Gdpr, cosa cambia per il settore sanitario
Dopo l’introduzione della normativa sulla protezione dei dati personali sarà necessario avviare un coordinamento tra il nuovo regolamento europeo e la legge Gelli. Secondo Ernesto Macrì, avvocato e docente Cineas, le strutture dovranno riorganizzare e ridigitalizzare i servizi sanitari
13/06/2018
Entrato in vigore da poche settimane, il regolamento europeo sulla protezione dei dati personali (Gdpr) sta mettendo alla prova tutte le categorie produttive. E l’ambito sanitario è tra quelli che più di altri dovranno attivarsi per adottare un modello organizzativo per la sicurezza informatica e la gestione dei dati nel rispetto della privacy. Dopo l’introduzione della legge Gelli-Bianco, il settore si trova nuovamente di fronte alla necessità di dover adeguare i propri sistemi seguendo un percorso di generale riammodernamento dei processi. Secondo l’avvocato Ernesto Macrì, docente del master in Hospital risk management del Cineas, sarà necessario avviare un coordinamento tra la legge Gelli e il Gdpr. La legge Gelli, nell’articolo 1, sancisce il principio della sicurezza delle cure, indicandola come parte costitutiva del diritto alla salute. Più nello specifico, nel secondo comma si sottolinea che la sicurezza delle cure viene realizzata anche mediante l’utilizzo appropriato delle risorse strutturali, tecnologiche e organizzative. “Partendo da questa considerazione – spiega – possiamo osservare in qualche modo quella che dovrebbe essere l’applicazione sotto il profilo del Gdpr della legge Gelli”. E secondo Macrì ciò significa pensare a ri-organizzare e ri-digitalizzare i servizi sanitari.
IL FUTURO DEL CODICE DELLA PRIVACY
In modo particolare, Macrì fa notare che il primo articolo della legge Gelli da prendere in considerazione in riferimento al Gdpr è l’articolo 4, dove si fa riferimento alla trasparenza dei dati. Al primo comma, osserva l’avvocato, viene esplicitata la necessità che le prestazioni sanitarie erogate dalle strutture sanitarie pubbliche o private siano soggette all’obbligo di trasparenza con il limite del rispetto del codice dei dati personali. “Quindi – sottolinea – nella legge Gelli è già prevista la necessità di coniugare la trasparenza dei dati con il rispetto della riservatezza degli stessi”. Va inoltre ricordato che il Codice della privacy (d.lgs 196/2003) prevede già una serie di garanzie a tutela della riservatezza del paziente per quanto riguarda la fruizione delle prestazioni sanitarie. “Pertanto – spiega – un primo profilo di criticità riguarderà il futuro del d.lgs 196/2003 all’indomani dell’entrata in vigore del Gdpr, che è ispirato a una filosofia diversa, cioè quella della cosiddetta accountability, introducendo una serie di regole per il titolare del trattamento dei dati”.
L’ACCESSO ALLA DOCUMENTAZIONE SANITARIA
Un’altra novità significativa della legge Gelli che dovrà trovare necessariamente un coordinamento e un adeguamento riguarda l’accesso alla documentazione sanitaria da parte del paziente. “La spinta ad andare verso un processo di digitalizzazione – afferma Macrì – è volta ad assicurare all’assistito una risposta più efficiente alle richieste di accesso alle cartelle cliniche”. Attualmente, secondo quanto previsto dalla legge Gelli la richiesta deve essere presa in carico dalle strutture medico sanitarie nell’arco di sette giorni, quindi in tempi abbastanza brevi, lasciando un ulteriore spazio di 30 giorni per poter fornire ulteriori integrazioni. “La gestione della documentazione clinica imporrà in qualche modo una riorganizzazione all’interno delle strutture sanitarie, comportando quindi un ulteriore sforzo rispetto a quello che è già stato fatto finora per potersi adeguare, ad esempio, al fascicolo sanitario elettronico. Quindi – evidenzia Macrì – dovranno essere riorganizzati i vari processi di gestione interna delle diverse strutture per riuscire a ottimizzare sia l’utilizzo delle risorse disponibili, sia gli obblighi di trasparenza e sicurezza in materia di documentazione sanitaria che il Gdpr impone”.
IN EQUILIBRIO TRA DIVERSI OBBLIGHI
In questa panoramica generale riguardante gli eventuali adeguamenti della legge Gelli rispetto al nuovo regolamento europeo Macrì segnala altri due aspetti delicati per cui sarà un necessario coordinamento con il Gdpr. Il primo è quello che impone alle strutture sanitarie l’obbligo di pubblicazione di tutti i dati di risarcimento che sono stati erogati nell’ultimo quinquennio dall’azienda. “Sotto questo profilo – spiega l’avvocato – sarà decisivo il lavoro fatto a livello organizzativo per riuscire a garantire un coordinamento adeguato tra la tutela della riservatezza e dei dati personali, e il rispetto dell’obbligo di pubblicazione dei dati stessi”. L’altro aspetto che secondo Macrì è da tenere in considerazione, pensando soprattutto alle coperture assicurative delle strutture sanitarie (anche sotto il profilo del Gdpr) è quello relativo al data breach, cioè la violazione o l’incursione da parte di hacker negli archivi della struttura medica. Il Gdpr obbliga alla notifica della violazione all’autorità di controllo che deve avvenire “senza ritardo” e, ove possibile, entro 72 ore, con il contestuale obbligo di comunicazione all’interessato.
NECESSARIA UN’ADEGUATA FORMAZIONE
Come accennato l’avvocato Ernesto Macrì riveste il ruolo di docente in diversi appuntamenti formativi organizzati dal Cineas, che proprio oggi dà avvio al corso La cyber sicurezza in sanità. I docenti del corso, della durata di otto ore, sono tutti professionisti del settore medico-legale, cyber security, insurance e gestione del rischio: forniranno le competenze di base per gestire le potenziali vulnerabilità degli strumenti tecnologici e dei processi di cura, nell’ambito della prevenzione dei rischi. Il prossimo corso breve del Cineas in ambito sanitario si chiamerà Responsabilità professionale e gestione del rischio assicurativo in ambito sanitario, e si svolgerà il 14 settembre. Ulteriori dettagli sono disponibili sul sito del consorzio: https://www.cineas.it/corsi-brevi/
IL FUTURO DEL CODICE DELLA PRIVACY
In modo particolare, Macrì fa notare che il primo articolo della legge Gelli da prendere in considerazione in riferimento al Gdpr è l’articolo 4, dove si fa riferimento alla trasparenza dei dati. Al primo comma, osserva l’avvocato, viene esplicitata la necessità che le prestazioni sanitarie erogate dalle strutture sanitarie pubbliche o private siano soggette all’obbligo di trasparenza con il limite del rispetto del codice dei dati personali. “Quindi – sottolinea – nella legge Gelli è già prevista la necessità di coniugare la trasparenza dei dati con il rispetto della riservatezza degli stessi”. Va inoltre ricordato che il Codice della privacy (d.lgs 196/2003) prevede già una serie di garanzie a tutela della riservatezza del paziente per quanto riguarda la fruizione delle prestazioni sanitarie. “Pertanto – spiega – un primo profilo di criticità riguarderà il futuro del d.lgs 196/2003 all’indomani dell’entrata in vigore del Gdpr, che è ispirato a una filosofia diversa, cioè quella della cosiddetta accountability, introducendo una serie di regole per il titolare del trattamento dei dati”.
L’ACCESSO ALLA DOCUMENTAZIONE SANITARIA
Un’altra novità significativa della legge Gelli che dovrà trovare necessariamente un coordinamento e un adeguamento riguarda l’accesso alla documentazione sanitaria da parte del paziente. “La spinta ad andare verso un processo di digitalizzazione – afferma Macrì – è volta ad assicurare all’assistito una risposta più efficiente alle richieste di accesso alle cartelle cliniche”. Attualmente, secondo quanto previsto dalla legge Gelli la richiesta deve essere presa in carico dalle strutture medico sanitarie nell’arco di sette giorni, quindi in tempi abbastanza brevi, lasciando un ulteriore spazio di 30 giorni per poter fornire ulteriori integrazioni. “La gestione della documentazione clinica imporrà in qualche modo una riorganizzazione all’interno delle strutture sanitarie, comportando quindi un ulteriore sforzo rispetto a quello che è già stato fatto finora per potersi adeguare, ad esempio, al fascicolo sanitario elettronico. Quindi – evidenzia Macrì – dovranno essere riorganizzati i vari processi di gestione interna delle diverse strutture per riuscire a ottimizzare sia l’utilizzo delle risorse disponibili, sia gli obblighi di trasparenza e sicurezza in materia di documentazione sanitaria che il Gdpr impone”.
IN EQUILIBRIO TRA DIVERSI OBBLIGHI
In questa panoramica generale riguardante gli eventuali adeguamenti della legge Gelli rispetto al nuovo regolamento europeo Macrì segnala altri due aspetti delicati per cui sarà un necessario coordinamento con il Gdpr. Il primo è quello che impone alle strutture sanitarie l’obbligo di pubblicazione di tutti i dati di risarcimento che sono stati erogati nell’ultimo quinquennio dall’azienda. “Sotto questo profilo – spiega l’avvocato – sarà decisivo il lavoro fatto a livello organizzativo per riuscire a garantire un coordinamento adeguato tra la tutela della riservatezza e dei dati personali, e il rispetto dell’obbligo di pubblicazione dei dati stessi”. L’altro aspetto che secondo Macrì è da tenere in considerazione, pensando soprattutto alle coperture assicurative delle strutture sanitarie (anche sotto il profilo del Gdpr) è quello relativo al data breach, cioè la violazione o l’incursione da parte di hacker negli archivi della struttura medica. Il Gdpr obbliga alla notifica della violazione all’autorità di controllo che deve avvenire “senza ritardo” e, ove possibile, entro 72 ore, con il contestuale obbligo di comunicazione all’interessato.
NECESSARIA UN’ADEGUATA FORMAZIONE
Come accennato l’avvocato Ernesto Macrì riveste il ruolo di docente in diversi appuntamenti formativi organizzati dal Cineas, che proprio oggi dà avvio al corso La cyber sicurezza in sanità. I docenti del corso, della durata di otto ore, sono tutti professionisti del settore medico-legale, cyber security, insurance e gestione del rischio: forniranno le competenze di base per gestire le potenziali vulnerabilità degli strumenti tecnologici e dei processi di cura, nell’ambito della prevenzione dei rischi. Il prossimo corso breve del Cineas in ambito sanitario si chiamerà Responsabilità professionale e gestione del rischio assicurativo in ambito sanitario, e si svolgerà il 14 settembre. Ulteriori dettagli sono disponibili sul sito del consorzio: https://www.cineas.it/corsi-brevi/
© RIPRODUZIONE RISERVATA
