Nuovo Codice della Privacy |
Dal 1° gennaio 2004 è entrato in vigore il nuovo Codice
in materia di protezione dei dati personali. Il nuovo Codice riunisce la normativa in precedenza contenuta nella
Legge n. 675 del 1996 e successive modificazioni e integrazioni.
Le principali novità introdotte dalla nuova
normativa sono le seguenti:
- Il consenso al trattamento dei dati da parte del cittadino può essere manifestato,
anzichè con un atto scritto dell'interessato, anche oralmente. In tal caso il medico dovrà provvedere ad annotare il
consenso. Per i trattamenti iniziati prima del 1° gennaio 2004 (cioè per i pazienti già in cura), la raccolta del
consenso può avvenire anche in occasione del primo contatto utile con l'interessato. Il consenso reso al medico di
famiglia, al pediatra di libera scelta o all'organismo sanitario vale anche, oltre che per i sostituti, per la
pluralità di trattamenti a fini di salute erogati da più strutture ospedaliere o territoriali, nonchè da distinti
reparti e unità dello stesso organismo sanitario.
- Il consenso deve essere preceduto da una informazione al
cittadino che deve essere fornita preferibilmente per iscritto, anche attraverso carte tascabili con eventuali
allegati pieghevoli, includendo gli elementi informativi previsti dall'art. 13 del nuovo Codice. L'informativa potrà
essere integrata anche oralmente in relazione a particolari caratteristiche del trattamento.
- E' necessario
adottare soluzioni volte a rispettare la riservatezza degli utenti, in relazione a prestazioni sanitarie o adempimenti
amministrativi preceduti da un periodo di attesa all'interno delle strutture sanitarie. In pratica la chiamata degli
interessati deve prescindere dalla loro individuazione nominativa. E' tenuto ad osservare l'obbligo di riservatezza
anche il personale che non è sottoposto al segreto professionale.
- Le nuove ricette di prescrizione di farmaci a
carico del SSN entreranno in vigore il 1° gennaio 2005, mentre già dal 1° gennaio 2004 le prescrizioni non a carico
del SSN di farmaci non ripetibili, possono riportare le generalità dell'assistito, a meno che l'interessato non
richieda espressamente l'anonimato.
Per consultare i soli articoli del codice che riguardano la sanità,
clicca qui.
Ogni altra informazione in merito alla normativa sulla
privacy è reperibile nel sito internet del Garante.
|
Misure di sicurezza |
Entro il 31 marzo di ogni anno il titolare del trattamento dei dati personali
e sensibili deve redigere il Documento Programmatico sulla Sicurezza (DPS). In tale documento devono essere
indicate le misure minime adottate per assicurare un livello minimo di protezione dei dati, come previsto dal
Disciplinare Tecnico allegato alla legge.
Il documento deve essere conservato agli atti del professionista e non deve essere inviato ad alcuna Autorità.
L'Autorità Garante per la Privacy ha diffuso una "Guida" per la compilazione
del Documento Programmatico per la Sicurezza.
Tenendo presente le istruzioni contenute nella Guida predisposta dal Garante, ogni medico e odontoiatra può
redigere manualmente il DPS, oppure avvelersi di appositi software prodotti dalle aziende di informatica.
In alternativa, piuttosto che redigere personalmente il DPS, è possibile richiedere la consulenza di esperti
o aziende per la redazione del Documento stesso.
La Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri (FNOMCeO) ha predisposto un fac-simile
del Documento Programmatico della Sicurezza, unitamente agli schemi delle lettere di incarico e agli articoli del
Codice pertinenti. Tutto ciò è contenuto nella Comunicazione n. 87/2005 diramata agli
Ordini dei Medici provinciali.
|
Notificazione |
L’Ufficio del Garante per la protezione dei dati personali ha ritenuto opportuno
fornire alcune precisazioni relative ai trattamenti in ambito sanitario che non devono essere notificati entro il 30
aprile 2004 in base ad una corretta interpretazione delle disposizioni vigenti (provvedimento consultabile sul sito
web www.garanteprivacy.it).
Nel rammentare che la notificazione deve essere effettuata solo se il trattamento è indicato dal Codice in materia di
protezione dei dati personali e può essere esclusa per effetto di un provvedimento di esonero che è stato adottato
dalla stessa Autorità lo scorso 31 marzo, precisa tra l’altro quanto segue:
Dati genetici e biometrici
Sono esonerati dalla notificazione sia i professionisti che trattano dati genetici e biometrici individualmente, sia
i medici che in forma associata condividono il trattamento con altri professionisti, specie all’interno di uno stesso
studio medico.
Il trattamento dei dati genetici non va notificato quando il professionista, nell’ambito di ordinari rapporti con il
paziente, viene a volte a conoscenza di informazioni di tipo genetico (esame di screening o test genetici, indagini
prenatali, diagnosi e cura di determinate patologie genetiche).
La notifica deve essere effettuata solo se il trattamento dei dati genetici è sistematico ed assume il carattere di
costante e prevalente attività del medico (ad es. un genetista).
L’esonero non opera invece per i trattamenti di dati genetici e biometrici effettuati da strutture sanitarie
pubbliche o private (ospedali, case di cura e di riposo aziende sanitarie laboratori di analisi cliniche, associazioni
sportive). L’esonero è stato infatti disposto solo in favore di persone fisiche esercenti le professioni sanitarie
e non per i trattamenti in quanto tali.
Procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive,
diffusive e sieropositività
Le considerazioni sull’esonero espresse in tema di dati genetici e biometrici per i professionisti che effettuano il
trattamento individualmente o in forma associata valgono anche per i trattamenti relativi a procreazione assistita,
trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività.
Nell’esonero rientrano anche i trattamenti effettuati da un medico specialista nell’ambito di un’attività di
consulenza o di procreazione assistita, sempre che non siano effettuati in modo sistematico.
Per quanto riguarda malattie infettive il trattamento da notificare è solo quello che deve essere effettuato
"a fini di … rilevazione ..." di tali patologie e in linea generale riguarda gestori di strutture anziché singoli
professionisti che occasionalmente vengono a conoscenza di tali.
Prestazioni di servizi sanitari on line
Le prestazioni di servizi sanitari on line vanno notificate solo se i servizi sono:
a) relativi ad una banca dati o siano prestati per via telematica
b) relativi alla fornitura di beni.
Non vanno quindi notificati:
a) i trattamenti di dati sanitari nell’ambito della teleassistenza (consultazione di specialisti per via telefonica)
b) i trattamenti di dati organizzati in banche dati trattati manualmente (archivi cartacei)
c) i trattamenti di dati organizzate in banche dati informatizzate ma non collegate ad una rete telematica
Non devono, infine, notificare i medici che usano unicamente un computer nel proprio ufficio; usano la posta
elettronica per dialogare con i pazienti, effettuano prenotazioni per gli assistiti, ecc.
Anche sulla base di altri esempi sono stati considerati quindi esonerati dalla notificazione diversi trattamenti
effettuati nell’ambito della cd. medicina in rete. Per altri casi di accesso a banche dati da parte di medici è stato
precisato che la notificazione compete invece alla a.s.l. o all’ente locale.
Monitoraggio della spesa sanitaria; igiene e sicurezza del lavoro
Poiché non rientrano nel monitoraggio della spesa sanitaria non vanno notificati i trattamenti di dati sanitari
effettuati da strutture convenzionate con il Servizio sanitario nazionale, solo per ottenere il rimborso delle
prestazioni specialistiche erogate.
|
