Studio Medico Destefanis
 
 
 

La Privacy nello Studio

  
Norme per il rispetto della Privacy dei pazienti dello

 Studio Medico Destefanis

 

Premessa

L'entrata in vigore l'8 maggio 1997 della legge 675, in attuazione della Direttiva Europea 95/46, ha rappresentato una novità assoluta nel nostro paese. Garantendo un alto livello di tutela all'interesse della persona a vedere difesa la propria sfera di riservatezza ed introducendo per la prima volta un quadro normativo organico, la nuova disciplina ha trovato il suo cardine nel riconoscere ai cittadini il diritto di accesso alle banche dati e di rettifica, integrazione e cancellazione dei propri dati in esse contenuti, nonché di opposizione alla loro utilizzazione per motivi legittimi. In campo sanitario la legge è venuta ad integrarsi con le norme storiche del Codice Deontologico dei Medici che prevedono da sempre la tutela della privacy del paziente mediante il Segreto Professionale. Dopo 7 anni di rodaggio tutta la normativa è stata rivista e dal 1° gennaio 2004 è entrato in vigore in Italia il “Codice in materia di protezione dei dati personali” (Decreto legislativo n. 196 del 30/6/2003) che riforma interamente la disciplina sulla privacy.
 

Definizioni

Soggetto Interessato

"la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali"

Esempio pratico: i pazienti dello studio

Dato personale

"qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale"

Esempio pratico: l'indirizzo, il numero di telefono, il codice fiscale, e tutti i dati personali dei pazienti dello studio contenuti nell'archivio informatico dello Studio - alcune di queste informazioni vengono definite "dato sensibile".

Dato sensibile

"dato personale idoneo a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale"

Esempio pratico: i referti degli esami di laboratorio, degli accertamenti strumentali, delle visite specialistiche effettuati dai pazienti dello studio e contenuti nell'archivio informatico dello Studio.

Banca dati

"qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento"

Esempio pratico: l'insieme dei dati sopra citati contenuti nell'archivio informatico dello Studio.

Trattamento

"qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati"

Esempio pratico: l'insieme delle varie operazioni che il Medico effettua con i dati dei pazienti.

Titolare

"la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali"

Esempio pratico: i Medici dello Studio che operano in associazione e prendono le decisioni in merito alle operazioni da effettuare sull'archivio dei dati e sulle modalità di protezione dello stesso.

Responsabile

"la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali"

Esempio pratico: il responsabile dello Studio (Dott. Antonio Farese) che ha il compito di sovraintendere alle procedure di trattamento e di sicurezza dei dati dei pazienti.

Comunicazione

"il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione"

Esempio pratico: comunicare informazioni sullo stato di salute di un paziente ad altre persone: un parente, un amico (comunicazione a soggetto determinato e identificabile)

Diffusione

"dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione"

Esempio pratico: comunicare informazioni sullo stato di salute di un paziente per mezzo di sistemi di diffusione (lettere, volantini, locandine, internet, ecc.) (comunicazione a soggetti indeterminati e non  identificabili)

Dato anonimo

"il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile"

Esempio pratico: dati clinici di un paziente privi del nome o di altri elementi, anche le iniziali, che possono ricondurre all'identificazione della persona interessata.

Blocco dei dati

"la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento"

Esempio pratico: dati clinici di un paziente non più assistito da Medici dello Studio (per esempio perchè trasferito) che vengono conservati ma su cui non viene svolta alcuna altra operazione.
 

Adempimenti dello Studio
Alcuni adempimenti inizialmente previsti anche per gli studi dei Medici di Medicina Generale sono stati abrogati per questi ultimi:
  • Medici di Medicina Generale e Pediatri di libera scelta sono esonerati dall'obbligo di notifica dei dati al Garante per la privacy
  • Viene mantenuta la possibilità di chiamare i pazienti in sala d'attesa per nome
  • I dati del paziente devono essere criptati sulla ricetta solo su esplicita richiesta dell'interessato (mediante applicazione di apposita etichetta coprente)
  • Il termine del 30 settembre per la raccolta del consenso informato da parte di ogni singolo paziente è abrogato (viene riconosciuto il diritto al consenso verbale)

 

I Medici di Medicina Generale operano nello Studio in regime di Medicina di Gruppo con gestione in rete locale delle cartelle cliniche dei pazienti. In adempimento a quanto previsto dalla normativa vigente hanno quindi nominato in data 26 Gennaio 2005 il Dott. Antonio Farese quale Responsabile del Trattamento dei Dati. In questa veste il Dott. Farese ha provveduto alla compilazione del Documento Programmatico sulla Sicurezza (DPS) che prevede i seguenti punti:

  • Tutti i dati dei pazienti sono contenuti in un  unico archivio informatico contenuto nel computer che svolge il servizio di server per la rete dati locale dello studio.
  • Questo computer si trova in una stanza dello Studio protetta da serratura e all'interno di un armadio a sua volta protetto da altra serratura.
  • Il Computer è protetto da una password di accensione (gestita dal BIOS) e da una password del sistema operativo (Windows XP) che sono conosciute solo dal Responsabile del Trattamento dei Dati che provvede all'accensione e manutenzione del computer stesso. In sua assenza queste funzioni vengono delegate provvisoriamente ad altro Medico dello Studio per il tempo strettamente necessario. Le password sono composte da almeno 8 caratteri contenenti sia numeri che lettere.
  • Il computer è collegato per l'accesso ad internet mediante cavo a fibra ottica ed è protetto da FIREWALL che viene aggiornato periodicamente con le patch del produttore.
  • Il Computer è protetto da ANTIVIRUS il cui aggiornamento avviene quotidiamente mediante collegamento on-line al sito del produttore.
  • Il server utilizza un sistema di salvataggio dei dati tipo "RAID MIRROR" su Hard Disk (in pratica il server dispone di due Hard Disk gemelli e speculari su cui venogno svolte in simultanea tutte le operazioni; in caso di rottura di uno dei due, l'altro è perfettamente in grado di consentire il funzionamento del computer e il ripristino dei dati).
  • Ogni mese i dati contenuti sul server vengono salvati su CD ROM e custoditi in mobiletto chiuso a chiave.
  • Tutti gli altri computer dello studio collegati in rete sono protetti da doppia password: una per accensione del computer (gestita dal BIOS) e una per avviare il sistema operativo (Windows). Le password sono personali e a conoscenza dei soli Medici ed operatori (Segretarie, Infermiere) che materialmente utilizzano quel computer.
  • Da tutti i computer dello Studio è possibile consultare le cartelle cliniche dei pazienti collegandosi con il server centrale. Per effettuare il collegamento è necessario inserire USER ID e PASSWORD che sono personali ed esclusive per ciascun Medico. Gli altri operatori (Segretarie e Infermiere) possono effettuare il collegamento con la propria USER ID e PASSWORD, ma hanno una restrizione nell'accesso alla scheda dei pazienti che consente loro di visionare solo ed esclusivamente i dati strettamente necessari alle loro mansioni.
  • Il Server e la maggior parte dei computer dello Studio sono protetti dagli sbalzi di tensione e dai black-out mediante gruppi di continuità.
  • Tutti i Computer dello Studio, ad eccezione di quello delle Segretarie, si trovano in stanze chiuse a chiave.
  • I locali dello Studio sono protetti da intrusioni tramite idoneee doppie serrature nelle porte di accesso e copertura con sistema di allarme.

© SMD - Ultima mod. 15 Marzo 2006
 

""