Privacy: le 3 novità più importanti per i medici.

Privacy: le 3 novità più importanti per i medici.

11 Ottobre 2018 0 Di Avv. Corrado Riggio

Responsabile protezione dati, consenso informato e registri attività di trattamento: risultano essere queste le 3 principali novità apportate dal nuovo Regolamento UE per il trattamento dei dati sanitari.

Il cambiamento apportato non può essere considerato come una mera formalità, visto che il nuovo impianto normativo andrà a sostituire in parte il Codice della Privacy, in vigore ormai dal lontano anno 2004.

Sono pochi quelli che, ad oggi, stanno affrontando senza dubbi ed incertezze l’entrata in vigore del nuovo Regolamento UE sulla protezione dei dati personali, effettivo dal 25 maggio 2018. La norma comunitaria non ha delineato una specifica e separata disciplina per i dati in ambito sanitario, ma vi sono alcuni riferimenti e norme applicabili che dovranno essere presi in considerazione da tutti coloro che esercitano una professione sanitaria sia in campo pubblico che in campo privato.

Ho provveduto, pertanto, a raccogliere i dubbi più frequenti che mi sono stati esposti dai camici bianchi, stilando un vademecum per cercare di fare un minimo di chiarezza.

1.Il responsabile protezione dei dati anche per i medici di base

Nella sezione 4 del Regolamento viene definita la figura del Responsabile della Protezione dei Dati. Nelle Linee guida sui responsabili della protezione dei dati, pubblicate dal Garante il 5 aprile 2017 si raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri provvedano a nominare un Responsabile protezione dei dati. Pertanto, anche alcune categorie potenzialmente escluse come i medici di base convenzionati con il SSN, in virtù di questa raccomandazione del Garante, dovrebbero dotarsi della figura del Responsabile. Identificare il soggetto che dovrà svolgere tale ruolo potrebbe non essere facile, soprattutto per i privati che, diversamente dagli enti pubblici, non sono dotati di una struttura che possa supportarli nell’individuazione. Inoltre, recentemente il Garante ha precisato che tale figura dovrà avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

2.Attenzione alle novità sul consenso informato

Nell’ambito del nuovo Regolamento, il legislatore europeo ha precisato che per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In conformità della Direttiva 93/13/CEE del Consiglio sarà opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive.

3.Registri delle attività di trattamento: come devono regolarsi i medici?

Il Regolamento all’articolo 30 stabilisce che coloro che effettuano trattamenti di dati considerati a rischio (come nel caso dei medici) tengano un registro delle attività e delle categorie di attività di trattamento svolte. E’ opportuno, in tal senso, precisare che questo registro non dovrà avere una funzione formale, bensì dovrà essere considerato come parte integrante della corretta gestione dei dati. Il Registro dovrà avere forma scritta, anche elettronica, e nel caso di uno studio medico dovrà contenere le attività svolte sui dati dei pazienti, l’individuazione di chi ha interagito con i dati, in che data e con quale finalità. Tutti i titolari del trattamento ed i responsabili del trattamento dovranno cooperare con l’Autorità di controllo e mettere, su richiesta, detti registri a disposizione. Il Regolamento ha previsto che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida della Commissione Europea sostengono che sarebbe una prassi preferibile affidare questo compito al Responsabile della Protezione dei Dati, ove presente