Analisi cliniche, quali adempimenti per il GDPR?

Quante sono le motivazioni per accedere ad un laboratorio di analisi cliniche? Quali adempimenti analisi cliniche da svolgere? Tanti, alcuni li elenco qui sotto e tutte portano al necessario trattamento dei dati personali da parte della struttura. In alcuni casi, anche di più strutture. Cosa si deve fare per la compliance imposta dal GDPR

Check-up di controllo, mio figlio ha la bua al pancino, il dottore vuole vederci chiaro sulle mie continue nevralgie, etc.etc.

Come già detto qualche giorno fa a proposito dell’ambito sanitario (leggi l’apposito articolo) il Regolamento europeo per la protezione dei dati personali, magari più avanti lo chiamo solo Regolamento per brevità, ha riformato e snellito fortemente la burocrazia per quanti operano in questi settori. Tra gli adempimenti analisi cliniche bisogna ricordare che le cose importanti sono fondamentalmente due:

  • la finalità del trattamento deve essere per interesse pubblico o per finalità di cura;
  • i dati personali siano trattati da soggetti sottoposti al segreto professionale o comunque all’obbligo della segretezza conformemente al diritto dell’Unione o degli Stati membri

Come sempre andiamo con ordine.

Interesse pubblico

Come già riferito nell’articolo sopra menzionato (leggilo se l’hai perso) l’interesse pubblico è presente, ma limitato. E’ interesse pubblico la tutela della salute durante una calamità o durante un emergenza. Non è interesse pubblico l’acquisizione dei dati sanitari per l’accesso ad un concerto (salvo ipotesi estreme come la pandemia del coronavirus imperversante mentre scrivo)

Finalità di cura

Le finalità di cura per il GDPR sono menzionate all’articolo 9, comma 2, lettera h). Vi evito la ricerca e ve lo riporto qui di seguito:

Il Trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e garanzie di cui al paragrafo 3.

Ho evidenziato in grassetto medicina preventiva e diagnosi perché ciò che fanno i laboratori di analisi cliniche sono medicina preventiva e assistono alla diagnosi.

Rimane solo un appunto da sviluppare: il necessario segreto.

Il paragrafo 3 dell’articolo 9 parla chiaro:

I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti

Il Codice deontologico

Fatto salvo quanto appena riferito, ricordiamo che il Codice deontologico dell’Ordine dei Biologi, a cui è demandata la guida sanitari di simili strutture, riferisce all’articolo 7:

7.1 Il Biologo deve ispirare la sua condotta al riserbo sul contenuto della prestazione e a tutto ciò di cui sia venuto a conoscenza nell’esecuzione della medesima.

(…)

7.3. Il Biologo è tenuto a richiedere il rispetto del dovere di riservatezza a coloro che hanno collaborato alla prestazione professionale, nonché a creare le condizioni affinché la stessa sia mantenuta riservata da parte dei dipendenti e da tutti coloro che, non iscritti all’Ordine, operano a qualunque titolo, nel suo studio o per conto dello stesso

Tutto questo per dire: non c’è bisogno del consenso nell’accesso ai laboratori di analisi. Uff… che fatica!

Sempre sempre non serve il consenso? Adesso volete troppo, in alcuni casi è ancora necessario.

[ihc-hide-content ihc_mb_type=”show” ihc_mb_who=”2,11″ ihc_mb_template=”3″ ]

Gli interessati dovranno fornirvi il consenso in caso di invio online dei referti (tramite un sito internet o via mail), nel caso vogliate invitarli a eventi promozionali o inviare loro comunicazioni con le medesime finalità o per marketing.

Un caso particolare è il consenso in caso di minori, ne abbiamo già parlato in precedenza e vi invito a leggere l’apposito articolo

E allora, ho finito. Sono apposto con il mio laboratorio? Assolutamente no!

L’Informativa al trattamento dei dati personali

Rispondendo all’ipotetica domanda precedentemente posta, dobbiamo sempre ricordarci di informare i nostri pazienti di chi tratta i loro dati personali (Titolare del trattamento, Responsabile del Trattamento), della base giuridica da noi scelta per svolgere il nostro lavoro, le finalità del trattamento dati, le eventuali comunicazioni, il periodo di conservazione, i diritti di cui godono gli interessati, i contatti del nostro Responsabile alla protezione dei dati (vedi articolo sul Data protection officer) e del Titolare. Insomma, un po’ di cose da condensare in un documento che, parafrasando e rendendo ancor più semplici le affermazioni del Regolamento, debba essere intellegibile ad un ragazzo della scuola media inferiore. Insomma, che sia chiaro, conciso, semplice da comprendere per chiunque.

La chiarezza prima di tutto

Lasciamo gli avvocati ai fori e parliamo spicciolo, ad esempio: “i tuoi dati sono trattati perché altrimenti non arriveremo ad una diagnosi, per fare il mio lavoro ho bisogno di un esperto che si trova fuori dalla mia struttura e che ho nominato Responsabile al trattamento. Il mio esperto si è obbligato alla segretezza e non racconterà in panetteria i fatti tuoi. Terremo i tuoi campioni per il tempo necessario alle analisi dopo li spediremo sul Sole perché non ho spazio in cantina per l’urina e il sangue altrui. Se hai problemi ho un tipo bellino e professionale che chiamo DiPpiO, lo puoi contattare a nome mio e ti presterà ascolto, ma preferirei mi chiamassi prima per fare due chiacchiare, magari la risolviamo subito.

Non proprio così magari, ma cerchiamo di renderla semplice a tutti.

Un caso particolare sono le persone delegate dagli Interessati. In un laboratorio di analisi i pazienti possono delegare un familiare, un amico, un passante al ritiro del referto ed essendo dati sanitari è bene che vi facciate indicare per iscritto chi sarà a prendere la busta con i risultati. Anche quest’ultimo ha dei diritti e se non era presente al momento della delega, dovete informarlo del trattamento dei suoi dati. Magari avete acquisito un documento di delega munito di carta d’identità per riconoscerlo, questi dati devono essere protetti secondo il Regolamento.

Ancora due tre cose e abbiamo finito con gli adempimenti analisi cliniche

Ora passiamo alle cose importanti.

Attribuire le responsabilità

Il Titolare del trattamento, solitamente il datore di lavoro del laboratorio di analisi, può richiedere l’aiuto di un Responsabile del trattamento, ossia una persona fisica o giuridica che tratta dati per conto del Titolare secondo le modalità imposte da quest’ultimo. In un laboratorio di analisi il Responsabile può essere:

  • il commercialista, per quanto riguarda la contabilità;
  • il consulente del lavoro, perché anche i dati dei vostri dipendenti sono personali;
  • il centro specialistico esterno a cui vi rivolgete in casi particolari, come magari le analisi genetiche;
  • l’esperto informatico che vi gestisce le reti e i software.

Questi solo per dirne alcuni.

Poi ci sono le persone autorizzate, i vecchi incaricati al trattamento del Codice privacy, alias D.Lgs. 196/03, che sono coloro i quali meramente eseguono i vostri ordini senza alcuna autonomia. In questo caso è facile comprendere chi possano essere:

  • la vostra segretaria;
  • l’addetto all’accettazione e alla consegna dei referti;
  • il tecnico di laboratorio;
  • l’infermiere prelevatore

Anche in questo caso ne ho messo solo qualcuno a titolo di esempio.

Cosa devo fare con tutte queste persone per essere compliance con gli adempimenti analisi cliniche? Stipulare una lettera di incarico, o equivalente, dove indicherò cosa possono e cosa non possono fare con i dati dei miei interessati. E’ importante, non può mancare.

La formazione, questo sconosciuto

Salireste su un aereo dopo aver conosciuto il comandante ad un bar completamente ubriaco e dopo che vi abbia raccontato, ancora alticcio, di aver “comprato” il brevetto di volo clandestinamente?

Quelli che dicono sì sono pregati di contattarmi, gli consiglierò un buon specialista.

Quelli che hanno detto il contrario, vi chiedo: è venuto il momento di formare i nostri dipendenti al rispetto dei dati personali.

Se un vostro dipendente inconsapevolmente lascia il computer aperto e si allontana non è adeguato al proprio lavoro, potrebbe capitare di tutto in quel frangente.

Se un vostro dipendente usa una chiavetta, magari regalata da voi stessi a Natale, per salvare contenuti non accuratamente selezionati e poi la inserisce nei vostri computer aziendali, magari potrebbe infettarli di un qualsiasi virus informatico e devastarvi sia economicamente sia a livello di immagine?

Uff, esageri. Ok, forse un po’, ma è bene sappiate che un black-out in Iran fu causato da una pendrive infetta lasciata nel parcheggio da spie israeliane e incautamente prelevata da un impiegato della centrale, che aveva persino formazione antispionaggio, e usata per salvare alcuni dati di lavoro (caso verificato). La vostra segretaria non avrà una formazione di questo tipo, ma magari si dimenticherà aperto il cassetto dei referti e si allontanerà per prendere il caffè… una svista che potrebbe essere fatale per i dati personali.

Abbiamo finito?

Non credo, ci può essere la necessità di effettuare una Valutazione di impatto per la protezione dei dati personali (DPIA) ed è sempre obbligatorio per un laboratorio di analisi nominare un Data Protection Officer (DPO), conosciuto in Italia anche con il nome di Responsabile alla Protezione dei dati personali.

Esso è una persona che deve assicurare conoscenza delle norme in materia di tutela della protezione dei dati personali e indipendenza. Quest’ultimo aspetto non è da sottovalutare e anche in questo caso vale la regola precedentemente descritta del pilota di aereo, è bene avere qualcuno di affidabile.

Hai bisogno di verificare quali sono tutti gli adempimenti analisi cliniche e ti serve consulenza GDPR? Visita il nostro Negozio online per scegliere il servizio adatto a te altrimenti contattaci

[/ihc-hide-content]
Tag: