Il concetto di privacy assume connotazioni diverse, a seconda dell’ambito di applicazione. In sanità riguarda la protezione dei dati personali dell’utente come stato di salute e modalità di trattamento.
Ogni cittadino che acceda ad una struttura sanitaria per visite, esami o ricoveri, necessita della garanzia di assoluta riservatezza, nel rispetto dei suoi diritti fondamentali e della sua dignità.
Le leggi sulla privacy sono contenute nel “Codice in materia di protezione dei dati personali“, approvato dal d. lgs 196/2003, che riunisce la previgente disciplina in materia (legge 31 dicembre 1996, n. 675) nella necessità di nuove garanzie per i cittadini riguardo alla riservatezza, alla razionalizzazione delle norme esistenti e alla semplificazione degli adempimenti.
Il codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e della libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Inoltre, obbliga al rispetto del principio di necessità nel trattamento dei dati, riducendo così l’utilizzo a finalità specifiche e ben stabilite. Il codice distingue i dati in dati personali e i dati sensibili.
In ambito sanitario, per dati personali si intendono quelli che fanno riferimento allo stato di salute del soggetto, la privacy riguarda la riservatezza durante i colloqui, la distanza di cortesia, le notizie sulla presenza di determinati soggetti nei reparti o il rispetto durante le chiamate in sala d’attesa.
In queste situazioni vi è un alto rischio di violare la privacy e l’operatore sanitario può essere per questo punito.
Per quanto riguarda la comunicazione di dati sanitari (es. referti) a soggetti terzi, quali il medico curante o un familiare dell’interessato indicati da quest’ultimo, l’organismo sanitario deve specificare l’eventualità di tale comunicazione nell’informativa e deve acquisire uno specifico consenso dell’interessato al riguardo.
Al momento della richiesta di trattamento dei dati personali, deve essere consegnata al paziente/utente l’informativa sulla privacy. Essa deve contenere le finalità e le modalità del trattamento con cui sono destinati i dati, la natura del conferimento dei dati e i soggetti ai quali possono essere comunicati i dati ossia coloro che esercitano una professione sanitaria o gli organismi sanitari.
Coloro che esercitano una professione sanitaria trattano i dati personali con il consenso dell’interessato. A esprimere il consenso può essere sia l’interessato stesso o il legale rappresentante o prossimo congiunto o un familiare nel caso in cui la persona si trovi in stato di impossibilità fisica o incapacità di intendere e di volere.
Il consenso deve essere ottenuto prima del trattamento dei dati, tranne nel caso in cui vi sia impossibilità fisica, incapacità di agire o di intendere e di volere.
Consenso
Per tutti i dati sensibili, il consenso deve essere esplicito, ossia si deve essere in grado di dimostrare che l’interessato abbia prestato il consenso ad uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni, mentre prima è necessario il consenso dei genitori o di chi ne fa le veci.
L’informativa sul trattamento dei dati deve essere data in linea di principio, per iscritto e preferibilmente in formato elettronico.
La violazione della privacy, attraverso un trattamento illecito dei dati personali, è punita dal codice penale. È punita anche l’omessa adozione di misure di sicurezza, nonché l’omessa osservanza dei provvedimenti del garante e la falsità nelle dichiarazioni al Garante.
Il codice civile prevede invece sanzioni qualora si abbiano danni materiali e morali conseguenti ad uno scorretto utilizzo di dati personali, nei casi di omessa o incompleta notifica del trattamento al Garante, di inosservanza delle richieste del Garante o per l’omessa informativa ai soggetti interessati.
L’art. 622 cp indica che “Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione od arte, di un segreto, lo rivela, senza giusta causa ovvero lo impegna a proprio od altrui profitto, è punito, se dal fatto può derivare nocumento, con la reclusione fino ad un anno o con la multa da euro 30 a euro 516”. Il delitto è punibile a querela della persona offesa.
Il caso: una comunicazione non voluta
Il Garante privacy è intervenuto sanzionando un’Azienda sanitaria dell’Emilia Romagna colpevole di aver comunicato, per l’errore di un’infermiera, le condizioni di una paziente al marito contro la sua volontà. Difatti, la donna che viene ricoverata presso il reparto di ginecologia di un ospedale chiede alla struttura che non vengano date informazioni sul suo stato di salute a soggetti terzi e fornisce a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte dell’Azienda.
Successivamente alle dimissioni della paziente, l’infermiera di reparto, nel tentativo di contattare quest’ultima per fornirle indicazioni sulla terapia da seguire, si trova a parlare col marito, utilizzando erroneamente il numero di telefono indicato sulla cartella clinica dell’interessata.
La normativa
La disciplina prevede che le informazioni sullo stato di salute possano essere riferite solo al diretto interessato e possano essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta.
In particolare, la legge prevede che le strutture sanitarie debbano adottare idonee misure per garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale. Tali misure comprendono il rispetto della dignità dell’interessato.
La difesa dell’Azienda
L’Azienda ha ritenuto che la violazione non poteva essere attribuita né alla colpa né al dolo dell’Azienda stessa avendo, in primo luogo, l’interessata stessa contribuito al verificarsi degli eventi, allontanandosi dal reparto senza attendere il ritorno dell’infermiera.
Con riferimento alla violazione e al suo impatto sui diritti e le libertà fondamentali della donna, l’Azienda ha ritenuto di non aver prodotto conseguenze negative per l’interessata. Inoltre, ha dichiarato che l’infermiera era autorizzata al trattamento dei dati personali.
L’intervento del Garante
L’infermiera ha utilizzato un numero di telefono diverso rispetto a quello indicato dalla paziente, che ha quindi comportato l’esplicita correlazione del marito, tra la moglie e un determinato reparto di degenza (ginecologia), rivelando così lo stato di salute della donna.
Per il Garante, la condotta è stata causata dall’inefficacia delle misure tecniche e organizzative che si sono dimostrate inadeguate a tutelare la dignità degli interessati e ad assicurare il rispetto della volontà dei pazienti di non far conoscere, a soggetti terzi, notizie circa il proprio stato di salute.
Il Garante ha sanzionato l’Azienda con una multa di 50.000,00€, ed ha ribadito la necessità di adottare misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare la violazione dei dati personali sulla salute.
Formazione e istruzione del personale sulla privacy
La formazione privacy resta obbligatoria nel settore sanitario (art. 83 del Codice della Privacy).La centralità della formazione è confermata anche dall’art. 32 “Sicurezza del trattamento” paragrafo 4 che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.
You must be logged in to post a comment Login