Nuove regole sulla privacy, Mmg chiedono garanzie.

Possibili sanzioni fino a 20 milioni di euro

sabato 05 maggio 2018

Doctor 33

Nuove regole sulla privacy anche negli studi dei medici di famiglia, e lo spettro del data protection officer, figura di "esperto di privacy" al quale doversi appoggiare, a pagamento: tutto ciò sottende per ora l'entrata in vigore del Regolamento generale sulla protezione dei dati (General data protection regulation Gdpr) dell'Unione europea, fissata per il 25 maggio. Il Garante non smentisce che da subito potrebbero partire le ispezioni sui professionisti, e dunque i controlli ai sistemi antifurto, ai sistemi di chiusura di armadi e ambulatori, alle password, ai referti da non lasciare sulle scrivanie. Le sanzioni possono arrivare fino a 20 milioni di euro; per addolcire la pillola si spera nel regolamento attuativo allo studio del governo, ma in tal senso il Garante nulla ventila agli italiani, che un codice della privacy lo avevano dal 2003. Il regolamento Ue prevede tra l'altro il DPO, Responsabile della protezione dei dati personali, che aiuterà gli studi a gestire correttamente i dati. L'Ue pare esentare i medici single dall'ingaggiarlo, ma i provider che offrono i gestionali stanno offrendo ai Mmg soluzioni di adeguamento che proprio di un DPO necessitano per essere comprese. Paolo Misericordia, esperto informatico del sindacato Fimmg, conferma: «Il Gruppo ex articolo 29, organo consultivo di Bruxelles per la privacy, è orientato a dispensare i medici singoli dal DPO. I dati di un solo medico non rappresentano il concetto di "larga scala" che farebbe scattare la necessità di questa figura. 

Ma non è scritto da nessuna parte che i medici siano dispensati quando sono più d'uno o gestiscono i dati dei pazienti afferenti alla stessa medicina di rete. Le software house che stanno profilando le situazioni di rischio- a titolo oneroso, con spesa di 180-200 euro o poco più- stanno offrendo soluzioni fin troppo dettagliate, mutuate da modelli industriali, e non tutti i colleghi riescono a compilare la propria posizione. Fimmg sta per promuovere un suo prodotto "sartorializzato". Se le Asl ci metteranno a disposizione un DPO per aggregazione? Il DPO va contrattualizzato dal titolare del trattamento che è il medico, ma nulla esclude che le regioni o le Asl possano indicarci i migliori professionisti». Nei prossimi 20 giorni il medico dovrà «controllare di aver messo in atto le nomine dei responsabili del trattamento in studio (sovrapponibili agli incaricati della legge 196 ndr) e le titolarità; per inciso il documento sulla sicurezza-Dps dovrebbe andare in soffitta. 

Ma «sarà inevitabile che la categoria apra il problema del consenso al trattamento dati», dice Misericordia. «Quando inviamo online i dati dei nostri pazienti nelle ricette non sappiamo con certezza l'uso che ne sarà fatto, né se possano prendere strade diverse da quelle a noi note. Nessuno garantisce per quel "viaggio", nemmeno le sw house, e noi a nostra volta non possiamo garantire l'assistito. Il Garante pare propenso a esonerarci dall'obbligo di chiedere il consenso scritto al trattamento dei dati, ma ritenere tacito l'ok dei pazienti su tutte le nostre operazioni online, anche ove non finalizzate alla tutela della salute, potrebbe essere un azzardo visto che quei dati possono essere "dirottabili" all'insaputa di tutti. Chiederemo garanzie ai proprietari dei sistemi ma intanto per il medico potrebbe essere tutelante acquisire il consenso scritto dagli assistiti. L'operazione è complicata, a maggior ragione il problema va sollevato con la parte pubblica». 

Sui social si commenta che la nuova, onerosa normativa finirà per distruggere la medicina generale come libera professione. Intanto pare creare problemi all'informatizzazione della sanità. Intere parti del fascicolo sanitario elettronico - come il patient summary - sembrano ferme in attesa di lumi dall'Ue. Misericordia precisa: «Il problema del summary non è principalmente di tutela dei dati degli assistiti, ma medico legale: non si può presumere che i dati conferiti, tratti dalla scheda assistito, siano aggiornati dal mmg in tempo reale. Che accade se non scrivo subito la reazione avversa a un antibiotico segnalata da un assistito? Se poi lui va in ospedale prende il principio e sta male, e io ero avvertito, il summary diventa un rischio sistematico. Vanno definiti livelli di responsabilità, va chiarito che a far testo in via principale è l'anamnesi raccolta dal collega che visita nella contingenza. Al summary non va chiesta assoluta esaustività. Ma questo è tema diverso dalla privacy».