Studi medici - GDPR privacy
Consulente privacy
Ugo Carlo Chiolerio
Sito in costruzione
INFO GDPR
PER STUDI MEDICI / ODONTOIATRICI
( info
tratte da vari documenti pubblicati sul web )
Cosa interessa davvero del GDPR agli studi
medico-odontoiatrici?
Il GDPR introduce nuove norme sul trattamento dei dati personali e quindi dei
pazienti, cioè sul trattamento di tutte le informazioni e i dati che lo studio
medico, odontoiatrico e professionale ottiene dai pazienti, sul modo in cui lo
studio interagisce con questi dati e sul modo in cui li conserva. Le norme
prevedono la nomina di un Responsabile della Protezione dei Dati (RPD) che si occuperà di verificare la
conformità dello studio alle nuove norme in qualità di consulente, ma
soprattutto fornirà istruzioni e raccomandazioni su come agire praticamente a
norma di legge.
Cosa è un RPD / DPO ?
Il Responsabile della Protezione dei Dati Personali (RPD) è una nuova figura designata dal titolare dello studio medico,
odontoiatrico e professionale (cioè il principale responsabile del trattamento
dei dati), responsabile di aiutare lo studio a mantenersi conforme alle nuove
regole sulla protezione della privacy. Il RPD funge da intermediario tra lo studio
e le autorità di controllo, in particolare le autorità
giudiziarie ed il Garante della Privacy. Le sue attività consistono nel monitoraggio
sistematico dell’adeguatezza del trattamenti dei dati sensibili, nonché dei sistemi utilizzati per la
protezione dei dati.
Chi è obbligato a nominare un RPD?
La nomina del RPD è obbligatoria per tutte le aut. pubbliche, nonché
per le attività il cui esercizio
comporta la manipolazione di dati in larga scala per speciali
categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 ).
Nel testo del GDPR non viene specificata la misura o la quantità
di dati definita “larga scala” e al momento le stessa Commissione Europea,
nonché il Garante della Privacy, interpretano la norma in modo diverso
sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici.
Secondo il Considerando 91, infatti, gli studi medici,
odontoiatrici e professionali con un solo titolare del trattamento dei dati
personali dei pazienti non sono obbligati a nominare un RPD. Tuttavia, se lo studio medico è convenzionato
con il SSN, il Garante della Privacy raccomanda fortemente di nominare un
RPD. Tuttavia, essere eventualmente
esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte
le responsabilità e dalle attività sancite dal GDPR. I
requisiti di protezione dei dati sanciti dall’Art. 32, il controllo degli
accessi ed il registro delle attività sancite dall’Art. 30 sono comunque
previsti dal nuovo regolamento, quindi dovranno essere realizzati e
verificabili dalle autorità di controllo. Per soddisfare questi
requisiti, lo studio medico-odontoiatrico può
comunque decidere di nominare un RPD, anche qualora non ne fosse obbligato.
Nel caso di nomina di un RPD, sia essa obbligatoria o volontaria, occorre
seguire le linee-guida descritte nelle domande successive.
Dove deve essere localizzato il RPD?
Il RPD deve essere sempre facilmente
accessibile dallo studio (Art. 4 GDPR), tuttavia il nuovo regolamento europeo sul trattamento dei dati personali non
impone dei limiti concreti di localizzazione del responsabile
nominato.
Si può nominare un RPD esterno allo studio?
La funzione di RPD può essere svolta da un fornitore esterno di servizi e non deve necessariamente essere un
dipendente effettivo dello studio medico-odontoiatrico,
purché la funzione sia esercitata sulla base di un contratto stipulato tra il
titolare dello studio ed una persona fisica oppure giuridica (Art. 36 GDPR),
quindi una società. Per fare un esempio: lo studio delega la responsabilità
al fornitore del proprio software gestionale (attraverso un accordo sul
trattamento dei dati che fornisce il fornitore del software), che nominerà un RPD per tutti i dati
contenuti nei propri server e gestiti attraverso il software. Ma occorre fare attenzione,
poiché questo sarà possibile solo nel caso in cui il gestionale sia un software in cloud , dato che la tecnologia cloud permette di
controllare alla fonte tutti i dati degli studi. Gli studi che utilizzano un
software in cloud, infatti, interagiscono con dati contenuti in
un server remoto e non sul pc locale. Per questo motivo, la società
fornitrice del software ha la responsabilità di nominare un RPD ed attenersi a
tutte le normative del GDPR, senza che la nomina del RPD ricada sullo studio. Per tutti gli altri
eventuali dati che lo studio conserva fisicamente sui propri dispositivi (o in
cartaceo), invece, il responsabile del
trattamento dei dati (il titolare dello studio) deve conformarsi
alle norme sancite dal GDPR sotto la propria responsabilità.
Che tipo di controllo applica il RPD sullo
studio?
Il RPD è responsabile di controllare la conformità dello studio rispetto al
nuovo regolamento europeo sul trattamento dei dati personali (Art.
39, Par. 1 GDPR). Il monitoraggio sui dati raccolti dallo studio dovrà avvenire
in modo sistematico, lo stesso varrà per la conformità delle attività svolte su di
essi (Art. 35 GDPR). Il testo non specifica nel dettaglio cosa si intende per
sistematico. Tuttavia, secondo l’interpretazione del Gruppo di Lavoro UE, si tratta di un controllo effettuato ad intervalli regolari che avviene in un arco di
tempo predefinito, quindi in modo continuo e
sistematico su specifiche attività o vulnerabilità. Il controllo costante dei
rischi sulla sicurezza dei dati dei pazienti e soprattutto le raccomandazioni
che il RPD fornirà allo studio per migliorare i punti deboli dovranno garantire il livello di
sicurezza dei dati gestiti dallo studio medico odontoiatrico, quindi la sua
conformità alla nuova normativa sulla protezione dei dati.
Che cos’è il registro delle attività?
Il nuovo regolamento europeo sul trattamento
dei dati personali impone che chi applica un qualsiasi trattamento sui dati tenga un registro delle
attività di trattamento svolte (Art. 30 GDPR). In poche
parole, si tratta di un registro dove vengono rendicontate le attività svolte sui dati dei
pazienti, quindi chi ha interagito con
quel documento (ad esempio un piano di cura, una fattura), cosa ha
effettivamente fatto, in che data e con quale finalità.
Chi deve tenere il registro delle attività sui dati?
Il GDPR all’Art. 30 prevede che sia il titolare del trattamento
dei dati stesso
a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida elaborate dal
Gruppo di Lavoro della Commissione Europea sostengono che è prassi comune
affidare questo compito al RPD, qualora se ne sia nominato uno. Lo studio medico odontoiatrico, anche
qualora affidasse il compito di conservare il registro sulle attività dei dati
al RPD sarà comunque tenuto a
disporre dello stesso registro, in quanto in caso di
richiesta da parte della autorità di controllo, esso dovrà essere prontamente
presentato.
Cosa succede in caso di violazioni dello
studio?
Il RPD non risponde personalmente delle violazioni commesse dallo
studio, poiché spetta a chi applica
il trattamento dei dati personali rispettare la normativa (Art.24 GDPR), quindi
a chi effettivamente ha accesso ai dati dei pazienti, modifica o inserisce dati
fiscali e di salute su un documento digitale o cartaceo. Facendo un esempio
pratico: se lo studio condivide informazioni riservate (di salute, dati fiscali
o informazioni di contatto) con un soggetto non autorizzato sarà lo studio a
risponderne di fronte alle autorità giudiziarie, in quanto autore della violazione.
Come trovare un RPD?
Il nuovo regolamento non specifica quali saranno i requisiti formali,
quindi la qualifica professionale o accademica. Tuttavia, il Garante della Privacy raccomanda attenzione nella selezione
del responsabile .Il RPD
incaricato, infatti, dovrà avere qualità professionali adeguate al compito da
svolgere, in particolare con esperienza in materia di privacy,
protezione e trattamento di dati sensibili (Art. 37).Inoltre, un RPD dovrà
avere sufficiente esperienza tecnica sui dispositivi digitali e sui sistemi di
protezione dei dati Informatici, tale da poterne garantire la corretta
manutenzione .Per il momento, le istituzioni e le autorità non hanno fornito
indicazioni specifiche al riguardo. Non appena saranno disponibili indicazioni specifiche,
provvederemo ad aggiornare il nostro articolo con riferimenti più precisi.
Cosa deve fare il medico nel suo studio per
essere in regola con la privacy?
Ci sono
alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme
sulla privacy. Il primo e più importante è la raccolta del consenso previa
informativa sul trattamento dei dati personali.
Cos’è l’informativa sul trattamento dei dati
personali?
E’ una dichiarazione scritta con la quale il
medico informa il proprio paziente su quali dati avrà necessità di raccogliere
per un efficace rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di
questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i
propri diritti . L’Autorità Garante per la Privacy ha predisposto un modello di
informativa che può essere adottato nella maggior parte dei casi dai medici e
dagli odontoiatri nei propri studi professionali. ( ndr: non risulta ggiornata
al GDPR )
Ovviamente si tratta di un modello standard
che può essere adattato e integrato nei casi in cui ciò si renda necessario.
Per esempio, se il medico intende usare i dati del paziente per partecipare ad
una ricerca scientifica, dovrà integrare l’informativa prospettando al paziente
anche questa eventualità.In ogni caso, l’informativa può essere consegnata ad
ogni singolo paziente, oppure può essere affissa nella sala d’attesa dello
studio in modo da renderla conoscibile da ogni paziente.
Una volta che il
paziente è stato informato, cosa deve fare il medico? : Deve raccogliere il consenso.Il consenso può
essere raccolto anche in forma orale, ma per evitare future ed eventuali
contestazioni è opportuno che venga raccolto in forma scritta, con la
sottoscrizione di un apposito modulo.
Questo consenso firmato dal paziente è “una
tantum” o va rinnovato periodicamente?
Il consenso del paziente al trattamento dei
dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a
tempo indeterminato. Se il medico intende utilizzare i dati del paziente per
finalità diverse e ulteriori rispetto a quelle originarie (per esempio per
sperimentazione scientifica) deve integrare l’informativa e acquisire un
ulteriore consenso specifico. Ma se non vi sono queste situazioni particolari,
il consenso vale una volta per tutte.
Chi può esprimere il consenso? Solo il
diretto interessato?
Generalmente sì. Il paziente maggiorenne,
capace di intendere e di volere, è l’unico soggetto autorizzato a dare il
consenso per il trattamento dei propri dati sanitari .Se il paziente invece è
minorenne o non è capace di intendere e di volere, allora il consenso deve
essere dato rispettivamente dai genitori (anche disgiuntamente) o da chi
esercita la potestà genitoriale o dal tutore.
A proposito dei minorenni: c’è qualche
differenza se i genitori sono sposati o separati o divorziati?
No, nessuna differenza .Entrambi i genitori,
indipendentemente dal loro status giuridico, hanno il dovere di tutelare la
salute dei propri figli, per cui hanno il diritto-dovere di essere informati
sullo stato di salute dei figli e il medico deve portare a loro conoscenza i
dati sanitari di cui dispone, o disgiuntamente o congiuntamente. E’
responsabilità dei genitori (e non del medico) relazionarsi fra loro.
Il consenso di cui stiamo parlando equivale
al consenso al trattamento sanitario?
Assolutamente no .Il consenso di cui stiamo
parlando riguarda esclusivamente l’autorizzazione che il paziente dà al medico
ad utilizzare i suoi dati personali per finalità di diagnosi e cura .Tutt’altra
cosa è il consenso del paziente all’atto medico, che non riguarda la legge
sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno
può essere obbligato ad un trattamento sanitario contro la sua volontà .Adesso
ci stiamo occupando solo e soltanto del consenso ai fini della legge sulla
privacy.
Dopo aver dato l’informativa e aver raccolto
il consenso, cos’altro deve fare il medico nel suo studio?
Se il medico, nel proprio studio, si avvale
di personale di segreteria, deve redigere una formale lettera di incarico al
trattamento dei dati sanitari al personale di segreteria, che si deve attenere
alle istruzioni impartite dal medico titolare dello studio.
Se il medico si avvale di un ragioniere e/o
commercialista per la tenuta della sua contabilità, deve fare qualcosa per
tutelare la privacy dei pazienti?
Sì, anche al consulente fiscale va affidata
la formale responsabilità per il trattamento dei dati.
Una volta espletate queste procedure, cosa
deve fare il medico?
Una volta raccolto il consenso dei pazienti e
affidate ai collaboratori le rispettive responsabilità, il medico deve fare in
modo che durante la sua quotidiana attività professionale i dati sanitari dei
propri pazienti siano utilizzati, conservati e in definitiva trattati in modo
adeguato, a seconda che vengano conservati su carta oppure archiviati su
computer.
Partiamo dall’ipotesi in cui il medico non
utilizzi il computer, ma conservi tutto su carta. Quali accorgimenti deve
adottare?
Nel caso di trattamento dei dati in forma
cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo
paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto
e documento inerente la salute del paziente. Le schede dovrebbero essere
conservate in un luogo e in un modo tale da evitare che persone non autorizzate
ne possano prendere conoscenza. Per esempio, se sono riposte in un armadio,
questo dovrebbe essere chiuso a chiave e collocato in una stanza dello studio
non accessibile al pubblico in generale. Le chiavi dell’armadio dovrebbero
essere in possesso solo del medico e del suo sostituto (o dei suoi
collaboratori medici) e non di altre persone. Inoltre l’armadio dovrebbe essere
di materiale ignifugo, in modo da evitare il rischio di perdita o distruzione
di dati a causa di incendio .Bisogna infatti ricordare che la legge sulla
privacy non solo tutela la riservatezza del paziente, ma impone a chi gestisce
i dati dei pazienti di adottare misure e cautele per evitare o minimizzare i
rischi da incendio, furto, sottrazione, smarrimento, ecc. Se i dati vengono
sottratti o distrutti, il medico deve poter dimostrare di aver messo in atto
tutte le cautele possibili per evitare tutto questo perché se invece ha
conservato le schede in maniera superficiale, può essere chiamato a risarcire i
danni al paziente.
E se il medico utilizza anche il computer?
Vale lo
stesso principio di evitare o ridurre al minimo il rischio di perdita,
distruzione, sottrazione, manomissione o alterazione dei dati memorizzati nel
computer .Ciò si può realizzare con diversi accorgimenti tecnici. In primo
luogo il computer deve essere protetto da una password alfanumerica (la meno
intuitiva possibile) che deve essere cambiata ogni tre mesi. Inoltre il
computer deve essere protetto da un software antivirus, anti-malware e, se è
connesso a internet, anche da un firewall. Infine deve essere previsto un
salvataggio periodico dei dati da poter utilizzare in caso di emergenza .Le
misure di protezione informatica hanno una rapida evoluzione tecnologica, per
cui è opportuno che il medico possa contare su un consulente informatico di
propria fiducia per rendere il suo computer sempre protetto al massimo
grado.
Il sostituto o comunque il collaboratore
medico può usare il computer del medico titolare?
Allo stesso modo con cui il sostituto o il
collaboratore medico può accedere ai fascicoli cartacei dei pazienti, può
certamente accedere ai dati sanitari memorizzati nel computer dello studio.Però
è necessario che vi acceda con un proprio nome utente e una propria password,
in modo che sul computer rimanga una “traccia informatica” di chi , come e
quando ha acceduto al sistema.
E il personale di segreteria? Può accedere al
computer e alle schede dei pazienti?
Il personale di segreteria deve limitare
l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà
sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo
e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei
pazienti .Anche in questo caso è necessario che l’accesso al computer sia
effettuato con un nome utente e una password dedicata al personale di
segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati
comuni e non a quelli sensibili.
E se il medico lavora in associazione con
altri colleghi?
E’ sufficiente che nell’informativa sia
esplicitato chiaramente che i dati dei pazienti possono essere trattati anche
dai colleghi medici facenti parte dell’associazione professionale o della
medicina di rete o di gruppo, ovviamente sempre e solo per esclusive finalità
di diagnosi e cura. In pratica, quindi,
tutti questi accorgimenti sono delle “misure di sicurezza”… : Esatto.
Per ogni potenziale rischio di lesione della privacy del paziente deve
sussistere una corrispondente “contromisura” tesa a eliminare o minimizzare
tale rischio. Si tratta quindi delle cosiddette “misure di sicurezza”. Tutto questo sembra molto complicato…. : Sembra,
ma in definitiva non lo è. Oramai l’uso dei computer è così generalizzato che
ogni utente medio ha familiarità con questi concetti. Non c’è quindi ragione
perché i medici (che da sempre sono molto sensibili alle necessità di privacy
dei pazienti) abbiano difficoltà ad adottare tecniche di protezione dei dati
sui loro computer .In ogni caso i consulenti informatici sono in grado di
programmare e impostare il computer del medico in maniera semplice e veloce per
raggiungere queste finalità.
Il medico deve segnalare a qualche autorità
il fatto che possiede una banca dati (cartacea o su computer) di dati di
pazienti?
No, non ha alcun obbligo di segnalazione, ad
eccezione del caso in cui tratti dati sanitari per sistematico uso a fini
genetici (per esempio il medico genetista) o per esclusive finalità di
procreazione medicalmente assistita (ma il caso riguarda le strutture sanitarie
a ciò deputate e non i singoli medici). In tali ipotesi è necessaria la
notificazione all’Autorità Garante per la Privacy.
Rientra nel concetto di “banca dati” anche
l’agenda del medico che contiene indirizzi e numeri di telefono dei pazienti o
dei collaboratori?
No, perché tali agende (cartacee o
informatiche) sono dei semplici ausili all’attività del professionista e non
assurgono al ruolo di “banca dati”.
In definitiva, è preferibile usare il
cartaceo o il computer?
E’ una scelta che dipende esclusivamente
dalle modalità organizzative del singolo medico. Nessuno dei due sistemi è
migliore dell’altro. Semplicemente se si lavora solo su carta, dovranno essere
adottati alcuni accorgimenti; se si lavora col computer, altri.Si può solo dire
che nella fase attuale di progresso tecnologico, l’uso del computer è sempre
più utile e semplifica notevolmente il lavoro, purché ovviamente venga
utilizzato con criterio e diligenza.
Veniamo ora alla comunicazione dei dati
sanitari. Quali diritti ha il paziente diretto interessato?
Il paziente diretto interessato ha diritto in
ogni momento a sapere quali dati che lo riguardano sono in possesso del medico,
ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a
chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha
diritto ad ottenere copia di tutti i dati che lo riguardano. Ma se il paziente, per ipotesi, chiede al
medico di cancellare tutti i suoi dati, il rapporto di cura non può proseguire… Evidentemente è così. Infatti
nell’informativa il medico fa presente che se il paziente si rifiuta di fornire
al medico i dati sanitari necessari per instaurare il rapporto di cura questo
non può aver luogo. Allo stesso modo, se il paziente chiede la cancellazione
dei suoi dati è come se revocasse il consenso che originariamente aveva dato.
Per cui il medico non può che prenderne atto, accogliere la richiesta del
paziente e considerare terminato il rapporto di cura.
Il paziente ha diritto di chiedere al medico
solo una copia degli atti o può pretendere di ottenere gli originali?
Se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso. Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia.
Se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso. Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia.
Il medico può opporsi a queste richieste del
paziente?
No, in nessun caso.
E se la richiesta proviene da un familiare o
da un conoscente del paziente?
Dipende se il paziente ha dato il suo
consenso. Se è così, allora il medico è autorizzato a fornire i dati sanitari
ai familiari o conoscenti individuati dal paziente stesso. Ma se non è così il
medico non può rivelare alcunché a nessun soggetto diverso dal diretto
interessato .Per evitare contestazioni, è opportuno che il medico si faccia
indicare per iscritto chi sono i soggetti a cui acconsente che siano forniti
dati e/o informazioni sul suo stato di salute.
La consegna di documenti sanitari (ad esempio
un certificato medico o una ricetta) deve farla materialmente il medico o può
farlo anche il personale di segreteria?
Può farlo anche il personale di segreteria,
ma allora il documento sanitario deve sempre essere chiuso in una busta e
spetterà al personale di segreteria identificare il soggetto che ritira la
busta: se il diretto interessato o se un delegato. In quest’ultima ipotesi,
dovrà acquisire la delega del diretto interessato.
Le buste chiuse contenenti i documenti
sanitari possono essere messe a disposizione dei pazienti per il ritiro, ad
esempio in uno scaffale della sala d’attesa dello studio?
No, perché così facendo non si sa chi è il
soggetto che ritira la busta e potrebbe anche succedere che il paziente (magari
anche in buona fede) ritiri una busta che non è la sua.Per evitare questi
rischi di indebita conoscenza di dati sanitari da parte di terzi non
autorizzati, una efficace misura di sicurezza, ad esempio, è inserire le buste
in appositi schedari ubicati non nella sala d’attesa dello studio, bensì nello
spazio dedicato alla segreteria. In questo modo l’identificazione del soggetto
e la consegna della busta è mediata dal personale di segreteria, che deve
attenersi alle regole di tutela della privacy sopra descritte.
Se il paziente chiede al medico una
attestazione dettagliata del suo stato di salute, perché per esempio deve
presentarla al datore di lavoro per usufruire di permessi speciali, il medico
può rifiutarsi di farlo per motivi di privacy?
Assolutamente no .La decisione se rivelare al
datore di lavoro certi dati inerenti lo stato di salute spetta al paziente, non
al medico. Quindi se il paziente desidera ottenere dei permessi speciali e
vuole giustificare questa richiesta con una certificazione medica dettagliata,
il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati
sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico
sindacare questa decisione del paziente.
E se la richiesta di dati e informazioni
sanitarie proviene da un qualunque altro soggetto?
In generale vale la regola per cui senza il
consenso del diretto interessato, il medico non può comunicare niente a
nessuno. Quindi, solo se c’è il consenso del paziente, allora il medico può
fornire dati e informazioni sanitarie ad altri soggetti, come ad esempio alla
compagnia di assicurazione del paziente, al datore di lavoro del paziente, e
così via.
Ci sono casi in cui il medico è autorizzato a
comunicare a terzi i dati sanitari del paziente, in assenza del suo consenso?
Sì, ma sono previsti da specifiche norme di legge (nazionali o regionali).Per esempio nei casi in cui sussiste obbligo di referto, il medico è tenuto a segnalare all’autorità giudiziaria i dati in suo possesso anche senza il consento del diretto interessato. Oppure per la segnalazione di malattie infettive o diffusive.Così come i medici convenzionati (medici di famiglia e pediatri) sono tenuti a comunicare i dati degli assistiti alla ASL per motivi di controllo della spesa sanitaria.
Sì, ma sono previsti da specifiche norme di legge (nazionali o regionali).Per esempio nei casi in cui sussiste obbligo di referto, il medico è tenuto a segnalare all’autorità giudiziaria i dati in suo possesso anche senza il consento del diretto interessato. Oppure per la segnalazione di malattie infettive o diffusive.Così come i medici convenzionati (medici di famiglia e pediatri) sono tenuti a comunicare i dati degli assistiti alla ASL per motivi di controllo della spesa sanitaria.
Al di fuori di questi casi, esistono altre situazioni
in cui il medico può derogare all’obbligo della riservatezza?
Sì, in ipotesi particolari in cui si renda
necessario tutelare la salute di un terzo o della collettività, oppure di un
minore, di un soggetto disabile o comunque di un soggetto in situazione di
fragilità.
Si può fare qualche esempio di queste
situazioni particolari?
Per esempio, se il medico ha in cura un
paziente psichiatrico e vi è il rischio concreto e attuale che costui possa
costituire un pericolo per l’incolumità di terzi o della collettività, deve
segnalare il caso alle competenti autorità (servizi sociali e/o autorità
giudiziaria).Oppure se il medico ha in cura un minore e constata che è oggetto
di maltrattamenti o abusi, deve segnalare il caso alle medesime autorità. Si
tratta di situazioni molto delicate, nelle quali il medico deve agire con la
massima prudenza e attenzione, valutando caso per caso. Ma ricordando che il
diritto alla privacy del paziente può essere superato se sussistono ragioni in
cui prevale la necessità di tutelare interessi più rilevanti.
E come si deve comportare il medico a cui
l’autorità giudiziaria chiede di rendere testimonianza o di esibire documenti
riguardanti un suo paziente?
Il medico può sempre opporre il segreto
professionale e rifiutarsi di rendere testimonianza o di esibire documenti .Tuttavia
bisogna ricordare due cose importanti. La prima è che il segreto professionale
è teso a proteggere il paziente, per cui potrebbe accadere che l’interesse del
paziente sia tutelato in modo migliore rendendo testimonianza, piuttosto che
non rendendola. In questi casi il medico, in coscienza, può ritenere opportuno
rendere testimonianza perché così facendo rende un servizio migliore al suo
assistito, piuttosto che restando in silenzio .La seconda cosa importante da
ricordare è che se il medico oppone il segreto professionale, il giudice può
comunque decidere che il segreto debba cedere alle superiori esigenze di
giustizia e quindi ordinare al medico di deporre. In questi casi il medico non
può più rifiutarsi e al contempo è liberato dall’obbligo del segreto, proprio
perché vi è un ordine del giudice.
Il diritto alla privacy esiste anche per il
paziente defunto?
Sì perché il decesso dell’assistito non esime
il medico dal dovere di tutelarne la riservatezza .Bisogna però ricordare che
gli eredi del defunto subentrano in tutti i diritti del deceduto, per cui nei
confronti di costoro il medico non può opporre il segreto. Se, per esempio, il
paziente aveva una polizza assicurativa sulla vita, una volta deceduto i dati
sanitari di costui possono essere comunicati agli eredi e anche alla compagnia
di assicurazione, visto che nel contratto assicurativo il paziente aveva
autorizzato la compagnia ad accedere a tali atti al momento della sua morte.
Per quanto tempo il medico deve conservare i
dati dei pazienti nel proprio studio?
Per gli studi medici privati, a differenza
degli ospedali e delle case di cura, non esiste una norma specifica che
stabilisca la durata di conservazione degli atti sanitari .Vale la regola
prevista dalla legge sulla privacy, secondo la quale i dati vanno conservati
per il tempo necessario al perseguimento della finalità per cui sono stati
raccolti. Tradotto nella prassi medica, significa che il medico deve conservare
gli atti fin tanto che dura il rapporto di cura .Tuttavia bisogna ricordare che
a norma del Codice Civile, i documenti amministrativi di un lavoratore autonomo
devono essere conservati per almeno 10 anni .Per cui, in conclusione, il
comportamento corretto del medico consiste nel conservare gli atti dei pazienti
per tutta la durata del rapporto di cura e per i 10 anni successivi al termine
di esso.
Una volta decorso tale termine, gli atti
possono essere distrutti?
Sì, anche se sarebbe preferibile consegnarli
ai pazienti diretti interessati ,ove possibile.
Il medico che cessa la propria attività come
deve comportarsi?
Vale quanto detto sopra: la cessazione
dell’attività corrisponde alla cessazione del rapporto di cura. Da quel momento
decorre la conservazione per 10 anni.
La conservazione
degli atti per tutti questi anni può non essere agevole… : E’ vero, però bisogna tener conto di due
aspetti . Il primo è che i dati possono essere conservati in forma elettronica,
ricordandosi che l’archiviazione con firma digitale ha la stessa validità legale
del cartaceo. Per cui se si opta per una archiviazione digitale si può evitare
la preoccupazione di reperire spazi idonei a conservare il cartaceo.Il secondo
aspetto da considerare è che potrebbero (anche solo come ipotesi teorica)
insorgere contestazioni, vertenze o cause fra medico e paziente e se il medico
non dispone più della documentazione clinica non ha nemmeno strumenti per
dimostrare la correttezza del suo operato. Conservare i documenti, quindi,
significa anche conservare le prove della propria correttezza professionale.
Il medico, nel
proprio studio, deve predisporre “distanze di cortesia” o sistemi di chiamata
numerica? : A differenza
delle strutture sanitarie pubbliche o private, che sono locali aperti al
pubblico e dove è obbligatorio adottare misure per la riservatezza dei
pazienti, negli studi medici privati, che non sono locali aperti al pubblico,
non è obbligatorio adottare simili accorgimenti .Tuttavia il medico (e il
personale del suo studio) deve comunque rispettare la riservatezza dei
pazienti, per cui vanno evitati tutti i comportamenti che possano essere poco
rispettosi della privacy di ognuno. Sta al medico individuare, nel concreto, le
modalità più idonee.
A telefono il medico può divulgare dati
sanitari dei pazienti? Per esempio comunicare l’esistenza di una certa
patologia?
Per i colloqui telefonici vale la stessa
regola prevista per i colloqui di persona .Quindi al diretto interessato si può
comunicare ogni informazione sanitaria, sia di persona che per telefono .Ai
soggetti terzi, anche se familiari, la comunicazione (di persona o per
telefono) è possibile solo con il consenso del diretto interessato.
Al paziente bisogna
dire sempre tutto riguardo al suo stato di salute, o è meglio essere
generici? : Il paziente
ha diritto di sapere tutto sul suo stato di salute, senza nessun limite .Ovviamente,
siccome il medico non è un burocrate, ma un professionista, deve aver cura di
fornire le informazioni, soprattutto quando riguardano patologie serie, nel
modo più consono ed appropriato, tenendo conto della personalità del paziente e
rispettando la sua sensibilità .In proposito vale il principio sancito dal
Codice Deontologico: le informazioni riguardanti prognosi gravi o infauste o
tali da poter procurare preoccupazione e sofferenza alla persona, devono essere
fornite con prudenza, usando terminologie non traumatizzanti e senza escludere
elementi di speranza. La documentata volontà della persona assistita di non
essere informata o di delegare ad altro soggetto l’informazione deve essere
rispettata.
Veniamo ora ai documenti che contengono dati
sanitari. Per esempio, i certificati di malattia devono riportare la diagnosi?
I certificati di malattia per pazienti che
sono lavoratori dipendenti devono essere redatti prioritariamente con la
procedura telematica, nella quale è previsto che l’indicazione della diagnosi
sia portata a conoscenza solo dell’INPS ma non del datore di lavoro .Ma anche
per i certificati cartacei vale la stessa regola, e cioè che la diagnosi non
deve essere portata a conoscenza del datore di lavoro .Fanno eccezione solo i
lavoratori dipendenti delle Forze Armate, della Polizia di Stato e dei Vigili
del Fuoco, perché in questi casi il datore di lavoro deve per legge essere a
conoscenza del tipo di patologia sofferta dal militare. Ecco perché nei
confronti di questi pazienti è tutt’ora obbligatorio il certificato cartaceo e
non quello telematico.
E per i bambini che frequentano la scuola?
In caso di malattie infettive o diffusive, il
medico è tenuto alla segnalazione, che però deve essere fatta alla ASL e non
alla scuola .La scuola, quindi, non può pretendere alcun certificato di
malattia dell’alunno, ma semmai solo un certificato per la riammissione a
scuola, una volta superata la malattia .E’ evidente, quindi, che in questi casi
il medico non deve mai indicare alcuna diagnosi nel certificato.
E per i pazienti che non sono né lavoratori
dipendenti né studenti?
Allora si tratta di certificati di malattia
che il paziente chiede per suoi motivi privati. In questi casi deve essere lo
stesso paziente a chiedere al medico se indicare o meno la diagnosi sul
certificato, tenendo conto dell’uso che egli ne vorrà fare.
Oltre ai
certificati, ci sono molti altri tipi di documenti che contengono dati sanitari
di pazienti…. : E’ proprio
così. Nella pratica medica i documenti possono assumere moltissime forme: si
pensi ai documenti cartacei come le ricette, i certificati, le cartelle
cliniche, le perizie, le relazioni e così via. Come sono altrettanti
“documenti” anche i cd o le lastre della diagnostica per immagini .Quello che è
importante ricordare è che la tutela della legge riguarda i “dati sanitari”
indipendentemente del “supporto” che li ospita. Ma siccome il medico è tenuto a
tutelare e proteggere la riservatezza dei dati sanitari, è evidente che i
supporti che li contengono devono avere un adeguato sistema di protezione.
C’è un consiglio “finale” che, in
conclusione, può essere dato ai medici?
Come già detto in precedenza, i medici sono i
professionisti che più di tutti, per tradizione millenaria, hanno nel loro
patrimonio etico e deontologico la tutela del segreto professionale e della
riservatezza dei pazienti che hanno in cura.Questo valore deve essere mantenuto
vivo e operante perché è alla base del rapporto fiduciario, in quanto nessun
paziente riporrebbe la sua fiducia in un medico che divulgasse disordinatamente
e a chiunque le informazioni che ha acquisito .Proseguendo, quindi, in questo
“binario” etico e deontologico, il medico troverà sempre il modo per affrontare
le varie e disparate situazioni in cui si trova ad operare, fondando il suo
agire sulla propria coscienza, sensibilità e accortezza.