Le infrazioni più frequenti sono state: trattamento di dati senza tutela o senza richiesta di consenso, omessa o inidonea informativa all”interessato, mancata adozione delle misure minime di sicurezza
Giovedì, 09 Ottobre 2014 – Doctor33
La Guardia di Finanza ha in programma ispezioni, richieste dal Garante della Privacy, in studi di medici di famiglia e pediatri per verificare come siano gestiti e archiviati i dati sensibili, relativi a salute e vita sessuale degli assistiti. Nel primo semestre del 2014 ispezionando varie strutture sanitarie le Fiamme gialle hanno inflitto sanzioni per circa 2 milioni di euro e inviato all’autorità giudiziaria 24 segnalazioni. Come indica la Newsletter del Garante di settembre, da ispezioni e contestazioni, le infrazioni più frequenti sono state:
• trattamento di dati senza tutela o senza richiesta di consenso: reclusione 6-18 mesi ma se il fatto integra la comunicazione/diffusione del dato si sale a 24 mesi
• omessa o inidonea informativa all”interessato (art 161, sanzione fino a 36.000 euro),
• mancata adozione delle misure minime di sicurezza per mancato rispetto delle norme all’allegato B del Codice della Privacy: l’articolo 169 del Codice prevede reclusione fino a 24 mesi e obbligo a risarcire in caso di danni all’assistito.
Dopo l’uscita di scena del Documento programmatico sulla sicurezza, soppresso dal decreto legge 5 del 9/2/2012 art 45, l’allegato B non è rimasto un guscio vuoto. Le misure riportate dal Dps, relative alle tipologie di dati trattati in studio, titolari responsabili e incaricati, rischi, formazione, o volte a separare dati sensibili da quelli personali, vanno comunque prese, come ricordano recenti linee guida della Società italiana di Telemedicina coordinate dall’avvocato Chiara Rabbito (in questi giorni rappresentante SIT alla conferenza europea sull”e-Health, organizzata dal Ministero della Salute nel semestre di presidenza italiana Ue), «per evitare omissioni o dimenticanze che poi si potrebbero tradurre in penalità previste dalla legge»
Oltre a queste misure vanno osservate altre norme nel Codice della Privacy (dlgs 196/2003), tra cui: chiamata degli assistiti per numero di arrivo e mai per nome affinché nessun astante colleghi a un’identità uno stato di salute; nessuno nella stanza durante la visita se non sanitari e collaboratori; raccolta del consenso del paziente al trattamento dei suoi dati personali con annotazione della risposta, da ripetere se il medico da single passa in gruppo ed altri suoi colleghi possono richiamare sul gestionale i dati dell’assistito. Invece non si devono più velare i dati dei pazienti sulla ricetta perché non si fa più su carta ma c’è la spedizione elettronica nel sistema di accoglienza Sogei o regionale.
Infine, le procedure di salvataggio di dati sensibili e personali dei pazienti andrebbero attivate ogni settimana, la password cambiata ogni tre mesi (e dev’essere “forte”, cioè composta da lettere e numeri con composizione di almeno otto caratteri) i programmi di protezione antivirus aggiornati ogni sei mesi e ogni anno andrebbero verificate le funzioni attribuite agli incaricati, con regole scritte (ad esempio sulla conservazione dei supporti, dischetti etc e su cosa fare in assenza del collaboratore).
Mauro Miserendino