Data protection

La chiamata degli utenti per codice, alla luce del Provvedimento del Garante

In premessa si richiama il Provvedimento del Garante per la Protezione dei dati Personali relativo alle “Strutture sanitarie: rispetto della dignità – 9 novembre 2005” in base al quale:

  •  la tutela della dignità della persona deve essere sempre garantita:
  • nei locali di grandi strutture sanitarie i pazienti, in attesa di una prestazione o di documentazione (es. analisi cliniche), non devono essere chiamati per nome.
  • occorre adottare soluzioni alternative, per esempio attribuendo un codice numerico al momento della prenotazione o dell´accettazione.[1]

La corretta attuazione delle prescrizioni di cui al precedente cpv necessita da parte del Titolare, anche, del pieno rispetto del principio di “privacy by design” nella fase di realizzazione/ristrutturazione/ammodernamento delle strutture aziendali al fine di potere esprimere un parere di conformità alle prescrizioni di cui alla vigente normativa in materia di protezione dei dati personali (cfr. “percorsi privacy”, ecc.)

Considerato che devono essere garantite: la tutela della dignità, la distanza di cortesia, la riservatezza durante i colloqui e il rispetto della riservatezza durante la chiamata in sala d’attesa; si rende necessario accertare la presenza in Azienda della “Procedura di identificazione e chiamata dell’utente”.

In materia di trattamento dei dati personali in ambito sanitario, gli organismi sanitari devono adottare misure ed accorgimenti di carattere supplementare rispetto a quelle già previste (in primis, il principio di minimizzazione: art. 5.1, lett. c del GDPR[2]) per il trattamento dei dati appartenenti a categorie particolari (art. 9 del GDPR[3]) e per il rispetto delle misure di sicurezza (art. 32 del GDPR[4]).

Il  titolare del trattamento deve garantire il rispetto dei principi di cui all’art. 5 del GDPR, pertanto, la prestazione medica e ogni operazione di trattamento dei dati personali deve avvenire nel pieno rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale.

La tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria, con particolare riguardo a fasce deboli quali i disabili, fisici e psichici, i minori, gli anziani e i soggetti che versano in condizioni di disagio o bisogno.

All´interno dei locali di strutture sanitarie, nell´erogare prestazioni sanitarie o espletando adempimenti amministrativi che richiedono un periodo di attesa (ad es., in caso di analisi cliniche; Accettazione, Pronto soccorso, ecc.), devono essere adottate soluzioni che prevedano un ordine di precedenza e di chiamata degli interessati che prescinda dalla loro individuazione nominativa (ad es., attribuendo loro un codice numerico o alfanumerico fornito al momento della prenotazione o dell´accettazione). Ovviamente, tale misura non deve essere applicata durante i colloqui tra l´interessato e il personale medico o amministrativo.

Quando la prestazione medica può essere pregiudicata in termini di tempestività o efficacia dalla chiamata non nominativa dell´interessato (ad es. in funzione di particolari caratteristiche del paziente anche legate ad uno stato di disabilità oppure in caso di incapacità di intendere, momentanea o permanente), possono essere utilizzati altri accorgimenti adeguati ed equivalenti (ad es., con un contatto diretto con il paziente oppure ricorrendo al posizionamento di un braccialetto identificativo) ad assicurare la corretta identificazione del paziente.

La chiamata nominativa del paziente configura la fattispecie di violazione dei principi base del trattamento a norma dell’art. 5 del GDPR ed è soggetto a sanzioni amministrative pecuniarie fino a 20 milioni di euro.; ai sensi dell’art. 83, par. 5 del GDPR.[5]

[1] Link:  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1191411

[2] Articolo 5 Principi applicabili al trattamento di dati personali

I dati personali sono: (C39)

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

[3] Articolo 9 Trattamento di categorie particolari di dati personali

1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche ,le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. (C51)

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (C51, C52)

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali  per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f ) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; (C55, C56)

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; (C53)

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; (C54)

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra

persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti. (C53)

4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. (C8, C10, C41, C45, C53)

[4] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali

in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[5] Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)

5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Data Retention
Medico Competente

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

crittografia
Obbligo in capo al Titolare del trattamento dei dati personali di ricorrere all’uso della crittografia.
20 Settembre 2024
trattamento dei dati personali
La gestione dei rapporti tra titolare, responsabile e sub responsabile del trattamento alla luce del Parere 22/2024 reso dall’EDPB
15 Luglio 2024
IA
Parere dell’EDPB sui modelli di IA: I principi del GDPR supportano l’IA responsabile
28 Gennaio 2025

Start typing and press Enter to search