Nuovo regolamento privacy, i nuovi adempimenti per i medici. Non mancano le sanzioni

Che cos'hanno in comune chiamata dei pazienti in sala d'attesa, ricetta online, monitoraggio dei flussi di pazienti in studio, fascicolo sanitario, patient summary, gestione delle cronicità, Creg e sms "galeotti" dell'assistito sul cellulare del medico? Sono tutti soggetti ai vincoli di riservatezza. Che stanno cambiando. Dal 25 maggio prossimo il codice della privacy è sostituito da nuove regole europee: saranno contenute in un regolamento subito vigente con tante novità. Ad esempio, il Documento programmatico sulla sicurezza sarà sostituito da un Privacy Impact Assessment implicante la tenuta di un registro dei trattamenti, che fa ordine fra titolare, responsabile e incaricato, istituisce un "data protection officer" per ogni struttura che tratta grandi moli di dati personali. 

E in medicina generale? A Napoli la Fimmg ha tenuto un importante tutorial nei giorni scorsi; ospite dei lavori, Francesco Modafferi, Direttore del Dipartimento Sanità del Garante della Privacy, ha rassicurato la platea: con il nuovo regolamento non è detto aumentino gli adempimenti anzi ci sono buone probabilità di introdurre novità condivise Mmg-Garante. Già, perché il regolamento Ue, malgrado sia immediatamente operativo in Italia (a differenza di una direttiva) e malgrado le sue sanzioni fino a 20 milioni di euro per gli inadempienti, necessiterà di un decreto applicativo per un passaggio "morbido" dalla vecchia alla nuova disciplina. E qui potranno intervenire i distinguo nelle varie categorie e il peso della tutela del diritto alla salute, come sintetizza Paolo Misericordia, responsabile informatico Fimmg a fine lavori. «Serve una normativa nazionale che declini la "transizione", ed esistono peculiarità della medicina di famiglia che, per avere cure più efficienti sul territorio, andranno "smarcate". A Napoli abbiamo percepito la disponibilità dell'Ufficio del Garante a considerare le nostre esigenze. Si va -spiega Misericordia - verso un tavolo dove le associazioni professionali saranno chiamate a dire la loro per "customerizzare" certe previsioni».

Un'importante anticipazione è stata data in merito all'obbligo di dotarsi di data protection officer, figura interna di responsabile dei trattamenti, contrattualizzata (anche non assunta) imposta alle grandi aziende e in particolare nel pubblico. «Il DPO, emerge dagli interventi, non dovrebbe essere esteso ai medici che non esercitino in modalità complessa, c'è il dubbio se potrà riguardare aggregazioni, coop, per i trattamenti di grandi volumi di dati sanitari. Allo stesso modo, il Garante sembra preoccupato che il medico garantisca continuità ai suoi assistiti senza essere oppresso da adempimenti burocratici. «Per inciso - ricorda Gabriella Levato vice-segretario di Fimmg Lombardia e moderatore del convegno - alla tavola rotonda con i rappresentanti delle regioni (Lombardia Informatica, Agenzia sanitaria Emilia Romagna, Consorzio Arsenàl Veneto, Regione Puglia, Regione Campania) è emerso come ormai vi siano regioni in grado di fare intelligence sui dati al 99% ad esempio prevedendo l'evoluzione dei pazienti trattati, in particolare dei cronici; in Lombardia l'obiettivo è elaborare dei "pattern" dalla mono alla poli-patologia e intervenire in modo da ritardare il più possibile il passaggio al livello più complesso di cure». 

Notizie meno rassicuranti arrivano sui progetti informatici regionali. «Le regioni in ritardo -dettaglia Levato - spesso anziché testare il prodotto che ha già funzionato in un'altra regione, investono preziose risorse in software propri ripartendo da zero e creando problemi di mutua intelligibilità tra database di regioni diverse, a discapito dei diritti dei pazienti a un'assistenza uniforme. Meglio sarebbe in questa fase crediamo utilizzare il grado più avanzato di conoscenze messo a disposizione da chi ha già sperimentato propri sistemi di accoglienza dati». 

Mauro Miserendino