Guida all’utilizzo corretto dei dati personali del paziente

Le tipologie di dati personali

Per poter sapere come utilizzare i dati personali del suo paziente, il sanitario deve prima conoscere il concetto di dato personale. Il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile. In parole povere, costituiscono dato personale tutte quelle informazioni che riguardano una persona fisica, come ad esempio il suo nome, il suo codice fiscale, la sua immagine: se si è in possesso di uno di questi dati, infatti, è agevole identificare la persona cui si riferiscono. Per capire se un’informazione costituisce o meno dato personale, è molto importante guardare al contesto in cui può essere utilizzata: se siamo in possesso solo di dati parziali, ma possiamo incrociarli con altre informazioni, e dall’incrocio di dati siamo in grado di identificare la persona, allora siamo in possesso di un dato personale.

Tra i dati personali rientrano, innanzitutto, i dati identificativi, cioè quelli che consentono di identificare direttamente il loro titolare: nome e cognome, codice fiscale, e-mail, indirizzo, indirizzo IP. Il Regolamento europeo sulla protezione dei dati personali (GDPR) identifica poi le categorie particolari di dati personali, per le quali, di regola, vige il divieto di trattamento, salve alcune particolari eccezioni; sono dati particolari:

• I dati che rivelano l’originale razziale o etnica,
• I dati che rivelano le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale,
• I dati genetici e i dati biometrici,
• I dati relativi alla salute,
• I dati relativi alla vita sessuale o all’orientamento sessuale della persona.

Per uno studio medico, e in generale per chi opera in ambito sanitario, è bene conoscere il significato di alcune categorie di dati particolari, poiché il loro lavoro ne richiede il trattamento pressoché quotidiano. Fortunatamente, il GDPR ci fornisce delle definizioni molto specifiche sui dati che interessano il settore medico:

• I dati genetici sono i dati che si riferiscono alle caratteristiche genetiche, ereditarie o acquisite, di una persona che forniscano informazioni univoche sulla fisiologia o sulla sua salute, e che scaturiscano dall’analisi di un suo campione biologico;
• I dati biometrici sono, invece, tutti quei dati che vengono ottenuti da un trattamento specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona, che ne consentano o ne confermino l’identificazione in maniera univoca; il tipico esempio è l’immagine del volto o l’impronta digitale, che spesso molti di noi utilizzano per sbloccare lo smartphone;
• I dati relativi alla salute, infine, sono tutti i dati attinenti alla salute fisica o mentale di un soggetto - compresa la prestazione di servizi di assistenza sanitaria - che rivelino informazioni relative al suo stato di salute.

Il trattamento dei dati genetici, biometrici e di quelli relativi alla salute è normalmente vietato, salvo che si verifichi uno dei seguenti casi:

1. L’interessato (cioè il paziente) ha prestato in maniera esplicita il consenso a trattare i suoi dati per una o più finalità specifiche (ad esempio per consultare il suo Fascicolo Sanitario Elettronico, oppure per ottenere la consegna del referto di un esame diagnostico tramite e-mail, o per utilizzare app mediche, o semplicemente per finalità di fidelizzazione della clientelì78
2. Sussistono dei motivi di interesse pubblico rilevante sulla base del diritto europeo o delle leggi vigenti nei singoli Stati membri dell’Unione Europea;
3. Per finalità di medicina preventiva o di medicina del lavoro, per valutare la capacità lavorativa del dipendente, per finalità di diagnosi, assistenza o terapia sanitaria/sociale, per gestione dei sistemi e dei servizi sanitari o sociali (la cosiddetta finalità di cura);
4. Per motivi di interesse pubblico nel settore della sanità pubblica (ad esempio per gestire un’emergenza sanitaria derivante da un terremoto o da una pandemia).

I principi alla base del trattamento dei dati personali

Il trattamento dei dati personali in ambito sanitario deve avvenire nel rispetto dei seguenti principi generali dettati dal GDPR per il trattamento dei dati personali:

1. Liceità, correttezza e trasparenza: i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti di chi li ha forniti;
2. Limitazione della finalità: i dati sono raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo compatibile con tali finalità; all’interno delle finalità iniziali può ricomprendersi anche un ulteriore trattamento dei dati personali ai fini di ricerca scientifica;
3. Minimizzazione dei dati: i dati raccolti sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono stati trattati;
4. Esattezza: i dati raccolti devono essere esatti e, se necessario, aggiornati; devono inoltre essere adottate tutte le misure ragionevoli per cancellare o rettificare con tempestività i dati inesatti rispetto alle finalità per cui sono stati raccolti e trattati;
5. Limitazione della conservazione: i dati devono essere conservati in una forma tale da consentire l’identificazione di chi li ha forniti per un arco di tempo limitato, non superiore a quello necessario per conseguire le finalità per i quali sono stati trattati; possono anche essere conservati per periodi più lunghi, nei casi di ricerca scientifica;
6. Integrità e riservatezza: i dati devono essere trattati in maniera tale da garantirne una adeguata sicurezza, compresa la protezione, tramite misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti, nonché dalla perdita, distruzione o danno accidentali;
7. Responsabilizzazione: il titolare del trattamento dei dati deve essere in grado di comprovare il rispetto dei suddetti principi.

Come rispettare i principi generali: il consenso

Il consenso del paziente al trattamento dei propri dati personali è una sua manifestazione di volontà, con la quale dichiari o manifesti in modo inequivocabile il proprio assenso al trattamento dei dati che lo riguardano. La volontà del paziente deve essere manifestata:

• Liberamente, vale a dire non deve essere estorta tramite raggiri, artifizi o violenza,
• In maniera specifica, cioè deve avere ad oggetto specificamente i dati sanitari (o biometrici o genetici) che il medico dovrà trattare,
• Informata, vale a dire preceduta da una informativa scritta con la quale siano fornite al paziente tutte le informazioni sul trattamento dei suoi dati,
• Inequivocabile, cioè esplicita, chiara e trasparente, non dubbia.

Il sanitario, perciò, dovrà predisporre un modulo da utilizzare per ottenere il consenso al trattamento dei dati sanitari del paziente; tale modulo, per essere comprensibile il più possibile dal soggetto che lo dovrà sottoscrivere, può essere redatto con l’utilizzo di icone e di infografiche esplicative di accompagnamento. Quest’ultima pratica è sicuramente gradita dal destinatario dell’informativa, il quale anziché trovarsi di fronte a un semplice muro di parole incomprensibile si confronta con degli schemi semplici che gli consentono di comprendere i suoi diritti, aumentando così il senso di fiducia nei confronti del medico o della struttura sanitaria che si occuperanno dei suoi dati, oltre che della sua salute.

Come rispettare i principi generali: l’informativa

Il titolare del trattamento dei dati personali (sia esso un singolo medico titolare di studio oppure una grande struttura ospedaliera pubblica o privata) deve fornire al paziente le seguenti informazioni:

1. L’identità e i contatti del soggetto titolare del trattamento dei dati ed eventualmente – se la sua figura è prevista – del suo rappresentante,
2. I contatti del responsabile della protezione dei dati personali, se presente,
3. Le finalità di trattamentocui sono destinati i dati personali (ad esempio finalità di cura) nonché la normativa posta a base del trattamento (c.d. base giuridica),
4. Se il trattamento è basato sul legittimo interesse, questo deve essere specificato;
5. Gli eventuali destinatari dei dati personali,
6. Se prevista, l’eventuale intenzione del titolare del trattamento dei dati di trasferirli a un paese terzo o a un’organizzazione internazionale, nonché l’esistenza o l’assenza di una decisione di adeguatezza della Commissione ovvero il riferimento a opportune e appropriate garanzie e mezzi per ottenere una copia dei dati ovvero il luogo in cui sono stati resi disponibili,
7. Il periodo di conservazione dei dati personali ovvero, se non è possibile specificarlo, i criteri che saranno utilizzati per determinare tale periodo,
8. L’esistenza del diritto dell’interessato a chiedere al titolare del trattamento l’accesso ai dati personali, la loro rettifica o cancellazione, la limitazione del trattamento dei dati personali,
9. L’esistenza del diritto dell’interessato a opporsi al trattamento dei dati personali,
10. L’esistenza del diritto alla portabilità dei dati,
11. L’esistenza del diritto di revocare il consenso in qualsiasi momento senza che ciò pregiudichi la liceità del trattamento;
12. L’esistenza del diritto di proporre reclamo a un’autorità di controllo (il Garante Privacy),
13. Se la comunicazione dei dati personali è un obbligo legale o contrattuale, oppure un requisito necessario per concludere un contratto, nonché se l’interessato ha l’obbligo di fornire i dati personali e le possibili conseguenze in caso di mancata comunicazione di tali dati,
14. L’esistenza di un processo decisionale automatizzato, compresa la profilazione.

Queste informazioni devono essere fornite in maniera concisa, trasparente, intelligibile e facilmente accessibili, con un linguaggio semplice e chiaro. Ciò significa che l’informativa deve essere disponibile per la lettura in qualunque momento all’interno dello studio o della struttura in cui si opera e deve essere facilmente rintracciabile e individuabile dal paziente (non nascosta dietro una pianta, ad esempio). L’informativa, inoltre, dovrà essere facilmente comprensibile dall’uomo della strada, quale utente medio della struttura sanitaria: anche in questo caso, come per il modulo di consenso, la costruzione personalizzata dell’informativa tramite icone, schemi esemplificativi e infografiche è consigliabile per aumentare la fiducia dell’utente nei confronti del medico o della struttura sanitaria. Se, infatti, all’interno di una struttura si pone così tanta attenzione per i dati personali e sanitari, è probabile che l’utente sia indotto a pensare che una cura ancora maggiore sarà dedicata alla sua salute.

L’informativa deve essere personalizzata per l’attività e per il servizio reso nei confronti del paziente. È sconsigliabile utilizzare frasi “di stile”: anziché “utilizzeremo i tuoi dati personali per il tempo che sarà necessario” è preferibile una dicitura specifica, come ad esempio “utilizzeremo i tuoi dati personali per 1 anno, e decorso tale tempo dalla data in cui li abbiamo raccolti, ci asterremo dall’utilizzarli e provvederemo a distruggerli”.

Come comportarsi quando il paziente esercita uno dei suoi diritti

Il paziente, quale soggetto che fornisce i dati personali, vanta una serie di diritti che – come abbiamo visto nel paragrafo precedente – il titolare del trattamento deve analiticamente elencare nell’informativa:

• Diritto di revocare il consenso,
• Diritto di accesso ai dati,
• Diritto di rettifica e di limitazione del trattamento,
• Diritto all’oblio,
• Diritto alla portabilità dei dati,
• Diritto di opposizione.

Il medico o la struttura sanitaria devono essere in grado di dare tempestivo riscontro al paziente nel momento in cui esercita uno dei suoi diritti. 

L’ideale è indicare all’interno dell’informativa privacy, in maniera chiara, i contatti (posta elettronica, pec o indirizzo cui spedire una raccomandata) cui il paziente dovrà rivolgersi per esercitare i propri diritti in materia di dati personali. Il medesimo discorso vale se i dati personali, anziché in presenza, vengono raccolti attraverso strumenti come una newsletter periodica, utilizzata ad esempio per aggiornare i pazienti con articoli a tema, trattamenti effettuati in studio o nuove tecniche mediche: all’interno della newsletter dovrà essere inserito un pulsante ben visibile da cliccare, con scritto “disiscrivimi” oppure “revoca del consenso al trattamento dei dati personali” o “non inviarmi più email”: questo pulsante dovrà reindirizzare all’indirizzo email cui destinare la dichiarazione di revoca. 

Il Registro dei trattamenti

Il registro dei trattamenti è obbligatorio, in ambito sanitario, per le seguenti categorie:

• Singoli professionisti sanitari che operino in libera professione,
• medici di medicina generale/pediatri di libera scelta (MMG/PLS),
• ospedali privati, 
• case di cura, 
• R.S.A.,
• aziende sanitarie appartenenti al SSN,
• farmacie,
• parafarmacie,
• aziende ortopediche.

All’interno del registro vengono annotate tutte le attività di trattamento dei dati che vengono effettuate. Lo scopo del registro è quello di ottemperare al cosiddetto principio di accountability, permettendo al medico o al dirigente della struttura ospedaliera di individuare i dati più a rischio e mettere in atto tutte le misure necessarie per proteggerli da perdite o attacchi esterni. Nell’ipotesi di controllo da parte dell’Autorità Garante per la Privacy, il registro deve essere messo a disposizione.

Il Responsabile della Protezione dei Dati Personali (RPD)

Il Responsabile della protezione dei dati personali è un soggetto che viene designato dal titolare del trattamento dei dati, con il compito di facilitare la gestione e la tutela dei dati personali.

La nomina del RPD è obbligatoria per le autorità e gli organismi pubblici, quando viene effettuato un trattamento di dati sanitari su larga scala: l’obbligo grava, perciò, su aziende sanitarie appartenenti al Servizio sanitario nazionale, case di cura, RSA, cliniche private. Per il titolare di singolo studio medico, così come per la piccola realtà farmaceutica o parafarmaceutica, invece, non vige tale obbligo, salvo che effettuino trattamenti di dati su larga scala.

La sicurezza dei dati sanitari

La normativa sulla privacy non indica in maniera specifica quali sono le modalità o gli strumenti da utilizzare per proteggere i dati personali, e soprattutto quelli sanitari, limitandosi a chiedere al titolare del trattamento di:

1. proteggere i dati in modo adeguato,
2. essere in grado di dimostrare di aver fatto tutto il possibile per proteggere i dati in modo adeguato.

È consigliabile che i dati vengano protetti con delle tecniche di cifratura, che vengano anonimizzati e che siano adottate idonee misure tecnologiche per la loro protezione, tramite l’ausilio di software, il ricorso a penetration test o il tracciamento delle operazioni di accesso; sotto il profilo organizzativo, è importante curare la formazione dei soggetti che si occupano del trattamento dei dati personali.

Bisogna inoltre proteggere i dati, solitamente custoditi su supporti informatici, da attacchi esterni, attraverso l’utilizzo di antivirus, anti malware, antihacker costantemente aggiornati, l’ausilio di reti protette, la predisposizione di password di accesso al computer e alla rete forti, la costante verifica degli aggiornamenti dei software, il backup dei dati su almeno due supporti.

È utile, inoltre, stipulare una polizza assicurativa dedicata al rischio informatico, per essere garantiti in caso di data-breach. I dati sanitari, infatti, sono tra i più appetibili per gli attaccanti informatici di tutto il mondo.