Privacy medici: come informare il paziente col nuovo regolamento

L’applicazione del regolamento sulla privacy ha un ruolo chiave nella responsabilità di professionisti, aziende e enti pubblici "Il nuovo Regolamento Ue in materia di privacy ha valorizzato in maniera determinante la 'funzione sociale' della protezione dei dati personali – afferma Antonello Soro, presidente dell' Autorità garante per la protezione dei dati personali -. I risultati dello 'sweep' 2018 confermano che c'è ancora molto da fare - sia in Italia, sia all' estero - affinché i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato".

La questione coinvolge, come abbiamo già visto, in maniera determinante gli operatori della sanità a cominciare dai medici, titolari del trattamento dei dati dei propri pazienti, in ragione della propria autonomia decisionale sulla determinazione di finalità e mezzi del trattamento. Una situazione che cambia, anche se in parte, nel caso si trivi all’interno di una struttura polifunzionale.

Il medico rimane titolare dei trattamenti svolti presso il proprio ambulatorio, mentre tutto ciò che riguarda l’attività di segreteria, la gestione degli appuntamenti e quella amministrativo-contabile, diviene contitolare con chi amministra la struttura che lo ospita. In tale ipotesi, ai sensi dell’art. 26 GDPR, dovrà verificare se vi è un’idonea base contrattuale che consideri il riparto di compiti e responsabilità e definire, eventualmente, un punto di contatto per gli interessati (ad esempio: affidando alla segreteria della struttura il compito di rendere le informazioni agli interessati).

È opportuno ricordare – si legge su Agenda digitale - che eventuali clausole di manleva inserite nei contratti di contitolarità, ove confliggenti con l’assegnazione di responsabilità ex art. 82 GDPR, non producono efficacia nell’esonerare dalla responsabilità solidale ex art. 26 GDPR ma, al più, possono consentire un diritto di regresso. Ciascun medico è tenuto a fornire ai propri pazienti le informazioni riguardanti le attività di trattamento dei dati personali che svolge ai sensi degli artt. 13 e 14 GDPR.

Come si comunicano ai pazienti le informazioni sulla privacy? Nel caso del singolo medico, è consigliabile mostrarle presso il proprio studio, mentre nel caso di una struttura polifunzionale, tali informazioni devono essere rese presso l’accettazione. Le modalità con cui tali informazioni vanno rese possono essere diverse e ridondanti: due buoni esempi sono la somministrazione a ciascun paziente con contestuale affissione in luogo idoneo per favorirne la consultazione (ad es. presso il desk informativo). L’uso di un linguaggio "chiaro e trasparente", imposto dall’art. 12 GDPR dovrebbe indirizzare il professionista all’adozione di informative cc.dd. "stratificate", soprattutto nelle ipotesi in cui è presente un pubblico eterogeneo di interessati, appartenente peraltro alla categoria dei "soggetti vulnerabili" (quali sono i pazienti).

Per quanto riguarda gli appuntamenti occorre indicare i dati strettamente necessari a orari e luogo, limitando così il trattamento ai soli dati di contatto (escludendo, dunque, il contenuto della prestazione sanitaria). E’ in ogni caso fondamentale adempiere a quanto impone il provvedimento per non imbattersi in sanzioni decisamente costose, come si è visto in alcuni casi.