Il nuovo Regolamento Europeo per la privacy: gli adempimenti per gli studi medici

Con l’entrata in vigore del nuovo Regolamento Europeo sulla Privacy, anche gli studi medici saranno chiamati ad allinearsi alla normativa entro il 25 Maggio 2018.

Tra le novità introdotte dal Regolamento, vi sono obblighi di informativa ancor più stringenti a carico di chi tratta i dati, essendo previste molte informazioni in più, rispetto ad oggi, da fornire agli interessati.

In particolare, vengono rafforzate le garanzie di sicurezza e introdotti principio di accountability (ovvero la responsabilità in capo all’azienda per l’utilizzo dei dati), di privacy by design (tutela del dato personale fin dalla progettazione, spostando la responsabilità del corretto trattamento tramite strumenti informatici idonei sul titolare e sul responsabile del trattamento) e di privacy by default (devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta).

In tale contesto, ci sono alcuni importanti adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy.

• Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali, ovvero la dichiarazione scritta con cui il medico informa il proprio paziente su quali dati avrà necessità di raccogliere il consenso per il rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti.

Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico.

Il consenso riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura.

In caso di presenza, nella struttura medica, di personale di segreteria o di collaboratori, vi è l’obbligo di redigere una lettera di incarico al trattamento dei dati sanitari per tali soggetti, i quali sono tenuti ad osservare le istruzioni impartite dal titolare dello studio.

• Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer.

Il nuovo Regolamento ha introdotto, tra l’altro, la figura del responsabile per la protezione dei dati, il Data Protection Officer (DPO).

Il gruppo europeo dei Garanti per la privacy, approvando le linee guida del regolamento, ha definito l’identikit, il ruolo e la responsabilità di questa nuova figura, la cui nomina sarà obbligatoria per  gli enti pubblici e per i soggetti privati che effettuano un monitoraggio delle persone su larga scala o trattano dati sensibili su larga scala. 

La ratio del nuovo Regolamento UE è evidentemente quella di garantire migliore protezione dove esistono maggiori rischi, sia per il numero di dati personali trattati, sia per la vulnerabilità dei sistemi.

Nelle piccole organizzazioni del settore sanitario sarà, dunque, necessario un cambio di mentalità per essere in grado di valutare adeguatamente quali misure di protezione dei dati occorre adottare per essere conformi alla nuova normativa e per non sottovalutare la questione “privacy”.

Il nuovo Regolamento, peraltro, conferma il diritto dell’interessato ad ottenere il risarcimento dei “danni da trattamento”, per il pregiudizio -patrimoniale e non- sofferto da trattamenti avvenuti in violazione della normativa: esponendo in tal modo i Titolari del trattamento a risarcimenti danni anche consistenti.

La quasi totalità delle disposizioni del Regolamento è assistita, inoltre, da sanzioni pecuniarie di ammontare molto elevato, arrivando a prevedere sanzioni amministrative fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente se superiore: il tutto con l’evidente finalità di disincentivare trattamenti non conformi alla nuova disciplina.