GDPR in studio medico

Trattamento dei dati personali dei pazienti e adempimenti imposti dal Regolamento Europeo per la protezione dei dati sono ormai due aspetti inscindibili nell’attività quotidiana in studio medico. Quali accorgimenti adottare e cosa fare per rispettare la normativa? L’Ordine dei Medici di Firenze ha pubblicato un utile articolo che raccoglie domande e risposte sul GDPR in studio medico. In questo articolo vedremo i punti salienti individuati dall’Ordine, ma per una lettura più approfondita, rimandiamo all’articolo pubblicato sul suo sito.

Il GDPR vale per tutti

Le disposizioni del GDPR valgono per chi tratta dati, dunque per chiunque gestisce informazioni personali in digitale o su carta, compresi i medici e le strutture sanitarie.
Il termine “trattamento dei dati” infatti comprende moltissime “attività” di gestione:

Quindi se sei un medico sicuramente ti occupi di almeno una di queste “attività”.

Sono sufficienti la prenotazione degli appuntamenti, la compilazione della cartella clinica, la preparazione delle fatture per l’invio dei dati sanitari al sistema TS e al commercialista per rientrare negli obblighi derivanti dal GDPR.

Cosa deve fare un medico per essere in regola?

L’Ordine dei Medici di Firenze ha stilato una lista di adempimenti da rispettare:

1) Identificare i soggetti interessati al trattamento dei dati

Non sono solo i pazienti. Se il medico ha dei collaboratori – segretaria e dipendenti – e dei fornitori, la valutazione deve tenerne conto per identificare con chiarezza i soggetti interessati al trattamento dati.

2) Redigere un’informativa sul trattamento dei dati personali

L’informativa è una dichiarazione obbligatoria – scritta con un linguaggio semplice e chiaro – che spiega al paziente come verranno usati i suoi dati e per quali scopi. Può essere consegnata ad ogni paziente o appesa in sala d’aspetto, così chi frequenta lo studio può prenderne visione.

Deve contenere:

Per approfondire questi aspetti, ti consigliamo di leggere anche il nostro approfondimento sul GDPR in Sanità.

Una volta informato il paziente, il medico deve raccogliere il suo consenso, vediamo in quali casi.

3) Raccogliere il consenso quando è necessario

Il consenso del paziente va raccolto rispetto all’attività di trattamento dei dati. Secondo il Garante della Privacy, i medici possono trattare i dati dei pazienti per finalità di cura, senza dover chiedere il consenso. Se invece il trattamento non ha come fine la cura – per esempio se il medico usa App, invia newsletter, promozioni… – deve chiedere il consenso. Inoltre, se intende usare i dati per finalità ancora diverse – sperimentazione, pubblicazioni su riviste, presentazioni ai congressi… – deve chiedere consensi ad hoc per i vari scopi.
Se il paziente è minorenne o incapace di intendere e di volere, il consenso va richiesto ai genitori, a chi esercita la potestà genitoriale o al tutore.

Attenzione: questo consenso non equivale al consenso informato.
Ne abbiamo parlato di recente anche in un altro approfondimento su professionisti sanitari e GDPR: cosa fare per essere in regola. Il consenso relativo al trattamento dei dati personali e quello del paziente all’atto medico (art. 32 della Costituzione) – per cui nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà – sono molto diversi.

Infine, dato che normalmente in studio medico lavorano o collaborano col professionista anche altre figure professionali – segreteria, infermieri, terapisti, altri medici – ognuna di loro è responsabile del trattamento dati. Vanno quindi formalizzate queste responsabilità con documenti ad hoc (sul sito dell’Ordine dei Medici di Firenze trovi dei fac-simile che possono aiutarti a capire di cosa si tratta).

Se studio è composto da più medici in forma associativa, ciascun medico è titolare dei dati dei suoi pazienti e contitolare insieme agli altri professionisti.

4) Creare il Registro dei trattamenti

È un registro che elenca i tipi di trattamenti sui dati personali fatti dallo studio medico, da chi e come vengono trattati i dati. In caso di controlli deve essere mostrato alle autorità competenti.

5) Fissare delle procedure in caso di violazione della privacy

Non bastano gli adempimenti formali, per proteggere i dati trattati in studio medico bisogna adottare delle procedure di protezione che tengano conto fin da subito della loro sicurezza. Tra queste rientrano:

L’Ordine dei Medici di Firenze cita due esempi molto utili per capire cosa significa “procedura di emergenza”:

1) se il medico non usa il computer, deve creare delle schede sanitarie per ogni assistito in cui conserva consenso firmato e gli altri documenti del paziente, conservare queste schede in un luogo protetto per evitare che altri possano consultarlo, come un armadio, per esempio, che va chiuso a chiave e sistemato in una stanza non accessibile al pubblico, costruito con materiale ignifugo per proteggere i dati da eventuali incendi

2) se il medico usa anche il computer, deve proteggerlo con una password alfanumerica, da cambiare ogni 3 mesi, installare un software antivirus, anti-malware e firewall, oltre a procedere al backup periodico dei dati.

Quanto visto fin qui dimostra che la scelta del software gestionale medico è fondamentale per il rispetto del GDPR in studio medico, perché chi realizza il software è tenuto progettare i suoi prodotti preoccupandosi della tutela della privacy fin dalla progettazione del software che dev’essere conforme al GDPR “by default”.

Se scegli GIPO, scegli servizi cloud (web application e remote desktop, ecc.) posizionati nel provider più affidabile che c’è attualmente a livello mondiale: Microsoft Windows Azure.
Le applicazioni GIPO sono compliant con le nuove normative in vigore a livello europeo a partire dal 25 Maggio 2018.

icona call center Vuoi parlare con un nostro esperto?

Chiama il numero verde 800 944 311 oppure contattaci

Chiamaci Scrivici