La privacy nel mondo della sanità
La questione privacy è da sempre dibattuta nell’ambito sanitario e la protezione dei dati sensibili dei pazienti deve essere sempre garantita e tutelata. Negli ultimi anni sono state emanate anche importanti norme che garantiscono la sicurezza dei dati personali, ovvero il codice della privacy e il GDPR.
Vediamo in dettaglio come devono essere gestiti i dati dei pazienti in base a questi decreti e cosa può fare il personale medico per tutelarli al meglio.
La privacy dei pazienti
La privacy nell’ambito sanitario include la protezione dei dati personali del paziente e, in particolare, i dati sullo stato di salute e le diverse modalità di trattamento. Questo perché tutti i cittadini che accedono ai servizi sanitari tra esami, visite ed analisi, vengono registrati e pertanto i loro dati devono essere assolutamente riservati. Si tratta di un diritto fondamentale.
Questa garanzia di protezione è possibile grazie alle leggi presenti nel codice sulla privacy, approvato dal decreto legislativo 196/2003. Nello specifico, tale decreto presenta le diverse modalità di trattamento dei dati personali e garantisce il rispetto dei diritti e delle libertà di ogni paziente, con un particolare riferimento alla riservatezza. Il codice della privacy, inoltre, differenzia anche i dati tra dati personali, cioè tutte le informazioni che riguardano la persona fisica, e i dati sensibili, ovvero i dati personali che rivelano l’origine del cittadino, le opinioni politiche, la religione, lo stato di salute, etc.
Pertanto, nel caso di un paziente e dell’ambito sanitario, parliamo di dati sensibili in quanto si tratta di dati che fanno riferimento alla salute e alla vita sessuale della persona, come anche i dati genetici e le condizioni psico-fisiche. In più c’è da dire che non si tratta solo di privacy ma anche di riservatezza. Un esempio è l’appuntamento con il proprio medico, in quanto, al di fuori dei due interlocutori, nessuno può sapere cosa viene detto durante il colloquio. Lo stesso può avvenire anche al pronto soccorso o nei reparti, quando il personale sanitario deve comunicare una notizia o un aggiornamento sul paziente e può farlo solo verso persone legittimate, come ad esempio i familiari. In questi casi, la privacy del paziente può essere a rischio ed è quindi molto importante non violarla e garantire il totale riserbo.
A chi si rivolge il codice della privacy in ambito sanitario
Il decreto legge sancisce anche chi sono gli interlocutori interessati nell’ambito sanitario. In particolare il codice della privacy si rivolge:
- A chi esercita una professione nella sanità;
- Agli organismi sanitari in generale.
Nello specifico le categorie mediche che possono trattare i dati sanitari in base alle normative sono:
- Odontoiatra;
- Veterinario;
- Psicologo;
- Farmacista;
- Infermiere;
- Ottico optometrista;
- Infermiere pediatrico;
- Medico chirurgo;
- Ostetrico.
Tali soggetti sono titolari del trattamento dei dati dei pazienti, mentre gli operatori di interesse sanitario come l’odontotecnico, la puericultrice o il massaggiatore sono esentati da tale titolarità, dal momento che svolgono un’attività che ha rilevanza sanitaria ma non costituisce essa stessa un’attività sanitaria.
Inoltre, nel decreto, sono tracciate anche le linee guida di trattamento dei dati nell’ambito sanitario italiano ed in particolare viene specificato che i dati devono essere trattati in modo lecito e corretto, raccolti e registrati per degli scopi specifici e legittimi. Devono essere inoltre pertinenti, completi, esatti ed aggiornati. Ovviamente tutti i dati sensibili devono essere trattati previa consenso dell’interessato oppure del legale o di un prossimo congiunto del paziente, nel caso in cui quest’ultimo sia impossibilitato a livello fisico o non sia in grado di intendere e di volere.
I dati sanitari nel GDPR
Oltre al codice della privacy, negli ambulatori e nelle strutture sanitarie deve essere applicato anche il Regolamento UE 2016/679 ovvero il famoso GDPR (General Data Protection Regulation).
Questo regolamento europeo nasce dall’esigenza di constatare una certezza giuridica alla conservazione dei dati, in particolare se questi devono essere trasferiti dall’Unione Europea verso altri luoghi del mondo. Ed i dati sanitari, essendo sensibili, devono essere tutelati al massimo fin dal momento della registrazione, tant’è che il GDPR definisce il trattamento dei dati per ogni operazione di raccolta, organizzazione, comunicazione, diffusione, cancellazione, blocco e, appunto, di registrazione. Pertanto le diagnosi, i risultati degli esami, le lastre, le cartelle cliniche, le perizie e molto altro sono dei dati sanitari delicati che devono essere protetti. Questo vale sia per i dati su carta che per quelli digitali.
Inoltre i dati personali di un paziente sono distinguibili a loro volta tra:
- Dati personali comuni diretti, ovvero i dati anagrafici;
- Dati personali comuni indiretti, ovvero il codice fiscale, l’indirizzo IP, il numero di telefono, etc.;
- Dati personali sensibili, ovvero lo stato di salute.
Ma quando è lecito per la sanità trattare i dati e quindi fino a che punto può servirsene? Il regolamento europeo stabilisce il divieto di trattamento dei dati a meno che non siano applicati esclusivamente:
- Nel caso di diagnosi, medicina preventiva, assistenza o terapia sanitaria;
- Nel caso di interesse pubblico, quindi ai fini della protezione dei dati da minacce gravi per la salute;
- Nel caso di archiviazione per pubblico interesse, ai fini di una ricerca scientifica o storica o a fini di statistica.
Ciò ovviamente comporta anche l’individuazione di un responsabile del trattamento dei dati ai fini legislativi che intervenga nel processo di tutela, così come altre figure di riferimento. Vediamo quali sono:
- Titolare: la persona fisica e giuridica che fa parte di un ente, associazione o organismo a cui competono le decisioni sulla modalità del trattamento di dati personali;
- Responsabile: la persona fisica e giuridica o la pubblica amministrazione che viene preposto dal titolare al trattamento di dati personali;
- Incaricato: le persone fisiche autorizzate dal titolare o dal responsabile a gestire e a compiere operazioni sui dati;
- Interessato: la persona fisica a cui si riferiscono i dati sanitari sensibili;
- Garante: figura di autorità che tutela i dati dei cittadini in relazione ai soggetti pubblici e privati. Il compito è quello di proteggere i dati ed esigere correttezza all’uso.
Infine è importante dire che, secondo il GDPR, ognuno è libero di accedere ai propri dati e quindi è possibile, per ogni paziente, avere ed ottenere una copia dei dati personali. Come anche è possibile avere il diritto di poter richiedere la cancellazione dei propri dati personali.
GDPR e la sicurezza dei dati con il software medico On.Health
Considerando gli obblighi per la sicurezza dei dati a cui il personale sanitario si deve attenere, non è affatto semplice riuscire a gestire tutto in modo corretto e rapido ma è necessario. Ad esempio la registrazione dell’anagrafica presso la reception di uno studio medico o di un poliambulatorio deve essere precisa e chiara, al fine di garantire la massima tutela dei dati personali del paziente.
Pertanto il GDPR e il codice della privacy sono delle leggi fondamentali che devono essere osservati con rigore. Per questo è importante che il personale medico ne sia sempre a conoscenza, così da evitare spiacevoli problematiche. Ma è spesso difficile per il personale o per i medici essere al passo con i cambiamenti legislativi legati alla privacy e alla sicurezza dei dati, motivo per cui la soluzione più indicata è quella di gestire i dati dei pazienti attraverso il gestionale medico On.Health.
Il software medico On.Health è un vero e proprio alleato per chi si occupa di gestire i dati sensibili, questo perché tutta l’archiviazione dei dati può essere effettuata comodamente sul cloud in totale sicurezza, in qualunque momento e attraverso lo smartphone, il tablet e il PC. Il cloud garantisce un’archiviazione dei dati sicura e senza controindicazioni, anche perché l’aggiornamento avviene sempre di notte, così da permettere sempre il pieno accesso durante le ore di lavoro.
Inoltre il software per poliambulatorio On.Health è al 100% GDPR compliant, questo anche grazie alle certificazioni di Onit Sanità: una prima dedicata alla gestione della sicurezza delle informazioni ovvero lo standard ISO/IEC 27001 e una seconda dedicata al sistema di gestione per la qualità, lo standard ISO 9001 che garantisce un miglioramento continuo a livello aziendale. Queste certificazioni così come il GDPR garantisce a tutti i pazienti e al personale medico che utilizza il software medico On.Health, il pieno rispetto delle norme in materia di sicurezza e privacy.
Rimani sempre al passo e tutela i dati sensibili dei tuoi pazienti con il software medico On.Health. Se sei interessato, contattaci ora e scopri come eseguire gli obblighi delle leggi in materia di privacy in modo semplice, rapido e corretto.