La normativa sulla privacy comincia a pungere. Sono conclusi gli otto mesi di applicazione “morbida” del decreto che decorrevano dal recepimento del regolamento europeo GDPR in Italia con decreto attuativo avvenuto il 19 settembre 2018: ma già da fine maggio 2018 medici, dentisti, farmacisti devono aver adeguato le misure di sicurezza dei dati, rivisto le informative e il registro dei trattamenti. Ora, a un anno di distanza complessivo dagli adeguamenti, partiranno le ispezioni del Garante della Privacy anche con la guardia di finanza, con relative sanzioni agli inadempienti. Si parte con le banche ma anche con le Asl, chi insomma gestisce “big data”. Intanto in questi mesi i sindacati di medici di famiglia e pediatri Fimmg e Fimp hanno girato all’Authority guidata da Antonello Soro un codice di condotta, elaborato da un collegio di medici, avvocati ed esperti, per mettersi al riparo da equivoci. Il leader Fimmg Silvestro Scotti parla di “opportunità per rafforzare in modo mirato le politiche di protezione dei dati dei nostri pazienti”; il presidente Fimp Paolo Biasci afferma che essendo minori «il 100% dei nostri pazienti, condividere ed essere supportati in questo percorso dai genitori ha grande significato etico oltre che professionale». La necessità di condividere regole è cresciuta dopo che il Garante ha pubblicato un ulteriore chiarimento sul Data Protection Officer del 7 marzo 2019 che non dà ai medici esattamente tutte le risposte di cui avrebbero bisogno. Lo conferma Paolo Misericordia responsabile del centro studi Fimmg-Itc, che parla di almeno quattro questioni individuate nel Codice: «Il chiarimento è a metà. Riprende il concetto affermato dal gruppo dei 29 Garanti degli stati membri secondo cui il medico “single” è escluso dall’obbligo di nominare questa figura. Oggi però la maggioranza dei mmg si muove dentro aggregazioni i cui membri condividono i dati degli assistiti di un titolare. Abbiamo cercato una modalità “responsiva” di dettagliare la questione, rispetto allo spirito del Regolamento Ue».

Secondo problema è la “portabilità” del dato sensibile e la sua gestione nel caso in cui il medico curante cessi l’attività. «Il GDPR rivendica il diritto del paziente di riavere il dato che gli appartiene ma questo diritto va contemperato con le situazioni pratiche: come si disciplina quando il medico si pensiona? E quando è deceduto? Proveremo a postulare degli esempi pratici». Terza questione, il consenso al trattamento dei dati. «Il Garante nel recente Provvedimento dice che il processo di cura per il quale i dati sono acquisiti può richiedere un consenso tacito a patto che il paziente sia informato sulle modalità di trattamento dei dati. Tuttavia – afferma Misericordia – in quel contesto il ragionamento sembra limitato al medico preso singolarmente, escludendo le situazioni (di presa in carico coordinata ndr) in cui si configura il dossier sanitario. Quest’ultimo a luglio 2015 è stato “istituzionalmente” iscritto nella “famiglia” delle cartelle cliniche, dunque non è visibile solo al medico titolare dei dati ma è messo a disposizione dei professionisti che avranno a che fare con il paziente nell’arco del processo di cura, dagli infermieri agli assistenti di studio. Con il Garante in qualche occasione si era parlato di creare un “Dossier territorlale”, cartella medica ravvicinabile alla scheda assistito, gestita dal medico di fiducia del paziente, alla quale potrebbero accedere altre figure “assimilabili” al Mmg. Va chiarito se tale tipologia di dossier possa essere affrancata dall’obbligo per il professionista di chiedere un consenso specifico o meno». Quarto grande tema, i dati aggregati, acquisiti a fini sanitari ma -una volta pseudonimizzati o anonimizzati -utili ai fini della programmazione delle attività mediche e per l’utilizzo nell’ambito dei gruppi ai fini del self-audit. «Come possiamo gestire queste informazioni nel modo migliore preservando il rapporto fiduciario che abbiamo con i nostri pazienti? Forse si tratta del tema più importante, perché – spiega Misericordia- tutto il Codice nasce dall’esigenza sentita dalla nostra professione, non per motivi contingenti ma perché è nel nostro DNA, di tutelare la riservatezza dei dati dei pazienti. Non tutte le informazioni che acquisiamo nel nostro lavoro possono essere condivise».

Mauro Miserendino