Il 25 maggio 2018 l’Italia ha accolto con il Decreto 101/2018 la normativa europea sulla protezione dati GDPR 679/2016 Privacy (General Data Protection Regulation, link al PDF in italiano).
Imbarazzante mancanza di privacy nella sanità
Tragicomica la storia di un auditor (un valutatore esterno che certifica una determinata qualità di un servizio o di un prodotto) che scopre quanto sia poco rispettato il diritto alla privacy dei pazienti negli ospedali.
I nomi dei pazienti sui letti e le loro rispettive cartelle cliniche e infermieristiche esposte alla mercé di chiunque, telecamere senza informative, password attaccate sui post-it, e database aziendali non sicuri.
Racconta l’inquisitore, di come girando liberamente tra i reparti, viene a conoscenza di molti dati sensibili sui pazienti e giustamente chiede ai sanitari come sia possibile che queste informazioni non siano state protette da sguardi indiscreti. In questo caso, dal suo!
Ricorda, l’infermiera di ambulatorio che gli urla, in corridoio e davanti a tutti gli altri pazienti, se prima del controllo della prostata abbia bevuto abbastanza acqua per riempire la vescica e fare l’ecografia.
Chiede del motivo per cui non sono presenti istruzioni specifiche sulla distruzione dei documenti con dati sensibili (la maggior parte in un reparto). Quante volte distruggiamo i referti prima di gettarli?
Il diritto alla privacy in sanità: difendere i nostri pazienti da noi stessi
Per quanto possa indignare, sono numerosi i comportamenti dei sanitari, infermieri, medici e oss, che ledono un diritto sacro come la privacy del paziente. Dobbiamo imparare a difendere i pazienti da noi stessi. Come? Conoscendo e attuando la normativa attuale! Iniziamo dal GDPR ovvero la normativa europea che ha sancito definitivamente la legislazione in materia.
Il General Data Protection Regulation
Il General Data Protection Regulation o Regolamento generale per la protezione dei dati personali n. 2016/679 è la normativa europea in materia di protezione dei dati. Dati personali di ogni tipo, non solo sanitari, e coinvolge quindi aziende, enti, pubblica amministrazione, singoli che per qualsiasi motivo recepiscano dati da terze persone.
Pubblicato nella Gazzetta Ufficiale Europea il 4 maggio 2016, in seguito accolto dall’Italia ed entrato in vigore il maggio 2016, ma attuato due anni dopo, il 25 maggio 2018.
Ricordiamo che in quanto regolamento europeo gli Stati membri non hanno facoltà di recepirlo o meno ma devono attuarlo senza modifiche. Il GDPR 679/2016 Privacy armonizza il trattamento dei dati di tutti i cittadini europei senza variazioni tra le nazioni.
Il GDPR 679/2016 Privacy in sanità tutto quello che devi sapere
Il regolamento 679 del 2016 è considerata una svolta epocale nel mondo della privacy in quanto ha cambiato tantissimi aspetti del trattamento dati. Ne elenchiamo alcuni dei più interessanti.
Istituzione del Responsabile della protezione dei dati personali e adozione di un registro delle attività del trattamento
Il Regolamento prevede l’obbligo di nominare un RPD, ovvero un responsabile della protezione dei dati personali e di adottare un “registro delle attività di trattamento” al cui interno vengano descritti e definiti i trattamenti eseguiti e la descrizione delle misure di sicurezza adottate.
Accountability (responsabilizzazione dei titolari del trattamento) + Privacy by Design
Progettare il rispetto della privacy e rendere conto del proprio operato. È il titolare del trattamento dati ad avere la responsabilità dell’applicazione del regolamento stesso in rapporto alla propria situazione aziendale.
Per evitare una burocratizzazione eccessiva, che possa ingessare l’operato delle attività lavorative in un mondo tecnologico e sociale in continua evoluzione, sono stati introdotti due concetti: il privacy by design e l’accountability.
Privacy by design, ovvero l’onere del responsabile di modellare la garanzia del rispetto del diritto della privacy dei cittadini in base alla propria azienda e al proprio servizio ed essere in grado di poterlo dimostrare.
Accountability, il GDPR 679/2016 si focalizza sul principio di “responsabilizzazione” di chi effettua il trattamento nell’ambito della propria attività. In caso di violazione le sanzioni possono essere molto onerose.
Altre novità dal regolamento EU sulla privacy
Ovviamente il testo è molto più complesso (e rimandiamo a fine articolo ulteriori modi per approfondire il regolamento sulla privacy) ma possiamo riassumere il resto in poche righe:
- per i cittadini europei è previsto un accesso facile ai loro dati e deve essere garantita una più chiara destinazione di finalità e modalità di trattamento degli stessi;
- Il diritto del trasferimento dei propri dati personali tra molteplici servizi online.
- È stato istituito il diritto all’oblio che consente a chi se ne voglia avvalere, la rimozione di dati e informazioni sul proprio conto. Almeno quando il diritto all’informazione della comunità viene meno.
- Le aziende sono obbligate a segnalare gravi violazioni di dati.
Applicazione del GDPR 679/2016 Privacy in sanità: cosa è cambiato?
La definizione di dato personale è ulteriormente definita rispetto alle precedenti norme (d.lgs. 196/2003). Si definisce, oltre al dato personale:
- dato genetico
- dato biometrico
- dato sanitario
Inoltre, definisce ulteriormente cosa si intende dire con “trattamento” dei dati: qualunque azione su un dato, che sia raccolta, registrazione, strutturazione, conservazione, modifica, estrazione, consultazione, uso, comunicazione, distruzione, sono tutte azioni riassumibili nel termine “trattamento”.
Quindi in sanità, il naturale recupero di informazioni e dati per l’esercizio della propria professione implica un trattamento dei dati, nello specifico dati sanitari, e come tale deve essere autorizzato attraverso un consenso consapevole del paziente.
I dati relativi alla salute
All’interno del genus dati personali ritroviamo la species dei dati relativi alla salute. Sono considerati quindi dati personali relativi alla salute, i dati che informano sullo stato di salute fisica e/o mentale di una persona e dalle prestazioni socio-sanitarie che ha ricevuto.
Informazioni talmente preziose che sono numerosi i tentativi di violazione e di hackeraggio dei database che li contengono, con il fine di rivendere i dati o ricattare le strutture in cambio di soldi.
Questo rischio comporta una doverosa presa di responsabilità delle strutture nel proteggere questi dati e nel rispettare il diritto alla privacy dei pazienti, dei clienti e degli ospiti di ospedali, cliniche e RSA.
L’applicazione del GDPR 679/2016 Privacy nei servizi sociosanitari
Per rispettare il diritto alla privacy e la protezione dei dati sanitari e personali, assumendosi minori rischi, non perseverando quindi nell’incoscienza e nell’ignoranza, è necessario che i dirigenti e i sanitari di queste strutture conoscano l’applicazione del GDPR Privacy nei servizi sociosanitari.
L’argomento è lungo e complesso e per questo motivo rimandiamo a un volume idoneo a chiarirlo in ogni suo aspetto e da cui questo articolo ha tratto le fonti e le informazioni necessarie a riassumere, seppur brevemente, l’immenso mondo legislativo del Regolamento UE 2016/679 e del Decreto 101/2018:
L’applicazione del GDPR privacy nei servizi sociosanitari
L’assistenza sanitaria e sociosanitaria e la tutela della riservatezza dei dati personali potrebbero esse- re considerati due mondi lontani tra loro, le cui orbite magari si intersecano ma che rimangono sistemi ben distinti. Così non è, e lo si può ben comprendere anche attraverso una rilettura della genesi delle rispettive normative di riferimento in relazione allo scenario sociale ed economico in cui si sono in- serite. Il presente lavoro si propone di sintetizzare i punti fondamentali necessari a contestualizzare l’attuale situazione italiana in tema di tutela della riservatezza dei dati personali all’interno del sistema dei servizi sociosanitari, con la consapevolezza che le realtà coinvolte nel processo (il settore salute, il settore tecnologico e il settore normativo) viaggiano a velocità diverse, spesso difficilmente conciliabili tra loro. Il tema dell’assistenza sociosanitaria trova infatti la sua origine in relazione all’evoluzione ed ai cambiamenti che si sono registrati nella popolazione dei Paesi cosiddetti sviluppati nel corso degli ultimi decenni e al conseguente mutamento dei bisogni che ne è derivato sotto il profilo della tipologia dei servizi necessari a garantire il benessere delle persone. Allo stesso modo, l’evoluzione della tutela della riservatezza dei dati personali, comunemente nota come privacy, ha subìto prepotentemente i cambiamenti demografici, l’introduzione di diritti fondamentali dell’Unione Europea quali la libera cir- colazione di persone, beni e servizi e, soprattutto, lo sviluppo e l’innovazione tecnologica. Da un lato, quindi, abbiamo un sistema che ha la necessità di trasformarsi per rispondere alla domanda di assi- stenza della popolazione, dall’altro lato troviamo una serie di possibilità offerte dalle nuove tecnologie che potenzialmente potrebbero essere in grado di risolvere innumerevoli problemi legati alla presa in carico di soggetti fragili con bisogni sempre più complessi, ma che necessitano di un sistema di regole e tutele in quanto divengono sempre più pervasive e dirompenti.LUCA DEGANIAvvocato cassazionista, membro del Consiglio Nazionale del Terzo Settore.ANDREA LOPEZAvvocato esperto in legislazione sociosanitaria.SALVATORE FAMILIARIAbogado, Master en acceso a la Abogacía, DPO, perfezionato in “Data protection e computer forensics”, cultore della materia alla cattedra di Informatica Giuridica Avanzata dell’Università degli studi di Milano.
Luca Enrico Degani – Andrea Lopez – Salvatore Fami | 2018 Maggioli Editore
20.00 € 19.00 €
Fonti e bibliografia:
- Gazzetta ufficiale dell’Unione europea
- L’applicazione del GDPR privacy nei servizi sociosanitari– Autori: Luca Enrico Degani – Andrea Lopez – Salvatore Familiari – Editore: Maggioli Editore Pubblicato: Novembre 2018
- https://www.agendadigitale.eu/sicurezza/storie-a-zero-privacy-nella-sanita-digitale-ma-non-solo-dal-diario-di-un-auditor/
Scrivi un commento
Accedi per poter inserire un commento