Gli allarmi dei medici di famiglia sulla privacy delle ricette online sono ben giustificati ma si deve tener conto anche delle responsabilità di chi fa i sistemi d’accoglienza dati online e anche di chi progetta i gestionali. Lo ricorda l’Avvocato Paola Ferrari, esperto di privacy e telemedicina, creatrice del sito “www.legalcorner.it“. E, sempre per Ferrari, i gestionali in uso nello studio del medico di famiglia potrebbero essere “dirimenti” ai fini dell’obbligo per il medico di nominare un Data Protection Officer-DPO: a seconda di quanti accedono ai dati sensibili dei pazienti la nomina della nuova figura responsabile della protezione dei dati trattati potrebbe essere o meno obbligatoria. Di certo, il tempo è poco, il regolamento entra in vigore il 25 maggio e Paolo Misericordia, esperto informatico del Centro Studi Fimmg, ha sottolineato come sia arduo ad oggi per il medico raccogliere consensi davvero tutelanti, ad esempio garantendo l’assistito che i suoi dati non siano letti da occhi diversi da quelli dei sanitari incaricati di tutelare la salute. Occorre davvero una nuova informativa e una nuova raccolta del consenso, come si pensa tra i mmg? 

L’abbiamo chiesto all’Avvocato Ferrari. «Anche chi costruisce i gestionali del medico deve ridurre al minimo i rischi di “consegna” del dato», avverte Ferrari. «Piuttosto, il medico farà bene a evitare la diffusione di dati via e-mail, WhatsApp o messenger su Fb: lo affermano le Linee guida in tema di referti on-line del 25 giugno 2009. O meglio, se spedisce i referti all’assistito via e-mail deve garantire certi requisiti: spedire il referto in forma di allegato e non come testo compreso nella body part del messaggio e proteggere il file con password o in una chiave crittografica stabilita dalle due parti tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti (Cfr. regola 24 del Disciplinare tecnico allegato B al Codice). Ma occorrerà anche che gli indirizzi e-mail siano validati con apposita procedura di verifica on-line, così da evitare di spedire documenti elettronici, pur “cifrati”, a soggetti diversi dall’assistito. Il medico dovrà poi disporre di idonei sistemi di autenticazione e autorizzazione degli incaricati, dimostrare che separa i dati sensibili cui può accedere solo lui da quelli amministrativo-contabili, attivare procedure per interrompere la spedizione a un utente che abbia comunicato il furto o lo smarrimento delle proprie credenziali d’accesso al sistema di consultazione on-line o altre condizioni di possibile rischio privacy». «Per quanto riguarda i promemoria a carico Ssn, sia per diagnosi che per prescrizioni – continua Ferrari- alcuni sistemi regionali permettono al paziente di poterne avere copia scaricandoli dal sistema, perciò ove possibile tale sistema può essere utilizzato dal medico se il paziente ha dato autorizzazione alla sua alimentazione». Ferrari puntualizza poi come il medico “single” sia esentato dal nominare il DPO dal regolamento Ue – punto 91 (non tratta dati su larga scala) e spiega come «i diversi studi associati secondo il regolamento potrebbero configurarsi diversamente: se la condivisione è dei soli locali, ogni medico è responsabile del trattamento dei propri dati con strumenti individuali e i colleghi operano quali sostituti, la situazione non differisce dal medico singolo; se invece i medici condividono i dati in unico software e/o server e li scambiano in strutture estese di presa in carico, fino a chiarimento del garante, si tratta di un grande trattamento di dati che implicherebbe la nomina del Dpo». Ferrari ricorda come la raccolta del consenso vada accompagnata da una informativa estesa accessibile: pieghevoli, consensi scritti, invio per mail, sito internet. «Il consenso può essere anche a voce, ma in caso di violazione sarà il medico a dover dimostrare che il paziente, usando una normale diligenza, non sapeva dell’uso». Ferrari ricorda che il trattamento dei dati sanitari nello studio convenzionato è formato da corpi diversi: «Ci sono trattamenti minimi necessari per curare il paziente ed erogare farmaci nonché per le normali attività (sapere quanti diabetici sta curando, o misurare le performance di salute); e trattamenti ulteriori da esplicitare nell’informativa (scopi di ricerca o sperimentazione clinica) che all’occorrenza va dimostrato siano stati accettati in modo inequivocabile. La formazione del personale non va limitata alla lettera d’incarico; ed è consigliato l’uso di software privacy designer progettati sulla base di norme tecniche internazionali (Esempio HIPAA -Health Insurance Portability and Accountability Act). Con questa normativa i medici dovranno affidarsi solo a sw house che diano garanzie di professionalità e serietà».