Privacy: le 3 novità più importanti del GDPR per i medici

29/05/2018

Responsabile protezione dati, consenso informato e registri attività di trattamento: sono queste le 3 principali novità del nuovo Regolamento UE per il trattamento dei dati sanitari.

Il cambiamento apportato dal nuovo GDPR non è una mera formalità, visto che il nuovo impianto normativo andrà a sostituire in parte il Codice della Privacy, in vigore ormai dal lontano 2004.

Sono pochi quelli che stanno affrontando senza dubbi e incertezze l’entrata in vigore del nuovo Regolamento UE sulla protezione dei dati personali, effettivo dal 25 maggio 2018.

La norma comunitaria non ha declinato una specifica e separata disciplina per i dati in ambito sanitario, ma vi sono alcuni riferimenti e norme applicabili che devono essere presi in considerazione da tutti coloro che esercitano una professione sanitaria sia in campo pubblico che privato.

Forti della nostra conoscenza del mondo medico e delle sue esigenze da un punto di vista privilegiato, abbiamo raccolto i dubbi più frequenti esposti dai camici bianchi e stilato un vademecum per fare chiarezza.

Il responsabile protezione dei dati anche per i medici di base
Nella Sezione 4 del Regolamento viene definita la figura del Responsabile della Protezione dei Dati (RPD) o anche Data Protection Officer (DPO).
Nelle Linee guida sui responsabili della protezione dei dati, pubblicate dal Garante il 5/4/17 si raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un RPD. Pertanto, anche alcune categorie potenzialmente escluse come i medici di base convenzionati con il SSN, in virtù di questa raccomandazione del Garante, dovrebbero dotarsi di un RPD. Identificare il soggetto che deve svolgere questo ruolo può non essere facile, soprattutto per i privati che, diversamente dagli enti pubblici, non hanno una struttura che li supporti nell’individuazione. Inoltre, recentemente il Garante ha precisato che questa figura dovrà avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Attenzione alle novità sul consenso informato
Nel Considerando 42 del Regolamento il legislatore europeo ha precisato che per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In conformità della direttiva 93/13/CEE del Consiglio è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive.
Registri delle attività di trattamento: come devono regolarsi i medici?
Il Regolamento (art. 30) stabilisce che coloro che effettuano trattamenti di dati considerati a rischio (come nel caso dei medici) tengano un registro delle attività e delle categorie di attività di trattamento svolte. È opportuno precisare che questo registro non deve avere una funzione formale, bensì deve essere considerato come parte integrante della corretta gestione dei dati. Il registro deve avere forma scritta, anche elettronica, e nel caso di uno studio medico conterrà le attività svolte sui dati dei pazienti, l’individuazione di chi ha interagito con i dati, in che data e con quale finalità. Tutti i titolari del trattamento e i responsabili del trattamento devono cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a disposizione. Il Regolamento ha previsto che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida della Commissione Europea sostengono che sarebbe una prassi preferibile affidare questo compito al Responsabile della Protezione dei Dati, ove presente.

Per chi è interessato a leggere ulteriori informazioni mettiamo a disposizione un pratico documento di approfondimento sul GDPR.