Asides

Formazione privacy per operatori sanitari

CORSO AVANZATO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI E PRIVACY, DESTINATO A SOGGETTI OPERANTI ALL’INTERNO DI ORGANISMI SANITARI PUBBLICI O PRIVATI, AI SENSI DELLA REGOLA 19.6 DELL’ALLEGATO B AL DECRETO LEGISLATIVO 196/2003 E DELLE LINEE GUIDA IN MATERIA DI PRIVACY E FASCICOLO SANITARIO ELETTRONICO E REFERTI ON-LINE

Le misure di sicurezza per la corretta conservazione delle informazioni e, più in generale, il rispetto della privacy dei pazienti sono elementi cruciali per il buon funzionamento della sanità.

Il Codice Privacy (Decreto Legislativo 30 giugno 2003, n.196) ha imposto, infatti, anche agli operatori sanitari di osservare i principi di correttezza, finalità, esattezza, pertinenza, indispensabilità, non eccedenza e liceità del trattamento di dati personali. Questo deve accadere, a maggior ragione, quando ad essere gestiti sono dati sensibili o idonei a rivelare lo stato di salute delle persone.

Queste regole valgono sia per il settore privato, sia per quello pubblico.

Tra le misure di sicurezza minime, vi sono quelle stabilite dagli articoli 22 (commi 6 e 7, per il settore pubblico), 33, 34 e 35 del Codice Privacy, nonché nell’Allegato B al Codice medesimo. L’allegato B al Codice Privacy, conosciuto anche come “Disciplinare tecnico in materia di misure minime di sicurezza”, annovera tra gli obblighi che costituiscono a tutti gli effetti “misure minime di sicurezza”, al punto 19.6, la formazione degli incaricati: “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali “.

L’omissione di una adeguata formazione degli incaricati, cioè di tutti coloro che trattano i dati personali per conto del Titolare, costituisce a tutti gli effetti una omissione di misure minime di sicurezza. Questa omissione è sanzionata sul piano amministrativo con una somma da 10.000 a 120.000 euro e sul piano penale con l’arresto fino a due anni.

In ambito sanitario, la formazione si rivela ancor più necessaria, rientrando espressamente tra le misure idonee previste dall’articolo 83 del Codice Privacy. Al comma 2 di tale articolo, si stabilisce per gli esercenti le professioni sanitarie e gli organismi sanitari l’opportunità di adottare ulteriori e più stringenti misure di sicurezza, tra le quali, naturalmente, anche “la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute”.
Ricordiamo inoltre che nelle recenti Linee Guida in materia di referti on-line nonché nelle Linee Guida in materia di dossier e fascicolo sanitario elettronico, il Garante ha stabilito che “al fine di assicurare una piena comprensione degli elementi indicati nell’informativa, il titolare dovrebbe formare adeguatamente il personale coinvolto sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, anche ai fini di un più efficace rapporto con gli interessati.”

La sanità elettronica rientra infine tra gli obiettivi del piano ispettivo per il 2010 del Garante per la protezione dei dati personali.

Per tutte queste ragioni, è fondamentale che gli operatori sanitari (in particolare medici, infermieri, OSS), ma anche chi rientri nel corpo di gestione amministrativa, seguano un percorso formativo in materia di protezione dei dati personali e di misure di sicurezza privacy. Leggi il programma del corso su http://sanita.istitutoprivacy.it/formazione/