• In vigore dal 25 maggio la normativa sulla Privacy secondo il regolamento (UE) 2016/679.

    Dal 25 maggio 2018 entra in vigore il nuovo Regolamento Europeo sulla Privacy, regolamento (UE) 2016/679 del Parlamento e del Consiglio europeo del 27 aprile 2016.

    Sono di seguito sintetizzati alcuni semplici punti interpretativi della normativa e modelli di raccolta del consenso, anche ai fini della ricerca, ad uso degli studi medici:

    – La nomina del DPO (DATA PROTECTOR OFFICER ).
    Il MMG singolo, in rete o gruppo, secondo le Nuove Faq sul Responsabile della Protezione dei dati (RPD) o DPO in ambito pubblicoè esentato dalla nomina del DPO (figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi che ha il compito principale di osservazione e valutazione della gestione e del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy) secondo il “considerando 91” del regolamento Ue poiché non tratta dati su larga scala, sebbene sia “fortemente raccomandato” assegnarne l’incarico.
    Per quanto riguarda il concetto di “larga scala”, secondo l’interpretazione dell’OMCeO di Milano, nel regolamento al paragrafo 2.2 oltre al medico singolo si considera non di larga scala la “piccola azienda a conduzione familiare” (si parla di microimpresa fino a 10 dipendenti con fatturato sotto 2 milioni di euro annui) dunque, “difficilmente medicine in rete e di gruppo possono raggiungere i valori reddituali di cui alla tabella” e difficilmente una medicina di gruppo potrà avere “confini territoriali vasti e un numero così elevato di pazienti da richiedere la nomina di un DPO”.
    Una soluzione accettabile  per le Organizzazioni di medici che conservano i dati sensibili di un congruo numero di persone (AFT, UCCP, Cooperative, Consorzi di Cooperative) potrebbe essere la designazione di un unico RPD per tutti i medici afferenti allo stesso gruppo/organismo con risparmio ed ottimizzazione di risorse ed uniformità di comportamenti.

    -L’obbligo della raccolta del consenso.
    Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy. Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali.

    -L’informativa sul trattamento dei dati personali.
    E’ una dichiarazione scritta con la quale il medico informa il proprio paziente su quali dati avrà necessità di raccogliere per un efficace rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti.
    L’Autorità Garante per la Privacy ha predisposto un modello di informativa che può essere adottato nella maggior parte dei casi dai medici e dagli odontoiatri nei propri studi professionali:

    Gentili signori,
    desidero informarvi che i vostri dati sono utilizzati solo per svolgere attività necessarie per prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni da voi richieste, farmaceutiche e specialistiche.
    Si tratta dei dati forniti da voi stessi o che sono acquisiti altrove, ma con il vostro consenso, ad esempio in caso di ricovero o di risultati di esami clinici.
    Anche in caso di uso di computer, adotto misure di protezione per garantire la conservazione e l’uso corretto dei dati anche da parte dei miei collaboratori, nel rispetto del segreto professionale. Sono tenuti a queste cautele anche i professionisti (il sostituto, il farmacista, lo specialista) e le strutture che possono conoscerli.
    Il medico a cui si affida, può svolgere in collegamento con il sistema sanitario e/o in collegamento con società scientifiche accreditate, attività di studio, valutative e ricerca al fine di strutturare linee guida, percorsi assistenziali ed organizzativi delle cure, ricerche in campo diagnostico, epidemiologico, organizzativo ed economico. Per queste ragioni avrà la possibilità di accedere ai suoi dati, in modo anonimo ed aggregato, al fine di svolgere questa attività specifica e fondamentale ai fini dello sviluppo di nuovi percorsi assistenziali e di nuovi percorsi di cura. Per quest’ultima tipologia di trattamento, Lei potrà rifiutare l’uso dei suoi dati per queste finalità senza che ciò comprometta il suo diritto alle cure.
    I dati non sono comunicati a terzi, tranne quando sia necessario o previsto dalla legge.
    Si possono fornire informazioni sullo stato di salute a familiari e conoscenti solo su vostra indicazione.
    In qualunque momento potrete conoscere i dati che vi riguardano, sapere come sono stati acquisiti, verificare se sono esatti, completi, aggiornati e ben custoditi, e far valere i vostri diritti al riguardo.
    Per attività più delicate da svolgere nel vostro interesse, sarà mia cura informarvi in modo più preciso.

    Ovviamente si tratta di un modello standard che può essere adattato e integrato nei casi in cui ciò si renda necessario. Per esempio, se il medico intende usare i dati del paziente per partecipare ad una ricerca scientifica, dovrà integrare l’informativa prospettando al paziente anche questa eventualità.
    In ogni caso, l’informativa può essere consegnata ad ogni singolo paziente, oppure può essere affissa nella sala d’attesa dello studio in modo da renderla conoscibile da ogni paziente.

    -La raccolta del consenso.
    Il consenso può essere raccolto anche in forma orale, ma per evitare future ed eventuali contestazioni è opportuno che venga raccolto in forma scritta, con la sottoscrizione di un apposito modulo. La Federazione Nazionale degli Ordini dei Medici suggerisce il seguente modulo:

    KTTG: Raccolta del consenso

    -Validità temporale del consenso e sua integrazione.
    Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico. Ma se non vi sono queste situazioni particolari, il consenso vale una volta per tutte.

    -Soggetti coinvolti.
    Generalmente il paziente maggiorenne, capace di intendere e di volere, è l’unico soggetto autorizzato a dare il consenso per il trattamento dei propri dati sanitari.
    Se il paziente invece è minorenne o non è capace di intendere e di volere, allora il consenso deve essere dato rispettivamente dai genitori (anche disgiuntamente) o da chi esercita la potestà genitoriale o dal tutore.

    -Minorenni con genitori separati o non coniugati legalmente.
    Non c’è alcuna differenza se i genitori sono sposati, separati, divorziati o non coniugati ma riconosciuti legalmente.
    Entrambi i genitori, indipendentemente dal loro status giuridico, hanno il dovere di tutelare la salute dei propri figli, per cui hanno il diritto-dovere di essere informati sullo stato di salute dei figli e il medico deve portare a loro conoscenza i dati sanitari di cui dispone, o disgiuntamente o congiuntamente. E’ responsabilità dei genitori (e non del medico) relazionarsi fra loro.

    -Il consenso al trattamento dei dati e il consenso al trattamento sanitario.
    Il consenso al trattamento dei dati di cui si occupa la normativa non equivale al consenso al trattamento sanitario.
    Il consenso di cui stiamo parlando riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura.
    Tutt’altra cosa è il consenso del paziente all’atto medico, che non riguarda la legge sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà.
    La normativa in esame si occupa solo ed esclusivamente del consenso ai fini della legge sulla privacy.

    -Il coinvolgimento del personale di studio.
    Se il medico, nel proprio studio, si avvale di personale di segreteria, deve redigere una formale lettera di incarico al trattamento dei dati sanitari al personale di segreteria, che si deve attenere alle istruzioni impartite dal medico titolare dello studio. Un modello di lettera di incarico può essere il seguente:

    KTTG: NOMINA QUALE INCARICATO AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI

     –Il coinvolgimento dei consulenti fiscali.
    Anche al consulente fiscale va affidata la formale responsabilità per il trattamento dei dati. Anche in questo caso si può utilizzare il seguente modello di lettera:

    KTTG: Il coinvolgimento dei consulenti fiscali AL TRATTAMENTO DEI DATI PERSONALI

    -L’odontoiatra (per i colleghi con doppia iscrizione) che si avvalga dell’opera dell’odontotecnico.
    Anche in questo caso è necessario che l’odontoiatra rediga una apposita lettera per affidare la responsabilità per il trattamento dei dati:

    KTTG: NOMINA QUALE RESPONSABILE AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI

    -L’archiviazione e la conservazione dei dati.
    Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e in definitiva trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer.

    -La raccolta dei dati in forma cartacea (cartella clinica, documenti sanitari).
    Nel caso di trattamento dei dati in forma cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente la salute del paziente.
    Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate ne possano prendere conoscenza. Per esempio, se sono riposte in un armadio, questo dovrebbe essere chiuso a chiave e collocato in una stanza dello studio non accessibile al pubblico in generale. Le chiavi dell’armadio dovrebbero essere in possesso solo del medico e del suo sostituto (o dei suoi collaboratori medici) e non di altre persone. Inoltre l’armadio dovrebbe essere di materiale ignifugo, in modo da evitare il rischio di perdita o distruzione di dati a causa di incendio.
    Bisogna infatti ricordare che la legge sulla privacy non solo tutela la riservatezza del paziente, ma impone a chi gestisce i dati dei pazienti di adottare misure e cautele per evitare o minimizzare i rischi da incendio, furto, sottrazione, smarrimento, ecc. Se i dati vengono sottratti o distrutti, il medico deve poter dimostrare di aver messo in atto tutte le cautele possibili per evitare tutto questo perché se invece ha conservato le schede in maniera superficiale, può essere chiamato a risarcire i danni al paziente.

    -Trattamento dei dati informatizzato.
    Vale lo stesso principio di evitare o ridurre al minimo il rischio di perdita, distruzione, sottrazione, manomissione o alterazione dei dati memorizzati nel computer.
    Ciò si può realizzare con diversi accorgimenti tecnici. In primo luogo il computer deve essere protetto da una password alfanumerica (la meno intuitiva possibile) che deve essere cambiata ogni tre mesi. Inoltre il computer deve essere protetto da un software antivirus, anti-malware e, se è connesso a Internet, anche da un firewall. Infine deve essere previsto un salvataggio periodico dei dati da poter utilizzare in caso di emergenza.
    Le misure di protezione informatica hanno una rapida evoluzione tecnologica, per cui è opportuno che il medico possa contare su un consulente informatico di propria fiducia per rendere il suo computer sempre protetto al massimo grado.

    -L’accesso ai dati da parte di un sostituto o di un collaboratore medico.
    Allo stesso modo con cui il sostituto o il collaboratore medico può accedere ai fascicoli cartacei dei pazienti, può certamente accedere ai dati sanitari memorizzati nel computer dello studio.
    Però è necessario che vi acceda con un proprio nome utente e una propria password, in modo che sul computer rimanga una “traccia informatica” di chi, come e quando ha acceduto al sistema.

    -L’accesso ai dati da parte del personale di segreteria.
    Il personale di segreteria deve limitare l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei pazienti.
    Anche in questo caso è necessario che l’accesso al computer sia effettuato con un nome utente e una password dedicata al personale di segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati comuni e non a quelli sensibili.

    -La condivisione dei dati nel gruppo, nelle associazioni, nelle aggregazioni di medici.
    E’ sufficiente che nell’informativa sia esplicitato chiaramente che i dati dei pazienti possono essere trattati anche dai colleghi medici facenti parte dell’associazione professionale o della medicina di rete o di gruppo, ovviamente sempre e solo per esclusive finalità di diagnosi e cura.

    -Accorgimenti intesi come “misure di sicurezza”.
    Per ogni potenziale rischio di lesione della privacy del paziente deve sussistere una corrispondente “contromisura” tesa a eliminare o minimizzare tale rischio. Si tratta quindi delle cosiddette “misure di sicurezza”.
    Tutto questo sembra molto complicato, ma in definitiva non lo è. Oramai l’uso dei computer è così generalizzato che ogni utente medio ha familiarità con questi concetti. Non c’è quindi ragione perché i medici (che da sempre sono molto sensibili alle necessità di privacy dei pazienti) abbiano difficoltà ad adottare tecniche di protezione dei dati sui loro computer.
    In ogni caso i consulenti informatici sono in grado di programmare e impostare il computer del medico in maniera semplice e veloce per raggiungere queste finalità.

    -Il “Documento Programmatico per la sicurezza”.
    E’ un documento che racchiude ed esplicita le misure di sicurezza adottate dal medico per la protezione dei dati dei pazienti. In pratica con questo documento si individuano i rischi relativi alla sicurezza dei dati e si descrivono le contromisure per fronteggiarli.
    Il Documento Programmatico per la sicurezza era un documento obbligatorio, da redigere ogni anno entro il mese di marzo, ma con una legge del 2012 questo obbligo è stato abolito. Pertanto la redazione del documento non è più tassativa.
    Ciò non toglie che le misure di sicurezza vanno comunque adottate.
    Nel caso in cui, comunque, il medico ritenga di redigere il Documento Programmatico per una miglior ricognizione e documentazione dei dati sanitari oggetto di trattamento, può fare riferimento alla Guida pubblicata sul sito internet dell’Autorità Garante per la Privacy.

    -Non sussiste obbligo di segnalare ad autorità il possesso di una banca dati (cartacea o su computer) riguardante i propri pazienti.
    Il Medico non ha alcun obbligo di segnalazione ad eccezione del caso in cui tratti dati sanitari per sistematico uso a fini genetici (per esempio il medico genetista) o per esclusive finalità di procreazione medicalmente assistita (ma il caso riguarda le strutture sanitarie a ciò deputate e non i singoli medici). In tali ipotesi è necessaria la notificazione all’Autorità Garante per la Privacy.

    -L’agenda (elenco) telefonica e degli indirizzi.
    Non rientra nel concetto di “banca dati” l’agenda del medico che contenga indirizzi e numeri di telefono dei pazienti o dei collaboratori in quanto tali agende (cartacee o informatiche) sono dei semplici ausili all’attività del professionista e non assurgono al ruolo di “banca dati”.

    -In definitiva, è preferibile usare il cartaceo o il computer?
    E’ una scelta che dipende esclusivamente dalle modalità organizzative del singolo medico. Nessuno dei due sistemi è migliore dell’altro. Semplicemente se si lavora solo su carta, dovranno essere adottati alcuni accorgimenti; se si lavora col computer, altri.
    Si può solo dire che nella fase attuale di progresso tecnologico, l’uso del computer è sempre più utile e semplifica notevolmente il lavoro, purché ovviamente venga utilizzato con criterio e diligenza.

    -I diritti del paziente interessato alla comunicazione dei dati sanitari.
    Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha diritto ad ottenere copia di tutti i dati che lo riguardano.

    -Diritto alla cancellazione di tutti i dati sanitari di un paziente, il rapporto di cura non può proseguire.
    Evidentemente non è possibile proseguire il rapporto dinamico di cura senza la possibilità di conservare ed analizzare, da parte del clinico, i dati sanitari per i fini convenuti.
    Nell’informativa il medico fa presente che se il paziente si rifiuta di fornire al medico i dati sanitari necessari per instaurare il rapporto di cura questo non può aver luogo. Allo stesso modo, se il paziente chiede la cancellazione dei suoi dati è come se revocasse il consenso che originariamente aveva dato. Per cui il medico non può che prenderne atto, accogliere la richiesta del paziente e considerare terminato il rapporto di cura.

    -Il diritto di chiedere al medico una copia gli originali degli atti.
    Se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso.
    Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia.
    Il medico NON può, in nessun caso, opporsi a queste richieste del paziente.

    -Le richieste di accesso ai dati dai familiari o conoscenti.
    L’accesso ai dati è possibile solo se il paziente ha dato il suo consenso. Se è così, allora il medico è autorizzato a fornire i dati sanitari ai familiari o conoscenti individuati dal paziente stesso. Ma se non è così il medico non può rivelare alcunché a nessun soggetto diverso dal diretto interessato.
    Per evitare contestazioni, è opportuno che il medico si faccia indicare per iscritto chi sono i soggetti a cui acconsente che siano forniti dati e/o informazioni sul suo stato di salute.

    -La consegna di documenti sanitari (certificato medico, ricetta ecc.).
    La consegna dei documenti sanitari può essere adempiuta anche dal personale di segreteria, ma allora il documento sanitario deve sempre essere chiuso in una busta e spetterà al personale di segreteria identificare il soggetto che ritira la busta: se il diretto interessato o se un delegato. In quest’ultima ipotesi, dovrà acquisire la delega del diretto interessato.

    -Le buste chiuse contenenti i documenti sanitari.
    Le buste chiuse contenenti i documenti sanitari NON possono essere messe a disposizione dei pazienti per il ritiro, ad esempio in uno scaffale della sala d’attesa dello studio, perché così facendo non si sa chi è il soggetto che ritira la busta e potrebbe anche succedere che il paziente (magari anche in buona fede) ritiri una busta che non è la sua.
    Per evitare questi rischi di indebita conoscenza di dati sanitari da parte di terzi non autorizzati, una efficace misura di sicurezza, ad esempio, è inserire le buste in appositi schedari ubicati non nella sala d’attesa dello studio, bensì nello spazio dedicato alla segreteria. In questo modo l’identificazione del soggetto e la consegna della busta è mediata dal personale di segreteria, che deve attenersi alle regole di tutela della privacy sopra descritte.

    -I certificati di malattia per i dipendenti ai fini della giustificazione per il lavoro.
    I certificati di malattia per pazienti che sono lavoratori dipendenti devono essere redatti prioritariamente con la procedura telematica, nella quale è previsto che l’indicazione della diagnosi sia portata a conoscenza solo dell’INPS ma non del datore di lavoro.
    Ma anche per i certificati cartacei vale la stessa regola, e cioè che la diagnosi non deve essere portata a conoscenza del datore di lavoro.
    Fanno eccezione solo i lavoratori dipendenti delle Forze Armate, della Polizia di Stato e dei Vigili del Fuoco, perché in questi casi il datore di lavoro deve per legge essere a conoscenza del tipo di patologia sofferta dal militare. Ecco perché nei confronti di questi pazienti è tuttora obbligatorio il certificato cartaceo e non quello telematico.

    -Attestazioni e certificazioni dettagliate dello stato di salute.
    Il medico non può assolutamente rifiutarsi di certificare o attestare stati di malattia per motivi di privacy, utilizzando i dati personali del paziente per presentarle, ad esempio, al datore di lavoro per usufruire di permessi speciali.
    La decisione se rivelare al datore di lavoro certi dati inerenti lo stato di salute spetta al paziente, non al medico. Quindi se il paziente desidera ottenere dei permessi speciali e vuole giustificare questa richiesta con una certificazione medica dettagliata, il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico sindacare questa decisione del paziente. È, invece, buona pratica segnalare esplicitamente sull’attestazione la provenienza della richiesta dal paziente stesso.

    -I certificati di malattia per i bambini che frequentano la scuola.
    In caso di malattie infettive o diffusive, il medico è tenuto alla segnalazione, che però deve essere fatta alla ASL e non alla scuola.
    La scuola, quindi, non può pretendere alcun certificato di malattia dell’alunno, ma semmai solo un certificato per la riammissione a scuola, una volta superata la malattia.
    E’ evidente, quindi, che in questi casi il medico non deve mai indicare alcuna diagnosi nel certificato.

    -Certificazioni per i pazienti che non sono né lavoratori dipendenti né studenti.
    Allora si tratta di certificati di malattia che il paziente chiede per suoi motivi privati. In questi casi deve essere lo stesso paziente a chiedere al medico se indicare o meno la diagnosi sul certificato, tenendo conto dell’uso che egli ne vorrà fare.

    -Altri tipi di documenti che contengono dati sanitari di pazienti.
    Nella pratica medica i documenti possono assumere moltissime forme: si pensi ai documenti cartacei come le ricette, i certificati, le cartelle cliniche, le perizie, le relazioni e così via. Come sono altrettanti “documenti” anche i cd o le lastre della diagnostica per immagini.
    Quello che è importante ricordare è che la tutela della legge riguarda i “dati sanitari” indipendentemente del “supporto” che li ospita. Ma siccome il medico è tenuto a tutelare e proteggere la riservatezza dei dati sanitari, è evidente che i supporti che li contengono devono avere un adeguato sistema di protezione.

    -La richiesta di dati e informazioni sanitarie proveniente da un altro soggetto.
    In generale vale la regola per cui senza il consenso del diretto interessato, il medico non può comunicare niente a nessuno.
    Quindi, solo se c’è il consenso del paziente il medico può fornire dati e informazioni sanitarie ad altri soggetti, come ad esempio alla compagnia di assicurazione del paziente, al datore di lavoro del paziente, e così via.

    -I casi in cui il medico è autorizzato a comunicare a terzi i dati sanitari del paziente, in assenza del suo consenso.
    Tali casi sono previsti da specifiche norme di legge (nazionali o regionali). Per esempio nei casi in cui sussiste obbligo di referto, il medico è tenuto a segnalare all’autorità giudiziaria i dati in suo possesso anche senza il consento del diretto interessato. Oppure per la segnalazione di malattie infettive o diffusive.
    Così come i medici convenzionati (medici di famiglia e pediatri) sono tenuti a comunicare i dati degli assistiti alla ASL per motivi di controllo della spesa sanitaria.
    Esistono altre situazioni in cui il medico può derogare all’obbligo della riservatezza al di fuori di questi casi, in particolari casi in cui si renda necessario tutelare la salute di un terzo o della collettività, oppure di un minore, di un soggetto disabile o comunque di un soggetto in situazione di fragilità. Per esempio, se il medico ha in cura un paziente psichiatrico e vi è il rischio concreto e attuale che costui possa costituire un pericolo per l’incolumità di terzi o della collettività, deve segnalare il caso alle competenti autorità (servizi sociali e/o autorità giudiziaria). Oppure se il medico ha in cura un minore e constata che è oggetto di maltrattamenti o abusi, deve segnalare il caso alle medesime autorità.
    Si tratta di situazioni molto delicate, nelle quali il medico deve agire con la massima prudenza e attenzione, valutando caso per caso. Ma ricordando che il diritto alla privacy del paziente può essere superato se sussistono ragioni in cui prevale la necessità di tutelare interessi più rilevanti.

    -Il caso in cui l’autorità giudiziaria chieda di rendere testimonianza o di esibire documenti riguardanti un suo paziente.
    Il medico può sempre opporre il segreto professionale e rifiutarsi di rendere testimonianza o di esibire documenti.
    Tuttavia bisogna ricordare due cose importanti. La prima è che il segreto professionale è teso a proteggere il paziente, per cui potrebbe accadere che l’interesse del paziente sia tutelato in modo migliore rendendo testimonianza, piuttosto che non rendendola. In questi casi il medico, in coscienza, può ritenere opportuno rendere testimonianza perché così facendo rende un servizio migliore al suo assistito, piuttosto che restando in silenzio. La seconda cosa importante da ricordare è che se il medico oppone il segreto professionale, il giudice può comunque decidere che il segreto debba cedere alle superiori esigenze di giustizia e quindi ordinare al medico di deporre. In questi casi il medico non può più rifiutarsi e al contempo è liberato dall’obbligo del segreto, proprio perché vi è un ordine del giudice.

    -Il diritto alla privacy per il paziente defunto.
    Il decesso dell’assistito non esime il medico dal dovere di tutelarne la riservatezza.
    Bisogna però ricordare che gli eredi del defunto subentrano in tutti i diritti del deceduto, per cui nei confronti di costoro il medico non può opporre il segreto.
    Se, per esempio, il paziente aveva una polizza assicurativa sulla vita, una volta deceduto i dati sanitari di costui possono essere comunicati agli eredi e anche alla compagnia di assicurazione, visto che nel contratto assicurativo il paziente aveva autorizzato la compagnia ad accedere a tali atti al momento della sua morte.

    -Per quanto tempo il medico deve conservare i dati dei pazienti nel proprio studio?
    Per gli studi medici privati, a differenza degli ospedali e delle case di cura, non esiste una norma specifica che stabilisca la durata di conservazione degli atti sanitari.
    Vale la regola prevista dalla legge sulla privacy, secondo la quale i dati vanno conservati per il tempo necessario al perseguimento della finalità per cui sono stati raccolti. Tradotto nella prassi medica, significa che il medico deve conservare gli atti fin tanto che dura il rapporto di cura.
    Tuttavia bisogna ricordare che a norma del Codice Civile, i documenti amministrativi di un lavoratore autonomo devono essere conservati per almeno 10 anni.
    Per cui, in conclusione, il comportamento corretto del medico consiste nel conservare gli atti dei pazienti per tutta la durata del rapporto di cura e per i 10 anni successivi al termine di esso.
    Una volta decorso tale termine, gli atti possono essere distrutti, anche se sarebbe preferibile consegnarli ai pazienti diretti interessati, ove possibile.
    La conservazione degli atti per tutti questi anni può non essere agevole ma è possibile ovviare mediante la conservazione dei dati in forma elettronica, ricordandosi che l’archiviazione con firma digitale ha la stessa validità legale del cartaceo. Per cui se si opta per una archiviazione digitale si può evitare la preoccupazione di reperire spazi idonei a conservare il cartaceo.
    Il secondo aspetto da considerare è che potrebbero (anche solo come ipotesi teorica) insorgere contestazioni, vertenze o cause fra medico e paziente e se il medico non dispone più della documentazione clinica non ha nemmeno strumenti per dimostrare la correttezza del suo operato. Conservare i documenti, quindi, significa anche conservare le prove della propria correttezza professionale.

    -Cessazione dell’attività del medico e conservazione dei dati.
    La cessazione dell’attività corrisponde alla cessazione del rapporto di cura. Da quel momento decorre la conservazione per 10 anni.

    -“Distanze di cortesia” o sistemi di chiamata numerica nello studio medico.
    A differenza delle strutture sanitarie pubbliche o private, che sono locali aperti al pubblico e dove è obbligatorio adottare misure per la riservatezza dei pazienti, negli studi medici privati, che non sono locali aperti al pubblico, non è obbligatorio adottare simili accorgimenti.
    Tuttavia il medico (e il personale del suo studio) deve comunque rispettare la riservatezza dei pazienti, per cui vanno evitati tutti i comportamenti che possano essere poco rispettosi della privacy di ognuno. Sta al medico individuare, nel concreto, le modalità più idonee.

    -Divulgazione dei dati sanitari dei pazienti a mezzo telefono.
    Per i colloqui telefonici vale la stessa regola prevista per i colloqui di persona.
    Quindi al diretto interessato si può comunicare ogni informazione sanitaria, sia di persona che per telefono.
    Ai soggetti terzi, anche se familiari, la comunicazione (di persona o per telefono) è possibile solo con il consenso del diretto interessato.

    -Completezza dell’informazione.
    Al paziente bisogna dire sempre tutto riguardo al suo stato di salute, o è meglio essere generici?
    Il paziente ha diritto di sapere tutto sul suo stato di salute, senza nessun limite. Ovviamente, siccome il medico non è un burocrate, ma un professionista, deve aver cura di fornire le informazioni, soprattutto quando riguardano patologie serie, nel modo più consono ed appropriato, tenendo conto della personalità del paziente e rispettando la sua sensibilità.
    Per il MMG non è obbligatorio il “corso di aggiornamento” del medico e del personale.
    In proposito vale il principio sancito dal Codice Deontologico: le informazioni riguardanti prognosi gravi o infauste o tali da poter procurare preoccupazione e sofferenza alla persona, devono essere fornite con prudenza, usando terminologie non traumatizzanti e senza escludere elementi di speranza. La documentata volontà della persona assistita di non essere informata o di delegare ad altro soggetto l’informazione deve essere rispettata.

    -Consigli “finali” e considerazioni.
    Come già detto in precedenza, i medici sono i professionisti che più di tutti, per tradizione millenaria, hanno nel loro patrimonio etico e deontologico la tutela del segreto professionale e della riservatezza dei pazienti che hanno in cura.
    Questo valore deve essere mantenuto vivo e operante perché è alla base del rapporto fiduciario, in quanto nessun paziente riporrebbe la sua fiducia in un medico che divulgasse disordinatamente e a chiunque le informazioni che ha acquisito.
    Proseguendo, quindi, in questo “binario” etico e deontologico, il medico troverà sempre il modo per affrontare le varie e disparate situazioni in cui si trova ad operare, fondando il suo agire sulla propria coscienza, sensibilità e accortezza.

    Sentiti ringraziamenti all’OMCeO Firenze da cui è stata liberamente tratta questa breve guida.

    IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY

    MODELLO DI CONSENSO AL TRATTAMENTO DEI DATI SANITARI

    MODELLO DI LETTERA DI INCARICO AL CONSULENTE FISCALE

    MODELLO DI LETTERA DI INCARICO AL PERSONALE DI SEGRETERIA (INCARICATO AL TRATTAMENTO DEI DATI) 

Comments are closed.