Il GDPR apre scenari di responsabilità anche per il medico specialista libero-professionista. È già stato abbondantemente discusso come il nuovo regolamento sulla privacy impatti sul medico di medicina generale, una particolare categoria di medico libero-professionista che opera in regime di convenzione con il SSN. Sicuramente meno si è parlato invece di quanto il GDPR richieda specifici adempimenti per il medico libero-professionista, quasi sempre specialistica. Tra l’altro, frequentemente, è lo stesso medico di medicina generale che svolge anche questo tipo di attività.
Pur rimanendo inevitabilmente invariati i princìpi di riferimento, non è sempre facile indicare, per modalità operative spesso molto differenziate, quali quelle riferibili a diverse specializzazioni, procedure di adempimento e raccomandazioni univoche sui comportamenti. È possibile, tuttavia, cercare di fare una analisi sintetica di quali possono essere gli ambiti dove si potrebbero manifestare, per il medico specialista nella sua attività libero-professionale, possibili criticità e dove, quindi, dovrebbero essere poste le maggiori attenzioni.
Alcune considerazioni prima di iniziare questa breve analisi: è evidente che l’oggetto della tutela del complesso della normativa rimane il dato personale e, nello specifico, soprattutto il dato sanitario. Il cardine su cui il GDPR è impostato è il principio di responsabilizzazione del titolare dei dati, chiamato ad adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate alla applicazione del Regolamento. Il GDPR prevede l’obbligo di procedere, in piena autonomia, ad una valutazione di impatto sulla sicurezza dei dati nella propria attività e di tenere un registro delle operazioni di trattamento, da rendere disponibile per eventuali supervisioni da parte del Garante, ma anche per avere un quadro aggiornato delle misure adottate.
Acquisizione del consenso al trattamento dei dati
Rispetto alla fattispecie rappresentata dal medico di medicina generale, il medico specialista libero-professionista tratta dati di pazienti che quasi mai già conosce, con un indice elevato di turn-over della propria clientela. Per tutti i pazienti, il professionista dovrà pertanto procedere alla acquisizione del consenso al trattamento dei dati, che dovrà essere “inequivocabile” ed “esplicito”: la migliore garanzia appare quella di acquisire una sottoscrizione di consenso al trattamento. In qualche caso, la mancata conoscenza diretta del paziente e dei suoi familiari, richiederà estrema prudenza laddove il medico potrebbe essere chiamato a pareri/consulenze sulla base di documentazioni cliniche, magari in assenza del paziente, dal quale dovranno pervenire deleghe e autorizzazioni.
Tutela degli archivi di dati sensibili digitalizzati
Anche il medico specialista spesso utilizza archivi informatici dove registra i dati dei suoi pazienti; questo avviene su tradizionali PC o notebook per sistematizzare ed ordinare le singole cartelle documentali, ma accade anche nell’uso, ad esempio, di strumentazione diagnostica i cui database interni vengono popolati di dati sanitari riconducibili a informazioni anagrafiche, creando in questo modo archivi di dati sensibili digitalizzati. Si presenta così per lo specialista l’esigenza di adempiere alle buone pratiche previste per chi è titolare di dati sensibili digitalizzati, orientate alla tutela della sicurezza per prevenire il rischio di perdite o di divulgazioni non autorizzate di queste informazioni.
Registro delle attività
La contemporanea frequentazione di studi diversi, evento molto consueto per queste figure professionali, pone la necessità di considerare le differenze sulle organizzazioni delle strutture, sui loro livelli di protezione, sul personale, sull’accesso ad eventuali archivi informatizzati, sui momenti di contatto che i dati sensibili possono avere con più colleghi; tutto questo potrà richiedere, per questi diversi studi, policies differenziate per la tutela della privacy. Si ritiene pertanto opportuno che il registro delle attività che il medico dovrà redigere, evidenzi le differenti procedure applicate sui diversi studi professionali frequentati.
Uso di siti web
Una ulteriore situazione delicata che sempre più frequentemente potrebbe interessare il medico specialista ai fini della gestione della privacy, è relativa all’uso di siti web attraverso cui lo stesso medico divulga le proprie competenze professionali e pubblicizza la propria attività; a volte questi siti presentano la possibilità di stabilire vere e proprie interazioni comunicative tra lo studio del medico e il paziente. In alcune occasioni questi websites offrono servizi di agenda virtuale dove il paziente può scegliere di fissare un appuntamento. Molte sono le questioni che si pongono: alcune più intuitive che riguardano la tipologia di informazioni sensibili che questi siti possono archiviare in modo del tutto trasparente; altre più complesse, relative, ad esempio, ai cookies che questi siti utilizzano. In genere si tratta di cookies tecnici, utilizzati per il corretto funzionamento del sito; possono però esservi anche cookies analitici e prestazionali che monitorano la ripetizione degli accessi, o, addirittura, cookies di profilazione, con cui è possibile identificare l’utente durante la navigazione. Nell’avvalersi di un sito web è pertanto necessario fornire una dettagliata informativa sulle tipologie dei cookies utilizzati, informando anche sulle modalità e conseguenze della eventuale loro disattivazione.
Alcune branche specialistiche prevedono l’ipotesi che alcuni documenti o materiali riconducibili al paziente possano essere inviati (per consulenze o altre tipologie di procedure) all’estero, magari fuori dai confini Ue, con ricadute di particolare responsabilità per il medico specialista titolare del dato.
Abbiamo citato, probabilmente, situazioni non particolarmente consuete, che alla luce del complesso normativo del GDPR, devono richiedere però, quando si verificano, attenzione e consapevolezza da parte del medico.
Designazione del DPO
Il medico specialista che esercita in modalità singola (che non appartiene quindi a società/gruppi professionali) non dovrebbe avere obbligo di procedere alla designazione del DPO (Data Protection Officier), una figura professionale destinata a svolgere un ruolo di referente per le istanze della protezione dei dati; sulla base delle interpretazioni delle stesse Istituzioni europee (conclusioni del gruppo di lavoro ex articolo 29), in tale caso, non dovrebbe infatti essere sottoposta a trattamento – a meno di situazioni veramente particolari – quella “larga scala” di dati, aspetto che giustificherebbe questo mancato obbligo.
Sono disponibili sul mercato validi strumenti che possono supportare il medico specialista che lavora in regime libero-professionale, a profilare le procedure adottate nella tutela della riservatezza dei dati sensibili di cui è titolare, con l’obiettivo di raggiungere il migliore adempimento alle indicazioni riportate dal GDPR.
GDPR, che cambia per il medico di famiglia: i nodi della privacy
