La tutela della Privacy alla luce del Regolamento GDPR 679/2016 della UE
Il Regolamento europeo in materia di gestione dei dati personali modifica significativamente l’approccio alla sicurezza con cui questi vengono trattati durante il percorso diagnostico/assistenziale. Infatti, oltre agli aspetti già presi in considerazione dalla normativa precedente che, peraltro, non è abrogata si è cercato di mantenere in equilibrio quanto richiesto dal rispetto della riservatezza e quanto è necessario per garantire la trasparenza nel trattamento delle informazioni personali. In questa ottica, il GDPR si pone come obiettivo la prevenzione del rischio che viene affrontata utilizzando due nuovi strumenti metodologici:
- Responsabilizzazione del titolare del trattamento dei dati: il titolare decide in maniera autonoma quali misure mettere in atto e con quali modalità;
- Elencazione delle misure messe in atto: quanto predisposto dal titolare deve trovare un riscontro oggettivo che consenta di tracciare le azioni previste al punto precedente.
Dunque, il GDPR rappresenta l’occasione per una riorganizzazione in cui la valutazione e la gestione del rischio diventano centrali nella progettazione delle attività finalizzate alla sicurezza.
Di conseguenza, la Casa di Cura Privata San Paolo ha sviluppato da tempo un processo di aggiornamento di tutte le procedure preesistenti alla nuova normativa, implementandole secondo una progettualità sviluppata in accordo con esperti del settore. Sono stati armonizzati i diritti e idoveri dell’Azienda e dei Pazienti al fine di ottemperare alle richieste normative senza creare difficoltà nella erogazione del servizio all’utenza. Pertanto, è stata aumentata la capacità del sistema informatico per garantire fluidità nell’elaborazione dei dati mantenendo la garanzia della custodia e tracciabilità degli stessi. Gli operatori della Casa di Cura San Paolo sono formati all’uso dei dati sensibili e alla loro trasmissione in modo sicuro e solo agli aventi diritto. Il personale sanitario può accedere esclusivamente ai dati riguardanti l’assistenza prestata ai Pazienti attualmente ricoverati e per le parti della cartella clinica di propria competenza. In qualsiasi momento il Paziente può modificare il consenso precedentemente espresso al trattamento dei propri dati.
A scopo puramente esemplificativo riportiamo quanto previsto dalla nostra informativa al momento del ricovero:
“Gentile Signore/a, desideriamo informarla che il Regolamento UE GDPR 679/2016 in materia di protezione dei dati personali) prevede la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Secondo la normativa indicata, tale trattamento sarà improntato ai principi di correttezza, di liceità, di trasparenza e di tutela della Sua riservatezza e dei suoi diritti.
Ai sensi del Regolamento UE GDPR 679/2016, Le forniamo le seguenti informazioni:
– I dati da Lei forniti verranno trattati per espletare adempimenti derivanti da obblighi contrattuali, contabili e fiscali;
– Il trattamento sarà effettuato con le modalità manuali ed informatiche;
– Il conferimento dei dati è facoltativo, ma l’eventuale rifiuto a fornirli, potrebbe comportare la mancata totale o parziale esecuzione del contratto;
- I dati potranno essere/saranno comunicati a terzi per completamento di adempimenti obbligatori.
- I documenti clinici saranno custoditi in un archivio cartaceo ed in un archivio virtuale .
II Trattamento riguarderà anche dati personali rientranti nel novero dei dati “sensibili”, vale a dire dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche e di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni e organizzazioni a carattere religioso, filosofico, politico o sindacale non che i dati personali idonei a rilevare lo stato di salute e vita sessuale.
I dati potranno essere comunicati a terzi per l’assolvimento di obblighi contrattuali, contabili, fiscali e del lavoro per espletare altri adempimenti di legge.
II titolare del trattamento è: Casa di cura San Paolo SPA
In ogni momento potrà esercitare i suoi diritti nei confronti del titolare del trattamento, ai sensi del Regolamento UE GDPR 679/2016:
- L’interessato ha diritto di ottenere la conferma dell’esistenza o meno dei dati personali che lo riguardano anche se non ancora registrati e la loro comunicazione in forma intelligibile.
L’interessato ha diritto di ottenere l’indicazione:
- a) dell’origine dei dati personali;
- b) delle finalità e modalità di trattamento;
- c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
- d) degli estremi identificativi del titolare, dei responsabili e del rappresentante;
- e) dei soggetti e delle categorie di soggetti ai quali i dati personali possono essere comunicati e possono venire a conoscenza in qualità di rappresentante designato nel territorio dello stato, di responsabili o incaricati.
L’interessato ha diritto di ottenere:
- L’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati.
- La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali dati sono stati raccolti o successivamente trattati.
- L’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza anche per quanto riguarda il loro contenuto, di coloro ai quali sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
L’interessato ha il diritto di opporsi:
1) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
2) al trattamento dei dati personali che lo riguardano a fine di un invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazioni commerciali.
Segue la formula per l’acquisizione del consenso per il trattamento di dati sensibili (…omissis…)