La protezione dei dati sanitari è uno degli aspetti più delicati del GDPR, il Regolamento Generale sulla Protezione dei Dati entrato in vigore nel 2018. I referti medici contengono informazioni estremamente sensibili sulla salute dei pazienti, che richiedono misure di sicurezza particolarmente rigorose. Questa guida fornisce una panoramica completa degli obblighi e delle best practice per la gestione conforme dei referti medici.
I dati sanitari nel GDPR
Il GDPR classifica i dati sanitari come "categorie particolari di dati personali" ai sensi dell'articolo 9, soggetti a protezione rafforzata rispetto ai dati personali ordinari. Questa categoria include non solo le diagnosi e i risultati degli esami, ma qualsiasi informazione che possa rivelare lo stato di salute di una persona.
Il trattamento di questi dati è vietato in linea generale, salvo specifiche eccezioni previste dal Regolamento. Le principali basi giuridiche per il trattamento dei dati sanitari in ambito medico includono la necessità per finalità di medicina preventiva, diagnosi, assistenza sanitaria e gestione dei sistemi sanitari.
È fondamentale che ogni trattamento sia documentato nel registro delle attività di trattamento e che sia stata effettuata, ove necessario, una valutazione d'impatto sulla protezione dei dati (DPIA), specialmente quando si utilizzano nuove tecnologie come sistemi basati su AI.
Obblighi per le strutture sanitarie
Le strutture sanitarie devono implementare misure tecniche e organizzative adeguate per proteggere i dati dei pazienti contenuti nei referti. Questo include la cifratura dei dati sia in transito che a riposo, sistemi di autenticazione robusta per l'accesso ai sistemi informativi e procedure di backup regolari.
La formazione del personale è un obbligo imprescindibile: tutti coloro che trattano dati sanitari devono essere adeguatamente istruiti sulle procedure di sicurezza e sulle conseguenze di eventuali violazioni. Il principio di minimizzazione impone inoltre che solo il personale autorizzato abbia accesso ai dati, e solo nella misura necessaria per le proprie mansioni.
Le strutture devono inoltre nominare un Data Protection Officer (DPO) se trattano dati sanitari su larga scala, e mantenere documentazione aggiornata di tutte le misure di sicurezza implementate. In caso di data breach, la notifica al Garante deve avvenire entro 72 ore dalla scoperta della violazione.
Conservazione dei referti
I referti medici devono essere conservati per periodi definiti dalla normativa, che variano in base alla tipologia di documento. I referti radiologici, ad esempio, devono essere conservati per almeno 10 anni, mentre le cartelle cliniche devono essere conservate a tempo illimitato.
Durante tutto il periodo di conservazione, la sicurezza e l'integrità dei dati devono essere garantite. Questo significa implementare sistemi di archiviazione sicuri, con controlli di accesso rigorosi e procedure di verifica periodica dell'integrità dei dati.
Al termine del periodo di conservazione, i dati devono essere cancellati in modo sicuro, utilizzando metodi che garantiscano l'impossibilità di recupero. Le procedure di cancellazione devono essere documentate e verificabili.
Diritti dei pazienti
I pazienti hanno diritto di accedere ai propri referti, richiederne copia e, in determinate circostanze, la rettifica o la cancellazione dei dati. La struttura sanitaria deve rispondere alle richieste di accesso entro 30 giorni, fornendo i dati in un formato elettronico di uso comune.
Il diritto alla portabilita dei dati permette ai pazienti di ricevere i propri referti in un formato strutturato e leggibile da dispositivo automatico, per trasferirli ad altro titolare del trattamento. Questo facilitando la continuità assistenziale quando il paziente cambia medico o struttura.
RefertoSicuro è progettato per supportare le strutture sanitarie nel garantire tutti questi diritti, con funzionalità integrate per la gestione delle richieste degli interessati e l'export dei dati nei formati richiesti dal GDPR.