Medici e GDPR: occorre una cura

‍Il GDPR (General Data Protection Regulation) verte sui principi di responsabilizzazione dei titolari dei dati, obbligandoli ad adottare comportamenti proattivi a tutela di questi.

I medici sono tra i soggetti maggiormente coinvolti dal Nuovo Regolamento perché instaurano con i propri pazienti relazioni durature basate su ricezione di grandi quantità di dati personali soprattutto di categorie particolari..

‍Il segreto professionale, per quanto imprescindibile, non è più sufficiente a garantire e tutelare la sicurezza di queste delicate informazioni.4

Medico competente in azienda: cosa dice il GDPR

L’articolato rapporto tra medici e GDPR aumenta di complessità quando si tratta del medico competente nominato dal datore di lavoro o dal dirigente.

Il progresso tecnologico, scientifico e culturale consente però l’adozione di soluzioni organizzative e tecniche per archiviare, gestire, trasmettere e conservare dati personali e sanitari con grande efficacia garantendo che i diritti alla salute e alla sicurezza siano rispettati dal datore di lavoro e dal dirigente.

Per disegnare i propri processi e le proprie attività da far eseguire ai lavoratori, il datore di lavoro che deve assicurare salute e sicurezza ha bisogno di informazioni esatte e pertinenti riguardo la salute psico-fisica dei suoi dipendenti.

D’altro canto, i lavoratori devono prendersi cura della propria salute e sicurezza, sottoponendosi a controlli sanitari previsti per legge o disposti dal medico competente inclusi nella sorveglianza sanitaria.

‍La figura del medico competente è fondamentale proprio perché svolge in prima persona la sorveglianza sanitaria, ma anche per servizi di prevenzione e protezione alla valutazione dei rischi.

I tre dubbi dell’applicazione del GDPR

L’applicazione del GDPR nell’ambito sanitario è tanto importante quanto attualmente incompleta e scivolosa.

Se tante dinamiche sono state regolamentate nel pieno rispetto del nuovo Regolamento, altrettante situazioni lasciano spazio ad ambiguità e interpretazioni.

‍La complessità e l’importanza di questa tematica rende difficile una risoluzione ottimale e completa, ma trovare risposta a questi 3 dubbi rappresenterebbe un importante passo avanti.

1. Il ruolo del medico competente in azienda

A generare la base per il primo grande dubbio è la quantificazione precisa di “larga scala” come requisito obbligatorio per la designazione del Data Protection Officer (DPO), il responsabile della protezione dei dati.

Questa aleatoria indicazione conduce al bivio: il medico competente svolge il ruolo di responsabile oppure è il titolare del trattamento?

‍Chi sostiene la prima tesi fa affidamento soprattutto su questi 3 dettagli:

1. Il medico competente è nominato dal datore di lavoro o da un dirigente. 
2. I compiti sono definiti dalla normativa, dal contratto e dalle istruzioni. 
3. Gli obblighi non vengono decisi in autonomia dal medico
   

A ritenere invece il medico competente titolare del trattamento c’è l’Autorità di controllo Italiana che in risposta a un quesito posto dalla Società Italiana di Medicina del Lavoro ha qualificato il medico come autonomo titolare con tutti gli oneri che la normativa impone.

Tesi supportata anche dall’Autorità Garante Inglese che evidenzia come l’attività del medico sia basata sulla riservatezza e sul rispetto delle prescrizioni legislative.

2. Il consenso al trattamento

Il GDPR pone grande attenzione in merito all’informativa dell’acquisizione del consenso al trattamento dei dati che deve contenere la base giuridica del trattamento, l’eventuale interesse legittimo, i soggetti che condividono queste informazioni, le modalità con cui vengono gestite, conservate e per quanto tempo.

Il consenso non deve essere obbligatoriamente documentato, ma deve essere esplicito e inequivocabile. Qui si arriva al secondo grande dubbio: il consenso avviene automaticamente con la scelta del medico?

Chi sostiene che il consenso venga autorizzato automaticamente interpreta in maniera pratica e reale la tematica, attribuendo fiducia al medico e a tutto il processo di raccolta, trasferimento e conservazione dei dati.

Chi invece invoca una modifica e una richiesta esplicita di consenso tiene in considerazione la complessità di tutte le variabili che compongono il processo.

In pratica, il medico dovrebbe chiedere il consenso al paziente per inviare i suoi dati particolari in percorsi che lui stesso non conosce e per cui quindi non può garantire. 

3. La conservazione dei dati

Abbiamo già illustrato al punto precedente le difficoltà e la complessità di individuare processi e piattaforme prive di rischi nella raccolta, il trattamento, la trasmissione e la conservazione dei dati personali dei pazienti.

Alla lista dei problemi si aggiunge il fenomeno dell’elevato tasso di pensionamento dei medici che, in assenza di una policy definita, lascia un database ambulatoriale pieno di dati clinico-assistenziali non utilizzabili dal medico che subentra.

Da qui, nasce il terzo dubbio su come garantire la corretta conservazione: soluzioni estemporanee o modifica del GDPR?

Solitamente vengono adottate soluzioni provvisorie, efficaci per gestire le incombenze immediate ma che sono applicate in deroga palese a qualsiasi regola e principio.

Per non tamponare in eterno, il Garante ha individuato nel codice di condotta (previsto dal GDPR) uno strumento in cui tutti i soggetti appartenenti a un contesto di trattamento possono definire dal basso nuove regole conformi al rispetto del GDPR.

Spetterà in seguito alle autorità di protezione dei dati incoraggiare la creazione di proposte per poi valutarle ed eventualmente approvarle e promuoverle.

I pericoli diventano realtà

L’applicazione del GDPR non è così immediata, inoltre spesso e volentieri l’importanza di rispettare il nuovo Regolamento è completamente sottovalutata.

Mancanza di conoscenza, scarsa attenzione, ma anche volontà di trasgredire e approfittare di barriere facilmente superabili.

Violazioni di dati personali: Le radiografie online

L’indagine condotta da Greenbone Networks fa emergere numeri allarmanti: su 2300 database medici, 590 database contenenti 24 milioni di dati relativi a pazienti di 52 paesi nel mondo erano accessibili online attraverso sistemi di archiviazione estremamente vulnerabili.

Questi dati possono essere venduti nel dark web anche a pochi dollari, generando un giro di affari che può arrivare fino a 1,2 miliardi di dollari.

Restando in Italia, maglia nera europea con 5,8 milioni di immagini, i server fallati violano le regole del GDPR e la direttiva NIS.

Le aziende sanitarie copiano le immagini della tac

Le aziende sanitarie hanno utilizzato per i propri scopi i dati dei pazienti sottoposti ad accertamenti medici.

‍In particolare un’azienda sanitaria ha messo a disposizione di un’altra azienda le immagini della tac di un paziente.

Ricevute le immagini, l’azienda ha estratto il file con un sotware e ha allegato le immagini alla documentazione per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario.

I fatti risalgono al periodo precedente all’applicazione del GDPR, ma il garante ha comunque avviato i relativi procedimenti sanzionatori.

L’abuso sui social dei medici

All’apparenza potrebbero sembrare incredibili le sviste di 2 medici, uno a Cipro e uno in Italia, che hanno violato la privacy dei pazienti sui social, invece non è così.

In Inghilterra, negli ultimi 5 anni, ci sono stati 1200 provvedimenti disciplinari a causa dell’uso improprio dei social da parte del personale medico.

Multa di 14.000€ a Cipro un medico che aveva filmato a scopo divulgativo un paziente sottoposto a operazione di rinoplastica, prima e dopo l’operazione.

‍Il paziente aveva acconsentito implicitamente la ripresa, ma non alla diffusione del video sul profilo ufficiale Instagram della clinica che conta 4.000 follower.

In Italia un medico ha scritto questo post inconsapevole di rivelare indirettamente l’identità, lo stato di salute e la religione della defunta per le dimensioni ridotte del paese e le circostanze precise dell’accaduto.