Fattura elettronica e privacy, le novità su uso sistema d'interscambio e sanzioni

Occorre il consenso scritto per il Fascicolo sanitario elettronico, per l'uso di app mediche e per inoltrare messaggi promozionali

sabato 29 giugno 2019

Doctor 33

Fattura elettronica da luglio e sanzioni per il regolamento privacy che già vigono da un mese: una combinazione tutta da valutare alla prova dei fatti. Mentre non si è ancora spenta l'eco relativa al primo sanitario, un medico, sanzionato ai sensi del GDPR con 16 mila euro di multa per aver mandato a 3500 ex pazienti nel 2018, per le politiche, il suggerimento di un candidato da votare - non aveva informato i pazienti di cosa avrebbe fatto dei loro dati - l'Agenzia delle Entrate con nota 14 sembra preoccuparsi che almeno quest'anno le fatture elettroniche di medici e dentisti non parlino di salute.

 Del resto, dalle cartelle cliniche che ormai viaggiano per oltre il 90% in modalità online si possono violare dati di salute dei pazienti, identità (fotocopiando anche le carte d'identità a volte presenti nei fascicoli e scansionate), IBAN e numero della carta di credito con cui sono stati pagati i professionisti.

A marzo il Garante della Privacy ha ricordato che i trattamenti a fine di cura non necessitano consenso del paziente, ma solo se effettuati da operatore sanitario tenuto al segreto; invece il consenso - nota 3 marzo 2019 - va raccolto per tenere il Fascicolo sanitario elettronico, per l'uso di app mediche e per inoltrare messaggi promozionali, come quelli che sono costati una sanzione del Garante al medico sopra citato.

Prima della firma del consenso, al paziente va resa un'informativa "chiara, concisa e trasparente". E' perfettamente al corrente di queste premesse l'Agenzia delle Entrate quando nella circolare 14E prima riepiloga la normativa che esenta medici e sanitari dall'uso di fattura elettronica e quindi dettaglia i casi particolari.

Riepiloghiamo anche noi. Il decreto legge 119/2018 dà per assunto che il Sistema di Interscambio - "autostrada dei dati" che collega il contribuente al Ministero dell'Economia - sia ancora in collaudo riguardo alla sua capacità di mantenere la privacy dei dati personali. E siccome i dati dei pazienti trattati per prestazioni sanitarie da loro pagate al professionista sono "sensibili", relativi alla salute, meritano un supplemento di sorveglianza: quei dati viaggeranno ancora per quest'anno nel più sicuro "Sistema Tessera sanitaria" al quale gli operatori sanitari sono tenuti ad inviarli ormai da due anni. E finiranno nel modello 730 precompilato dall'Agenzia delle Entrate, utilizzabili anche per monitorare la spesa pubblica e privata. Anche quando il paziente dicesse no all'invio dei suoi dati al Sistema Tessera sanitaria per motivi di privacy, cosa che la legge gli consente di fare, il professionista sanitario non dovrà spedire quei dati al Sistema d'Interscambio con fattura elettronica, ma userà la carta o semplicemente conserverà la fattura nel Pc.

A queste disposizioni a inizio anno con la legge 2/19 che converte il decreto legge 135/2018 se ne aggiungono di altre per logopedisti, fisioterapisti ed altri professionisti sanitari che non sono citati tra quelli obbligati a inviare i dati dei pazienti nel sistema Tessera sanitaria: anche questi sanitari non dovranno spedire i dati delle prestazioni pagate dai pazienti al Sistema d'Interscambio e per quelle prestazioni non saranno tenuti ad emettere fattura elettronica almeno quest'anno.

Tutt'altra cosa è se il professionista fattura una prestazione sanitaria eseguita nei confronti di un paziente a uno studio medico da cui si fa pagare il lavoro: questa fattura sarà elettronica e andrà al sistema d'interscambio SDI. Con la circolare 14 di quest'anno l'Agenzia dell'Entrate ha fornito altre informazioni sulla fattura elettronica che rilevano per la nuova normativa sulla privacy. In genere non si deve mai usare il sistema SDI per le prestazioni sanitarie a persone i cui dati sono poi inviati al sistema TS. Quando le prestazioni in fattura sono miste, sanitarie e di altra natura, i casi sono due: o sono indistinguibili e si usa il codice "AA-altre spese", o sono distinguibili e in quel caso per le spese sanitarie si usano i codici previsti dai decreti ministeriali e per le altre "AA-altre spese": e si invia sempre al sistema Ts o si tiene su carta. Se invece la contabilità per le operazioni "ivate" non sanitarie è tenuta ben separata dall'ente o dal sanitario, l'invio al sistema SDI è possibile ma a patto che gli estremi del destinatario della prestazione siano resi irriconoscibili.

Le sanzioni per mancata fatturazione partono da 516 euro e si parametrano per importi più alti al 15% della fattura non emessa/registrata/calcolata e possono essere ridotte al ridursi dei tempi per mettersi in regola. Ben più gravi le violazioni al Regolamento Privacy: fino a 10 milioni di euro o al 2% del fatturato per omessa informativa o per violazione dei dati (anche su cartelle cliniche o assistenza al parto), e raddoppiano se i dati sono sensibili, assicurati, relativi a minori cui è stato chiesto il consenso, se la violazione è commessa come pubblici ufficiali. Riproporzionando le multe al caso italiano, il Garante Antonello Soro ha dato due indicazioni: equivalenti a quelle applicate in Europa per ogni singolo caso di violazione, nonché "effettive, proporzionate e dissuasive".