Legge sulla privacy e trattamento dati
personali dei pazienti |
| La legge sulla privacy nell'ambulatorio di gestione dei nevi E' entrata in vigore la nuova legge a "tutela del paziente rispetto al trattamento dei dati personali" che garantisce, attraverso il nuovo testo unico 196/2003, che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali con particolare riguardo alla riservatezza e all’identità personale. Fino dalla legge 675/96 era previsto l’obbligo di predisporre e aggiornare il DPS, almeno annualmente, in caso di trattamento di dati personali e dati sensibili. La "tutela del paziente rispetto al trattamento dei dati personali" garantisce che il trattamento delle informazioni si svolga nel rispetto dei diritti, delle libertà fondamentali con particolare riguardo alla riservatezza e all’identità personale. La legge si riferisce sia a supporti computerizzati che a supporti cartacei, ovvero appunti anche presi su fogli di carta contenenti dati dei pazienti. Per la conservazione dei dati, è necessario seguire particolari procedure, analiticamente descritte nella documentazione allegata al nuovo codice a tutela della privacy del paziente volte a garantire la riservatezza di dati personali e particolarmente riservati. Si pensi ad esempio ad un referto di tumore cutaneo : è chiaro come l'obbligo nel trattamento di tali informazioni consista nel garantire le misure di sicurezza sulla riservatezza di tali dati. La legge sulla privacy ha subito negli ultimi tempi una serie di modifiche che fanno preciso riferimento ai dati personali dei pazienti, ai cosiddetti dati sensibili ed alla loro riservatezza ed e' quindi necessario proteggere i dati dei pazienti seguendo almeno le misure minime imposte dalla legge. Nel caso in cui il trattamento avvenga con strumenti elettronici, la normativa impone la predisposizione di un documento programmatico sulla sicurezza da aggiornare annualmente e da riportare nella relazione accompagnatoria del bilancio d'esercizio. Il documento programmatico per la sicurezza deve contenere informazioni relative al titolare della gestione dei dati, al responsabile del trattamento ed agli incaricati per la consultazione/modifica di tali dati. Archivi elettronici: l'utilizzo di strumenti computerizzati favorisce il rispetto della legge in quanto i moderni sistemi operativi possiedono tutte le potenzialità di soddisfare i requisiti imposti dalla legge mentre per quanto concerne i programmi dedicati alla gestione di pazienti ed immagini sarà il clinico ad assicurarsi delle garanzie offerte dai diversi produttori. La scelta deve essere oculata poichè il clinico risulta il responsabile del trattamento dei dati e dell'utilizzo delle strumentazioni. Il Titolo V in particolare disciplina il trattamento dei dati in ambito sanitario. Chiaramente le informazioni relative ai pazienti contenenti una qualunque indicazione in grado di poter fare risalire alla loro identità devono essere custodite tramite metodi appropriati seguendo appositi standards di sicurezza. Nel caso della gestione dell'ambulatorio dei nevi esistono due principi fondamentali citati nella legge e che devono essere rispettati : il diritto alla protezione dei dati personali ed il principio di necessità nel trattamento dei dati. Ovvero un paziente deve essere garantito nella riservatezza dei propri dati e la reperibilità dei suoi dati è legittimata dai vantaggi indubbi derivanti da controlli cutanei temporanei al fine di verificare la comparsa/modifica di nuove lesioni. I dati che riguardano il paziente nell'ambito della visita dei nevi devono essere memorizzati 'riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.' (Dlg 196/2003 art.3 comma1). Posta elettronica: la Direttiva 2002/58/CE già definiva alcune basilari norme relative alle comunicazioni telematiche con appropriati riferimenti a messaggi di 'posta elettronica' dove con il termine 'posta elettronica' viene fatto riferimento a 'messaggi contenenti testi, voci, suoni o immagini. Navigando in Internet è sempre più facile scoprire siti personali dove alcuni professionisti sono disposti a rispondere via e-mail a domande di carattere sanitario. I messaggi in arrivo e quelli che il medico manda in risposta possono essere facilmente intercettati. E' opportuno astenersi dal comunicare via e-mail risultati di analisi o diagnosi, dato che se tali informazioni fossero lette da un terzo incomodo si violerebbe palesemente la legge sulla privacy. La comunicazione telematica a mezzo e-mail tra clinici deve avvenire, ove si possa risalire all'identità del paziente, con opportuna cifratura dei dati tramite metodi simmetrici o asimmetrici di codifica. - Eysenbach G et al. Unsolicited patient e-mail on the World Wide Web. JAMA 1998; 280: 1333. - Kene B et al. Guidelines for clinical use of electronic mail with patients. J Am Inform Assoc 1998; 5: 104. - Gritzalis S et al., Technical guidelines for enhancing privacy and data protection in modern electronic medical environments. IEEE Trans Inf Technol Biomed. 2005 Sep;9(3):413-23. Definizioni "Trattamento" : qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l'organizzazione, la
conservazione, la consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione di dati, anche se non registrati in una banca di dati; "Dati sensibili" : i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; "Sicurezza dei dati" : si definisce "sicuro" un sistema informativo in cui le informazioni contenute vengono "garantite", attraverso i sistemi di sicurezza all'uopo predisposti, contro il pericolo di accessi o sottrazioni ad opera di persone non autorizzate e contro il pericolo di manipolazioni, alterazioni o cancellazioni involontarie o dolose (a scopo di danneggiamento o di frode) . Requisiti dei sistemi informatici dedicati al trattamento dei dati personali e sensibili (ad esempio sistema di archiviazione dati pazienti e mappatura nevi)
Al fine di garantire la privacy del paziente la legge definisce alcune misure minime (Sicurezza dei dati e dei sistemi art. 33, 34) che devono essere garantite dai sistemi di gestione/archiviazione informatizzati: (Alcuni punti del disciplinare tecnico all. B, Art.36, D.Lgs. 196/2003) a) autenticazione informatica; (accesso tramite password ed username da custodire diligentemente e da modificare trimestralmente) b) modifica trimestrale della password dei dati sensibili. c) adozione di procedure di gestione delle credenziali di autenticazione; (OS appropriati) d) utilizzazione di un sistema di autorizzazione; (OS appropriati) e) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito; (OS appropriati) f) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti; (chiavi di sicurezza, firewall, ...) g) adozione di procedure per la custodia di copie di sicurezza dei dati; (dischi di backup appropriati, no ai floppy) h) tenuta di un documento programmatico sulla sicurezza; (vedi nostro documento Ing. Burroni) -
Dal documento esteso qui in basso riportato tramite il link al Garante
si deduce chiaramente come dovrebbero essere adottate cautele
particolari.
Non debbono esistere, ad esempio, documenti contenenti fotografie
del paziente
associati a
dati personali e sensibili accessibili da parte di terzi. E' necessario
porre particolare cautela nel rendere inaccessibili i dati personali
dei pazienti ( ad
esempio cartelle nominate con cognomi paziente, documenti
di editors nominati con dati personali dei pazienti, foto di
pazienti nominate con cognomi e nomi). Ad esempio il nome di file
immagine 'Mario-Rossi-08-08-12-Via-Bardi-Roma.jpg'
consentendo esplicitamente di risalire al paziente Mario Rossi
non deve essere utilizzato.
-
I dati eventualmente inviati per telemedicina devono essere
necessariamente cifrati e presentare requisiti di protezione a tutela
della riservatezza delle informazioni.
- Il paziente deve essere informato opportunamente prima di fornire l'adesione al trattamento dei propri dati Dlg 196/2003 Art. 78 Informativa del medico di medicina generale o del pediatra L'informativa
resa ai sensi del presente articolo evidenzia analiticamente eventuali
trattamenti di dati personali che presentano rischi specifici per
i diritti e le libertà fondamentali, nonché per la
dignità dell'interessato, in particolare in caso di trattamenti
effettuati: a) per scopi scientifici, anche di ricerca scientifica
e di sperimentazione clinica controllata di medicinali, in
conformità alle leggi e ai regolamenti, ponendo in particolare
evidenza che il consenso, ove richiesto, è manifestato
liberamente; b) nell'ambito della teleassistenza o telemedicina; c) per fornire altri beni o servizi all'interessato attraverso una rete di comunicazione elettronica.
Dlg 196/2003 Art. 79 Informativa da parte di organismi sanitariDlg 196/2003 Art. 94 Banche di dati, registri e schedari in ambito sanitario - Fornire dati ed immagini cliniche a titolo di ricerca scientifica a enti o società Gazzetta Ufficiale 16/08/1999 Art. 10 comma 2 e modifiche d.lgs. 196/2003 Gli scopi statistici e di ricerca scientifica devono
essere chiaramente determinati e resi noti all'interessato, nei modi di
cui all'articolo 10 della legge anche in relazione a quanto previsto
dal comma 6, lettera b) e dall'articolo 6-bis del decreto legislativo 6
settembre 1989, n. 322, introdotto dall'articolo 11 del presente
decreto.
Dlg 196/2003 Capo III Art. 107 trattamento dati sensibili Fermo restando quanto previsto dall'articolo 20 e fuori dei casi di particolari indagini statistiche o di ricerca scientifica previste dalla legge, il consenso dell'interessato al trattamento di dati sensibili, quando è richiesto, può essere prestato con modalità semplificate, individuate dal codice di cui all'articolo 106 e l'autorizzazione del Garante può essere rilasciata anche ai sensi dell'articolo 40. Dlg 196/2003 Capo III Art. 110 ricerca medica, biomedica, epidemiologica Il consenso dell'interessato per il trattamento dei dati idonei a rivelare lo stato di salute, finalizzato a scopi di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è prevista da un'espressa disposizione di legge che prevede specificamente il trattamento, ovvero rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, e successive modificazioni, e per il quale sono decorsi quarantacinque giorni dalla comunicazione al Garante ai sensi dell'articolo 39. Il consenso non è inoltre necessario quando a causa di particolari ragioni non è possibile informare gli interessati e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale ed è autorizzato dal Garante anche ai sensi dell'articolo 40. Questo semplice prospetto ha il solo scopo d'introdurre
l'argomento rimandando ad opportuni approfondimenti presso le sedi
competenti. Qui di seguito e' riportato il link al codice in materia di
protezione dei dati personali siano essi acquisiti con supporto
cartaceo (a mano) oppure tramite sistemi gestionali centralizzati
(computers) :
http://www.garanteprivacy.it/garante/document?ID=997888 |