Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

la normativa

GDPR, che cambia per il medico di famiglia: i nodi della privacy

L’entrata in vigore del GDPR pone una serie di questioni relative al trattamento di dati personali e sanitari da parte del medico di famiglia. Dall’informativa all’acquisizione del consenso, passando dall’obbligo di designare il DPO, ecco come interviene la nuova normativa su questo settore e i nodi che restano irrisolti

09 Lug 2018

Paolo Misericordia

responsabile dell’Area ICT della FIMMG


Il settore sanitario è senza dubbio uno degli  ambiti maggiormente interessati dal nuovo Regolamento europeo sul trattamento dei dati personali (GDPR – General Data Protection Regulation), entrato pienamente in vigore il 25 maggio.

In particolare sono coinvolti dagli adempimenti a queste nuove norme i medici, i quali stabiliscono con i pazienti una relazione centrata sulle informazioni e i dati che gli stessi pazienti forniscono ai medici.

Uno degli elementi che rende complesso e per molti versi inevitabile l’intervento del legislatore su questi temi, è la presenza dell’informatica che, attraverso le sue molteplici applicazioni, è in grado di archiviare, gestire, manutenere, corrispondere dati personali e sanitari, con grande efficacia, utilizzando modalità oramai affermate, diventate in poco tempo consuete e addirittura scontate. L’elevata capacità dei sistemi di amministrare e di accedere a elevatissime moli di informazioni sensibili, crea pertanto i presupposti per interventi regolatori orientati a tutelare le riservatezze e le proprietà dei dati e a minimizzare il rischio di loro diffusioni non autorizzate.

Il GDPR e il medico di famiglia

Per più motivi, tra le figure più esposte su questo fronte c’è quella del medico di famiglia, un professionista che costituisce, per il paziente, il primo collettore della raccolta di dati sensibili, accumulati nel tempo sulla base di relazioni quasi sempre ultradecennali. In Italia, poi, dove il medico di medicina generale è stata la figura del SSN che prima ha adottato l’uso dell’informatica, i database della medicina di famiglia contengono storie lunghe e dense di notizie. Sul medico di famiglia si centrano inoltre le attenzioni dei tanti sistemi che a lui attribuiscono un ruolo centrale dell’assistenza, e quindi della gestione e condivisione dei dati del paziente provenienti da altre fonti.

Con queste premesse l’obbligo al segreto professionale, pilastro della professione e della relazione medico-paziente, pur rimanendo imprescindibile, diventa adesso insufficiente a garantire la sicurezza e la preservazione di informazioni tanto delicate. Norme più complesse devono oramai governare una realtà che enormemente complessa è diventata.

E allora, come interviene il GDPR su questo settore? Quali sono le questioni che prevalentemente affronta e quali invece lascia sostanzialmente irrisolte? Quali sono, poi, gli aspetti che non riesce completamente a dirimere, in assenza, tra l’altro, di un decreto attuativo la cui pubblicazione è slittata a fine estate?

Il GDPR, come sappiamo, verte sui princìpi di responsabilizzazione dei titolari dei dati che sono chiamati ad adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate alla applicazione del Regolamento. Il GDPR prevede l’obbligo di procedere, in piena autonomia, ad una valutazione di impatto sulla sicurezza dei dati nella propria attività e di tenere un registro delle operazioni di trattamento, da rendere disponibile per eventuali supervisioni da parte del Garante, ma anche per avere un quadro aggiornato delle misure adottate.

Informativa e acquisizione del consenso

Uno degli aspetti su cui il GDPR focalizza maggiormente l’attenzione è quello dell’informativa e dell’acquisizione del consenso al trattamento dei dati. L’informativa deve specificare la base giuridica del trattamento, qual è il suo interesse legittimo, i soggetti che condividono queste informazioni e le modalità con cui i dati vengono gestiti, conservati e per quanto tempo è previsto che questo debba avvenire. L’informativa deve essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile; può essere fornita per iscritto o in formato elettronico. Non è prescritto invece che il consenso debba necessariamente essere documentato per iscritto, anche se è precisato che deve essere “esplicito” e “inequivocabile”. E qui subentrano le prime difficoltà interpretative, anche alla luce della mancata pubblicazione del decreto attuativo del Regolamento e la conseguente mancata abrogazione del Codice in materia di protezione dei dati personali del 30 giugno 2003. In quest’ultimo viene infatti prevista una modalità semplificata per acquisire il consenso da parte del medico di medicina generale e pediatra di libera scelta, attraverso la sua registrazione con una biffatura su un campo elettronico della cartella sanitaria del paziente.

Bisognerebbe avere certezze se tale modalità può considerarsi attualmente adeguata, avendola il MMG utilizzata fino ad ora per i propri assistiti, dopo avere acquisito il consenso a seguito di un dettagliato aggiornamento, secondo le nuove raccomandazioni, di informative affisse in sala d’attesa e/o direttamente erogate e distribuite ai pazienti.

In realtà un approccio “realistico” al problema, è stato ventilato sulla base del nuovo GDPR, prendendo in considerazione il fatto che il paziente nel momento in cui si riferisce al medico è scontato che debba condividere con lo stesso dati sensibili e il consenso al loro trattamento apparterrebbe implicitamente alla particolare tipologia della relazione. Ci si chiede ora se anche per il MMG può essere esteso lo stesso principio, alla luce del fatto però che lo stesso medico, nella sua attività, è tenuto all’invio di tanti dati sensibili ad altri soggetti: accade quotidianamente per l’invio di ricette dematerializzate, su server remoti di cui lo stesso medico ignora le delocalizzazioni, le possibilità di accesso, l’identità dei soggetti a questo autorizzati, dovendosi fidare ciecamente di un intero “sistema” che poco conosce e certamente non governa.

Le criticità

Non solo: deve anche fidarsi (per lo meno sino ad ora così è stato) che tutti i sistemi di cui è dotato, dedicati a questi trasferimenti dei dati (i software di cartella ambulatoriale, i vari portali online dei diversi istituti di tutela e così via), agiscano secondo norma, collocando queste informazioni “cristallizzate” nel loro formato elettronico dal processo di autenticazione (peraltro “debole”, in genere user name e password, che si riducono ad una singola password del gestionale) del medico, sugli effettivi repository di destinazione.

In altri termini, il medico dovrebbe richiedere il consenso (che sinora non ha avuto) al paziente per inviare i suoi dati in percorsi che non conosce e di cui non è in grado di garantire completamente la liceità; senza sapere, inoltre, che dovrebbe accadere per il paziente che non desidera e quindi non autorizza l’invio di una propria ricetta/diagnosi a Sogei, il braccio informatico del MEF. Quello dell’acquisizione del consenso è una questione che interessa i medici di famiglia anche per situazioni nelle quali vengono coinvolti per richiedere il consenso alla attivazione del FSE avvalendosi del favorevole rapporto fiduciario stabilito negli anni con l’assistito.

Medicina generale e DPO

Altro aspetto oggetto di differenti livelli interpretativi è quello relativo alla designazione del DPO (Data Protection Officier), una figura professionale destinata a svolgere un ruolo di referente per le istanze della protezione dei dati. Nonostante alcuni tentativi da parte delle istituzioni europee (conclusioni del gruppo di lavoro ex articolo 29) di individuare i casi in cui tale obbligo scatterebbe, rimangono forti dubbi se la maggior parte dei MMG (quelli che operano in forme aggregative che oramai rappresentano la grande maggioranza della professione) sono tenuti a dotarsi di questa figura. Il concetto del trattamento di dati in “larga scala”, che costituirebbe il cut-off per definire l’obbligo o meno per disporre di tale dotazione, è evidentemente troppo aleatorio: le tante diverse interpretazioni che sono state date ne sono la conferma più evidente.

Le questioni non risolte dal GDPR

Sappiamo come si stia imponendo all’attenzione di tutti il fenomeno degli elevati tassi di pensionamento dei medici. Con la pensione, il medico che cessa l’attività, lascia un database ambulatoriale pieno di dati clinico-assistenziali che, in assenza di una policy definita, difficilmente potranno essere riutilizzati. Non esistono infatti procedure per gestire il database del medico che abbandona più o meno improvvisamente l’attività, per pensionamento o per altro motivo. La conseguenza è la perdita, per l’assistito, di dati che riguardano le storie sanitarie di una vita; per il medico che subentra la stessa impossibilità di giovarsene. Le soluzioni estemporanee che vengono “normalmente” adottate, anche se sono efficaci per gestire “al meglio” una situazione non altrimenti normata, sono applicate in deroga palese a qualsiasi regola e principio.

Sono tutti aspetti appartenenti alla specificità della professione, che non vengono affrontati nel GDPR e che lo stesso GDPR, pertanto, non risolve. Dovranno essere presi in considerazione attraverso riflessioni dapprima condotte nello stesso ambito professionale, in modo tale da produrre, proprio su questi temi, un codice di condotta.

D’altronde è il Garante che individua nel codice di condotta, previsto tra l’altro dal nuovo Regolamento, uno strumento attraverso cui tutti i soggetti che fanno parte di un unico contesto di trattamento, come il settore sanitario, possono definire dal basso delle regole per far sì che tutto ciò che viene fatto sia conforme alle previsioni del Regolamento. Le autorità di protezione dei dati hanno il ruolo di incoraggiarne l’adozione, valutare le proposte che provengono dalle associazioni coinvolte e, qualora giudicate congrue con la cornice regolatoria del GDPR, approvarle e promuoverle.

Articolo 1 di 4