazienti che non sentissero adeguatamente tutelata la propria privacy.
In pratica il General Data Protection Regulation (GDPR) coinvolge tutti coloro che, in ambito sanitario, hanno a che fare con la raccolta, con la conservazione, con la protezione e con l’impiego dei dati personali.
Si deve realizzare, pertanto, la migliore intersezione possibile tra le cure e i dati, i quali devono essere disponibili per i medici in modo immediato e in un formato comprensibile.Gli elementi da considerare nella gestione della privacy in una organizzazione sanitaria privata sono diversi: la gestione dei documenti su supporto cartaceo o analogo (es. lastre di esami diagnostici), la gestione dei documenti su supporto digitale, la gestione delle informazioni elaborate dai sistemi informatici, la gestione delle informazioni trasmesse verbalmente…
Coloro che hanno gestito la privacy in passato con l’aiuto di un avvocato – che gli ha preparato lettere di nomina incaricati, informative e consensi – e di una società di consulenza informatica – che gli ha gestito la sicurezza dei dati (antivirus, backup, ecc.)      – dovranno modificare il proprio approccio in quanto la nuova privacy del GDPR richiede un approccio più sistemico ed orientato alla valutazione dei rischi.
I principi introdotti dal GDPR – in particolare il principio di liceità del trattamento, di integrità e di riservatezza, di limitazione delle finalità… – devono essere recepiti interpretandoli nel modo corretto, declinandoli nella propria realtà; non esistono più regole ben definite (password di almeno 8 caratteri, antivirus aggiornati con una certa frequenza, ecc.).
Il codice di condotta servirà a garantire che i pazienti delle istituzioni sanitarie (laboratori, ospedali pubblici, cliniche private, e così via) si possano sentire tranquilli e sicuri a proposito dell’impiego dei dati che li riguardano.
Essi avranno l’opportunità di conoscere senza difficoltà e in modo trasparente i livelli di tutela e le regole alla base dei codici stessi, così che il quadro normativo generale si rafforzi non solo in Italia, ma a livello sovranazionale.
I passi fondamentali che un’organizzazione sanitaria privata dovrebbe affrontare per adeguarsi al GDPR sono i seguenti:
  • Analisi dei processi dell’organizzazione;
  • Mappatura dei trattamenti di dati personali;
  • Identificazione di ruoli e responsabilità per il trattamento; Predisposizione del Registro dei trattamenti di dati personali;
  • Valutazione dei rischi sui trattamenti di dati;
  • Valutazione di impatto per quei trattamenti che lo richiedono;
  • Definizione delle misure organizzative per la protezione dei dati personali;
  • Definizione delle misure tecniche per la protezione dei dati personali;
  • Predisposizione delle procedure per il trattamento dei dati e loro documentazione.
In questo percorso si incontrano alcuni elementi particolarmente significativi, la cui gestione richiede molta attenzione ed una corretta interpretazione del Regolamento 679/2016:
La formulazione dell’informativa e dei consensi al trattamento da parte degli interessati;
La progettazione, implementazione e gestione della sicurezza delle informazioni (non solo informatica);
Gestione degli applicativi informatici e dei rapporti con i relativi fornitori;
Rapporti con i responsabili del trattamento esterni;
Eventuale nomina del DPO o RPD (Responsabile del Trattamento dei Dati);
Modalità di effettuazione della valutazione dei rischi e necessità del c.d. Data Impact Assessment (DIA).

Vediamo di chiarire un paio di punti relativamente alle organizzazioni sanitarie private.

La nomina del DPO (RPD) è obbligatoria:
a)    se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
b)   se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
c)    se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
 
Se è evidente che non siamo nel caso (a), probabilmente nemmeno nel caso (b), occorre riflettere bene sul caso (c).

I dati sanitari ricadono senz’altro nelle particolari categorie di dati definite dal GDPR e resta solo da capire cosa significa “su larga scala”. Le interpretazioni ufficiali (Regolamento e Linea Guida sui RPD del GdL Articolo 29) ci indicano che i pazienti trattati da un singolo medico di famiglia non rientrano nel concetto di “larga scala”. Analogamente si potrebbe pensare per una Farmacia o un piccolo ambulatorio privato, ma salendo di dimensione nelle organizzazioni è evidente che questa condizione trova applicazione.
Altra questione è quella relativa alla necessità di istituire un Registro dei Trattamenti: qui l’obbligo si ha per organizzazioni con più di 250 addetti oppure in presenza di rischio per diritti e libertà degli interessati per trattamenti non occasionali di dati sensibili o giudiziari.
In questo caso le nostre organizzazioni della sanità privata ricadono quasi tutte nell’obbligo di trattamento, fermo restando che è comunque opportuno, per il principio di responsabilizzazione (accountability) del titolare del trattamento, creare e gestire tale Registro.
 
Torna ai contenuti