Il rispetto della privacy per i medici di famiglia e i pediatri di libera scelta: le ultime novità

Il rispetto della privacy è, com'è ormai noto, particolarmente rilevante e soprattutto in ambito medico dove la materia diventa ancora più complessa. Il discorso appare ancora più rilevante nel caso dei medici di famiglia che sono più esposti rispetto ai colleghi specialisti. Il docente Giuseppe Alverone, esperto in materia, ha redatto per Diritto.it una vademecum con le ultima novità in materia riservate ai medici di medicina generale e ai pediatri.

Il medico di medicina generale e il pediatra di libera scelta devono informare l´interessato in forma chiara e comprensibile circa il trattamento dei suoi dati personali effettuato per lo svolgimento delle attività amministrative e di prevenzione, diagnosi, cura e riabilitazione a tutela della salute o dell´incolumità fisica (artt. 78 e 13 del Codice). Giuseppe Alverone, esperto in materia e docente, ha compilato per Diritto.it una sorta di vademecum

1. Il Quadro normativo di riferimento

Il medico di medicina generale (e il pediatra di libera scelta), determinando finalità e mezzi di trattamento dei dati personali dei propri pazienti, assume il ruolo privacy di “titolare del trattamento” e come tale ha la “responsabilità generale” di tutti i detti trattamenti. Questa responsabilità può essere efficacemente gestita ponendo in essere alcuni accorgimenti che consentono di mettere in sicurezza i dati sanitari dei pazienti, senza spese né sforzi particolari.
Le norme riportate nella tabella seguente costituiscono il quadro normativo di riferimento, dal quale è possibile estrapolare alcune regole che, “messe in sistema”, possono aiutare i medici di famiglia (ed i pediatri di libera scelta) a capire cosa devono e cosa non devono fare.

Fonte normativa	Riferimenti
Reg. (UE) 2016/679 (GDPR)	–       Considerando 53 –       Art. 5 –       Art. 9, paragrafo 2, lettere h) ed i) nonché paragrafo 3 –       Art.30, paragrafo 5
D,Lgs. 196/2003 (Codice Privacy)	Artt. 75 e 78
Provvedimenti GPDP	–    19 luglio 2006 [doc. web 1318699] –    n. 55 del 7 marzo 2019 [doc. web n. 9091942]

2. Non sussiste l’obbligo di designare un DPO

Il medico di medicina generale, essendo un singolo professionista sanitario che opera a titolo individuale, in regime di libera professione, seppure in convenzione con il SSN, non è tenuto alla designazione di un Data Protection Officer (DPO) con riferimento allo svolgimento della propria attività.
Ciò secondo quanto indicato nel Considerando n. 91 del GDPR e al punto 2.1.3. delle Linee Guida dei Garanti Europei WP 243, ove si chiarisce che i trattamenti svolti da un singolo professionista sanitario non sono da considerare “su larga scala” (questa è la condizione che rende obbligatoria la designazione di un DPO).

3. Adottare e tenere il registro delle attività di trattamento

Il primo importante ed imprescindibile adempimento che dovrebbe essere realizzato è costituito dall’adozione e tenuta del registro delle attività di trattamento che costituisce un importante strumento di accountability/responsabilizzazione; i.e. il medico, attraverso il registro, è in grado di dimostrare che, quale titolare del trattamento, svolge la propria attività professionale in modo conforme al GDPR.
La tenuta del registro dei trattamenti è un obbligo giuridico attribuito ai medici di medicina generale, poiché eseguono trattamenti che includono dati sanitari (vds. art. 30, paragrafo 5 GDPR).
Il registro è un documento cartaceo o in formato elettronico (va benissimo anche un semplice programma di creazione e gestione di fogli elettronici, tipo “Excel”) su cui vanno annotati tutti i trattamenti eseguiti, riportando le seguenti informazioni:

• il nome e i dati di contatto del medico;
• le finalità dei trattamenti;
• una descrizione delle categorie di interessati (in genere i pazienti) e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (e.g. farmacie, ospedali etc.),
• se i dati sono comunicati a destinatari stabiliti all’esterno dello Spazio Economico Europeo;
• se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• se possibile, una descrizione dei meccanismi per tenere in sicurezza i dati personali, sia dal punto di vista organizzativo che tecnico/informatico.

4. Il contenuto dell’informativa da fornire ai pazienti

I medici di famiglia devono informare i loro pazienti, in forma chiara e comprensibile, circa il trattamento dei loro dati personali, effettuato per lo svolgimento delle attività amministrative e di prevenzione, diagnosi, cura e riabilitazione, a tutela della salute o dell´incolumità fisica.
Gli elementi essenziali che devono essere contenuti in tale informativa sono:

• l’identità e i dati di contatto del medico quale titolare del trattamento
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento (può essere riportato il quadro normativo indicato nella tabella al precedente paragrafo 1);
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di richiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
• il diritto di proporre reclamo al Garante della Privacy.

5. Le facilitazioni per il medico di famiglia. L’informativa unica

La normativa prevede delle facilitazioni per i medici di famiglia, i quali – in deroga all’obbligo generale, attribuito agli altri titolari, di fornire un’informativa per ogni trattamento eseguito – in attuazione dell’art. 78 del Codice Privacy, possono fornire ai pazienti un’unica informativa per il complessivo trattamento dei dati personali, necessario per attività di diagnosi, assistenza e terapia sanitaria, svolte a tutela della salute o dell’incolumità fisica dei pazienti.
La stessa unica informativa può riguardare anche il trattamento di dati correlato a quello eeseguito dal medico di medicina generale ma effettuato da un altro professionista che:

• sostituisce temporaneamente il medico di famiglia;
• fornisce una prestazione specialistica su richiesta del medico di famiglia;
• può trattare lecitamente i dati nell’ambito di un’attività professionale prestata in forma associata;
• fornisce farmaci prescritti;
• comunica dati personali al medico in conformità alla disciplina applicabile.

Nell’informativa devono essere analiticamente evidenziati eventuali trattamenti di dati personali che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato. Si fa riferimento a trattamenti effettuati:

• per fini di ricerca scientifica anche nell’ambito di sperimentazioni cliniche, in conformità alle leggi e ai regolamenti, ponendo in particolare evidenza che il consenso, ove richiesto, è manifestato liberamente;
• nell’ambito della teleassistenza o telemedicina;
• per fornire altri beni o servizi all’interessato attraverso una rete di comunicazione elettronica;
• ai fini dell’implementazione del fascicolo sanitario elettronico

6. Modalità per fornire l’informativa ai pazienti

L’informativa unica può essere fornita attraverso idonee modalità che ne facilitino la conoscenza da parte degli assistiti, anche sulla base del rapporto personale con il singolo paziente e tenendo conto delle circostanze concrete.
I contenuti dell´informativa possono essere comunicati direttamente all´assistito, a voce o per iscritto, oppure affiggendo il testo dell´informativa, facilmente visibile, nella sala d´attesa dello studio medico ovvero con altra idonea modalità (in aggiunta o in sostituzione delle altre forme) quale, ad esempio, la riproduzione dell’informativa in carte tascabili con eventuali allegati pieghevoli.

7. Per curare i pazienti non è necessario acquisire il loro consenso

Il trattamento di dati personali che il medico di famiglia esegue per “finalità di cura” dei pazienti non necessita di un loro consenso poiché ha una base giuridica nell’art. 9, par. 2, lett. h) e par. 3 del GDPR. Si tratta infatti di un trattamento effettuato da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale. Diversamente dal passato, quindi, il medico soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dagli interessati, ciò indipendentemente dalla circostanza che operi in qualità di libero professionista (come il medico di famiglia, appunto) ovvero all’interno di una struttura sanitaria pubblica o privata.

8. Casi particolari in cui è necessario acquisire il consenso dei pazienti

È necessario acquisire il consenso esplicito dei pazienti art. 9, par. 2, lett. a) del GDPR per i trattamenti non orientati a realizzare la “finalità di cura”, come ad esempio quelli:

• connessi all’utilizzo di App mediche, attraverso le quali, autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dei pazienti possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
• quelli effettuati attraverso il Fascicolo sanitario elettronico (vds. D.L. 18 ottobre 2012, n. 179, art. 12, comma 5). In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta specificamente dalle disposizioni di settore.

9. Minimizzare i dati personali dei pazienti

È noto che le scelte dello stile di vita come le cattive abitudini alimentari, la sedentarietà, il fumo, il sesso non sicuro, sono tra i principali fattori di rischio delle patologie. Questi sono tutti dati personali molto “sensibili”, il cui trattamento comporta rischi elevati per i diritti e le libertà fondamentali. Quindi, il medico di famiglia, che pur deve necessariamente raccogliere, registrare e conservare tali dati “sensibili”, per poter diagnosticare le patologie e curare in modo appropriato i propri pazienti, deve applicare con grande attenzione il c.d. “principio di minimizzazione” fissato dall’art. 5, paragrafo 1, lettera c) del GDPR. In pratica, Egli dovrebbe trattare esclusivamente le informazioni personali dei pazienti che siano rilevanti e strettamente necessarie per la loro diagnosi e cura.

10. Limiti della conservazione dei dati

Spesso la legge stabilisce i tempi di conservazione dei dati personali trattati dal personale sanitario. Così, ad esempio, l’art. 5 del D.M. 18/02/1982 stabilisce che la documentazione inerente agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica deve essere conservata, a cura del medico visitatore, per almeno cinque anni.
Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, deve essere applicato il principio di “limitazione della conservazione” fissato dall’art. 5, par. 1, lett. e) del GDPR. Pertanto il medico di famiglia, anche in virtù del principio di responsabilizzazione, deve individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione dei pazienti, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati e indicare tale periodo (o i criteri per determinarlo) nell’informativa da rendere all’interessato.

11. Misure di sicurezza

Per tenere in sicurezza i dati personali dei pazienti il medico di famiglia dovrebbe almeno:

• fare un inventario degli “asset” con i quali vengono trattati i dati personali dei pazienti (e.g. pratiche cartacee, PC, tablet, laptop e altri dispositivi elettronici portatili che memorizzano o elaborano dati devono essere identificati, a prescindere che siano collegati o meno ad internet);
• proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation;
• installare su tutti i sistemi connessi ad internet strumenti atti a rilevare la presenza e bloccare l’esecuzione di malware (e.g. antivirus);
• effettuare almeno settimanalmente una copia di sicurezza almeno delle informazioni strettamente necessarie per il completo ripristino del sistema.

Inoltre, il medico di famiglia che voglia avvalersi della collaborazione di soggetti per espletare attività amministrative/di segreteria, ha l’obbligo di istruire ed autorizzare formalmente al trattamento detti collaboratori.
In particolare, deve predisporre una designazione formale in forma scritta, i.e. una lettera indirizzata ai collaboratori che riprenda sinteticamente i contenuti principali delle singole mansioni attribuite ad ogni persona “autorizzata al trattamento” dei dati dei pazienti.
Con la lettera di designazione, ad ogni persona “autorizzata” devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti i dati personali dei pazienti.

12. La comunicazione dai dati sanitari a familiari o conoscenti

Le informazioni relative allo stato di salute dei pazienti possono essere rese note ai relativi familiari o conoscenti solo se gli assistiti abbiano manifestato uno specifico consenso al proprio medico.