La gestione dei dati sanitari ad un anno dal GDPR

Home » Blog » La gestione dei dati sanitari ad un anno dal GDPR
  • gestione dei dati sanitari

La gestione dei dati sanitari ad un anno dal GDPR

E’ già trascorso un anno da quando il GDPR ( Regolamento generale europeo per la protezione dei dati) è entrato in vigore e studi medici, centri medici e poliambulatori hanno dovuto regolarizzare la gestione dei dati sanitari per la tutela della privacy dei pazienti.

Dal 25 maggio 2019 il periodo di tolleranza per l’adeguamento è terminato e si rischia di incorrere nei provvedimenti correttivi e sanzionatori previsti dal regolamento in caso di inadeguatezza tenendo conto della natura e gravità delle violazioni, della rilevanza del pregiudizio e dal numero degli interessati.

Cosa si intende per trattamento dei dati? 

Trattamento di dati è ogni operazione di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati, anche se non registrati in una banca di dati, sia che si utilizzi il computer, sia che si lavori su carta.

I primi numeri

Come primo bilancio, la Commissione Europea ha reso pubblico un Eurobarometro a proposito della consapevolezza dei paesi europei sull’esistenza del GDPR.

I risultati ottenuti dall’osservazione sono positivi in quanto il 67% della popolazione è a conoscenza del GDPR di cui il 57% sa che vi è un Garante nel proprio Stato, che ha il compito di tutelare la protezione dei dati personali, e solo il 20 % ne conosce il nome.

Secondo il primo bilancio della Commissione europea in Italia solo il 49% dei cittadini è informato sul modo in cui vengono gestiti i propri dati personali.

Da Maggio 2018 ad oggi si registrano 144.376.000 domande e reclami rivolti a tutte le autorità di protezione dei dati e 89.271.000 violazioni dei dati sono state notificate.

Trattandosi di un regolamento UE il GDPR è direttamente applicabile a tutti gli stati membri pur richiedendo un adattamento alla legislazione del Paese. Ad oggi 25 stati membri hanno adottato il GDPR e solo 3 sono ancora in fase di valutazione (Grecia, Slovenia e Portogallo).

Dati abbastanza positivi che confermano l’idea di come la protezione dei dati contribuisca a far crescere la fiducia delle persone per la gestione dei dati personali anche nella gestione dei dati sanitari.

Come si devono gestire i dati sanitari e gestione della privacy in ambito sanitario: aggiornamento al 7 marzo 2019

Anche dottori, medici e poliambulatori in questo anno hanno dovuto adattarsi al GDPR per la gestione dei dati personali sanitari dei pazienti. In particolar modo il Garante per la protezione dei dati personali il 7 marzo 2019 ha fornito nuovi chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario7 marzo 2019 [9091942]. 

Prima di vedere quali sono i chiarimenti introdotti, vediamo una panoramica degli adempimenti obbligatori rispetto alle norme del Regolamento Europeo:

– identificare i soggetti interessati al trattamento dei dati: è necessario identificare quali sono i soggetti di cui stiamo trattando i dati: es. pazienti, collaboratori, fornitori, ecc.;

– predisporre un’adeguata informativa: scritta con linguaggio semplice e chiaro da rendere nota al paziente anticipatamente rispetto al trattamento dei dati da redigere in forma concisa, trasparente, intellegibile e facilmente accessibile;

– raccogliere il consenso (se necessario): i medici possono trattare i dati dei pazienti, per finalità di cura, senza dover chiedere il consenso. In caso contrario il consenso torna ad essere necessario (vedi approfondimento più sotto);

– istituire il Registro dei trattamenti dei dati: si tratta di un documento tenuto in forma libera e conservato dove il professionista svolge l’attività.
in cui esplicitare chiaramente da chi e come saranno trattati i dati, dall’informativa all’archiviazione, è un documento che può essere necessario esibire agli organi di controllo in caso di verifiche o accertamenti;

– elaborare procedure per fronteggiare le ipotesi di violazione della privacy.

Alcune specifiche: 

E’ stato specificato chi ha il dovere di richiedere il consenso esplicito per il trattamento dei dati: “trattamenti connessi all’utilizzo di app mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità(1))”. Nonché si “impone ai titolari di informare l’interessato sui principali elementi del trattamento, al fine di renderli consapevoli sulle principali caratteristiche dello stesso.”

Invece, per quanto riguarda le informazioni relative al RPD (Responsabile della protezione dei dati) si ricorda che il “ singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività”.

Diverso è per il registro delle attività di trattamento che “in coerenza con la circostanza che il registro delle attività del trattamento costituisce uno strumento di accountability e di gestione del rischio. Per le suddette ragioni, si ritiene, quindi, che non ricadono nelle ipotesi di esenzione dall’obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche”.

Per una consultazione veloce sui chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019 ti consigliamo questa infografica.

I software medici gestionali sono adeguati al GDPR?

Il modo più consono e sicuro per la gestione e conservazione dei dati personali dei pazienti a norma è quello di affidarsi ad una digitalizzazione dei dati sanitari con software medici idonei al GDPR.

ArzaMed è un’applicazione medica che consente di gestire i dati personali e sensibili dei pazienti in conformità con il GDPR nel rispetto della legge per la gestione dei dati sanitari.

La privacy dei pazienti è tutelata grazie a diversi disposizioni interne ed esterne, per esempio: gestione del consenso dei dati, tecnologia cifrata, aggiornamento ed eliminazione definitiva dei dati del paziente. Inoltre, è disponibile un codice univoco per l’identificazione del paziente attraverso un processo di anonimizzazione. Nonché tutte le comunicazioni, di dati personali e sanitari, e i documenti inviati per e-mail con ArzaMed ai pazienti sono controllati attraverso un sistema di crittografia https e password garantendo una sicurezza maggiore della privacy.

Lo stesso accesso alle informazioni presenti nel software medico è profilata grazie ad un’autenticazione personale e nominativa a due fattori per ruoli utente e mansioni. Inoltre, tutte le azioni compiute dagli utenti sono tracciabili tramite geocalizzazione degli accessi al software mediante IP. Quotidianamente i dati sanitari del paziente sono archiviati automaticamente e geo-replicati tra due data center per garantire sicurezza ed operatività con backup completi.

La manutenzione sui server del software medico ArzaMed avviene settimanalmente con aggiornamenti per evitare bug e vulnerabilità.

Per chi ancora non si è adeguato al GDPR oppure necessità di una consulenza specializzata, ArzaMed offre un servizio ad hoc: GDPR Check Up.


Adegua la gestione dei dati sanitari dei tuo pazienti con ArzaMed e richiedi una DEMO personalizzata

By | 2019-10-24T15:14:28+01:00 04/06/2019|Blog, Sanità Digitale|