Privacy in Sanità: La gestione degli adempimenti privacy nelle strutture sanitarie

All’interno delle strutture sanitarie gli esercenti una professione sanitaria si trovano ad erogare molteplici prestazioni, di conseguenza diverse dovranno essere, le valutazioni in base al quale poter effettuare un’analisi sui trattamenti dati specifici nel pieno rispetto delle norme.

In primis sarebbe opportuno definire cosa si intende per “esercenti una professione sanitaria”, appartengono a tale categoria le seguenti figure:

• farmacista;
• medico chirurgo;
• odontoiatra;
• veterinario;
• psicologo;
• infermiere,
• ostetrica;
• operatore esercente professioni sanitarie riabilitative.

Il d.lgs. 502/1992 ha introdotto l’ingresso delle strutture sanitarie private nel mercato, sollevando diversi dubbi anche nella gestione degli adempimenti privacy.

Tale ingresso è avvenuto mediante l’adozione di una procedura che, in base alle diverse fattispecie, può prevedere fino a tre diverse fasi consecutive e nello specifico:

Fase 1) autorizzazione all’esercizio dell’attività sanitaria

Fase 2) accreditamento, utile al fine di erogare prestazioni sanitarie per conto del SSN;

Fase 3) stipula di un contratto che disciplina i rapporti tra Pubblica Amministrazione e struttura privata al fine di erogare, per quest’ultima, prestazioni sanitarie a carico del SSN.

Le strutture sanitarie, di conseguenza, assumono il ruolo di soggetti che esercitano un servizio di pubblico interesse, quale il diritto alla salute!

Relativamente agli aspetti privacy e alla protezione, oltre che di dati personali ma anche di dati particolari, sussiste per le strutture sanitarie il dovere di assicurare l’erogazione di un servizio pubblico assumendo rischi di alta portata, tanto da giustificare la qualifica di struttura sanitaria privata come un autonomo Titolare del Trattamento.

Difatti, è in capo a quest’ultima che gravano decisioni che riguardano finalità e mezzi del trattamento dei dati personali dei pazienti.

Proprio perché sussiste un’attenzione alta in tema di privacy in sanità, sarà opportuno per prima cosa informare sempre il paziente rispetto a come verranno trattati i suoi dati.

Riportiamo di seguito una guida lineare degli adempimenti e degli aspetti da tener presente nelle strutture sanitarie:

• rientrando i dati sanitari all’interno della categoria dei dati particolari, sarà opportuno in primis nominare il Responsabile dei dati personali c.d. DPO;
• istituire un registro dei trattamenti, contenente tutte le attività di trattamento effettuate all’interno dell’organizzazione;
• fornire l’informativa privacy al paziente in fase di accettazione avendolo preventivamente identificato o mettendo la stessa informativa a disposizione dei pazienti in maniera diretta e facilmente visibile (sala d’attesa);
• prevedere eventuali consensi, in base all’art. 7 del Regolamento UE 679/2016N.B ricordiamo che nel caso in cui il soggetto interessato decida di sottoporsi ad una cura, il consenso non è richiesto. In particolare, 'La norma estende l’esenzione della richiesta di consenso anche alle finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari e sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. Tali tipologie di dati possono essere gestite solo se trattate da o sotto la responsabilità di un professionista soggetto al segreto professionale, in tutti gli altri casi il consenso risulta necessario; qualora il trattamento sia basato sul consenso, il Titolare deve essere in grado di dimostrare che l’interessato ha espresso, quando richiesto, il proprio consenso al trattamento dei propri dati personali;
• fornire moduli di delega e di consenso per il ritiro di eventuale documentazione sanitaria da parte di soggetti terzi e/o per conto del paziente;
• effettuare un’analisi della strumentazione informatica all’interno della struttura, quindi prevedere misure di sicurezza specifiche sia per le strumentazioni medicali sia per le dotazioni informatiche messe a disposizione del personale;
• effettuare una valutazione sulla gestione degli utilizzi di nuovi strumenti digitali di supporto alle strutture sanitarie, come il dossier sanitario, referti online, ricetta elettronica, prenotazioni sanitarie online etc. Tutto questo incrementa notevolmente la consistenza di tipologie di dati che si possono trattare derivando un pericolo maggiore nel caso di accesso a tali sistemi da terzi non autorizzati;
• sarà opportuno di conseguenza in base alla tipologia di dati trattati effettuare una valutazione di impatto sulla protezione dei dati personali, un processo questo che deve essere effettuato quando l’uso delle nuove tecnologie, come nei casi sopra esposti, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
• prestare attenzione alla corretta conservazione della documentazione, sia digitale che cartacea, valutando sia gli asset che i tempi di conservazione previsti;
• ulteriore rilevanza assumerà la necessità di prevedere delle procedure specifiche all’interno delle strutture, come la procedura per la gestione della violazione dei dati personali, la procedura per l’esercizio dei diritti degli interessati etc.

Vista la complessità del tema e dei veloci cambiamenti normativi in un ambito così delicato, sarà opportuno acquisire da parte delle strutture sanitarie una maggiore consapevolezza e ancora, effettuare un’analisi dei contesti entro cui poter dimostrare l’efficacia delle scelte effettuate, pur continuando ad operare nel rispetto dei diritti e delle libertà degli interessati.

Se vuoi saperne di più e per poter avere un quadro chiaro in base alla tua struttura, contattaci, saremo lieti di effettuare un’analisi degli adempimenti necessari per essere sempre a norma.