dic172015
Indicazioni per la corretta tutela della privacy in ambito sanitario
I cittadini che entrano in contatto con le strutture sanitarie per prestazioni mediche, diagnosi e cure sono titolari di diritti fondamentali, tra cui quello alla riservatezza dei dati che li riguardano.
A essi il Codice sulla protezione dei dati personali (Decreto legislativo 20 giugno 2003, n. 196) attribuisce una tutela rafforzata, stabilendo regole per il loro trattamento nel rispetto di particolari cautele e misure di sicurezza (quali, per esempio, il divieto di diffusione).
Il Codice della Privacy dedica il Titolo V alla tutela dei dati personali in ambito sanitario, individuando come destinatari delle prescrizioni gli esercenti le professioni sanitarie e gli organismi sanitari. La prima categoria comprende i medici, mentre la seconda categoria include le Asl, le Aso, gli enti di ricerca e sperimentazione medica e i centri di ricerca e sperimentazione medica.
Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici trattano i dati personali sanitari con il consenso dell'interessato se il trattamento riguarda operazioni indispensabili per la sua salute oppure, senza il consenso, ma previa autorizzazione del Garante, se la finalità di tutela della salute riguardano terzi o la collettività.
ll Codice prevede che il consenso al trattamento dei dati avvenga espressamente e per iscritto da parte del cittadino, del legale rappresentante, di un prossimo congiunto o del responsabile della struttura presso cui dimora, nel caso di impossibilità fisica o di incapacità di intendere e di volere. Esso deve essere ottenuto prima del trattamento dei dati, ma vi sono casi in cui è possibile ottenerlo successivamente: impossibilità fisica, incapacità di agire o di intendere e volere (e non vi sia una persona abilitata al consenso) o qualora sussista un grave rischio per la salute, incolumità o motivi di urgenza.
Le ricette relative a prescrizioni di medicinali a carico, anche parziale, del Servizio sanitario nazionale sono invece redatte in modo da permettere di risalire all'identità del cittadino solo in caso di necessità connesse al controllo della correttezza della prescrizione, ovvero a fini di verifiche amministrative o per scopi epidemiologici e di ricerca, nel rispetto delle norme deontologiche.
Riguardo alle modalità pratiche di trattamento dei dati, se il medico si avvale di personale nel proprio studio, deve redigere una formale lettera di incarico al trattamento dei dati sanitari al personale stesso, che si deve attenere alle istruzioni impartite.
Nel caso di trattamento dei dati in forma cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente alla salute. Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate vi possano accedere. Per esempio, se sono riposte in un armadio, questo dovrebbe essere chiuso a chiave e collocato in una stanza dello studio non accessibile al pubblico in generale. L'armadio, inoltre, dovrebbe essere di materiale ignifugo, in modo da evitare il rischio di perdita o distruzione di dati a causa di incendio.
Se i dati sono invece conservati su supporto informatico, il medico deve porre in essere tutte le tutele necessarie per evitare l'accesso al computer a terze persone (password alfanumerica cambiata in intervalli di tempo regolari) nonché la perdita dei dati (antivirus, backup ecc.).
Il Codice prevede che i dati siano conservati fin tanto che dura il rapporto di cura. Tuttavia, considerando anche le disposizioni previste dal Codice Civile sulla conservazione dei documenti amministrativi (10 anni), sarebbe consigliabile seguire la medesima logica, conservando tali dati per 10 anni.
Paolo Patruno