Studio Medico Destefanis

 
 
 

La Privacy nello Studio

 
Norme per il rispetto della Privacy dei pazienti dello

 Studio Medico Destefanis

 

Premessa

L'entrata in vigore l'8 maggio 1997 della legge 675, in attuazione della Direttiva Europea 95/46, ha rappresentato una novità assoluta nel nostro paese. Garantendo un alto livello di tutela all'interesse della persona a vedere difesa la propria sfera di riservatezza ed introducendo per la prima volta un quadro normativo organico, la nuova disciplina ha trovato il suo cardine nel riconoscere ai cittadini il diritto di accesso alle banche dati e di rettifica, integrazione e cancellazione dei propri dati in esse contenuti, nonché di opposizione alla loro utilizzazione per motivi legittimi. In campo sanitario la legge è venuta ad integrarsi con le norme storiche del Codice Deontologico dei Medici che prevedono da sempre la tutela della privacy del paziente mediante il Segreto Professionale. Dopo 7 anni di rodaggio tutta la normativa è stata rivista e dal 1° gennaio 2004 è entrato in vigore in Italia il “Codice in materia di protezione dei dati personali” (Decreto legislativo n. 196 del 30/6/2003) che riforma interamente la disciplina sulla privacy.

 

Definizioni

Soggetto Interessato

"la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali"

Esempio pratico: i pazienti dello studio

Dato personale

"qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale"

Esempio pratico: l'indirizzo, il numero di telefono, il codice fiscale, e tutti i dati personali dei pazienti dello studio contenuti nell'archivio informatico dello Studio - alcune di queste informazioni vengono definite "dato sensibile".

Dato sensibile

"dato personale idoneo a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale"

Esempio pratico: i referti degli esami di laboratorio, degli accertamenti strumentali, delle visite specialistiche effettuati dai pazienti dello studio e contenuti nell'archivio informatico dello Studio.

Banca dati

"qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento"

Esempio pratico: l'insieme dei dati sopra citati contenuti nell'archivio informatico dello Studio.

Trattamento

"qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati"

Esempio pratico: l'insieme delle varie operazioni che il Medico effettua con i dati dei pazienti.

Titolare

"la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali"

Esempio pratico: i Medici dello Studio che operano in associazione e prendono le decisioni in merito alle operazioni da effettuare sull'archivio dei dati e sulle modalità di protezione dello stesso.

Responsabile

"la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali"

Esempio pratico: il responsabile dello Studio (Dott. Antonio Farese) che ha il compito di sovraintendere alle procedure di trattamento e di sicurezza dei dati dei pazienti.

Comunicazione

"il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione"

Esempio pratico: comunicare informazioni sullo stato di salute di un paziente ad altre persone: un parente, un amico (comunicazione a soggetto determinato e identificabile)

Diffusione

"dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione"

Esempio pratico: comunicare informazioni sullo stato di salute di un paziente per mezzo di sistemi di diffusione (lettere, volantini, locandine, internet, ecc.) (comunicazione a soggetti indeterminati e non  identificabili)

Dato anonimo

"il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile"

Esempio pratico: dati clinici di un paziente privi del nome o di altri elementi, anche le iniziali, che possono ricondurre all'identificazione della persona interessata.

Blocco dei dati

"la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento"

Esempio pratico: dati clinici di un paziente non più assistito da Medici dello Studio (per esempio perchè trasferito) che vengono conservati ma su cui non viene svolta alcuna altra operazione.

 

Adempimenti dello Studio

Alcuni adempimenti inizialmente previsti anche per gli studi dei Medici di Medicina Generale sono stati abrogati per questi ultimi:
  • Medici di Medicina Generale e Pediatri di libera scelta sono esonerati dall'obbligo di notifica dei dati al Garante per la privacy
  • Viene mantenuta la possibilità di chiamare i pazienti in sala d'attesa per nome
  • I dati del paziente devono essere criptati sulla ricetta solo su esplicita richiesta dell'interessato (mediante applicazione di apposita etichetta coprente)
  • L'obbligo di raccolta del consenso informato scritto per ogni singolo paziente è stato abrogato dal Garante per la Protezione dei Dati Personali con nota n.16622 del 2 Agosto 2006, che ha stabilito per i Medici di Medicina Generale la possibilità di raccogliere il consenso verbale per il trattamento dei dati, previa affissione in sala d'attesa di un cartello il cui contenuto riportiamo di seguito:

Gentili Signori,

desidero informarvi che i vostri dati sono utilizzati solo per svolgere attività necessarie per prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni da voi richieste, farmaceutiche e specialistiche.

Si tratta dei dati forniti da voi stessi o che sono acquisiti altrove, ma con il vostro consenso, ad esempio in caso di ricovero o di risultati di esami clinici.

Anche in caso di uso di Computer, adotto misure di protezione per garantire la conservazione e l’uso corretto dei dati anche da parte dei miei collaboratori, nel rispetto del segreto professionale. Sono tenuti a queste cautele anche i collaboratori (segretaria, infermiere) , i professionisti (il sostituto, il farmacista, lo specialista) e le strutture che possono conoscerli.

I dati NON sono comunicati a terzi, tranne quando sia necessario o previsto dalla legge.

Si possono fornire informazioni sullo stato di salute a familiari e conoscenti SOLO su vostra indicazione.

In qualunque momento potrete conoscere i dati che vi riguardano, sapere come sono stati acquisiti, verificare se sono esatti, completi, aggiornati e ben custoditi, e far valere i vostri diritti al riguardo.

Per attività più delicate da svolgere nel vostro interesse, sarà mia cura informarvi in modo più preciso.

Il vostro Medico

 

 

I Medici di Medicina Generale operano nello Studio in regime di Medicina di Gruppo con gestione in rete locale delle cartelle cliniche dei pazienti. Dal 2005 al 2012, in base alla normativa dell'epoca, il Dott. Antonio Farese  ha rivestito il ruolo di Responsabile del Trattamento dei Dati e ha provveduto alla compilazione del Documento Programmatico sulla Sicurezza (DPS). Tale documento è stato abolito con il Decreto Semplificazioni (D.L. 09/02/2012) poi convertito dalla Legge n.35 del 04/04/12 (Disposizioni urgenti in materia di semplificazione e di sviluppo).

Allo stato attuale gli obblighi dei Medici dello Studio rientrano quindi in quanto previsto dal Decreto legislativo n. 196, in particolare gli articoli 31 (Obblighi di sicurezza) e 34 (Trattamenti a mezzo elaboratore elettronico) della parte generale e gli articoli del Titolo V (Trattamento in ambito sanitario) dal 75 al 94.

Questi sono i provvedimenti presi per la gestione dati sensibili nello studio:

  • Tutti i dati dei pazienti sono contenuti in un  unico archivio informatico contenuto nel computer che svolge il servizio di server per la rete dati locale dello studio.
  • Questo computer si trova in una stanza dello Studio protetta da serratura e all'interno di un armadio a sua volta protetto da altra serratura.
  • Il Computer è protetto da una password di accensione (gestita dal BIOS) e da una password del sistema operativo (Windows 7) che sono conosciute solo dal Responsabile del Trattamento dei Dati che provvede all'accensione e manutenzione del computer stesso. In sua assenza queste funzioni vengono delegate provvisoriamente ad altro Medico dello Studio per il tempo strettamente necessario. Le password sono composte da almeno 8 caratteri contenenti sia numeri che lettere.
  • Il computer è collegato per l'accesso ad internet mediante cavo a fibra ottica ed è protetto da FIREWALL
  • Il Computer è protetto da ANTIVIRUS il cui aggiornamento avviene quotidianamente mediante collegamento on-line al sito del produttore.
  • Il server utilizza un sistema di salvataggio dei dati tipo "RAID MIRROR" su Hard Disk (in pratica il server dispone di due Hard Disk gemelli e speculari su cui vengono svolte in simultanea tutte le operazioni; in caso di rottura di uno dei due, l'altro è perfettamente in grado di consentire il funzionamento del computer e il ripristino dei dati).
  • I dati contenuti relativi alle cartelle cliniche dei pazienti vengono salvati giornalmente e automaticamente dal programma di gestione (Millewin) su Hard Disk diverso da quello che ospita il sistema operativo.
  • Tutti gli altri computer dello studio collegati in rete sono protetti da doppia password: una per accensione del computer (gestita dal BIOS) e una per avviare il sistema operativo (Windows). Le password sono personali e a conoscenza dei soli Medici ed operatori (Segretarie, Infermiere) che materialmente utilizzano quel computer.
  • Da tutti i computer dello Studio è possibile consultare le cartelle cliniche dei pazienti collegandosi con il server centrale. Per effettuare il collegamento è necessario inserire USER ID e PASSWORD che sono personali ed esclusive per ciascun Medico. Gli altri operatori (Segretarie e Infermiere) possono effettuare il collegamento con la propria USER ID e PASSWORD, ma hanno una restrizione nell'accesso alla scheda dei pazienti che consente loro di visionare solo ed esclusivamente i dati strettamente necessari alle loro mansioni.
  • Il Server e i computer dello Studio sono protetti dagli sbalzi di tensione e dai black-out mediante gruppi di continuità.
  • Tutti i Computer dello Studio, ad eccezione di quello delle Segretarie, si trovano in stanze chiuse a chiave.
  • I locali dello Studio sono protetti da intrusioni tramite idoneee doppie serrature nelle porte di accesso e sistema di allarme.

© SMD - Ultima mod. 13 Marzo 2018

 

""