Misure di sicurezza in ambito sanitario, gli obblighi per i medici

Una rassegna delle vecchie e nuove prescrizioni per la tutela della riservatezza degli assistiti

sabato 09 giugno 2018

Doctor 33

In ambito sanitario la protezione dei dati personali, da parte del legislatore, è sempre stata attenta e scrupolosa

Il Codice per la Protezione dei Dati Personali (c.d. Codice Privacy), infatti, prevedeva l'applicazione, da parte degli operatori sanitari pubblici o privati, misure idonee di sicurezza per la tutela dei diritti, delle libertà fondamentali e della dignità dei pazienti, oltre al segreto professionale disciplinato dal rispettivo codice deontologico.

Sappiamo che grazie al decreto attuativo del GDPR la parte sanitaria e le relative misure di sicurezza verranno modificate. Tuttavia ad oggi la materia è disciplinata. Vediamo quali sono le adeguate misure organizzative da applicarsi:

A) ordine di precedenza e di chiamata, all'interno dei locali delle strutture sanitarie devono essere adottate adeguate soluzioni che permettano un ordine di precedenza (in caso di determinate patologie) o i chiamata che prescindano dall'individuazione nominativa dell'interessato, come ad esempio l'attribuzione di un codice numerico o alfanumerico;

B) distanza di cortesia, devono essere predisposte apposite distanze di cortesia - debitamente segnalate agli utenti - in tutti i casi in cui si effettua il trattamento di dati sanitari;

C) riservatezza nei colloqui e nelle prestazioni sanitarie, gli operatori sanitari devono adottare idonee cautele, durante i colloqui e lo svolgimento delle prestazioni sanitarie, per evitare l'indebita conoscenza da parte di soggetti terzi dello stato di salute dell'interessato;

D) rispetto della dignità dell'interessato;

E) notizie su prestazioni di pronto soccorso, devono essere previsti opportuni accorgimenti volti ad assicurare che possa essere data la notizia - anche telefonica - di un'operazione di pronto soccorso ai terzi legittimati, o comunque indicati dall'interessato.

F) dislocazione dei pazienti nel reparto, le strutture sanitarie devono prevedere adeguate modalità di informazione dei terzi legittimati circa la dislocazione dell'interessato nel reparto.

G) sottoposizione degli incaricati a regole di condotta e segreto professionale, gli operatori sanitari diversi dai medici (ad esempio infermieri e operatori socio-sanitari) devono rispettare determinate regole di condotta, previste dalla struttura sanitaria, nonché del segreto professionale.

Con il provvedimento del 9 novembre 2005, l'Autorità Garante per la Protezione dei Dati Personali, oltre ad esaminarle analiticamente, ha chiarito che le misure di sicurezza devono essere rispettate ed applicate da tutti gli organismi sanitari (pubblici o privati), ossia tutti gli operatori sanitari organizzati in strutture.

Restano, però, esclusi dall'obbligo dell'adozione delle misure sopra indicate i medici di medicina generale, i pediatri di libera scelta ed i singoli medici specialistici in studi privati. I medesimi medici devono comunque ottemperare ai principi di tutela dei diritti degli interessati, applicando misure idonee che garantiscano un rapporto personale e fiduciario con gli assistiti, nel rispetto del codice deontologico.

A partire dal 25 maggio 2018, con l'applicazione del Regolamento UE 2016/679 (GDPR), in tema di sicurezza dovranno adottarsi le misure "tecniche e organizzative adeguate" e non più "minime e/o idonee", queste ultime previste dal Codice Privacy.

Secondo la lettera del GDPR, per misure adeguate devono intendersi tutte quelle misure che assicurano un livello di sicurezza adeguato al rischio di violazione (distruzione, perdita, modifica o divulgazione dei dati personali), tra le quali - ad esempio - la pseudoanonimizzazione e cifratura (cd misure tecniche) ovvero la formazione del personale (cd misure organizzative).

Nella parte speciale del GDPR relativa all'ambito sanitario, nulla è previsto circa le misure tecniche e organizzative che gli organismi sanitari dovranno applicare. Pertanto, cosa accadrà alle specifiche misure di sicurezza indicate dal Codice Privacy?

Lo schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del GDPR, ad oggi sottoposto al parere della Camera dei Deputati, prevede - oltre alla riforma del Codice Privacy - l'abrogazione in toto delle misure idonee sopra indicate.

Resterebbe, quindi, un vuoto normativo lasciato dal GDPR in tale ambito. Secondo un'attenta analisi, però, benché le misure di sicurezza analizzate siano denominate "idonee" dal Codice Privacy (art. 83), queste sono sostanzialmente misure organizzative di sicurezza.

Infatti, sin dal 2005, l'Autorità Garante della privacy ha definito le suddette misure idonee come "misure adeguate organizzative" in quanto indicano le modalità di svolgimento del lavoro degli operatori sanitari al fine di tutelare gli interessati, misure quindi con carattere supplementare rispetto a quelle già previste per il trattamento dei dati sensibili.

In quest'ottica, le misure idonee previste dal Codice Privacy sembrerebbero "sopravvivere" di per sé all'abrogazione che andrebbe ad effettuare lo schema di decreto legislativo menzionato.

Inoltre, lo documento dispone che i provvedimenti emanati dall'Autorità Garante della privacy continueranno ad applicarsi in quanto compatibili con il Regolamento UE.

Pertanto, in conclusione, seppur formalmente abrogate, gli organismi sanitari pubblici o privati restano obbligati al rispetto ed all'applicazione delle misure idonee di sicurezza così come previste dal provvedimento dell'Autorità Garante della privacy del 9 novembre 2005, che mantiene la propria efficacia grazie allo schema di decreto legislativo di adeguamento al GDPR.


Avv. Monica Gobbato (Data Protection Officer)
Dott. Stefania Barnaba (Data Protection Specialist)