Privacy e centri di fisioterapia

Ultimo aggiornamento il 27 Settembre 2022
GDPR

GDPR, cosa c’è da sapere e da fare

del Dott. Andrea De Aldisio e del Dott. Claudio Genco

Dal 25 maggio 2018 è in vigore il Regolamento sulla privacy, noto anche come GDPR (General data protection regulation). Chi tratta dati personali è corso ai ripari per evitare le pesanti sanzioni previste: fino a 20 milioni di euro o sino al 4% del fatturato dell’impresa. Ma quanto sono giustificate queste paure? E in cosa consiste la norma?

Per dati personali si intendono tutte le informazioni che rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, il suo stato di salute o la situazione economica. Ogni aspetto della vita, una volta trasformato in dato, può essere oggetto di analisi che permettono di prevedere comportamenti, scelte e consumi dell’individuo.

L’innovazione tecnologica e la facilità con cui i dati possono essere utilizzati, trasmessi e manipolati per svariati scopi porta inevitabilmente un considerevole aumento dei rischi connessi alla sicurezza e alla protezione dei dati stessi e quindi del diritto alla riservatezza delle informazioni personali.

L’insieme dei dati raccolti e analizzati vengono definiti “il nuovo petrolio”, generando un volume di affari enorme e in continua crescita: si pensi a come il valore delle informazioni abbia contribuito alla costante espansione commerciale di colossi come Google o Facebook. Scandali come quello che ha coinvolto Cambridge Analytica, in cui le informazioni personali di 50 milioni di utenti Facebook statunitensi sono state acquisite illecitamente e usate a fini politici, fanno presagire un futuro dove da un lato sarà sempre più importante il diritto alla salvaguardia dei propri dati, dall’altro chi li tratta dovrà essere responsabilizzato e ben consapevole su come vadano gestiti e protetti.

In Italia, per fare un altro esempio, il Garante della privacy ha condannato alcuni anni fa Lombardia Informatica, gestore dei dati digitali per la Regione Lombardia, perché chiunque, a partire da un codice fiscale e compilando un modulo online, poteva aver accesso a informazioni sensibili di terzi, come l’indirizzo di casa, il numero di cellulare e persino i dati sanitari.

La verifica del rispetto della normativa è attualmente affidata al Nucleo speciale privacy della Guardia di finanza, a cui si deve dimostrare con ragionamento logico e tramite prove cosa è stato fatto e il perché dell’eventuale mancato adempimento, mostrando di esser consapevoli a tutti i livelli, di aver affrontato il problema e adottato le opportune soluzioni.

La struttura della norma

Vengono stabiliti diritti, strumenti di verifica e nuove figure professionali idonee al trattamento, ossia qualsiasi operazione sui dati dei cittadini UE, anche se chi tratta i dati si trova in un paese extra-UE.

Il Regolamento si compone di parti:

  • Sempre applicabili, al di là delle dimensioni dell’organizzazione. Valgono tutte le considerazioni sul consenso e i diritti, oltre che il rispetto degli obiettivi di consapevolezza e responsabilizzazione che la norma impone.
  • Applicabili in casi specifici, quando si trattino dati sensibili, lì dove è necessario nominare un Responsabile della protezione dati, quando si adotta il Registro delle attività e la Valutazione dell‘impatto sulla protezione dati o si inviano dati a Paesi terzi.
  • Volontarie, quando si adottano codici di condotta o sistemi di certificazione.
  • Che si applicano in seguito ad una violazione, nel caso di data breach, ovvero qualsiasi violazione e/o perdita di dati personali, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi come incendi o altre calamità, con conseguenti sanzioni.

I diritti garantiti

Il diritto alla protezione dei dati personali è il diritto fondamentale di tutti coloro che sono interessati al trattamento dei propri dati, che deve avvenire secondo il principio di liceità, cioè solo a determinate condizioni, tra cui il consenso informato.

Si afferma anche il diritto all’autodeterminazione, ovvero la possibilità per l’interessato di decidere in prima persona sull’uso e sulla cessione a terzi dei dati che lo riguardano. La richiesta per il consenso deve essere espressa in forma chiara, trasparente, comprensibile e semplice.

Per quanto riguarda i propri dati, l’utente ha il diritto di:

  • Rettifica e correzione
  • Cancellazione
  • Limitazione a quanto necessario e stabilito
  • Portabilità e trasferibilità
  • Opposizione, limitando o escludendo l’accesso di terze parti

La responsabilizzazione

La norma ruota intorno ai concetti di responsabilizzazione, (accountability) e autorizzazione di titolari, responsabili e addetti: l’organizzazione deve adottare comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

I dati sensibili

Si garantisce una specifica salvaguardia per i dati personali sensibili che, per loro natura, presentano maggiori rischi, come ad esempio:

  • l’origine razziale o etnica
  • le opinioni politiche
  • le convinzioni religiose o filosofiche
  • l’appartenenza sindacale
  • dati genetici
  • dati relativi alla salute, alla vita o all’orientamento sessuale
  • dati biometrici intesi a identificare in modo univoco una persona fisica.

Il loro trattamento è vietato, a meno di non adottare particolari garanzie e di essere autorizzati a trattarli. Esempi di trattamento lecito dei dati sanitari includono la diagnosi e cura ai fini di tutela della salute e dell’incolumità fisica del paziente, di terzi o della collettività, la ricerca scientifico/ statistica, le finalità contabili e amministrative connesse all’attività di cura e di diagnostica, in adempimento agli obblighi statali o regionali.

I responsabili della protezione dati

Il titolare del trattamento è la persona fisica, la persona giuridica, l’autorità pubblica, l’impresa, l’associazione, l’ente, etc. che adotta le decisioni sugli scopi e sulle modalità del trattamento. Il titolare può designare un Responsabile del trattamento e se si trattano dati sensibili, un Responsabile della protezione dati o Data Protection officer (DPO), cioè una persona fisica o giuridica esperta e di fiducia, al quale il titolare affida specifici e definiti compiti di organizzazione, gestione, controllo e valutazione del trattamento dei dati.

Questa figura solitamente è interna all’organizzazione, avendo competenze e formazione specifiche riguardo il business che deve controllare. L’eventuale nomina di un soggetto esterno è fortemente disincentivata da diversi vincoli. Inoltre, un soggetto interno può più facilmente adeguare la documentazione al variare delle esigenze.

I destinatari del trattamento dei dati sono tipicamente i responsabili e gli incaricati all’interno dell’azienda quali i medici, fisioterapisti, infermieri, tecnici a supporto delle strutture aziendali, nonché personale amministrativo/ contabile. La conoscenza da parte di ciascuno dei soggetti sopra indicati sarà limitata ai dati necessari per l’espletamento dei rispettivi compiti. Inoltre, sono considerati destinatari del trattamento tutti coloro che ricevono comunicazione dei dati personali a vario titolo, per esempio:

  • Servizi di consulenza legali
  • Commercialisti
  • Gestione delle buste paga
  • Servizi di marketing
  • Fornitori di servizi
  • Società di manutenzione

La valutazione di impatto

La valutazione di impatto sulla protezione dei dati o Data Protection Impact Assessment (DPIA), permette al titolare e ai responsabili di rispettare le prescrizioni e dimostrare al Garante della privacy di aver adempiuto agli obblighi della norma.

Con la valutazione si verifica se quanto è presente sia compatibile o meno con la norma e cosa cambiare per essere conformi, oltre una serie di regole che devono essere osservate da chi è preposto alle operazioni di trattamento. Se necessario, sono migliorate o avviate misure di sicurezza quali:

  • Misure organizzative-gestionali: nomine per iscritto, istruzioni e procedure per il trattamento dei dati, controllo accessi, chiusura armadi sottochiave, credenziali, formazione.
  • Misure fisiche: rivelazione ed estinzione incendi, sonda antiallagamento, armadi metallici.
  • Misure tecniche-informatiche: password, firewall, cifratura dati, data recovery, disaster recovery, vulnerability assessment/penetration test, UPS, etc.

Il registro delle attività di trattamento

Per avere un quadro aggiornato dei trattamenti interni viene redatto il Registro delle attività di trattamento, documento che contiene le informazioni necessarie ad assicurare il controllo sulla gestione dei dati. Deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante della privacy. Si adotta sempre quando si trattano dati sensibili, ad esempio se relativi alla salute. Permette di verificare le finalità del trattamento dati, capire quali si gestiscono, a chi sono destinati, la durata di conservazione, le misure di sicurezza e molto altro ancora.

Le conseguenze del GDPR nel settore sanitario

Il paziente che entra in contatto con le strutture sanitarie, ad esempio per diagnosi, trattamenti fisioterapici, prestazioni mediche o operazioni amministrative, deve veder garantita la più assoluta riservatezza e il più ampio rispetto dei suoi diritti fondamentali e della sua dignità. Proteggere i dati personali è una sfida impegnativa, critica e complessa, perché va garantito il trattamento sanitario appropriato e ottimale del paziente, senza ledere i suoi diritti di riservatezza.

La struttura ha l’opportunità di “mettere ordine” in un’ottica di salvaguardia della privacy e di sensibilizzazione degli addetti del settore. In pratica: quando e come si possono trattare i dati?

Se i dati sono destinati a paesi terzi non UE, è necessario anche garantire che saranno rispettati i principi della norma. Viene anche aggiornata l’informativa della privacy e la gestione dei cookies del sito dell’organizzazione. Se si fa profilazione, questa deve essere recepita e accettata dall’utente. L’organizzazione deve applicare la norma non solo formalmente, ma considerando le reali problematiche che affronta ogni giorno, considerando che è compito di chi tratta i dati personali bilanciare la protezione degli stessi rispetto alle esigenze lavorative.

Fisioterapista e privacy dei dati personali

Per esercitare le loro funzioni, il fisioterapista e il medico trattano dati sensibili, in particolare relativi alla salute. Il trattamento di questi dati segue una logica specifica che tiene conto anche dei doveri deontologici, primi fra tutti il segreto professionale e il rispetto del rapporto di fiducia con il paziente. Il professionista richiede il consenso del paziente al trattamento dei dati sanitari (informandolo su cosa sta firmando) all’inizio del rapporto di cura e questo vale a tempo indeterminato.

Nel caso in cui intenda utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (ad esempio per la produzione di letteratura scientifica) deve necessariamente acquisire un consenso specifico.

Per il fisioterapista e per il medico, rispondere alle richieste legislative e deontologiche comporta la produzione di una serie di documenti:

  • L’informativa ai pazienti circa il trattamento dei dati personali
  • Il consenso al trattamento dei dati personali e sensibili
  • Il consenso informato al trattamento fisioterapico proposto
  • La cartella fisioterapica o simili, da compilare e conservare
  • Le informazioni per incaricati e titolari

La normativa sulla privacy non deve però ostacolare il medico o il fisioterapista nell’esercizio delle normali attività. L’adeguamento è possibile se si prendono le giuste cautele.

Sia che i dati siano conservati su carta oppure archiviati su computer, è necessario accertarsi di non lasciarli mai alla mercé di chi non è autorizzato. Se in forma cartacea, si dovrebbero usare cartelle e schede sanitarie per ogni singolo paziente, nelle quali conservare i moduli per il consenso firmati, i documenti e ogni atto che lo riguarda. Il tutto deve essere custodito in un luogo sicuro e idoneo. Se si utilizza un computer, si dovrebbe prevedere la protezione con una password personale adeguata che deve essere cambiata regolarmente.

Si richiede quindi un cambio di mentalità dell’intera organizzazione, in quanto il pericolo di compromissione dei dati personali si annida nelle azioni quotidiane. Ad esempio, dimenticarsi di lasciare i dati sanitari di un paziente sulla scrivania, non chiudere armadi e archivi, lasciare il computer incustodito, permettere l’accesso ad aree sensibili senza accertarsi dell’identità delle persone, sono tutte eventualità che devono essere evitate, perché non in linea con la norma e passibili di sanzioni.

Dove ti fa male?

Compila il form e un nostro specialista ti risponderà

Oppure