Condividi su:

Con l’entrata in vigore del GDPR molte questioni riguardanti i trattamento dei dati personali e sanitari da parte del Medico di Famiglia restano da chiarire: qual è l’informativa per l’acquisizione del consenso? I medici di famiglia sono obbligati a nominare il DPO?

In questo articolo cerchiamo brevemente di rispondere a queste domande ed evidenziare i nodi irrisolti dalla nuova normativa sulla protezione dei dati.

GDPR e sanità

La sanità è uno dei settori maggiormente coinvolti nel processo di responsabilizzazione al trattamento dei dati personali. Il settore sanitario per sua natura tratta dati sensibili degli individui, ancor di più il Medico di Famiglia che stabilisce relazioni con i pazienti, concentrate sul passaggio di informazioni e dati direttamente fornita dall’assistito.

Dato per assodato l’obbligo da parte di ogni medico di rispettare il “segreto professionale” la questione privacy è più delicata quando rivolta all’uso, ormai consolidato, dei sistemi informatici e le sue molteplici applicazioni, in grado di archiviare, gestire, manutenere, corrispondere dati personali e sanitari, con grande efficacia.

Il medico di famiglia, il primo collettore della raccolta di dati sensibili, accumulati nel tempo sulla base di relazioni quasi sempre ultradecennali.

Il GDPR da parte sua prevede l’obbligo di procedere ad una valutazione di impatto sulla sicurezza dei dati nella propria attività e di tenere un registro delle operazioni di trattamento, che deve essere disponibile per eventuali supervisioni da parte del Garante, ma anche per avere un quadro aggiornato delle misure adottate.

Leggi anche: La tutela della privacy dei pazienti, cosa prevede il GDPR?

Informativa e acquisizione del consenso

Il GDPR concentra maggiormente l’attenzione sull’informativa e sull’acquisizione del consenso al trattamento dei dati.

L’informativa deve specificare la base giuridica del trattamento, qual è il suo interesse legittimo, i soggetti che condividono queste informazioni e le modalità con cui i dati vengono gestiti, conservati e per quanto tempo è previsto che questo debba avvenire. L’informativa deve essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile; può essere fornita per iscritto o in formato elettronico.

Alla luce della mancata pubblicazione del decreto attuativo del Regolamento e la conseguente mancata abrogazione del Codice in materia di protezione dei dati personali del 30 giugno 2003, subentrano le prime difficoltà interpretative.  Non è prescritto infatti che il consenso debba necessariamente essere documentato per iscritto, anche se è precisato che deve essere “esplicito” e “inequivocabile”. In quest’ultimo viene infatti prevista una modalità semplificata per acquisire il consenso da parte del medico di medicina generale e pediatra di libera scelta, attraverso la sua registrazione con una biffatura su un campo elettronico della cartella sanitaria del paziente.

Un approccio “realistico” alla questione, è stata offerta sulla base del nuovo GDPR, prendendo in considerazione il fatto che il paziente nel momento in cui si riferisce al medico è scontato che debba condividere con lo stesso dati sensibili e il consenso al loro trattamento apparterrebbe implicitamente alla particolare tipologia della relazione.

Resta però in sospeso però se anche per il MMG può essere esteso lo stesso principio, alla luce del fatto però che lo stesso medico, nella sua attività, è tenuto all’invio di tanti dati sensibili ad altri soggetti: come accade per l’invio di ricette dematerializzate, su server remoti.

Criticità

Il Medico di Famiglia alla luce di quanto detto dovrebbe quindi fidarsi (come fin ora è stato) che tutti i sistemi di cui è dotato per il trasferimento dei dati (i software di cartella ambulatoriale, i vari portali online dei diversi istituti di tutela e così via), agiscano secondo norma, collocando queste informazioni “cristallizzate” nel loro formato elettronico dal processo di autenticazione (spesso debole in quanto basato sull’utilizzo di una semplice user e password) del medico, sugli effettivi repository di destinazione.

In altri termini, il medico dovrebbe quindi richiedere il consenso (che sinora non ha avuto) al paziente per inviare i suoi dati in percorsi che non conosce e di cui non è in grado di garantire completamente la liceità; inconsapevole, inoltre, di come dovrebbe comportarsi con i paziente che non desiderano non autorizza l’invio di una propria ricetta/diagnosi a Sogei del MEF.

Medicina generale e DPO

Altro aspetto con nodi non ancora sciolti è quello relativo alla designazione del DPO (Data Protection Officier), la figura professionale designata a svolgere un ruolo di referente della protezione dei dati. Diverso dal ruole del Responsabile del trattamento dei dati.

I MMG (quelli che operano in forme aggregative che oramai rappresentano la grande maggioranza della professione) sono tenuti a dotarsi di questa figura?

Il dubbio nasce dal concetto, non del tutto chiaro e aleatorio, basato sul concetto del trattamento di dati in “larga scala”, quale requisito d’obbligatorietà o meno di disposizione del DPO.

Le questioni non risolte dal GDPR

Il pensionamento del medico rende inevitabile la cessione ad altro medico del database ambulatoriale, pieno di dati clinico-assistenziali che, quando privi di una policy definita, difficilmente potranno essere riutilizzati.

Non esistendo procedure per gestire il database del medico che lascia l’attività, la perdita, per l’assistito, di dati che riguardano le storie sanitarie di una vita è definitiva.

Le soluzioni estemporanee che vengono “normalmente” adottate, anche se sono efficaci per gestire “al meglio” una situazione non altrimenti normata, sono applicate in deroga palese a qualsiasi regola e principio.

Sono tutti aspetti appartenenti alla specificità della professione, che non vengono affrontati nel GDPR e che lo stesso GDPR, pertanto, non risolve. Dovranno essere presi in considerazione attraverso riflessioni dapprima condotte nello stesso ambito professionale, in modo tale da produrre, proprio su questi temi, un codice di condotta. D’altronde è il Garante che individua nel codice di condotta, previsto tra l’altro dal nuovo Regolamento, uno strumento attraverso cui tutti i soggetti che fanno parte di un unico contesto di trattamento, come il settore sanitario, possono definire dal basso delle regole per far sì che tutto ciò che viene fatto sia conforme alle previsioni del Regolamento. Le autorità di protezione dei dati hanno il ruolo di incoraggiarne l’adozione, valutare le proposte che provengono dalle associazioni coinvolte e, qualora giudicate congrue con la cornice regolatoria del GDPR, approvarle e promuoverle.

Condividi su:

Leave a comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.