Comprendere la privacy in sanit\u00e0 significa, prima di tutto, padroneggiarne il vocabolario: GDPR, titolare, responsabile, DPO, data breach, accountability sono termini entrati nel lessico quotidiano di ogni struttura sanitaria con il Regolamento UE 2016\/679. Per chi tratta dati dei pazienti ogni giorno, conoscerne il significato preciso non \u00e8 un esercizio formale, ma la base di una pratica corretta e conforme. La protezione dei dati personali \u00e8 riconosciuta come un diritto fondamentale, e il nuovo quadro europeo ha cambiato il modo stesso in cui le organizzazioni sanitarie devono gestire le informazioni di chi si affida alle loro cure. Questo approfondimento ricostruisce le parole-chiave della normativa e le cala nel contesto sanitario, dove i dati sulla salute appartengono alle categorie pi\u00f9 delicate.<\/p>\n
Il corso ECM “Privacy. La tutela dei diritti nel trattamento dei dati personali, alla luce del nuovo Regolamento UE”<\/strong> \u00e8 rivolto a tutte le professioni sanitarie ed eroga 15 crediti ECM<\/strong> in modalit\u00e0 FAD (formazione a distanza). A cura dell’Avv. Gian Paolo Zanetta, affronta il GDPR e il Codice Privacy con taglio normativo applicato alla sanit\u00e0: principi, figure, adempimenti, diritti dell’interessato e regole specifiche per il trattamento dei dati dei pazienti, fino al contesto COVID-19.<\/p>\n<\/div>\n Il diritto alla riservatezza affonda le radici lontano: dall’intuizione ottocentesca del “right to be alone” di Warren e Brandeis fino alla Carta dei diritti fondamentali dell’Unione Europea e ai riferimenti della nostra Costituzione. In Italia il percorso normativo \u00e8 passato attraverso la Direttiva 95\/46\/CE, il Codice Privacy (D.Lgs 196\/2003) e infine il Regolamento UE 2016\/679, aggiornato dal D.Lgs 101\/2018.<\/p>\n Il GDPR non si \u00e8 limitato a riscrivere le regole: ha introdotto vere e proprie “modifiche culturali”. Le pi\u00f9 rilevanti sono la privacy by design e by default<\/strong> \u2014 la protezione dei dati va pensata fin dalla progettazione di ogni processo e garantita come impostazione predefinita \u2014 e il principio di accountability<\/strong>, ossia la responsabilizzazione del titolare e del responsabile, chiamati non solo a rispettare i principi ma a essere in grado di comprovarlo. Si \u00e8 parlato di una vera e propria “rivoluzione copernicana”: dal sistema delle misure minime imposte dall’alto a un modello in cui \u00e8 l’organizzazione a doversi assumere la responsabilit\u00e0 delle proprie scelte.<\/p>\n A reggere l’impianto sono i principi di trattamento: liceit\u00e0, correttezza e trasparenza, limitazione della finalit\u00e0, minimizzazione dei dati, esattezza, limitazione della conservazione, integrit\u00e0 e riservatezza. In ambito sanitario, dove i dati sulla salute sono per loro natura sensibili, questi principi assumono un peso particolare.<\/p>\n Capire la normativa significa anzitutto distinguere i concetti. Il trattamento<\/strong> \u00e8 qualsiasi operazione compiuta sui dati, dalla raccolta alla conservazione fino alla cancellazione. I dati personali<\/strong> sono le informazioni riferite a una persona fisica identificata o identificabile; quando non consentono pi\u00f9 di risalire a un individuo si parla di dato anonimo.<\/p>\n All’interno dei dati personali, alcune categorie sono particolarmente sensibili: i dati genetici, biometrici e quelli relativi alla salute, che il legislatore definisce categorie particolari<\/strong>. Proprio questi sono il cuore del lavoro sanitario, e per il loro trattamento valgono cautele pi\u00f9 stringenti. Accanto ad essi, il corso esamina nozioni come il dato giudiziario, la profilazione<\/strong> \u2014 il trattamento automatizzato che valuta aspetti personali di un individuo \u2014 e la pseudonimizzazione<\/strong>, tecnica che riduce il rischio sostituendo gli identificatori diretti.<\/p>\n Dominare questo lessico non \u00e8 un vezzo accademico: \u00e8 la condizione per qualificare correttamente ogni operazione e individuare le regole applicabili, evitando di trattare un dato sulla salute con le stesse leggerezze che si potrebbero (impropriamente) usare per un’informazione comune.<\/p>\n La conformit\u00e0 non riposa su una sola figura, ma su un sistema di soggetti. Il titolare del trattamento<\/strong> \u00e8 chi determina finalit\u00e0 e mezzi del trattamento e ne risponde; il responsabile<\/strong> tratta i dati per conto del titolare. Quando l’organizzazione lo richiede, entra in gioco il DPO (Data Protection Officer)<\/strong>, il responsabile della protezione dei dati: una figura di garanzia che riferisce direttamente al vertice gerarchico e che, in molte strutture sanitarie pubbliche, \u00e8 obbligatoria.<\/p>\n Al centro resta sempre l’interessato<\/strong>, la persona cui i dati si riferiscono: nel nostro caso, il paziente. A vigilare sul rispetto delle regole c’\u00e8 il Garante per la protezione dei dati personali<\/strong>, autorit\u00e0 indipendente con poteri di controllo, di intervento e sanzionatori, a cui l’interessato pu\u00f2 rivolgersi attraverso reclami, segnalazioni e ricorsi.<\/p>\n Conoscere questa mappa dei ruoli \u00e8 ci\u00f2 che permette, nella pratica quotidiana, di sapere a chi spetta una decisione, chi deve essere consultato e a chi rivolgersi quando emerge una criticit\u00e0.<\/p>\n La sicurezza, nel GDPR, non si misura pi\u00f9 con un elenco fisso di misure minime ma con la loro adeguatezza al rischio<\/strong>. \u00c8 il titolare a dover individuare le misure tecniche e organizzative proporzionate al pericolo che il trattamento comporta per i diritti delle persone.<\/p>\n Quando qualcosa va storto si parla di data breach<\/strong>, la violazione dei dati personali, che pu\u00f2 derivare anche da perdita o sottrazione delle informazioni. La sua gestione segue una logica graduata: la notifica all’Autorit\u00e0 di controllo \u00e8 subordinata alla valutazione del rischio compiuta dal titolare, mentre la comunicazione direttamente all’interessato \u00e8 dovuta quando la violazione \u00e8 suscettibile di presentare un rischio elevato per i suoi diritti e libert\u00e0.<\/p>\n A monte, per i trattamenti pi\u00f9 delicati, il Regolamento prevede la valutazione d’impatto sulla protezione dei dati (DPIA)<\/strong>, l’eventuale consultazione preventiva del Garante e la tenuta del registro delle attivit\u00e0 di trattamento<\/strong>. Strumenti che traducono il principio di accountability in adempimenti concreti e documentabili.<\/p>\n La liceit\u00e0 del trattamento poggia su basi giuridiche diverse, tra cui il consenso. Per i dati che rientrano nelle categorie particolari \u2014 come quelli sulla salute \u2014 il consenso deve essere esplicito<\/strong>. Sul piano clinico si intreccia con il consenso informato<\/strong> disciplinato dalla legge 219\/2017, mentre regole particolari riguardano i minori.<\/p>\n Prima di raccogliere i dati, l’organizzazione deve fornire l’informativa<\/strong>: un documento intellegibile e facilmente accessibile, che tra i suoi contenuti obbligatori comprende anche i dati di contatto del DPO. \u00c8 lo strumento che rende l’interessato consapevole di come e perch\u00e9 i suoi dati vengono trattati.<\/p>\n Il GDPR riconosce inoltre un ventaglio di diritti dell’interessato<\/strong>: accesso, rettifica, cancellazione (il cosiddetto diritto all’oblio), limitazione e portabilit\u00e0. A questi diritti il titolare deve dare risposta entro un mese, termine estensibile fino a tre mesi nei casi pi\u00f9 complessi. In ambito sanitario ci\u00f2 si traduce in situazioni molto concrete, dall’accesso del paziente alla propria cartella clinica alla gestione delle richieste di cancellazione.<\/p>\n \u00c8 nel quotidiano della struttura sanitaria che il vocabolario della privacy diventa azione. Il consenso del paziente<\/strong> deve essere registrato in cartella clinica, e il paziente stesso ha diritto di accedervi in quanto titolare dei dati che lo riguardano. Le prescrizioni mediche<\/strong> seguono regole specifiche: i dati dell’interessato vanno riportati nella ricetta in modo schermato, cos\u00ec da risalire all’identit\u00e0 solo in caso di effettiva necessit\u00e0.<\/p>\n Il corso affronta anche la ricerca medica, biomedica ed epidemiologica, il trattamento da parte degli organismi sanitari e del medico di medicina generale, oltre ai codici di deontologia medica e infermieristica che rafforzano il rapporto fiduciario con l’assistito.<\/p>\n Tema particolarmente delicato \u00e8 la videosorveglianza<\/strong> nelle strutture sanitarie: pazienti e visitatori devono essere informati della presenza di telecamere tramite appositi cartelli, nel rispetto anche delle norme a tutela del lavoratore. Si collegano a questo le previsioni su privacy e lavoro e su accorgimenti pratici come la consegna dei certificati in busta chiusa.<\/p>\n Una lezione del corso applica i principi generali al contesto dell’emergenza COVID-19, un banco di prova concreto per la normativa privacy. Il protocollo di regolamentazione per gli ambienti di lavoro prevedeva, ad esempio, la rilevazione della temperatura senza registrazione del dato<\/strong>, salvo la necessit\u00e0 di documentare le ragioni di un mancato accesso, accompagnata da informativa e dall’individuazione dei soggetti preposti.<\/p>\n Il filo conduttore era la stretta finalizzazione: i dati potevano essere trattati solo per la prevenzione del contagio e non diffusi a terzi al di fuori delle previsioni normative. Per le certificazioni verdi<\/strong>, il trattamento configurava un obbligo di legge e la verifica non autorizzava alcuna conservazione: dopo il controllo, i dati dovevano essere immediatamente cancellati. Gli strumenti di verifica consentivano di conoscere identit\u00e0, autenticit\u00e0 e validit\u00e0 della certificazione, senza accedere alle informazioni che ne avevano determinato l’emissione.<\/p>\n Pur trattandosi di un quadro legato a un contesto ormai datato, questa sezione resta un esempio formativo prezioso di come i principi del GDPR \u2014 minimizzazione, limitazione della finalit\u00e0, limitazione della conservazione \u2014 si applichino a situazioni nuove e impreviste.<\/p>\n Il Regolamento UE 2016\/679, noto come GDPR, si applica a decorrere dal 25 maggio 2018. Da quella data ha sostituito il precedente quadro normativo come riferimento europeo unitario per il trattamento dei dati personali, integrato in Italia dal Codice Privacy aggiornato con il D.Lgs 101\/2018.<\/p>\n Il DPO (Data Protection Officer) \u00e8 il responsabile della protezione dei dati: una figura di garanzia che riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento. Vigila sull’applicazione della normativa, offre consulenza e funge da punto di contatto con il Garante e con gli interessati.<\/p>\n I dati personali sono le informazioni che consentono di identificare un individuo, definito dalla normativa “interessato”. In ambito sanitario assumono particolare rilievo i dati relativi alla salute, che rientrano nelle categorie particolari e sono soggetti a tutele rafforzate.<\/p>\n L’accountability \u00e8 la responsabilizzazione del titolare e del responsabile del trattamento: oltre a rispettare i principi di protezione dei dati, devono essere in grado di comprovarlo. \u00c8 uno dei cambiamenti culturali introdotti dal GDPR, che sposta il baricentro dalle misure minime imposte all’autonoma assunzione di responsabilit\u00e0 dell’organizzazione.<\/p>\n Il data breach \u00e8 la violazione dei dati personali: pu\u00f2 derivare anche dalla perdita o dalla sottrazione dei dati. La sua gestione segue una logica basata sul rischio, con la notifica all’Autorit\u00e0 di controllo subordinata alla valutazione compiuta dal titolare.<\/p>\n La comunicazione direttamente all’interessato \u00e8 dovuta quando la violazione \u00e8 suscettibile di presentare un rischio elevato per i suoi diritti e le sue libert\u00e0. Si distingue cos\u00ec dalla notifica all’Autorit\u00e0 di controllo, che segue una valutazione del rischio pi\u00f9 generale da parte del titolare.<\/p>\n Per i dati sensibili, che rientrano nelle categorie particolari come i dati sulla salute, il consenso deve essere esplicito. In ambito clinico questo requisito si intreccia con il consenso informato disciplinato dalla legge 219\/2017, che ha una sua specifica funzione nella relazione di cura.<\/p>\n L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati. Tra i suoi contenuti obbligatori figurano anche i dati di contatto del DPO, e deve essere redatta in forma intellegibile e facilmente accessibile, cos\u00ec da rendere l’interessato realmente consapevole del trattamento.<\/p>\n Il termine di risposta all’interessato, per l’esercizio dei suoi diritti, \u00e8 di un mese. Tale termine \u00e8 estensibile fino a tre mesi nei casi di particolare complessit\u00e0. Riguarda diritti come l’accesso, la rettifica, la cancellazione, la limitazione e la portabilit\u00e0 dei dati.<\/p>\n La profilazione \u00e8 il trattamento automatizzato di dati personali che utilizza tali dati per valutare determinati aspetti personali relativi a una persona fisica. Per la sua natura potenzialmente invasiva, \u00e8 oggetto di attenzione specifica nel GDPR e richiede particolari cautele.<\/p>\n La limitazione della finalit\u00e0 implica che i dati siano raccolti per finalit\u00e0 determinate, esplicite e legittime, e successivamente trattati in maniera non incompatibile con tali finalit\u00e0. \u00c8 uno dei principi cardine del trattamento e impedisce di riutilizzare i dati per scopi diversi e non dichiarati.<\/p>\n S\u00ec: il consenso del paziente deve essere registrato in cartella clinica. La cartella documenta cos\u00ec non solo il percorso assistenziale, ma anche la base giuridica del trattamento dei dati del paziente, in coerenza con il principio di accountability.<\/p>\n S\u00ec: il paziente pu\u00f2 accedere alla propria cartella clinica, in esercizio del diritto di accesso ai dati che lo riguardano. \u00c8 una delle applicazioni pi\u00f9 dirette dei diritti dell’interessato previsti dalla normativa privacy nel contesto sanitario.<\/p>\n In caso di installazione di sistemi di videosorveglianza in ospedale, pazienti e visitatori devono essere informati tramite appositi cartelli. L’informazione va data nel rispetto anche delle norme a tutela dei lavoratori coinvolti nell’area sorvegliata.<\/p>\n I dati dell’interessato devono essere contenuti nella ricetta farmaceutica, ma in modo schermato: cos\u00ec \u00e8 possibile risalire all’identit\u00e0 del paziente solo in caso di effettiva necessit\u00e0. \u00c8 un esempio concreto del principio di minimizzazione applicato alla pratica sanitaria.<\/p>\n Padroneggiare il vocabolario della privacy in sanit\u00e0 non \u00e8 un obbligo burocratico, ma una competenza che protegge il paziente e l’organizzazione allo stesso tempo. Conoscere la differenza tra titolare e responsabile, sapere quando un consenso deve essere esplicito, riconoscere un data breach e gestirlo correttamente: sono gesti che fanno parte della qualit\u00e0 della cura tanto quanto le competenze cliniche. Il GDPR ha responsabilizzato ogni professionista sanitario, rendendolo parte attiva di un sistema di tutela dei dati. Per approfondire in modo sistematico questi temi e tradurli in pratica quotidiana, il corso FAD Privacy. La tutela dei diritti nel trattamento dei dati personali<\/a> offre 15 crediti ECM e un percorso strutturato sulla privacy in sanit\u00e0, dalla teoria normativa fino ai casi concreti di cartelle, ricette e videosorveglianza.<\/p>\n<\/section>\n Crediti immagini:<\/strong><\/p>\n Comprendere la privacy in sanit\u00e0 significa, prima di tutto, padroneggiarne il vocabolario: GDPR, titolare, responsabile, DPO, data breach, accountability sono termini entrati nel lessico quotidiano di ogni struttura\u2026<\/p>\n","protected":false},"author":0,"featured_media":689,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ikos_img_prompt":"Editorial medical illustration in a clean scientific magazine style, teal and slate color palette on a light background. A symbolic composition representing data privacy in healthcare: a stylized medical folder or patient record protected by a subtle shield and a lock, surrounded by abstract icons of data points and a small caduceus. Minimal, sober, professional, no text, soft geometric shapes, generous negative space.","footnotes":""},"categories":[733],"tags":[737,738,739,734,735,736],"class_list":["post-492","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sanita-digitale-e-normativa","tag-consenso-informato","tag-data-breach","tag-dpo","tag-gdpr","tag-privacy-sanitaria","tag-trattamento-dei-dati"],"_links":{"self":[{"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/posts\/492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/comments?post=492"}],"version-history":[{"count":1,"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/posts\/492\/revisions"}],"predecessor-version":[{"id":690,"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/posts\/492\/revisions\/690"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/media\/689"}],"wp:attachment":[{"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/media?parent=492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/categories?post=492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ikosecm.it\/ecm\/wp-json\/wp\/v2\/tags?post=492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Dai fondamenti al GDPR: come \u00e8 cambiata la privacy in sanit\u00e0<\/h2>\n
Il vocabolario essenziale: dati, categorie particolari e profilazione<\/h2>\n
Chi fa cosa: titolare, responsabile, DPO e Garante<\/h2>\n
Sicurezza, data breach e valutazione d'impatto<\/h2>\n
Consenso, informativa e diritti del paziente<\/h2>\n
La privacy applicata alla sanit\u00e0: cartelle, ricette e videosorveglianza<\/h2>\n
Privacy e COVID-19: temperatura, certificazioni verdi e green pass<\/h2>\n
Domande frequenti<\/h2>\n
Da quando si applica il nuovo Regolamento europeo sulla privacy (GDPR)?<\/h3>\n
Chi \u00e8 il DPO e che ruolo ha in una struttura sanitaria?<\/h3>\n
Che cosa sono i dati personali?<\/h3>\n
Che cosa si intende per accountability nel GDPR?<\/h3>\n
Che cos'\u00e8 il data breach?<\/h3>\n
Quando va comunicata all'interessato una violazione dei suoi dati personali?<\/h3>\n
Per i dati sensibili, come deve essere il consenso?<\/h3>\n
Quando deve essere fornita l'informativa all'interessato?<\/h3>\n
Entro quanto tempo si deve rispondere all'interessato che esercita i suoi diritti?<\/h3>\n
Che cosa si intende per profilazione?<\/h3>\n
Cosa significa il principio di limitazione della finalit\u00e0?<\/h3>\n
Il consenso del paziente deve essere registrato in cartella clinica?<\/h3>\n
Il paziente pu\u00f2 accedere alla propria cartella clinica?<\/h3>\n
Come vanno informati pazienti e visitatori in caso di videosorveglianza in ospedale?<\/h3>\n
I dati del paziente devono comparire nella ricetta farmaceutica?<\/h3>\n
In conclusione<\/h4>\n
\n