Privacy medici: dal 25 maggio via a ispezioni e sanzioni

Mancano pochi giorni alla scadenza del 25 maggio, quando si chiuderà il primo anno di tolleranza per la privacy. Un provvedimento, che interessa in particolare il mondo della sanità con uno occhio rivolto al mondo dei medici, che ha dato una scossa a imprese e liberi professionisti alle prese con un dedalo di norme a volte incomprensibili.

Adesso si cambia: dal 20 maggio 2019, le aziende e le PA dovranno essere pronte ad adempiere alle disposizioni regolamentarie e sostenere eventuali controlli o ispezioni da parte dell’Autorità che si avvale, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali. In ambito privato destinatari delle ispezioni saranno i grandi istituti di credito, chi esegue attività di profilazione con sistemi di fidelizzazione su larga scala e chi tratta, come detto, i dati sulla salute.

E non è sufficiente il timore della sanzione che resta molto elevata: il titolare deve anche comprendere i contenuti del GDPR, ovvero deve dimostrare che rispetta fino in fondo la sostanza degli adempimenti così come impone la normativa.

Diventa, dunque, fondamentale, dunque, che le Pubbliche amministrazioni, professionisti e le imprese abbiano ben presente quali sono i reali rischi di sanzione. Anche perché sarà inevitabile una stretta sul piano dell'esecuzione di verifiche da parte delle autorità competenti sul rispetto della normativa da parte delle società italiane, per cui si attende la relativa giurisprudenza.

Gli obblighi del medico

A seguire una breve scheda riassuntiva, riportata dal sito Pmi.it, sugli obblighi a cui è tenuto il medico

Consenso necessario

1. • trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
   • trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale ;
   • trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (esempi: promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
   • trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
   • trattamenti effettuati attraverso il Fascicolo sanitario elettronico (dl 179/2012, articolo 12, comma 5): l’obbligo è stabilito da disposizioni precedenti al GDPR. «Un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo – si legge nel provvedimento -, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati»;
   • refertazione on line.

In ogni caso, anche quando non c’è obbligo di consenso, il medico deve sempre fornire un’informativa privacy chiara e comprensibile al paziente sull’utilizzo dei dati. Nel dettaglio, le informazione vanno rese «in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro».

I medici e le strutture che non effettuano un trattamento massivo di dati non hanno nemmeno l’obbligo di nominare il Responsabile della protezione dati. Quindi, per fare un esempio, il libero professionista, o la farmacia, non hanno questo obbligo. Un ospedale invece deve necessariamente nominare il Dpo. La nomina del responsabile trattamento dati è sempre obbligatoria se la struttura è pubblica.

C’è invece per tutti l’obbligo di tenere un registro dei trattamento effettuate sui dati dei pazienti, che costituisce «un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio» e di conseguenza non prevede esoneri.