Il Decreto Legislativo 81/08 e s.m.i. stabilisce all’articolo 41, Sorveglianza sanitaria, che le visite mediche debbano essere effettuate a cura e spese del datore di lavoro anche al fine di verificare l’assenza di condizioni di alcol dipendenza e di assunzione di sostanze psicotrope e stupefacenti….
Dati sensibili dei pazienti: come tutelarli con la tecnologia
La sicurezza dei dati sensibili dei pazienti è uno dei punti cardine su cui ogni normativa riguardante la privacy ha sempre puntato la lente di ingrandimento, con l’avvento della nuova normativa europea, GDPR, questo aspetto ha assunto ancor più importanza. Con l’art. 32 del GDPR si dispone che: Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Nello specifico, la valutazione dell’adeguato livello di sicurezza si pone nei confronti dei rischi presentati dal trattamento derivanti dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, accidentale o illegale, a dati personali trasmessi, conservati o trattati. Altro punto importante è che “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri” punto 4 dell’Articolo 32 EU GDPR. Leggi anche: Chi è il Responsabile del trattamento dei dati? Quali sono le misure tecnologiche da adottare? Ogni studio medico ha ormai da tempo adottato strumenti tecnologici in grado di raccogliere, registrare, organizzare, strutturare, conservare, consultare, elaborare, selezionare, raffrontare, utilizzare, interconnettere, bloccare, comunicare, diffondere, cancellare e distruggere i dati, all’interno di un database. Alla luce di questa raccolta e diffusione di dati, la GDPR è intervenuta sottolineando ciò che già sarebbe dovuta essere una procedura “standard” di ogni struttura sanitaria, provvedendo a: Controllare gli accessi ai terminali mediante User e password individuali; Memorizzare le credenziali di accesso in maniera tale da non essere visibili a terzi; Provvedere a disconnettere la connessione in assenza dalla postazione; Cambiare password regolarmente, al massimo ogni 3 mesi; Installazione di Antivirus e Firewall, originali e costantemente aggiornati; Adottare soluzioni di crittografia (scrittura in codice) e pseudonimizzazione per gli archivi elettronici; Svolgere backup periodicamente; Ripetere ogni misura su tutti i terminali mobili. Approfondimenti su GDPR e Strutture Mediche: La tutela della privacy dei pazienti, cosa prevede il GDPR? GDPR e Medici di Famiglia: cosa cambia? Logica servizi al fianco delle strutture sanitarie Il nostro servizio di tutela e prevenzione dei rischi, dovuti all’archiviazione ed all’utilizzo dei dati sanitari, è in grado di assicurare la più idonea aderenza alle indicazioni introdotte dall’attuale normativa Europea sul trattamento dei dati personali. Le strutture mediche che si sono affidate a noi, come il Centro Medico Arcidiacono ed il suo servizio di Medicina a Domicilio, hanno messo in sicurezza i propri dati usufruendo dei nostri tecnici specializzati, fornendo loro tutti gli strumenti e le informazioni utili per essere pienamente a norma nei confronti della normativa GDPR, provvedendo inoltre a fornire costantemente supporto e assistenza. Logica Servizi offre servizi integrati atti a fornirti una consulenza privacy aggiornata al nuovo Regolamento Europeo sulla protezione dei Dati (GDPR), puoi richiedere online un preventivo compilando il form sulla pagina dedicata al GDPR o, in alternativa, contattandoci ai nostri recapiti. [su_row][su_column size=”2/3″ center=”no” class=””] [su_button url=”http://www.logicaservizi.eu/gdpr/” background=”#115172″ size=”14″ center=”yes” radius=”0″ icon=”icon: mail-reply-all” text_shadow=”0px 0px 0px #d1cccc”]Vai alla pagina GDPR per richiedere una consulenza sulla privacy.[/su_button][/su_column] [su_column size=”1/3″ center=”no” class=””] Logica Servizi Via degli Ontani 34 – 00172 Roma Tel: 06. 45431710 Indirizzo email: info@logicaservizi.eu [/su_column][/su_row]
GDPR e Medici di Famiglia: cosa cambia?
GDPR e Medici di Famiglia: cosa cambia? Con l’entrata in vigore del GDPR molte questioni riguardanti i trattamento dei dati personali e sanitari da parte del Medico di Famiglia restano da chiarire: qual è l’informativa per l’acquisizione del consenso? I medici di famiglia sono obbligati a nominare il DPO? In questo articolo cerchiamo brevemente di rispondere a queste domande ed evidenziare i nodi irrisolti dalla nuova normativa sulla protezione dei dati. [su_button url=”http://www.logicaservizi.eu/gdpr/” style=”flat” background=”#115172″ size=”12″ center=”yes” radius=”0″ text_shadow=”0px 0px 0px #d1cccc” desc=”Contattaci o richiedi un preventivo per la GDPR, anche online.”]Dubbi sulla GDPR?[/su_button] GDPR e sanità (GDPR e Medici di Famiglia) La sanità è uno dei settori maggiormente coinvolti nel processo di responsabilizzazione al trattamento dei dati personali. Il settore sanitario per sua natura tratta dati sensibili degli individui, ancor di più il Medico di Famiglia che stabilisce relazioni con i pazienti, concentrate sul passaggio di informazioni e dati direttamente fornita dall’assistito. Dato per assodato l’obbligo da parte di ogni medico di rispettare il “segreto professionale” la questione privacy è più delicata quando rivolta all’uso, ormai consolidato, dei sistemi informatici e le sue molteplici applicazioni, in grado di archiviare, gestire, manutenere, corrispondere dati personali e sanitari, con grande efficacia. Il medico di famiglia, il primo collettore della raccolta di dati sensibili, accumulati nel tempo sulla base di relazioni quasi sempre ultradecennali, quindi cosa cambia con il GDPR e Medici di Famiglia. Il GDPR da parte sua prevede l’obbligo di procedere ad una valutazione di impatto sulla sicurezza dei dati nella propria attività e di tenere un registro delle operazioni di trattamento, che deve essere disponibile per eventuali supervisioni da parte del Garante, ma anche per avere un quadro aggiornato delle misure adottate. Leggi anche: La tutela della privacy dei pazienti, cosa prevede il GDPR? Informativa e acquisizione del consenso Il GDPR concentra maggiormente l’attenzione sull’informativa e sull’acquisizione del consenso al trattamento dei dati. L’informativa deve specificare la base giuridica del trattamento, qual è il suo interesse legittimo, i soggetti che condividono queste informazioni e le modalità con cui i dati vengono gestiti, conservati e per quanto tempo è previsto che questo debba avvenire. L’informativa deve essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile; può essere fornita per iscritto o in formato elettronico. Alla luce della mancata pubblicazione del decreto attuativo del Regolamento e la conseguente mancata abrogazione del Codice in materia di protezione dei dati personali del 30 giugno 2003, subentrano le prime difficoltà interpretative. Non è prescritto infatti che il consenso debba necessariamente essere documentato per iscritto, anche se è precisato che deve essere “esplicito” e “inequivocabile”. In quest’ultimo viene infatti prevista una modalità semplificata per acquisire il consenso da parte del medico di medicina generale e pediatra di libera scelta, attraverso la sua registrazione con una biffatura su un campo elettronico della cartella sanitaria del paziente. Un approccio “realistico” alla questione, è stata offerta sulla base del nuovo GDPR, prendendo in considerazione il fatto che il paziente nel momento in cui si riferisce al medico è scontato che debba condividere con lo stesso dati sensibili e il consenso al loro trattamento apparterrebbe implicitamente alla particolare tipologia della relazione. Resta però in sospeso però se anche per il MMG può essere esteso lo stesso principio, alla luce del fatto però che lo stesso medico, nella sua attività, è tenuto all’invio di tanti dati sensibili ad altri soggetti: come accade per l’invio di ricette dematerializzate, su server remoti. Criticità ( GDPR e Medici di Famiglia) Il Medico di Famiglia alla luce di quanto detto dovrebbe quindi fidarsi (come fin ora è stato) che tutti i sistemi di cui è dotato per il trasferimento dei dati (i software di cartella ambulatoriale, i vari portali online dei diversi istituti di tutela e così via), agiscano secondo norma, collocando queste informazioni “cristallizzate” nel loro formato elettronico dal processo di autenticazione (spesso debole in quanto basato sull’utilizzo di una semplice user e password) del medico, sugli effettivi repository di destinazione. In altri termini, il medico dovrebbe quindi richiedere il consenso (che sinora non ha avuto) al paziente per inviare i suoi dati in percorsi che non conosce e di cui non è in grado di garantire completamente la liceità; inconsapevole, inoltre, di come dovrebbe comportarsi con i paziente che non desiderano non autorizza l’invio di una propria ricetta/diagnosi a Sogei del MEF. Medicina generale e DPO Altro aspetto con nodi non ancora sciolti è quello relativo alla designazione del DPO (Data Protection Officier), la figura professionale designata a svolgere un ruolo di referente della protezione dei dati. Diverso dal ruole del Responsabile del trattamento dei dati. I MMG (quelli che operano in forme aggregative che oramai rappresentano la grande maggioranza della professione) sono tenuti a dotarsi di questa figura? Il dubbio nasce dal concetto, non del tutto chiaro e aleatorio, basato sul concetto del trattamento di dati in “larga scala”, quale requisito d’obbligatorietà o meno di disposizione del DPO. Le questioni non risolte dal GDPR Il pensionamento del medico rende inevitabile la cessione ad altro medico del database ambulatoriale, pieno di dati clinico-assistenziali che, quando privi di una policy definita, difficilmente potranno essere riutilizzati. Non esistendo procedure per gestire il database del medico che lascia l’attività, la perdita, per l’assistito, di dati che riguardano le storie sanitarie di una vita è definitiva. Le soluzioni estemporanee che vengono “normalmente” adottate, anche se sono efficaci per gestire “al meglio” una situazione non altrimenti normata, sono applicate in deroga palese a qualsiasi regola e principio. Sono tutti aspetti appartenenti alla specificità della professione, che non vengono affrontati nel GDPR e che lo stesso GDPR, pertanto, non risolve. Dovranno essere presi in considerazione attraverso riflessioni dapprima condotte nello stesso ambito professionale, in modo tale da produrre, proprio su questi temi, un codice di condotta. D’altronde è il Garante che individua nel codice di condotta, previsto tra l’altro dal nuovo Regolamento, uno strumento attraverso cui tutti i soggetti che fanno parte di un unico contesto di trattamento, come il settore sanitario, possono definire dal basso delle regole
La tutela della privacy dei pazienti, cosa prevede il GDPR?
Tutela della privacy: Le diverse categorie di pazienti delle strutture sanitarie “meritano una maggiore protezione” per ciò che riguarda il trattamento dei dati sensibili e nel rispetto della loro tutela della privacy. A stabilirlo è la normativa europea sulla protezione della privacy – l’ormai nota GDPR – che ribadisce che “i dati personali di questi soggetti meritano una maggiore protezione” e dovrebbero essere trattati “soltanto per finalità connesse alla salute”.
