Il medico essendo un professionista è tenuto ad osservare il segreto professionale, questo comporta anche l’assenza dell’obbligo di richiesta al cliente del trattamento dati per l’effettuazione di una prestazione sanitaria, proprio perché protetta da questo.
Esistono però dei casi in cui anche il medico deve sottostare alla normativa della privacy come previsto da quando è stato introdotto il GDPR a livello europeo. Secondo il garante della privacy che ha interpretato il GDPR, il regolamento europeo per la protezione dei dati personali debba essere applicato anche in ambito medico in alcune situazione specie quando il medico ha la necessità di trattare in modi alternativi i dati del cliente. Quindi vediamo insieme quali sono le occasioni in cui il medico è tenuto al rispetto del GDPR e al richiedere il consenso firmato da parte del suo paziente.
GDPR Medici: quando è necessario il consenso
Il medico deve richiedere il consenso al trattamento dati degli utenti quando questi vengono utilizzati per specifiche attività che esulano dalla tradizionale visita medica.
Nello specifico bisogna far firmare il consenso al paziente quando:
- Lo si invita all’utilizzo di un’applicazione medica che permette la raccolta dei dati anche sanitari dell’interessato per finalità differenti rispetto a quelle della telemedicina, indipendentemente dalla finalità d’applicazione. I dati dell’interessato in ogni caso devono essere protetti, indipendentemente dalle finalità definitive della raccolta dati.
- Fidelizzazione della clientela: farmacie, parafarmacie o chiunque in ambito sanitario preveda programmi di raccolta punti, raccolta contatti, prestazioni accessorie ecc…bisognerà far firmare al cliente un’informativa dei dati personali.
- Fascicolo sanitario elettronico: per tutti i trattamenti che vengono effettuati mediante il fascicolo sanitario elettronico sussiste l’obbligo di stabilire le specifiche disposizioni che precedevano il GDPR e richiedere il consenso firmato del paziente.
Descrizione delle finalità e degli scopi del trattamento
I medici quando creano un modulo per il consenso informato in linea con il GDPR devono indicare obbligatoriamente le finalità del trattamento e lo scopo per il quale si raccolgono, gestiscono o trattano i dati dei pazienti. La finalità principale per lo studio medico è la diagnosi, la cura, la prevenzione, la riabilitazione di natura medica o sanitaria.
Esistono comunque anche altre finalità, obbligatorie per legge, ad esempio, bisogna comunicare le finalità di trattamento al paziente anche per tutti i casi previsti dagli ordini delle autorità.
Oppure nel momento in cui sussistono degli specifici rapporti contrattuali. Ad esempio, nel caso in cui i pazienti che aderiscono a delle polizze assicurative o a fondi mutualistici abbiano bisogno che il medico comunichi i dati e la diagnosi del paziente. In questo caso, la finalità dello studio medico è quella di comunicare i dati all’assicurazione su richiesta dell’interessato.
Un’altra finalità importante per lo studio medico prevede che si faccia firmare un’informativa ai propri pazienti, nel caso in cui, il medico debba trattare i dati del paziente per redarre una relazione ad esempio per l’ente di previdenza sociale.
Il titolare dello studio medico deve infine far firmare l’informativa sulla privacy al paziente quando deve utilizzare i dati della diagnosi o delle visite ad esempio per ricerche e studi medici, per fare delle valutazioni o per la stesura di un articolo o di un libro a tema medico.
Se il medico deve condurre una ricerca epidemiologica o scientifica, quindi, può usare i dati dei pazienti solo se ricevuto il consenso informato.
Archiviazione dati e informativa privacy medica: come redigerla
I medici che hanno bisogno di un’informativa della privacy firmata dai loro clienti devono creare o scaricare un modulo che sia chiaro, comprensibile al paziente, accessibile, coinciso, trasparente e scritto sopratutto con un linguaggio semplice adatto a tutti. Se il medico non effettua un trattamento dei dati massivo può svolgere quest’attività anche da solo semplicemente facendo firmare i moduli e procedendo poi alla loro archiviazione in schedari appositi.
I medici e le strutture che invece fanno un trattamento massivo dei dati, hanno l’obbligo di nominare il Responsabile della protezione dei dati. Il DPO nelle cliniche private di grandi dimensioni o nei centri dove si effettuano ricerche scientifiche ed epidemiologici sui pazienti è necessario. In questo modo, si avrà una corretta conservazione dei dati dei pazienti, si avrà un elemento essenziale di prova in caso di problematiche legali, e si potrà accertare ai pazienti la sicurezza dei dati.
Vuoi scoprire di più sull’informativa della privacy? Continua a seguire il nostro blog! Vuoi intraprendere questa professione? Scopri il corso di Privacy Specialist DPO di Musa Formazione!