ScudoMedico si occupa anche delle numerose norme che il medico deve conoscere e degli adempimenti che deve osservare per rendere “sicuro” l’esercizio della sua attività professionale non clinica.
In questo numero desideriamo inaugurare una serie di “Focus” relativi alle norme sulla Privacy contenute nel D.Lg. 196/2003 e sue successive modifiche ed integrazioni, concernente il trattamento dei dati sensibili, nonché all’obbligo di garantire le misure di sicurezza imposte dall’allegato b) del suddetto decreto, anche se Il comma 1 dell’art. 45, Decreto Legislativo 9 febbraio 2012, n. 5 (cd decreto semplificazioni) ha eliminato l’obbligo di redigere (in forma scritta e con data certa) il documento programmatico per la sicurezza dei dati.
Partiamo con i primi argomenti da tenere in considerazione: informative, consensi informati e sicurezza dei dati.
Informativa
Nella sala di aspetto deve essere esposta e ben visibile, in particolare nelle vicinanze dei punti di accoglienza, l’Informativa che deve illustrare al cittadino/paziente la finalità per la quale si raccolgono i suoi dati sensibili. Vanno altresì specificati i soggetti che, per garantire queste finalità, potranno avere accesso ai dati, specificando se si opera in gruppo/AFT, se si utilizzano collaboratori di studio/infermieri e la possibilità di essere sostituiti da altri colleghi. Il consenso si riferisce alla informativa e quindi autorizza tutti i soggetti citati nell’informativa all’accesso ai dati. Vanno inoltre esplicitate le garanzie che il cittadino ha di escludere comunque uno o più di tali soggetti dalla consultazione e le misure di protezione che il medico adotta per garantire la conservazione e l’uso corretto dei dati, anche conservati in repository remoti (Cloud).
Consenso Informato
Il garante, con gli articoli 77, 78 ed 81 del suddetto D.Lg. 196/2003 ha definito che il medico che raccoglie i dati solo per svolgere attività necessarie per la prevenzione, diagnosi, cura, riabilitazione, nei termini di cui all’informativa sopra descritta, è autorizzato alla raccolta del consenso informato “semplificato”, che consiste nella raccolta verbale del consenso e nella annotazione in cartella clinica elettronica (senza acquisizione di consenso scritto firmato dal paziente). Il consenso può essere raccolto anche una sola volta. E’ importante ricordarsi, all’atto dell’apertura della scheda sanitaria di raccogliere il consenso verbale al trattamento dei dati e di annotarlo in cartella.
A tal proposito è bene sottolineare che, nella polizza multirischi inerente la responsabilità civile professionale promossa da Fimmg tramite il suo intermediario autorizzato Prassi Broker, è inclusa anche la copertura per il consenso informato semplificato: in dettaglio, per le prestazioni sanitarie per le quali è obbligatorio richiederlo, è stato specificato che il medico di medicina generale che raccoglie i dati solo per svolgere attività necessarie per la prevenzione, diagnosi, cura, riabilitazione, è autorizzato alla raccolta del consenso informato “semplificato” così come definito nel decreto legge 196 del 2003, agli articoli 77, 78 e 81
Per eventuali attività che comportino accesso ai dati da parte di soggetti ulteriori rispetto a quelli citati nella informativa, come ad esempio specialisti, personale della ASl o attività di telemedicina, come pure per attività diverse dalla prevenzione, diagnosi, cura, riabilitazione (come ad esempio la ricerca ecc.) deve essere redatta apposita informativa e raccolto il consenso informato scritto.
Sicurezza dei dati
Come sopra accennato recentemente è stato eliminato l’obbligo di compilazione con data certa del documento programmatico per la sicurezza, ma sono rimaste inalterate le regole previste dall’allegato b) del D.Lg. 196/2003 che impone di mantenere stringenti misure di sicurezza. E’ necessario pertanto fare attenzione a:
- I Dati del paziente che vengono inseriti nella cartella clinica devono essere crittografati. E’ sconsigliato utilizzare programmi “fai da te” mentre è indicato utilizzare uno dei programmi specifici per la gestione della cartella clinica avendo cura, scegliendo il prodotto, di verificare che sia adeguatamente protetto.
- Stessa crittografia “forte” deve essere garantita dal fornitore del Cloud nel caso di utilizzo di repository remoti;
- Password: va inserita una password per l’accesso al computer ed una per l’accesso al programma di gestione della cartella clinica. Si deve fare attenzione a cambiare le password di accesso almeno ogni tre mesi, scegliendole alfanumeriche con almeno 8 caratteri. Ovviamente le password sono strettamente personali fare attenzione a non annotarle in agende o simili e/o a fare biglietti pro-memoria;
- Misure di sicurezza per la protezione dei sistemi informatici: vanno fatti regolari e giornalieri back up dei dati, ovviamente non sullo stesso computer dove risiedono i dati (utilizzo di dischi esterni) e le copie dei dati vanno conservate in luogo diverso da quello dove risiede il personal computer. Il sistema va protetto con un sistema antivirus e firewall anche se non si è collegati ad internet perche i virus possono essere annidati anche in file contenuti in altri documenti. Vanno fatti inibire fin dall’origine alcuni siti a più alto rischio di spamming (es. social network, siti e-commerce e/o ludici).
- per la manutenzione va utilizzato personale specializzato sottoscrivendo un contratto che obblighi il consulente al rispetto delle normative e delle più scrupolose regole di manutenzione.
Nelle prossime settimane andremo ad analizzare gli ulteriori ambiti concernenti le ulteriori misure da prendere.
Dario Grisillo
Vice Presidente Scudo Medico
