Privacy nel settore sanitario: come proteggere i dati del paziente

Sicurezza dei dati medici, principi generali e consenso del paziente. Impara come proteggere la privacy nel settore sanitario e gestire violazioni dei dati.

Sommario

  1. Le Tipologie di Dati Personali
  2. I principi posti a base del trattamento dei dati personali nel settore sanitario
  3. Il Consenso del Paziente
  4. L’Informativa privacy
  5. La sicurezza dei dati sanitari
  6. Come comportarsi in caso di data breach in ambito medico

Il medico, sia nel settore pubblico che in quello privato, ha la responsabilità di gestire i dati personali dei pazienti nel rispetto della normativa sulla privacy. La protezione dei dati personali dei pazienti passa dal rispetto delle regole contenute nel GDPR e da alcune cautele pratiche che dovremmo adottare anche nella vita quotidiana.

SCARICA IL MODULO PER IL CONSENSO AL TRATTAMENTO DEI DATI PERSONALI NELLO STUDIO MEDICO

Le Tipologie di Dati Personali

Per capire come gestire i dati personali dei pazienti, il professionista sanitario deve innanzitutto comprendere cosa sia un dato personale. In termini semplici, un dato personale è qualsiasi informazione relativa a una persona fisica identificata o identificabile. Questo include il nome, il codice fiscale, l’indirizzo e anche l’indirizzo IP, poiché tali dati possono essere utilizzati per identificare una persona.

Il Regolamento Europeo sulla Protezione dei Dati (GDPR) identifica alcune categorie particolari di dati personali che richiedono un trattamento speciale, tra cui:

– Dati razziali o etnici,

– Dati relativi a opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale,

– Dati genetici e biometrici,

– Dati relativi alla salute,

– Dati sulla vita sessuale o sull’orientamento sessuale.

Nel contesto sanitario, è molto importante sapere che per queste categorie particolari di dati vige un trattamento speciale: il trattamento di dati relativi alla salute, genetici e biometrici, sulla vita sessuale e sull’orientamento sessuale dei pazienti rappresentano la quotidianità dell’attività medica. Il GDPR, per alcuni di questi dati, ha cercato di fornire una definizione specifica:

– i dati genetici si riferiscono alle caratteristiche genetiche di una persona ottenute da analisi di campioni biologici.

– i dati biometrici sono dati ottenuti da caratteristiche fisiche, fisiologiche o comportamentali che consentono l’identificazione univoca, come l’immagine del volto o l’impronta digitale.

– i dati sulla salute riguardano la salute fisica o mentale di una persona, inclusi i servizi di assistenza sanitaria e le informazioni sullo stato di salute.

Il principio generale vuole che il trattamento di questi dati “particolari”, nella regola, sia vietato, salvo il verificarsi di alcune particolari eccezioni, tra cui – ai fini sanitari – rileva il consenso esplicito del paziente o i motivi di interesse pubblico rilevante.

I principi posti a base del trattamento dei dati personali nel settore sanitario

Il professionista sanitario, nel trattare i dati dei propri pazienti, deve attenersi scrupolosamente ai principi generali stabiliti dal GDPR:

  • liceità, correttezza e trasparenza – i dati devono essere trattati in modo legale, corretto e trasparente nei confronti del paziente;
  • limitazione della finalità – i dati devono essere raccolti solo per scopi specifici, legittimi e successivamente trattati in modo coerente con tali scopi;
  • minimizzazione dei dati – i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto agli scopi del trattamento;
  • esattezza – dati devono essere accurati e aggiornati o modificati quando necessario, al verificarsi un loro cambiamento;
  • limitazione della conservazione – i dati devono essere conservati solo per un periodo limitato, non oltre quanto necessario per gli scopi del trattamento;
  • integrità e riservatezza – deve essere garantita la sicurezza dei dati con misure tecniche e organizzative adeguate a prevenire accessi non autorizzati o perdite;
  • responsabilizzazione – il titolare del trattamento deve essere in grado di dimostrare la conformità ai suddetti principi.

Il Consenso del Paziente

Prima di raccogliere, utilizzare o divulgare qualsiasi informazione personale, il medico deve ottenere il consenso libero, specifico, informato e inequivocabile del paziente. Questo consenso sarà necessario per tutte le attività diverse da quelle connesse alle finalità di cura, come la consegna di referti online, l’uso di app mediche, la trasmissione di referti e ricette a terzi o la consultazione del fascicolo sanitario elettronico.

Il consenso del paziente al trattamento dei suoi dati personali è fondamentale, per questo il sanitario deve fare il possibile per semplificare la comprensione dei diritti del paziente, in modo tale da renderli fruibili a tutti i potenziali utenti, indipendentemente dal loro grado di scolarizzazione. Dobbiamo pensare che all’interno di uno studio medico i pazienti hanno un’età compresa dagli 0 ai 90 anni (anche oltre), perciò il linguaggio deve essere semplice e immediato. Il test più adatto è quello di far leggere il modulo sul consenso a un bambino di 5° elementare e a un over 85 anni: se entrambi riescono a capire cosa c’è scritto con facilità, come e perché devono dare al medico il consenso per utilizzare i loro dati, vuol dire che il modulo è scritto bene, nel rispetto dei principi del GDPR.

L’Informativa privacy

Il medico o la struttura sanitaria deve fornire al paziente un’informativa completa che includa:

– identità e contatti del titolare del trattamento dei dati e del responsabile della protezione dei dati (se presente);

– scopi del trattamento, base giuridica e, se applicabile, legittimi interessi;

– destinatari dei dati personali;

– informazioni sulla trasmissione dei dati a paesi terzi o organizzazioni internazionali;

– periodo di conservazione dei dati;

– diritti dell’interessato, inclusi il diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso e il diritto di proporre reclamo all’autorità di controllo;

– esistenza di un processo decisionale automatizzato, inclusa la profilazione.

L’informativa deve essere facilmente accessibile e comprensibile, utilizzando un linguaggio chiaro, possibilmente redatta in doppia modalità: testuale e grafica. L’uso di icone e schemi esplicativi può aumentare la fiducia del paziente e migliorare la fruizione dell’informativa, che dovrà essere affissa in un luogo accessibile all’interno dello studio oltre che resa disponibile per la lettura integrale.

La sicurezza dei dati sanitari

Non esiste una lista definita di strumenti o modalità per proteggere i dati personali, inclusi quelli sanitari: tutti, anche nella nostra quotidianità, siamo a rischio di furto dei nostri dati, che potremmo fornire noi stessi, inconsapevolmente, a dei malintenzionati, i quali potrebbero farne qualunque tipo di uso (ad esempio truffe, ricatti, discriminazioni lavorative).

Per garantire la sicurezza dei dati all’interno dello studio medico è bene adottare delle misure preventive, che abbiano ad oggetto:

  • protezione tecnologica,
  • sicurezza fisica,
  • aggiornamento costante.

Il GDPR richiede, infatti, al titolare del trattamento di proteggere i dati in modo adeguato e dimostrare di averlo fatto con gli strumenti disponibili in quel determinato contesto storico. Per questo motivo, è bene adottare un’adeguata protezione tecnologica per i dati personali, iniziando dall’acquisto di un software antivirus e dalla predisposizione di protezioni di rete. I software e il sistema operativo utilizzati nel PC dello studio devono essere sempre aggiornati: solo così l’azienda produttrice può garantirci la protezione massima disponibile da attacchi esterni o da bug di sistema che possano causare danni.

Ulteriori misure di sicurezza informatica possono includere la cifratura dei dati (ad esempio inserendo password ai file .word o .pdf), l’anonimizzazione e la protezione con specifici software. La protezione dei dati personali dei pazienti all’interno dello studio medico non può prescindere, inoltre, da una specifica formazione del personale in materia di sicurezza del dato, in modo tale da far comprendere ai dipendenti – e in generale a chi opera all’interno dello studio – l’importanza del materiale che stanno maneggiando: i dati personali, e quelli sanitari in particolare, nel nuovo millennio valgono più dell’oro.

È infine consigliabile stipulare una polizza assicurativa contro i rischi informatici per coprire eventuali perdite di dati.

Le misure di sicurezza fisica sono più semplici da realizzare, ma non meno scontate:

  • armadietti con la chiave, da rendere disponibile solo a personale autorizzato,
  • sistema d’allarme e/o telecamere di videosorveglianza,
  • dispositivo antincendio e estintore a disposizione in prossimità degli archivi contenenti i dati sanitari;
  • adottare, ove possibile, misure antiallagamento.

Ultimo, ma non per importanza, è il consiglio “della nonna”: chiudere bene a chiave porte e finestre.

Queste best practice, che dovrebbero essere dettate anche dal buon senso, metteranno il sanitario al sicuro da eventuali contestazioni che i pazienti potrebbero fare al Garante Privacy e dalle multe a sei zeri che potrebbe erogare, e favoriranno la creazione di un ambiente di sana fiducia tra il medico e i suoi pazienti, fondamentale per fornire un’assistenza sanitaria efficace e personalizzata.

Come comportarsi in caso di data breach in ambito medico

Il data breach è una violazione di sicurezza che comporta, in modo accidentale o illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati da un soggetto. Si tratta, in sostanza, della più grave violazione che i dati personali e sanitari dei pazienti possono subire all’interno dello studio medico o di una clinica; trattandosi di una situazione emergenziale, vanno gestiti con la consapevolezza delle regole da applicare, senza perdere la calma, come se si stesse operando in pronto soccorso in situazioni di medicina d’urgenza.

Un esempio di data breach può essere un attacco ransomware a seguito del quale i dati dei pazienti vengano sottratti e pubblicati sul dark web, ma anche il più classico smarrimento del computer, del tablet o dello smartphone. In caso di data breach, il medico, in qualità di titolare del trattamento, deve immediatamente comunicarlo (in gergo tecnico si dice notificare) al Garante Privacy tramite l’apposita pagina dedicata sul sito del garante. La notifica deve avvenire senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui è venuto a conoscenza di tale evento. La notifica non è richiesta nelle ipotesi in cui sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà dei pazienti. Nel caso in cui il data breach venga notificato oltre le 72 ore dall’evento, bisognerà giustificare i motivi del ritardo.

Dopo aver ricevuto la notifica del data breach, il Garante effettuerà le verifiche del caso; nel caso in cui rilevi una violazione del GDPR, anche relativa all’adeguatezza delle misure di sicurezza tecniche e organizzative attuate per evitare che si verificasse l’evento, potrà irrogare una sanzione pecuniaria che può arrivare fino a 10 milioni di euro o – nel caso di imprese – fino al 2% del fatturato totale annuo mondiale. Per evitare tutto ciò, il medico deve proteggere i dati dei suoi pazienti così come lo fa con la loro salute.

Di: Manuela Calautti, avvocato

Argomenti correlati

Privacy

News e approfondimenti che potrebbero interessarti

Vedi i contenuti

La soluzione digitale per i Professionisti Sanitari

Consulcesi Club

Contatti

Via G.Motta 6, Balerna CH
PEC: consulcesisa@legalmail.it

Social media