Oneri ed incombenze
Il D.Lgs. n. 196/03 è particolarmente attento alla sicurezza dei dati sensibili dei pazienti
Per quanto riguarda la tutela dei dati personali e la sicurezza informatica di questi, anche i medici sono soggetti a porre in essere una serie di accorgimenti imposti dal Decreto legislativo n. 196/2003.
La normativa investe tutto l’ambito sanitario: medici, chirurghi, farmacisti, odontoiatri, psichiatri; personale paramedico compreso i tecnici, case di cura e di riposo.
L’argomento è particolarmente delicato perché, per le mani di questi professionisti, circolano i dati sensibili dei malati, cioè quelli che riguardano la salute, le diagnosi delle patologie, certificati, ricette, cartelle, prescrizioni mediche, nonché parcelle ecc.
Il D.Lgs. n. 196/03 è particolarmente attento alla sicurezza dei dati sensibili dei pazienti, ma nel contempo, mostra una certa consapevolezza della complessità delle interazioni tra professionisti, per esempio al medico con il farmacista oppure al medico di famiglia con lo specialista ecc.
S pensi ad una cartella clinica di un ospedale oppure di uno studio medico privato. Questa conterrà una serie di dati sia comuni, inerenti la identificazione del soggetto dal punto di vista della identità, in aggiunta a questi, tutta una serie di informazioni riservatissime e sensibilissime riguardo l’anamnesi del paziente: stato di salute, tossicodipendenze, sieropositività, presenze di handicapp, salute mentale, difetti genetici ecc.
In virtù della delicatezza dei dati in possesso dei medici, la legge prevede due specifici adempimenti da parte degli organismi sanitari, siano essi pubblici o privati: documentali ed informatici.
Gli adempimenti di carattere documentale-informativo sono dettati dall’art. 77 D.Lgs., n. 196/03 – Casi di semplificazione – che recita:
«1.Il presente capo individua modalità semplificate utilizzabili dai soggetti di cui al comma 2: a) per informare l’interessato relativamente ai dati personali raccolti presso il medesimo interessato o presso terzi, ai sensi dell’art. 13, commi 1 e 4;b) per manifestare il consenso al trattamento dei dati personali nei casi in cui ciò è richiesto ai sensi dell’art. 76;c) per il trattamento dei dati personali; 2. Le modalità semplificate di cui al comma 1 sono applicabili: a) dagli organismi sanitari pubblici;b) dagli organismi privati e dagli esercenti le professioni sanitarie;
c) dagli altri soggetti pubblici indicati nell’art. 80».
Bisogna precisare che l’informativa è obbligatoria, il medico cioè, è tenuto ad informare il malato oralmente oppure per iscritto. Una deroga è data solo dall’art. 82 del decreto che consente, in casi di particolare urgenza o di tutela per la incolumità fisica del malato, di fornirla in un secondo momento.
Il consenso scritto del malato alla informativa sul trattamento dei dati personali sensibili può essere manifestato con un’unica dichiarazione dall’interessato, anche in forma orale come previsto dall’art. 81 del D.Lgs. n. 196 (e ciò in sintonia con lo spirito di semplificazione dell’art. 77):
«1. Il consenso dei dati idonei a rilevare lo stato di salute, nei casi in cui è necessario ai sensi del presente codice o di altra disposizione di legge, può essere manifestato con un’unica dichiarazione, anche oralmente. In tal caso il consenso è documentato, anziché con atto scritto dell’interessato, con annotazione dell’esercente la professione sanitaria o da uno o più soggetti e all’informativa all’interessato, nei modi indicati negli artt. 78, 79 e 80.
2. Quando il medico o il pediatra fornisce l’informativa per conto di più professionisti ai sensi dell’art. 78, comma 4, oltre quanto previsto dal comma 1, il consenso è reso conoscibile ai medesimi professionisti con adeguate modalità, anche attraverso menzione, annotazione o apposizione di un bollino o tagliando su una carta elettronica o sulle tessera sanitaria, contenente un richiamo al medesimo art. 78 comma 4, e alle eventuali diverse specificazioni apposte all’informativa ai sensi del medesimo comma».
Ogni organismo sanitario dovrà essere dotato di uno o più titolari del trattamento, di un responsabile del trattamento, figura opzionale e solo eventuale ma quando nominata rende obbligatoria la redazione di incarico e di mansionario scritto e l’individuazione di una persona fisica che esegue materialmente le operazioni di trattamento dei dati. Nonostante la nomina di un responsabile, il titolare non vedrà alleggerirsi le proprie responsabilità.
Dove siano presenti le reti informatiche, allora il titolare nominerà un amministratore di sistema dotato di password che possa eliminare la password degli altri utenti della rete per poter accedere in caso di bisogno ad ogni terminale. Gli addetti alle pulizie, con accesso a questi locali dotati di strumenti informatici oppure servizi di vigilanza notturni, dovranno essere autorizzati per iscritto e dovranno necessariamente essere dotati di mansionario.
In più, se il trattamento dei dati sensibili, si avvale di strumenti informatici, allora, ci sarà l’obbligo, da parte degli operatori sanitari titolari, di redigere il DPS, cioè il Documento di Programmazione sulla Sicurezza con una apposita richiesta indirizzata al Garante nel caso di trattamenti di dati sensibili non contemplati dalle autorizzazioni generali.
In aggiunta agli adempimenti documentali, vanno compresi quelli informatici:
a)Gli utenti che hanno accesso alla rete ed ai dati sensibili/giudiziari, dovranno essere dotati di user name e password, quest’ultima dovrà essere sostituita ogni sei mesi;
b) L’archivio informatico dovrà essere sottoposto a backup almeno ogni settimana;
c) Chiunque usi la rete con accesso in Internet dovrà dotarsi di antivirus ed aggiornarlo almeno ogni sei mesi;
d) internet e antiintrusione – firewall – altri sistemi di protezione.
L’art. 83 – Altre misure per il rispetto dei diritti degli interessati -, prevede alcune soluzioni a tutela della privacy del malato per le prestazioni presso i servizi sanitari pubblici o privati:
1) il rispetto delle distanze di cortesia;
2) l’organizzazione delle sale d’attesa e la chiamata degli interessati;
3) l’avviso telefonico direttamente alla persona interessata;
4) la diffusione di notizie di promiscuità.
In molti casi il Garante è intervenuto nella disciplina del trattamento dei dati sensibili in materia sanitaria, si riportano qui alcuni pareri di interesse più comune:
Trattamento dati inerenti infezioni da HIV:
«L’autorità è stata più volte sollecitata dalle strutture sanitarie a pronunciarsi in merito alla possibilità di comunicare ai familiari la notizia dello stato di sieropositività di un paziente ricoverato con prognosi grave (anche in caso di decesso). Al riguardo, si è rivelato che il codice non contiene deroghe alle disposizioni di legge che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali e ciò anche per quanto riguarda la legge 5 giugno 1990, n. 135 in tema di Aids e Hiv. In tale legge figura, in particolare, l’obbligo di comunicare i risultati di accertamenti diagnostici diretti o indiretti per l’infezione da Hiv alla sola persona cui tali esami si riferiscono (art. 5, comma 4).
Pertanto deve ritenersi che la comunicazione ai familiari dello stato di sieropositività del paziente non possa prescindere dal consenso dell’interessato».
Trasmissione telematica dei certificati di malattia all’Inps:
«La legge finanziaria ha stabilito che, nei casi di infermità che comportino incapacità lavorativa, il medico curante trasmetta all’Inps per via telematica il certificato di diagnosi sull’inizio e la durata della malattia. Sul decreto che deve stabilire le specifiche tecniche per tale invio, il Garante dovrà esprimere il previsto parere, al fine di individuare soluzioni efficaci e rispettose dei principi in materia di protezione dei dati personali».