Medici e GDPR: poiché i dati sanitari sono “sensibili” il Regolamento prevede per questi una “tutela rafforzata”. Cosa significa in concreto e quali obblighi gravano sul medico?
Conoscere la normativa: il GDPR e i dati sensibili
I dati sensibili, definiti anche come dati soggetti a trattamento speciale dal GDPR, sono dati personali che riguardano la sfera più privata della persona. In particolare, il GDPR definisce i dati sensibili come
“i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
La “sensibilità” dei dati sanitari comporta l’obbligo di prevedere tutele rafforzate. In particolare, il trattamento di tali dati deve essere limitato a ciò che è necessario per la prestazione di servizi sanitari. Trattamenti non necessari o eccedenti le finalità sanitarie saranno illegittimi. Inoltre, il trattamento dei dati sanitari può essere effettuato solo da personale qualificato e sotto la propria responsabilità professionale.
Per quanto riguarda le tutele previste dal GDPR per i dati sanitari, il regolamento stabilisce che i dati personali, inclusi i dati sanitari, devono essere:
- trattati in modo lecito, corretto e trasparente;
- raccolti solo per finalità specifiche, esplicite e legittime;
- trattati in modo compatibile con tali finalità.
Infine è obbligo del medico adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. Il fine deve essere quello di prevenire la perdita, la distruzione o l’accesso non autorizzato a tali dati.
Medici e GDPR: adottare misure di sicurezza adeguate
Per essere conformi al GDPR, i medici di base devono adottare misure di sicurezza adeguate per proteggere i dati personali dei pazienti. Queste misure possono includere l’utilizzo:
- di software di gestione dei dati sicuri e criptati;
- la definizione di politiche interne di sicurezza e privacy;
- la formazione del personale su queste politiche;
- la nomina di un responsabile della protezione dei dati (DPO).
Inoltre, il medico di base deve chiedere il consenso esplicito del paziente per il trattamento dei suoi dati personali e informare il paziente sui diritti che ha in merito alla protezione dei dati personali (diritto di accesso, di rettifica e di cancellazione ecc..).
Riguardo le politiche di trattamento dei dati, i medici di base devono adottare particolari precauzioni nella gestione e nella conservazione dei dati sanitari dei pazienti. Ad esempio è utile la definizione di regole per la conservazione e la distruzione dei dati. Ma anche la limitazione dell’accesso ai dati sensibili solo al personale autorizzato, la definizione di politiche di backup e di ripristino dei dati, e la definizione di procedure di sicurezza per la gestione dei dati in caso di emergenze o situazioni critiche.
Medici e GDPR: andiamo in dettaglio
Fatte le dovute premesse generali, scendiamo nel dettaglio. Il primo dato importante da sottolineare è che il medico di base è soggetto al GDPR ed è considerato Titolare del trattamento anche se svolge un servizio per il SSN. Qualsiasi evento riguardi i dati dei pazienti è da inscriversi nelle responsabilità del medico, quindi. Ecco qualche indicazione pratica
- produrre la documentazione utile: le informative per il trattamento dati, il registro dei trattamenti, le nomine dei responsabili del trattamento (il gestore del software per la gestione dei pazienti, il commercialista ecc…), le autorizzazioni per i collaboratori (segretari ecc…);
- adottare misure di sicurezza adeguate agli standard di tutela rafforzata prevista dal GDPR per i dati sanitari. Da questo punto di vista, la sicurezza va garantita sia ai dati in forma digitale che a quelli stampati su carta. Referti, prescrizioni, anamnesi e documentazione simile vanno conservati in luogo riservato e accessibile soltanto al personale autorizzato a trattare quei dati. Sono utili soluzioni archivi / magazzini chiusi al pubblico o cassetti /armadietti sigillabili con chiave o combinazione. Per quanto riguarda i dati in formato digitale, il sistema informatico deve essere protetto da password solide e da soluzioni di sicurezza informatica come antivirus e firewall. Il backup dei dati è necessario invece per garantire integrità e disponibilità dei dati. I dati salvati su dischi di memoria dovrebbero essere mantenuti in forma criptata. La chiave di decriptazione dovrebbe essere detenuta soltanto dal personale autorizzato ad accedere ai dati;
- l’impiego di eventuali software di gestione dei pazienti comporta la necessità di organizzare le autorizzazioni di accesso, solo per chi deve accedere ai dati per necessità lavorative. Ognuno però, col proprio account: medico e segretaria devono accedere con credenziali differenti su account le cui permissioni sono diversificate in base alla mansione svolta. Se il software prevede che il database risieda in locale sui computer dello studio il backup è obbligatorio. Se il software è in cloud, il backup è compito del vendor, ma è consigliabile procedere di tanto in tanto al download in locale del database.
Per approfondire > Sanzionata dal Garante la ASL di Bari: anche le procedure amministrative devono rispettare il GDPR
Ma i medici possono inviare ricette per mezzo Internet?
E’ prassi ormai assodata quella dell’uso delle email, ma anche degli SMS o delle app di messaggistica come Whatsapp per la condivisione coi pazienti di documentazione e/o informazioni sanitarie.
Per approfondire > GDPR e medici: quando le ricette girano su WhatsApp (senza privacy)
Per approfondire > Parere sulle modalità di consegna della ricetta medica elettronica – 19 marzo 2020
L’uso di Internet per comunicare coi pazienti non è esplictamente impedito, ma è indubbio che questi mezzi espongono i dati a molti rischi. Il Garante, sul tema, ha specificato che, con le dovute precauzioni, si possono utilizzare le email e altri sistemi via Internet per comunicare coi pazienti: non ha mai citato però, come mezzi legittimi, le app di messaggistica come Whatsapp.
In ogni caso, tali mezzi sono utilizzabili, ma previo consenso esplicito del paziente stesso. Consenso che, consigliamo, sia espresso per iscritto, conservandone copia. Il sistema più adatto sarebbe l’uso di sistemi sicuri di file sharing o storage con accesso individuale tramite credenziali, purchè garantisca misure di sicurezza e riservatezza dei dati sufficienti. Se proprio ciò non è possibile, sarebbe quantomeno auspicabile procedere all’estrazione e cancellazione delle comunicazioni sulle app di messaggistica a cadenza regolare. Smarrire lo smartphone col quale si comunica coi pazienti costituisce data breach e il GDPR prevede l’obbligo, pena sanzione, di comunicarlo entro 72h (dal momento in cui si prende coscienza del data breach) al Garante per la protezione dei dati personali.
Non sei sicuro che il tuo studio sia conforme al GDPR? Vuoi nominare un DPO o ti serve aiuto per la messa in conformità del tuo studio?