GDPR – Il trattamento dei dati clinici e i nuovi diritti dei pazienti

L’attuazione delle nuove regole sulla tutela della privacy e il trattamento dei dati personali previste dal nuovo GDPR stanno creando molta incertezza nel mondo delle aziende private coinvolte nell’adeguamento.

Sembrano essere molte le zone d’ombra che nella quotidianità delle nostre attività ci troveremo ad affrontare, infatti chi opera nella sanità privata conosce bene la delicatezza del trattamento dei dati clinici dei propri pazienti. Nei prossimi paragrafi approfondiremo quali saranno le procedure e le best practices da adottare, con l’abrogazione della direttiva 95/46/CE e l’entrata in vigore del Regolamento UE 2016/679 (GDPR), per assicurare la corretta gestione dei dati sensibili.

Il GDPR non contiene nessuna norma specifica relativa al trattamento dei dati clinici, ma un’interpretazione estensiva del Motivo 35 può fornire alcune risposte:

“Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio (9); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.”

I dati clinici sono quindi qualificati dalla normativa come dati sensibili e il loro utilizzo dev’essere limitato all’erogazione della prestazione sanitaria complessivamente intesa, mantenendo il divieto di utilizzarli o divulgarli per finalità diverse da quella di mera diagnosi.

Il paziente dovrà quindi essere informato sulle nuove norme e rilasciare un consenso specifico sulle finalità e sul trattamento dei dati clinici acquisiti in sede di visita.  L’art. 12 del Regolamento sancisce che il titolare del trattamento del dato debba adottare misure appropriate per fornire all’interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento dei dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o in formato elettronico e una copia del consenso firmato dovrà essere conservata in maniera sicura e accessibile nella struttura.

Il titolare del trattamento dati dovrà garantire in ogni momento al paziente la possibilità di esercitare i suoi diritti, nello specifico:

• Diritto di accesso
• Diritto di cancellazione
• Diritto di conservazione e trasferimento (portabilità del dato senza impedimenti)

Il GDPR disciplina inoltre le attività di profilazione dei pazienti. L’art. 22 ribadisce che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona. Quindi anche per il trattamento automatizzato dei dati del paziente per attività di promozione, comunicazione e marketing, o nel caso vada perseguito un interesse pubblico rilevante nell’ambito della sanità pubblica, è necessario il consenso esplicito.

Diventa cruciale per le strutture sanitarie private dotarsi di un’informativa completa e trasparente che comunichi al paziente:

• Le finalità del trattamento dati
• Le modalità del trattamento dati
• La comunicazione e la diffusione dei dati
• I diritti dell’interessato
• L’ambito geografico del trattamento (extra o intra UE)
• Il periodo di conservazione

Oltre la gestione e la somministrazione dell’informativa relativa al trattamento dati la struttura sanitaria dovrà obbligatoriamente dotarsi di un registro di trattamento dati e assicurare una sezione sicura dove salvare e consentire al personale abilitato la consultazione dei dati sanitari dei propri pazienti.

Rispettare la normativa senza un software gestionale che preveda la compilazione automatica del registro di trattamento, che protegga i dati sanitari in database crittografati e che garantisca la sicurezza con back up dati quotidiani, può diventare difficile e dispendioso, oltre a comportare un grande impegno in termini di tempo, denaro e risorse.

Per questo scegliere JMed per il poliambulatorio può semplificare il processo di trattamento e gestione dei dati sanitari grazie ad apposite cartelle polispecialistiche accessibili solo al medico e al direttore sanitario, con la possibilità di avere informative e consensi sempre aggiornati e disponibili.

Social IT offre la possibilità di avere una consulenza senza impegno, di natura tecnica e normativa, con partner specializzati e accreditati per la mappatura dei vostri processi e l’adozione di strumenti e misure volte a garantire la massima compliance della vostra organizzazione in vista dell’applicazione del regolamento GDPR.

Per un approfondimento sulle nuove disposizioni in materia di privacy dell’Unione Europea vi rimandiamo alla nostra news.