Salute, raccolta dati limitata. Le indicazioni del Cnil applicabili anche in Italia
Limitare le informazioni raccolte a quanto necessario alla cura dei pazienti; tenere un registro dei trattamenti; cancellare i dati dei pazienti dopo il periodo massimo di conservazione (20 anni); adottare misure di sicurezza idonee; dare informazioni ai pazienti sul trattamento dei dati. Sono queste gli obblighi principali del medico imposti dal Regolamento Ue sulla privacy 2016/679, spiegati dal Garante della privacy francese (CNIL), che ha diffuso anche un modello di informativa e di registro del trattamento. Vediamo, dunque, le principali cautele per i professionisti sanitari. Le indicazioni del garante francese interpretano il regolamento Ue, direttamente applicabile anche in Italia.
Finalità - Il medico tiene schede dei pazienti o in formato cartaceo o in formato elettronico o entrambe: per ciò è un titolare del trattamento. I fascicoli dei pazienti servono a gestire le visite, gestire le schede relative alle terapie, emettere le prescrizioni, comunicare dati a colleghi. È eccedente e quindi illecita una finalità commerciale. Non devono essere trattati dati eccedenti le finalità mediche: ad esempio sono estranei dati sulla religione o sull'orientamento sessuale.
Conservazione - In assenza di disposizioni specifiche sulla durata di conservazione dei dati, il consiglio nazionale dell'ordine dei medici francese indica i seguenti termini: 20 anni a decorrere dall'ultima visita; se il paziente è minorenne o se il termine di 20 scade prima del compimento del 28° anno di età, la conservazione è da prolungare fino a quella data. In tutti i casi se il paziente muore prima di 10 anni dopo l'ultima visita, i dati vanno tenuti per il decennio successivo a tale visita. I termini sono sospesi in caso di contenzioso sulla responsabilità medica.
Informazioni al paziente - Si possono affiggere nella sala di attesa o su un pieghevole. Nelle informazioni si deve indicare il nome del medico, finalità del trattamento, destinatari dei dati, durata della conservazione, diritti degli interessati, natura obbligatoria o facoltativa del conferimento dei dati, finalità ulteriori come la ricerca scientifica.
Autorizzati e responsabili esterni - Bisogna distinguere il personale sanitario da quello amministrativo. Quest'ultimo non può avere accesso globale ai dati del paziente. Se il medico si avvale di un consulente informatico esterno, questi non deve accedere ai dati personali, poiché ha un ruolo esclusivamente tecnico. I dati devono, anzi, essere cifrati, così da garantire al consulente informatico di svolgere le sue prestazioni senza leggere i dati personali. Se i dati sono conservati presso un gestore di un servizio di hosting, questi è da nominare responsabile esterno del trattamento, con un apposito contratto che lo impegni a trattare i dati nei limiti delle istruzioni ricevute.
Posta elettronica -Vediamo le precauzioni relative all'invio di messaggi di posta elettronica. La prescrizione è di usare sistemi o metodi sicuri. Con riferimento alla posta elettronica ordinaria le precauzioni consistono nella cifratura degli allegati, comunicare le credenziali apertura del file con un mezzo di comunicazione diverso dalla posta elettronica (telefono, sms).
Telefonini e tablet - Fortemente sconsigliato conservare informazioni dei pazienti sulla memoria del tablet o del telefonico (evitare perdite di dati in caso di furto o smarrimento del dispositivo). In caso contrario vanno usate credenziali di autenticazione, cifratura dei dati, blocco automatico dopo breve periodo di inattività. Il dispositivo non va consegnato a terzi e va tenuto sotto la propria sorveglianza. Fortemente sconsigliato l'uso di chiavette Usb o hard disk esterni, in ogni caso vanno cifrati. Da evitare messaggerie istantanee e comunicazioni su canali non sicuri.
Le linee guida nazionali - Le linee guida sulla privacy sanitaria sono un tesoretto di direttive e prescrizioni utilizzabile per l'adeguamento al regolamento Ue. Vediamo come si può realizzare il coordinamento del nuovo con quello che è stato costruito in 22 anni di privacy nazionale. Il Garante della privacy italiana ha diffuso molte linee guida per aiutare le professioni e le strutture sanitarie nell'applicazione della normativa sulla privacy.
Tra queste si ricordano: le Linee guida in materia di Dossier sanitario, del 4 giugno 2015; le Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione nei siti web esclusivamente dedicati alla salute del 25 gennaio 2012; le Linee guida in materia di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario del 5 maggio 2011; le Linee guida in tema di referti on line del 19 novembre 2009; le Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario 16 luglio 2009; le Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali del 24 luglio 2008.
Queste linee guida sono un utile strumento di consultazione. Vanno, certamente, aggiornate a proposito di alcuni istituti che sono aggiornati dal Gdpr: così in materia di notificazione e comunicazione delle violazioni dei dati (data breach).
Le linee guida costituiscono, poi, un valido parametro per la costruzione del modello di sicurezza con riferimento agli obblighi di privacy by design e by default.
Le parti delle Linee Guida che si occupano di misure di sicurezza sono un contenitore di prescrizioni ad uso della struttura e del professionista sanitario a riguardo della stesura del proprio documento di analisi dei rischi e di valutazione di impatto privacy.
Alcune prescrizioni possono proseguire tali e quali, come ad esempio le cautele per l'invio e l'accesso ai referti on line.
Uguale conclusione deve riferirsi alle avvertenze particolari da inserire negli atti di informazione da rendere a riguardo di trattamenti su siti web dedicati alla salute.
Mentre è sicuramente da aggiornare il modello di informativa allegato alle linee guida in materia di indagini di customer satisfaction in ambito sanitario.
Quanto al medico di medicina generale, il Garante ha fornito un facsimile dell'informativa con il provvedimento del 19 luglio 2006: anche in questo caso il modello è da aggiornare al Gdpr, ma il provvedimento è utilissimo per la definizione delle finalità e delle caratteristiche dei trattamenti. La pronuncia è utile anche per la compilazione del registro dei trattamenti.
In materia sanitaria infine un imprescindibile documento è il provvedimento generale del Garante del 9 novembre 2005, con il quale sono state fornite prescrizioni alle strutture sanitarie e, in particolare, a tutti gli organismi sanitari, sia pubblici (es. aziende sanitarie territoriali, aziende ospedaliere), sia privati (es. case di cura), ai servizi e alle strutture di soggetti pubblici operanti in ambito sanitario o aventi competenza in materia di prevenzione e sicurezza del lavoro (es. osservatori epidemiologici regionali, servizi di prevenzione e sicurezza sul lavoro).
Anche qui le cautele indicate, quando non integralmente riproducibili, sono un autorevole esempio per i propri modelli organizzativi privacy.
Quanto all'adempimento del consenso, il Regolamento Ue lo esclude come base giuridica necessaria. Su questo aspetto è opportuna un'attività chiarificatrice da parte del legislatore, così da coordinare in maniera certa tutte le prescrizioni contenute anche nelle Linee Guida e nei provvedimenti del garante a proposito del consenso del paziente.
Fonte: Italia Oggi del 2 luglio 2018 - Articolo a cura di Antonio Ciccia Messina
