Come conciliare il trattamento dei dati sanitari con il nuovo Regolamento Ue sulla privacy? Ecco il vademecum
Dubbi, paure, incertezze. Sono questi gli stati d’animo dei medici che devono affrontare l’entrata in vigore del nuovo Regolamento Ue sulla protezione dei dati personali, applicabile dal 25 maggio 2018. Un cambiamento tutt’altro che formale, visto che il nuovo impianto normativo andrà a sostituire in parte il Codice della Privacy, in vigore ormai dal lontano 2004. La norma comunitaria non ha declinato una specifica e separata disciplina per i dati in ambito sanitario, ma vi sono alcuni riferimenti e norme applicabili che devono essere presi in considerazione da tutti coloro che esercitano una professione sanitaria sia in campo pubblico che privato. Consulcesi, network legale di riferimento per oltre 100mila medici, ha raccolto i dubbi più frequenti esposti dai camici bianchi e ha stilato un vademecum per fare chiarezza.
LEGGI LO SPECIALE PRIVACY
IL RESPONSABILE DELLA PROTEZIONE DEI DATI ANCHE PER I MEDICI DI BASE. Nella Sezione 4 del Regolamento viene definita la figura del Responsabile della Protezione dei Dati (RPD) o anche Data Protection Officer (DPO). Nelle Linee guida sui responsabili della protezione dei dati pubblicate dal Garante il 5/4/17 si raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un RPD. Pertanto, anche alcune categorie potenzialmente escluse come i medici di base convenzionati con il SSN, in virtù questa raccomandazione del Garante, dovrebbero dotarsi di un RPD. Identificare il soggetto che deve svolgere questo ruolo può non essere facile soprattutto per i privati che diversamente dagli enti pubblici non hanno una struttura che li supporti nell’individuazione. Inoltre, recentemente il Garante ha precisato che questa figura dovrà avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento
ATTENZIONE ALLE NOVITÀ SUL CONSENSO INFORMATO. Nel Considerando 42 del Regolamento il legislatore europeo ha precisato che per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In conformità della direttiva 93/13/CEE del Consiglio è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive.
REGISTRI DELLE ATTIVITÀ DI TRATTAMENTO: COME DEVONO REGOLARSI I MEDICI? Il Regolamento (art. 30) stabilisce che coloro che effettuano trattamenti di dati considerati a rischio (come nel caso dei medici) tengano un registro delle attività e delle categorie di attività di trattamento svolte. È opportuno precisare che questo registro non deve avere una funzione formale bensì deve essere considerato come parte integrante della corretta gestione dei dati. Il registro deve avere forma scritta, anche elettronica, e nel caso di uno studio medico conterrà le attività svolte sui dati dei pazienti, l’individuazione di chi ha interagito con i dati, in che data e con quale finalità. Tutti i titolari del trattamento e i responsabili del trattamento devono cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a disposizione. Il Regolamento ha previsto che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida della Commissione Europea sostengono che sarebbe una prassi preferibile affidare questo compito al Responsabile della Protezione dei Dati, ove presente.