La sezione regionale abruzzese del “Tribunale Diritti e Doveri del Medico” si è dimostrata molto sensibile in tema di privacy; a tal fine ha elaborato un documento per supportare i medici nell’applicazione del Regolamento europeo in materia di protezione dei dati personali, prestando particolare attenzione alle comunicazioni che possono intercorrere tra medico e paziente.

Fermo restando che le analisi del rischio, le valutazioni sulla sicurezza strutturale ed organizzativa e una adeguata azione informativa e formativa sono imprescindibili e non possono essere gestite in maniera improvvisata e artigianale, il vademecum in questione offre una serie di indicazioni per intraprendere un processo di adeguamento necessario che non può, però, fermarsi ad agli adempimenti formali.

Il Tribunale Diritti e Doveri del Medico ha come prima cosa fissato alcune indicazioni in tema di prescrizione medica, consegna delle documentazioni e consenso:

  • Il medico è il titolare del trattamento dei dati del paziente.
    Alla luce di questo “L’acquisizione del consenso o del dissenso è un atto di specifica ed esclusiva competenza del medico, non delegabile”. Il processo completo di informazione al paziente e di acquisizione del consenso o del dissenso deve essere operato totalmente dalla professione medica, per questo ne deriva la messa al bando delle firme sottoposte ai pazienti da parte di altro personale sanitario o di segretarie.
  • La prescrizione, la consegna di ricette, di prescrizioni, di lettere mediche e il consenso sono una diretta,
    specifica, esclusiva e non delegabile competenza del medico.
  • La prescrizione e la diagnosi effettuate telefonicamente o tramite reti, portali, pec ecc. cioè in assenza di incontro, sono atti di negligenza e imprudenza ex art. 480 c.p. (Falsità ideologica) e il cittadino ex art. 489 c.p. (Uso di atto falso) compie un falso nell’uso della prescrizione poiché non è consentito al medico effettuare valutazioni o prescrizioni o ripetizioni sulla base di dichiarazioni effettuate in assenza di incontro.

Il TDMe ha provveduto a fissare 10 punti che possono a tutti gli effetti costituire un vademecum per chi esercita la professione medica:

  1. “Obbligo di informativa da esporre negli studi medici”
    L’informativa deve essere redatta in maniera conforme all’articolo 14 del regolamento europeo. Per questo deve necessariamente contenere:
    a)  l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
    b) i dati di contatto del responsabile della protezione dei dati, ove applicabile
    c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
    d) i legittimi interessi perseguiti dal titolare del trattamento o da terzi, qualora il trattamento abbia come base giuridica il legittimo interesse
    e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
    Nel momento in cui i dati personali sono ottenuti, sarà altresì necessario fornire all’interessato le ulteriori informazioni necessarie previste dal comma 2 dell’art. 14.
  2. “Non obbligo di consenso dei pazienti per la diagnosi e cura nella medicina basata sulla evidenza”
    Il Regolamento europeo in materia di protezione dei dati personali, consente di trattare senza consenso dell’interessato tutti i casi di diagnosi e cura (vedasi articolo 6 GDPR per le basi giuridiche relative e articolo 9 GDPR per il Trattamento di categorie particolari di dati personali).
  3. “Obbligo di incarico firmato per il personale di segreteria solo per i dati identificativi dei pazienti”
    A scanso di equivoci precisiamo che il personale di segreteria deve necessariamente ricevere l’incarico dal titolare del trattamento e tale incarico deve prevedere il trattamento esclusivo dei dati cd. identificativi, quindi nessuna categoria particolare di dati può essere trattata dal personale di segreteria.
  4. “Obbligo di incarico firmato per l’infermiere e/o per altro sanitario operante nello studio medico (fisioterapista, dietista, ecc.) per i dati comuni e per i dati sanitari per la propria attività infermieristica e/o
    per altra professione sanitaria con cartella infermieristica per la scrittura delle attività sanitarie eseguite
    ai pazienti”
    Anche nel caso del personale sanitario il titolare del trattamento deve necessariamente provvedere a fornire incarico formale contenente le istruzioni necessarie.
  5. “Raccomandazione alla tenuta della scheda intestazione per i dati identificativi del medico Titolare”
  6. “Raccomandazione alla tenuta del Registro dei trattamenti
    Al di là dell’esistenza di uno specifico obbligo è fortemente raccomandato approntare un Registro dei
    Trattamenti dei Dati come previsto dall’articolo 30 del Regolamento Europeo, essendo uno strumento fondamentale non soltanto ai fini dell´eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno dello studio – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
  7. Non obbligo di nomina del Responsabile della Protezione dei Dati (RPD o DPO)
    Per il medico che opera in studio singolo non v’è obbligo di nomina del DPO ma solo la raccomandazione del Garante ad effettuarla.
  8. Obbligo di denuncia in presenza di violazione di Privacy per lettura dati da non incaricati o per diffusione
    o per furto dei dati”
    Le strutture sanitarie pubbliche e private devono comunicare, entro 48 ore dalla scoperta, tutte le violazioni di dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali contenuti nelle proprie banche dati (o trattati attraverso il dossier sanitario).
    Il termine si riduce a 24 ore, nel caso in cui le violazioni di dati rischiano di avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.
    Nei casi più gravi, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento è obbligato a comunicare la violazione anche alla persona a cui si riferiscono i dati (c.d. Interessato), senza ingiustificato ritardo.
    Benché la comunicazione agli utenti non sia dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, a discrezione del Garante, può comunque venire imposta la comunicazione agli interessati.
  9. Obbligo della consegna del promemoria della ricetta solo in forma cartacea da parte del medico”
    La consegna di prescrizioni mediche è una diretta, specifica, esclusiva e non delegabile competenza del medico. E’ fatto divieto dell’invio del promemoria via mail. Non previste consegne in vie alternative.
  10. Obbligo di consegna dei promemoria, delle ricette e dei certificati al paziente da parte del medico”
    Possibilità di consegna anche a terzi, su richiesta del paziente, purché in busta chiusa e la persona incaricata sia munita di apposita delega scritta.
    Per il decoro della professione medica, oltre che per ottemperanza al Regolamento europeo in materia di protezione dei dati personali, è inopportuno portare le ricette nelle farmacie per il doveroso rispetto della deontologia, sia da parte dei medici che dei farmacisti (possibile conflitto d’interesse, divieto di accaparramento delle prescrizioni), né le ricette possono essere lasciate nelle sale d’attesa, in cassette o sui banconi delle farmacie né lasciate altrove nemmeno se in busta chiusa.