Misure organizzative di tutela della riservatezza degli assistiti.

In principio si richiamano i principali riferimenti normativi richiamati dal presente documento sono i seguenti:

– D. Lgs. 196/2003 “Codice in materia di protezione dei dati personali”, come modificato dal D.lgs. 10 agosto 2018, n. 101 e successive modifiche ed Integrazioni (Codice) integrato con le modifiche introdotte dal Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

– Reg. UE 679/2016 – Regolamento Europeo sulla protezione dei dati personali

– Provvedimento del Garante per la Protezione dei Dati Personali del 9 novembre 2005 – Strutture sanitarie: rispetto della dignità

– Provvedimento del Garante per la Protezione dei Dati Personali del 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del D.Lgs. 10 agosto 2018, n. 101

Premessa

In materia di trattamento dei dati personali in ambito sanitario, la normativa vigente prevede che gli organismi sanitari (di seguito, “Azienda sanitaria”) adottino misure ed accorgimenti di carattere supplementare rispetto a quelle già previste per il trattamento dei dati particolari (sanitari) e per il rispetto delle misure di sicurezza.

In particolare l’art. 32 del GDPR[1], evidenzia l’obbligo di adozione di misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato, con particolare riferimento ai rischi che derivano dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (violazione dei dati personali), ferma restando la necessità di adottare comunque tutti gli ulteriori accorgimenti che si rendessero opportuni per garantire il più ampio rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale.

Al fine di garantire la tutela della riservatezza degli assistiti nell’ambito delle attività effettuate per finalità di prevenzione, diagnosi, cura, riabilitazione e amministrative erogate dall’ente/azienda si intende richiamare l´attenzione in ordine alla necessità di adeguare il funzionamento e l´organizzazione delle strutture operative di propria competenza alle previsioni stabilite dalla vigente normativa in materia di protezione di dati personali.

Rispetto della dignità dell’interessato

La prestazione medica e ogni operazione di trattamento dei dati personali deve avvenire nel pieno rispetto della dignità dell’interessato.

La tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria, con particolare attenzione a fasce deboli quali i disabili, fisici e psichici, i minori, gli anziani e i soggetti che versano in condizioni di disagio o bisogno.

Particolare riguardo deve essere prestato nel rispettare la dignità di pazienti sottoposti a trattamenti medici invasivi o nei cui confronti è comunque doverosa una particolare attenzione anche per effetto di specifici obblighi di legge o di regolamento o della normativa comunitaria.[2]

Nei reparti di rianimazione dove si possono visitare i degenti solo attraverso vetrate o videoterminali devono essere adottati accorgimenti, anche provvisori (ad es., mediante paraventi), che delimitino la visibilità dell’interessato durante l´orario di visita ai soli familiari e conoscenti.

La necessità di rispettare la dignità deve essere salvaguardata anche in relazione alle modalità di visita e di intervento sanitario effettuati in presenza di studenti autorizzati: in questo caso, nell´informativa da fornire al paziente (art. 13 del Regolamento), deve essere indicato che, in occasione di alcune prestazioni sanitarie, si perseguono anche finalità didattiche, oltre che di cura e prevenzione.[3] Durante tali prestazioni devono essere adottate specifiche cautele volte a limitare l´eventuale isagio dei pazienti, anche in relazione al grado di invasività del trattamento circoscrivendo, ad esempio, il numero degli studenti presenti e rispettando eventuali legittime volontà contrarie.

Riservatezza nei colloqui e nelle prestazioni sanitarie

Nell’ambito dello svolgimento di colloqui (o, in generale, di comunicazioni orali), devono essere adottate idonee cautele, specie da parte del personale sanitario (ad es. in occasione di prescrizioni o di certificazioni mediche), per evitare che in tali occasioni le informazioni sulla salute dell’interessato possano essere conosciute da terzi non autorizzati. Le medesime cautele vanno adottate nei casi di raccolta della documentazione di anamnesi, qualora avvenga in situazioni di promiscuità derivanti dai locali o dalle modalità utilizzate.

Il rispetto di questa garanzia non ostacola la possibilità di utilizzare determinate aree per più prestazioni contemporanee, quando tale modalità risponde all’esigenza terapeutica di diminuire l´impatto psicologico dell´intervento medico (ad es., alcuni trattamenti sanitari effettuati nei confronti di minori.

Notizie su prestazioni di Pronto Soccorso

L’Azienda può dare notizia, anche per via telefonica, circa una prestazione di Pronto Soccorso, ovvero darne conferma a seguito di richiesta anche per via telefonica in base a quanto di seguito disposto:

– La notizia o la conferma della prestazione devono essere fornite correttamente ai soli terzi legittimati, quali possono essere familiari, parenti o conviventi, valutate le diverse circostanze del caso;

– Le informazioni da fornire possono riguardare esclusivamente la circostanza che è in atto o si è svolta una prestazione di pronto soccorso, e non attiene ad informazioni più dettagliate sullo stato di salute dell’assistito;

– L’interessato – se cosciente e capace – deve essere preventivamente informato dal personale autorizzato (ad es. in fase di accettazione), e posto in condizione di fornire indicazioni circa i soggetti che possono essere informati della prestazione di Pronto Soccorso. Occorre altresì rispettare eventuali sue indicazioni specifiche o contrarie (da registrare adeguatamente su apposita modulistica);

– Il personale autorizzato deve accertare l´identità dei terzi legittimati a ricevere la predetta notizia o conferma, avvalendosi anche di elementi desunti dall´interessato.

Dislocazione dei pazienti nelle Unità Operative

Al fine di regolamentare la dislocazione dei pazienti nelle strutture di degenza è necessario rispettare le seguenti indicazioni:

– È necessario prevedere, in conformità agli ordinamenti interni alle Unità Operative, le modalità per fornire informazioni ai terzi legittimati circa la dislocazione dei degenti nei reparti/strutture di degenza, allorché si debba ad esempio rispondere a richieste di familiari e parenti, conoscenti e personale di volontariato.

L’interessato cosciente e capace deve essere informato e posto in condizione (ad es. all’atto del ricovero) di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero e del reparto di degenza (es.: nel modello di consenso allegato all’informativa per il trattamento dei dati personali ex art. 13 del Regolamento).

– È necessario rispettare l’eventuale richiesta dell’interessato che la presenza nelle strutture dell’Azienda sanitaria non sia resa nota neanche ai terzi legittimati[4]: da notare che questo genere di informazioni riguarda la sola presenza nella struttura sanitaria (es.: reparto) e non anche informazioni sullo stato di salute;

– Possono essere fornite informazioni sullo stato di salute a soggetti diversi dall´interessato quando sia stato manifestato un consenso specifico e distinto al riguardo (nel modello di consenso allegato all’informativa per il trattamento dei dati personali ex art. 13 del Regolamento), consenso che può essere anche prestato da parte di un altro soggetto legittimato, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell´interessato (art. 82 del Codice in materia di protezione dei dati personali, di seguito, anche: “Codice”).

Distanza di cortesia

Le Unità Operative devono predisporre apposite distanze di cortesia in tutti i casi in cui si effettua il trattamento di dati sanitari (es. operazioni di sportello, acquisizione di informazioni sullo stato di salute), nel rispetto dei canoni di confidenzialità e della riservatezza dell’interessato.

È necessario adottare appropriate soluzioni, sensibilizzando gli utenti con idonei inviti, segnali o cartelli.

Ordine di precedenza e di chiamata

Nell’ambito della gestione dell’ordine di precedenza e di chiamata degli assistiti riguardo all’erogazione di prestazioni devono essere rispettate le seguenti indicazioni:

– All´interno dei locali delle strutture dell’Azienda, nell´erogare prestazioni sanitarie o espletando adempimenti amministrativi che richiedono un periodo di attesa (ad es., in caso di analisi cliniche o di visite ambulatoriali), devono essere adottate soluzioni che prevedano un ordine di precedenza e di chiamata degli interessati che prescinda dalla loro individuazione nominativa (ad es., attribuendo loro un codice numerico o alfanumerico fornito al momento della prenotazione o dell´accettazione). Ovviamente, tale misura non deve essere applicata durante i colloqui tra l’interessato e il personale medico o amministrativo.

– Quando la prestazione medica può essere pregiudicata in termini di tempestività o efficacia dalla chiamata non nominativa dell’interessato (ad es. in funzione di particolari caratteristiche del paziente anche legate ad uno stato di disabilità), possono essere utilizzati altri accorgimenti adeguati ed equivalenti (ad es., con un contatto diretto ravvicinato con il paziente).

– Non è ammessa l’affissione di liste di pazienti nei locali destinati all’attesa o comunque aperti al pubblico, con o senza la descrizione del tipo di patologia sofferta o di intervento effettuato o ancora da erogare (es. liste di degenti che devono subire un intervento operatorio). Non devono essere, parimenti, resi facilmente visibili da terzi non legittimati i documenti riepilogativi o strumenti che evidenzino le condizioni cliniche dell’interessato.

Correlazione fra paziente e unità operativa o struttura

Devono essere rispettate le seguenti istruzioni:

– Le Unità Operative devono mettere in atto specifiche procedure, anche di formazione del personale, per prevenire che soggetti estranei possano evincere in modo esplicito l’esistenza di uno stato di salute dell’assistito attraverso la semplice correlazione tra la sua identità e l’indicazione della struttura o del reparto presso cui si è recato o è stato ricoverato;

– Le cautele indicate al punto precedente devono essere orientate anche alle eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura (ad es., per giustificare un’assenza dal lavoro o l’impossibilità di presentarsi ad una procedura concorsuale) che non devono riportare gli estremi della Unità Operativa che ha erogato il servizio, ma la sola indicazione della Azienda Sanitaria o del Presidio Ospedaliero o dell’Area Distrettuale, di volta in volta, interessati.

– Analoghe garanzie devono essere adottate da tutte le Unità Operative (anche nel caso in cui per l’esecuzione delle attività utilizzino prestazioni effettuate da terzi) affinché nella spedizione di prodotti non siano indicati, sulla parte esterna del plico, informazioni idonee a rivelare l´esistenza di uno stato di salute dell´interessato (ad es., indicazione della tipologia del contenuto del plico o del reparto dell´organismo sanitario mittente). A questo fine devono essere rispettate le seguenti ulteriori istruzioni[5] con particolare riguardo alla consegna di presìdi sanitari:

1. La consegna deve avvenire:

– nel luogo individuato dall’interessato rispettando gli orari scelti da quest´ultimo tra quelli indicati dal titolare o dal responsabile del trattamento;

– preferibilmente nelle mani dell’interessato; il presidio non può essere lasciato incustodito nelle vicinanze del luogo indicato dall’interessato.

2. Il presidio, laddove le dimensioni e la natura lo consentano, deve essere, in ogni caso, imballato in un contenitore non trasparente che non deve contenere nella parte esterna l´indicazione del contenuto.

3. Il presidio può essere consegnato a terzi (ad es., vicino di casa, parente, portiere) solo su espressa indicazione dell’interessato.

4. Nel caso in cui l’interessato, o il terzo delegato da questo, non siano presenti al momento della consegna, il personale a ciò deputato deve lasciare esclusivamente un avviso che non contenga l´indicazione della tipologia del presidio.

5. Il personale deputato alla consegna non deve indossare divise recanti scritte da cui si possa evincere la specifica tipologia dei presìdi in consegna, né utilizzare automezzi recanti tali scritte.

– L’azienda sanitaria, in qualità di titolare del trattamento dei dati, deve altresì vigilare affinché le suddette istruzioni siano impartite anche al personale designato Soggetto Autorizzato al Trattamento da parte dell’eventuale società esterna alla quale sia stata appaltata la fornitura e la consegna dei suddetti presìdi (art. 28 GDPR).

Regole di condotta per i soggetti autorizzati (SAT)

In merito alla gestione dei soggetti autorizzati devono essere rispettate le seguenti istruzioni:

Il SATD – Soggetto Autorizzato al Trattamento con Delega da parte del Titolare – deve designare quali soggetti autorizzati o, nel caso di soggetti esterni, Responsabili del Trattamento (secondo le modalità previste dall’art. 28 del Regolamento) coloro che possono accedere ai dati personali trattati nell´erogazione delle prestazioni e dei servizi per svolgere attività di prevenzione, diagnosi, cura e riabilitazione, nonché quelle amministrative correlate (artt. 28 e 29 del Regolamento e art. 2-quaterdecies del Codice).

– Fermi restando, in quanto applicabili, gli obblighi in materia di segreto d´ufficio, deve essere previsto che, al pari del personale medico ed infermieristico, già tenuto al segreto professionale (secondo quanto previsto sia dal codice di deontologia medica che dal codice deontologico per gli infermieri), gli altri soggetti che non sono tenuti per legge al segreto professionale (ad es., personale tecnico e ausiliario) siano sottoposti a regole di condotta analoghe mediante opportune istruzioni fornite all’atto dell’autorizzazione al trattamento di dati personali;

– In base a quanto indicato al punto precedente, anche avvalendosi di iniziative di formazione del personale autorizzato, il SATD è chiamato a far rispettare, nell’ambito organizzativo di propria competenza per il quale è delegato, gli obblighi previsti dalla disciplina in materia di protezione dei dati personali con particolare riferimento all´adozione delle predette misure organizzative evidenziando i rischi, soprattutto di accesso non autorizzato, che incombono sui dati idonei a rivelare lo stato di salute e le misure disponibili per prevenire effetti dannosi.

Comunicazione di dati all’interessato

Nell’ambito della comunicazione di dati all’interessato devono essere rispettate le seguenti istruzioni:

– È possibile comunicare all’assistito informazioni sul suo stato di salute solo per il tramite di un medico (individuato dallo stesso interessato, oppure dal SATD opportunamente delegato dal Titolare del trattamento) o di un altro esercente le professioni sanitarie che, opportunamente nominato quale Soggetto Autorizzato al Trattamento (SAT), nello svolgimento dei propri compiti, intrattenga rapporti diretti con il paziente (da determinarsi in base alle indicazioni fornite dal SATD).

– La necessità di rispettare le modalità descritte è menzionata nelle istruzioni impartite ai soggetti autorizzati nella lettera di nomina, mediante opportuno richiamo a procedure ed istruzioni. Nel caso in cui l’interessato riceva una comunicazione dall’Azienda che documenti gli esiti di esami clinici effettuati, l’intermediazione può essere soddisfatta accompagnando un giudizio scritto con la disponibilità del medico a fornire ulteriori indicazioni a richiesta.

– Il SATD deve assicurarsi che il personale autorizzato sia debitamente istruito anche in ordine alle modalità di consegna a terzi dei documenti contenenti dati idonei a rivelare lo stato di salute dell’interessato (es. referti diagnostici). In caso di ritiro di certificazioni rilasciate dai laboratori di analisi o da altre UU.OO. da parte di persone diverse dai diretti interessati, è necessaria una delega scritta da parte dell’interessato, una idonea registrazione della consegna da parte dell’addetto ed il rilascio delle certificazioni in busta chiusa.

In generale si chiede di porre particolare attenzione,

1. nella raccolta della documentazione, nell’evitare l’indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute;

2. in caso di espletamento di adempimenti amministrativi che richiedono un periodo di attesa (ad es. per la fruizione del servizio di: prenotazione/pagamento presso il CUP aziendale, sottoposizione ad analisi cliniche, ecc.), il ricorso a soluzioni quali l’uso di display e chiamata numerica. In generale deve essere sempre evitata la chiamata nominativa degli assistiti: detta prescrizione deve essere assicurata anche in caso di malfunzionamento dei sistemi informatici in uso, ricorrendo a soluzioni temporanee tali da garantire quanto indicato.

Si ricorda che, qualora i SATD si discostino dalle istruzioni ricevute, essi sono da considerarsi equiparati a Titolari di Trattamento con relativa diretta attribuzione di responsabilità in caso di violazioni delle disposizioni normative (che disciplinano i trattamenti di dati personali) generate dal mancato rispetto delle istruzioni ricevute.

[1] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[2] Ad es., in riferimento a sieropositivi o affetti da infezione da Hiv – L. 5 giugno 1990, n. 135 – , all´interruzione di gravidanza – L. 22 maggio 1978, n. 194 – o a persone offese da atti di violenza sessuale – art. 734-bis del codice penale -.

[3] DECRETO LEGISLATIVO 21 dicembre 1999, n. 517. Disciplina dei rapporti fra Servizio sanitario nazionale ed università, a norma dell’articolo 6 della legge 30 novembre 1998, n. 419. Art. 1 Rapporti tra Servizio sanitario nazionale e università. Art. 1. L’attività assistenziale necessaria per lo svolgimento dei compiti istituzionali delle università è determinata nel quadro della programmazione nazionale e regionale in modo da assicurarne la funzionalità e la coerenza con le esigenze della didattica e della ricerca, secondo specifici protocolli d’intesa stipulati dalla Regione con le università ubicate nel proprio territorio.

[4] cfr. Carta dei servizi pubblici sanitari, DPCM 19 maggio 1995; link: https://www.gazzettaufficiale.it/eli/id/1995/05/31/095A2967/sg

[5] Provvedimento generale rivolto alle aziende sanitarie sulle modalità di consegna dei presìdi sanitari al domicilio dell’interessato – 21 novembre 2013. Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/2803050

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Misure organizzative di tutela della riservatezza degli assistiti.

About Author / Davide De Luca

Gli obblighi di pubblicazione dei Contratti pubblici nella Sezione Amministrazione Trasparente

Misure di sicurezza inadeguate: il Garante sanziona una Asl. La struttura sanitaria aveva subito un attacco ransomware.

Lascia un commento Annulla risposta

Articoli

Categorie

Misure organizzative di tutela della riservatezza degli assistiti.

About Author / Davide De Luca

Gli obblighi di pubblicazione dei Contratti pubblici nella Sezione Amministrazione Trasparente

Misure di sicurezza inadeguate: il Garante sanziona una Asl. La struttura sanitaria aveva subito un attacco ransomware.

Lascia un commento Annulla risposta

Potrebbe piacerti