Le norme sulla privacy riguardano tutti i medici? Oppure chi non gestisce i dati dei pazienti ne è esonerato?

Prima cosa importante da chiarire: il nuovo Regolamento Europeo (ma era già previsto dalla Legge italiana) definisce “trattamento di dati” ogni operazione di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati, anche se non registrati in una banca di dati, sia che si utilizzi il computer, sia che si lavori su carta.
Sulla base di questa definizione, è praticamente impossibile che il medico non esegua nessun “trattamento” dei dati dei propri pazienti. Ad esempio, anche tenere un’agenda degli appuntamenti con annotati i nominativi dei pazienti è già un trattamento di dati. Anche emettere una fattura con i dati del paziente è un trattamento di dati. Anche fornire le fatture al commercialista per gli adempimenti fiscali è un trattamento di dati.
Per cui si deve concludere che le norme sulla privacy riguardano tutti.

Chiarito questo, cosa deve fare il medico nel suo studio per essere in regola con la privacy dopo l’entrata in vigore del Regolamento Europeo 679/2016?
Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme del Regolamento Europeo, che si possono riassumere così:
– identificare i soggetti interessati al trattamento dei dati;
– predisporre un’adeguata informativa;
– raccogliere il consenso;
– istituire il Registro dei trattamenti dei dati;
– elaborare procedure per fronteggiare le ipotesi di violazione della privacy.

Cominciamo dal primo punto: identificare i soggetti interessati. Chi sono?
Secondo logica, i soggetti interessati al trattamento dei dati da parte di un medico sono i suoi pazienti.
Ma non solo: il medico potrebbe gestire anche i dati personali del suo personale dipendente o dei suoi collaboratori.
Infine il medico potrebbe dover avere necessità di gestire anche i dati personali di soggetti che non sono né suoi pazienti né suoi dipendenti o collaboratori. Ad esempio i fornitori.
Questa ricognizione è il primo passo da fare per calibrare poi i successivi adempimenti.

Cos’è l’informativa sul trattamento dei dati personali?
È una dichiarazione scritta con linguaggio semplice e chiaro da rendere nota al paziente anticipatamente rispetto al trattamento dei dati da redigere in forma concisa, trasparente, intellegibile e facilmente accessibile.
Può essere consegnata ad ogni singolo paziente, oppure può essere affissa nella sala d’attesa dello studio in modo da renderla conoscibile alla generalità degli utenti dello studio.
L’informativa deve contenere tutta una serie di informazioni, secondo quanto previsto dal Regolamento Europeo, che si possono così riassumere:
– dati di contatto del Titolare dello Studio;
– dati di contatto del Responsabile del trattamento dei dati (se presente);
– dati di contatto del Responsabile della protezione dei dati – DPO (se presente);
– finalità e scopo del trattamento dei dati;
– modalità di trattamento dei dati;
– tempo di conservazione dei dati;
– soggetti a cui i dati vengono comunicati;
– trasferimento all’estero dei dati;
– diritti dell’interessato.
E’ importante ricordare che l’informativa è un adempimento obbligatorio e in nessun modo eludibile.

Entriamo nel vivo dell’informativa: i dati di contatto
In primo luogo l’informativa deve contenere i dati di contatto del Titolare dello studio (nominativo, sede, telefono, email).
Se il titolare dello studio nomina un responsabile del trattamento dei dati, deve indicare gli stessi dati anche per il responsabile. La nomina di tale responsabile non è obbligatoria.
Se il titolare dello studio nomina un responsabile per la protezione dei dati (DPO), deve indicare gli stessi dati anche per il DPO. Sull’obbligatorietà o meno della figura del DPO si parlerà più avanti.

Finalità e scopi del trattamento
Vanno indicate le finalità del trattamento, cioè lo scopo per cui si raccolgono, si gestiscono e si trattano i dati dei pazienti. La finalità principale per uno studio medico è: prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni di natura medica o sanitaria richieste dal diretto interessato, anche farmaceutiche o specialistiche.
Ci sono poi altre finalità, che sono obbligatorie per legge, ad esempio comunicare i dati a soggetti, enti o autorità a cui la comunicazione sia obbligatoria in forza di disposizioni di legge o ordini delle autorità.
Oppure le finalità possono derivare da precisi rapporti contrattuali, come ad esempio nel caso di pazienti che aderiscono a fondi mutualistici o a polizze assicurative. In questi casi la finalità dello studio medico è anche quella di comunicare i dati ad enti privati per motivi assicurativi su richiesta dell’interessato.
Un’altra importante finalità per cui lo studio medico tratta i dati dei propri pazienti è esercitare i diritti legali del titolare dello studio, ad esempio il diritto di difesa in giudizio.
Solitamente questi sono gli scopi e le finalità che ogni studio medico si prefigge nel trattare i dati dei propri pazienti, per cui si può dire che quanto sopra rappresenta l’informativa “minimale” riguardo alle finalità del trattamento. Se il titolare dello studio, avendo riguardo alla sua specifica attività medica, si rende conto che utilizza i dati dei pazienti anche per altri e ulteriori scopi, deve dichiararlo esplicitamente nell’informativa che quindi va adeguatamente integrata.

Quali possono essere queste ulteriori finalità di trattamento?
Ad esempio condurre attività di ricerca scientifica o epidemiologica, utilizzare i dati dei pazienti per pubblicazioni scientifiche o presentazioni ai congressi, spedire una periodica newsletter ai pazienti per informarli sulle attività dello studio.
Sono tutte finalità ulteriori rispetto a quella fondamentale di attività assistenziale che quindi vanno separatamente evidenziate per renderle note al paziente.

Modalità di trattamento dei dati
Il titolare dello studio deve dichiarare che si ispira ai principi di liceità, correttezza, trasparenza, minimizzazione e limitazione dei dati, come previsto dal Regolamento Europeo.
Una formula utilizzabile potrebbe essere la seguente: I dati potranno essere trattati in forma cartacea ed elettronica, con accesso consentito ai soli operatori autorizzati, precedentemente nominati Responsabili o addetti al trattamento, i quali seguono corsi di formazione specifici e vengono periodicamente aggiornati sulle regole della privacy e sensibilizzati al rispetto e alla tutela della dignità e della riservatezza del paziente. Tutti gli operatori dello Studio che accedono ai dati informatizzati sono identificabili e dotati di password personale; l’accesso ai dati è consentito solo per le finalità legate al ruolo dell’operatore e solo per lo stretto tempo necessario a trattare la prestazione per la quale il paziente si è recato presso lo Studio.
Lo Studio non svolge attività di profilazione dei dati dei propri assistiti.
All’interno dei locali è vietato, per la riservatezza degli utenti, registrare audio, video e scattare foto.