Privacy-sanità

La privacy in ambito sanitario e socio assistenziale – l’approccio del Regolamento

Senza dubbio uno dei principali ambiti in cui l’aspetto privacy è fondamentale e basilare è il settore sanitario e socio assistenziale.

Le informazioni trattate appartengono infatti a quella speciale categoria di dati considerati critici perché possono rivelare dati personali relativi alla salute [origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona] – Art. 9 GDPR 679/2016.

Il Regolamento Europeo vieta il trattamento di questi dati a meno che vengano attuate tutta una serie di attività affinché il trattamento diventi possibile.

Ovviamente per le strutture sanitarie e socio assistenziali risulta indispensabile trattare tutte le informazioni legate alla storia clinica e allo stato di salute del paziente e devono quindi trovare applicazione in maniera puntuale e precisa gli obblighi collegati.

 

Cosa prevede il regolamento per la sanità?

Il regolamento prevede che il trattamento di dati di cui al paragrafo 1 – art 9 – possa essere fatto in condizioni di necessità e tutela e a riguardo ci sembrano significativi 3 casi espressamente riportati:

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Appare dunque evidente che la norma stessa consideri l’ambito assolutamente degno di attenzioni e di condizioni particolari.

 

Vediamo più nel dettaglio cosa possono significare i punti che abbiamo voluto mettere in evidenza

 

Trattamento necessario per finalità di diagnosi, assistenza o terapia sanitaria

Tra i vari significati di questo punto possiamo dedurre quello che se una persona arriva in ospedale in codice rosso e rischia la sua vita, la normativa passa in secondo piano e la struttura procederà a tutte le attività necessarie affinché la persona possa essere salvata. Questo perché il diritto alla vita è superiore al diritto di vedere tutelati i propri dati.

Se in caso contrario mi reco in ospedale per una visita medica più o meno di routine, avrò diritto ad essere informato su come verranno trattati i miei dati secondo le indicazioni del regolamento (finalità, responsabili, conservazione, …).

 

Trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica

In questo caso possiamo comprendere che se una persona si presenta in ospedale e gli viene diagnosticata una malattia potenzialmente epidemica, la struttura dovrà procedere secondo i protocolli previsti per far sì che in primis venga tutelato l’interesse pubblico. I dati dell’interessato saranno tutelati fino a quando questo non andrà in contrasto con la salvaguardia della salute pubblica.

 

Trattamento necessario per motivi di interesse ricerca scientifica

Una delle possibili situazioni che trovano risposta in questa norma è quella legata alla conservazione dei dati sanitari di una persona per il tempo necessario allo svolgimento delle attività per cui sono stati forniti. La deroga prevede che se quei dati sono necessari, oltre il tempo previsto, per effettuare ricerca scientifica, possano essere ancora conservati e trattati (garantendo ovviamente le condizioni di tutela e garanzia previste al momento dell’autorizzazione e/o necessarie affinché il dato sia conservato e gestito correttamente).

Ovviamente ci siamo soffermati su condizioni particolari che si ritiene essere l’eccezione e non la normale prassi quotidiana.

L’approccio standard

L’approccio standard verso i dati di tipo sanitario prevede una fortissima tutela dell’interessato, partendo dal rilascio di informative specifiche sul trattamento e arrivando alla segnalazione immediata di situazioni di “perdita del dato” che possano in qualche modo procurare un danno alla persona interessata.

In questo senso riveste un ruolo fondamentale la FORMAZIONE del personale dirigente, medico, infermieristico, ausiliare etc…. Si stima che la maggior parte delle problematiche legate a fenomeni di Data Breach (violazione dei dati) sia legata all’errore umano. Il sistema più valido per ridurre l’errore umano è puntare sulla consapevolezza e sulla professionalità: se sono cosciente di quello che sto facendo, se ricevo istruzioni chiare e dettagliate e se conosco le conseguenze delle mie azioni, allora sarò più propenso a ragionare su ciò che sto facendo e avrò insiti in me alcuni meccanismi che mi porteranno ad evitare situazioni di criticità.

Il nuovo Regolamento prevede la formazione obbligatoria delle figure che risultano incaricate o responsabili dei dati trattati e che in qualche possono generare conseguenze sul trattamento errato delle informazioni che manipolano.

 

VAI ALLA SEZIONE FORMAZIONE MONDO PRIVACY

 

Chiara V

About Chiara V

La mia storia lavorativa ha un background nel web e nella comunicazione. Questo mi consente di associare le competenze legate alla normativa privacy e quelle legate al mondo internet.