Sono in aumento, negli ultimi anni, gli infermieri

Transcript

1 pubblicazioni Libera professione e privacy di Paola Gobbi, Consigliere Sono in aumento, negli ultimi anni, gli infermieri che decidono di svolgere la libera professione, svincolandosi da rapporti di dipendenza con soggetti pubblici o privati. Al Collegio IPASVI di Milano-Lodi arrivano molte richieste di consulenza da parte degli iscritti, relative alla richiesta di informazioni circa le opportunità che la libera professione può riservare agli infermieri, ma anche in merito agli adempimenti di natura legislativa, fiscale e previdenziale a cui si va incontro qualora si scelga di intraprendere questa carriera. Occorre mettere in conto che il libero professionista ha degli obblighi anche nei confronti del Decreto Legislativo 30 giugno 2003, n. 196, ossia il Codice in materia di protezione dei dati personali (meglio noto come legge sulla privacy ). Questo articolo vuole essere una sorta di sintetico breviario della privacy per guidare i colleghi nei passi necessari da intraprendere per il pieno rispetto di una legge non certo di facile applicazione, alla luce delle attività tipiche svolte dagli infermieri liberi professionisti. Il punto di partenza è definire l identikit di un infermiere libero professionista, sulla base delle prestazioni erogate. Iniziamo, allora, da una giunta al Collegio qualche mese fa: Nel marzo 2006 ho aperto la partita IVA e ho stipulato una convenzione con il Comune di B. per la gestione di un ambulatorio infermieristico. L ambulatorio è attivo dal lunedì al venerdì: parte della mia attività è svolta in struttura, il resto sul territorio del Comune. Inoltre svolgo attività libero professionale nei confronti dei miei pazienti, sia in ambulatorio che al loro domicilio (in un area coincidente con la provincia di residenza). Mi sono dotato di un personal computer portatile dove registro le prestazioni infermieristiche e i nomi degli assistiti, così da fornire dei dati sull attività svolta al Comune. Inoltre ho un computer fisso in ambulatorio, per registrare le prestazioni erogate ai miei pazienti. Volevo avere delle informazioni circa gli eventuali adempimenti da adottare per la legge sulla privacy. Ipotizziamo, quindi, un modello di esercizio della libera professione così come suggerito dal collega: la gestione di un ambulatorio infermieristico, autonomamente o in collaborazione con uno o più colleghi; parte delle attività svolte al domicilio degli utenti; utilizzo di uno o più computer, connessi alla rete Internet; presenza di documenti e schede cartacee personali degli utenti assistiti. Quali sono gli ambiti di trattamento dei dati nell attività libero professionale? Nel modello ipotizzato, possiamo affermare che l infermiere tratta numerose informazioni (dati) dei propri pazienti, da quelle più semplici (dati anagrafici, codice fiscale, ecc per la redazione delle ricevute/fatture) a quelle più delicate (i dati sensibili ): notizie relative alla salute passata (anamnesi) e/o presente (analisi dei bisogni nella visita di presa in carico, rilevazione dei parametri vitali, stadiazione e misurazione di lesioni, ferite, ecc vedi riquadri 1, 2 e 3. I dati di salute possono riguardare anche i familiari del paziente; possono essere acquisiti direttamente dal paziente ma anche con modalità diverse (es.: liste di utenti fornite dal Comune all infermiere; risultati di analisi o di visite specialistiche a cui l utente si è sottoposto, informazioni sanitarie trasmesse da altri colleghi, es. da infermieri del reparto ospedaliero che ha dimesso il paziente). Queste informazioni possono essere gestite a livello cartaceo (la modalità più comune: in schede, cartelle, documenti) ma oramai in maniera sempre più diffusa i dati vengono informatizzati in programmi gestiti dai compu- 21

2 ter, spesso collegati alla rete Internet. L accesso a questi computer è solitamente condiviso da tutti i professionisti e /o collaboratori che operano nell ambulatorio. Riquadro 1. Cosa sono i dati personali? L art. 4, comma 1, lett. b, definisce il dato personale come qualunque informazione relativa a persona fisica, giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Sono esempi di dati personali: nome, cognome, indirizzo, professione, cittadinanza, immagini, suoni, codici alfanumerici quali il codice fiscale, il codice Bancomat, le impronte digitali, l indirizzo (ossia tutto ciò che, direttamente o indirettamente, può essere associato ad una persona). Riquadro 2. Cosa sono i dati sensibili? Sono i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Sono esempi di dati sensibili: le informazioni relative alla diagnosi, prognosi, esito di una malattia; la descrizione di un intervento chirurgico; i referti degli esami diagnostici (es. glicemia) e radiologici; il peso e la lunghezza del neonato; l appartenenza ad un sindacato o partito politico; il credo religioso; la condizione di omosessualità; l allergia a farmaci. Riquadro 3. Cosa si intende per trattamento dei dati? Secondo l art. 4, comma 1, lett. a è trattamento qualunque operazione o complesso di operazioni, svolti anche senza l ausilio di mezzi elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati, e quindi una qualsiasi attività in genere effettuata dal professionista utilizzando le informazioni relative al proprio paziente. Quali sono gli obblighi a cui il professionista deve adempiere per il rispetto del decreto legislativo 196/2003? 1. Non vi è l obbligo di notificare il trattamento dei dati al Garante La notificazione è la procedura attivata dal legislatore per rendere note al Garante per la protezione dei dati personali (l Autorità di controllo istituita dallo stesso decreto) le caratteristiche principali del trattamento dei dati eseguito dal titolare. È quindi lo strumento per attivare la forma cosiddetta di controllo pubblico (contrapposto a quello privato realizzato attraverso il rilascio dell informativa e l eventuale richiesta del consenso da parte dell interessato). L articolo 37, comma 1, del D.Lgs. 196/2003 individua dettagliatamente le fattispecie e gli ambiti di trattamento dei dati che comportano l obbligo di notifica; solo quella prevista dalla lettera b ( trattamenti di dati che riguardano dati idonei a rivelare lo stato di salute, trattati a fini di indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività,, monitoraggio della spesa pubblica ) potrebbe applicarsi agli infermieri. Ma con il provvedimento n. 1/2004 (pubblicato in GU del 6 aprile 2004, n. 81) il Garante ha escluso da tale adempimento gli esercenti le professioni sanitarie limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell incolumità fisica dell interessato o di un terzo. 2. Non vi è l obbligo di richiedere l autorizzazione per il trattamento dei dati sensibili Gli adempimenti per il titolare (vedi riquadro 4) che esegue trattamenti di dati di salute e delle abitudini sessuali, definiti sensibili dal legislatore proprio perché afferiscono alla sfera più intima della vita delle persone, sono generalmente più severi rispetto ai dati personali: alcune procedure sono più rigide (es.: il consenso manifestato dall interessato in forma scritta), le sanzioni sono inasprite e il sistema 22

3 di tutela è integrato da ulteriori obblighi, tra i quali quello di richiedere l autorizzazione al Garante (articoli 26 e 76). Rispetto a tale adempimento il Garante, con l obiettivo di snellire le procedure previste dal Codice, ha introdotto lo strumento dell autorizzazione generale, una sorta di consenso preventivo rilasciata dal Garante per specifiche categorie di persone e per determinati trattamenti/finalità. In pratica, per gli esercenti le professioni sanitarie, con l Autorizzazione generale n. 2/2004 Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale il Garante autorizza una serie di soggetti a trattare tali dati; sono indicati come destinatari di tale provvedimento, tra gli altri, anche gli esercenti le professioni sanitarie iscritti in albi o elenchi e il personale sanitario infermieristico, tecnico e della riabilitazione che esercita l attività in regime di libera professione. Riquadro 4. Chi è il titolare del trattamento dei dati? Chi è l interessato? Per la legge (art. 4, comma 1, lett. f) è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Nel modello preso in esame in questo articolo il titolare non può che essere l infermiere libero professionista; possono esserci più titolari del trattamento, se l attività nell ambulatorio viene svolta congiuntamente da due o più infermieri (che diventano quindi contitolari, dividendo così le loro responsabilità); se invece è presente una vera e propria associazione professionale (es.: studio associato) sarà questa ad essere titolare del trattamento, e quindi tenuta ad adempiere alle varie disposizioni della normativa, non già i singoli professionisti che ne fanno parte (Provvedimento del Garante del 30 giugno 1997). L interessato è invece la persona fisica a cui si riferiscono i dati; è quindi il paziente del professionista, ma può essere anche il dipendente o il fornitore di beni (se presenti nell ambulatorio). 3. Vi è l obbligo di fornire l informativa all interessato L informativa, disciplinata dall art.13 del D.Lgs. 196/2003 consiste nel rendere edotto il soggetto i cui dati vengono trattati delle caratteristiche del trattamento posto in essere, attraverso la comunicazione di una serie di dettagliate informazioni: - sul titolare e la sua attività, - sulle finalità e le modalità del trattamento, - sulla natura obbligatoria o facoltativa del con ferimento dei dati personali, - sui diritti dell interessato. Lo scopo è quello di consentire al paziente di esercitare in concreto i propri diritti, stabiliti in particolare nell art. 7 del Codice (il diritto di accesso, di controllo delle proprie informazioni, di rettifica/cancellazione dei propri dati, di oblio). Il Garante per la protezione dei dati personali, con il provvedimento del 19 luglio 2006, pubblicato in GU l 8 agosto 2006, n. 183, ha fornito a medici di base e pediatri di libera scelta indicazioni su come informare i pazienti relativamente al trattamento dei dati personali. Queste indicazioni possono essere estese a tutti i professionisti sanitari, compresi gli infermieri che esercitano la libera professione. Inoltre il Garante ha anche predisposto un modello di informativa che può essere utilizzato, anche opportunamente adattato alle esigenze del singolo professionista, per ottemperare all obbligo di informazione al proprio paziente. Nel riquadro 5 si propone il modello di informativa proposto dal Garante, e scaricabile dal sito rivisto e adattato per l attività professionale dell infermiere. Gli elementi indicati nel modello di informativa, sottolinea il Garante, possono essere forniti all'interessato nei modi di legge una tantum, attraverso idonee modalità che ne facilitino la conoscenza da parte degli assistiti, anche sulla base del rapporto personale con il singolo paziente e tenendo conto delle circostanze concrete. I contenuti dell'informativa possono essere comunicati direttamente all'assistito, a voce (sconsigliata) o per iscritto, oppure affiggendo il testo dell'informativa, facilmente visibile, nella sala d'attesa dell ambulatorio ovvero 23

4 con altre modalità (in aggiunta o in sostituzione delle altre forme) quale, ad esempio, la riproduzione dell'informativa in carte tascabili con eventuali allegati pieghevoli (art. 78, comma 3, del Codice), o consegnati insieme al modulo per il consenso al trattamento dei dati sensibili (vedi paragrafo successivo). A norma di legge l infermiere deve integrare gli elementi essenziali dell informativa in relazione a trattamenti ulteriori di dati personali che presentano rischi specifici, in particolare per scopi scientifici, di ricerca scientifica ed epidemiologica (artt. 78, comma 5, lett. a e 110 del Codice). Riquadro 5. Il modello di informativa proposto dal Garante, rivisto e adattato per gli infermieri INFORMAZIONE Gentili signori, desidero informarvi che i vostri dati sono utilizzati solo per svolgere attività necessarie per l erogazione di prestazioni infermieristiche atte a rispondere ai problemi di salute che vi hanno condotto in ambulatorio. Si tratta dei dati forniti da voi stessi o che sono acquisiti altrove, ma con il vostro consenso, ad esempio presso il vostro medico di base che vi ha indirizzato qui, o in caso di ricovero. Anche in caso di uso di computer, adotto misure di protezione per garantire la conservazione e l'uso corretto dei dati anche da parte dei miei collaboratori, nel rispetto del segreto professionale. Sono tenuti a queste cautele anche i professionisti (il sostituto, il farmacista, lo specialista) e le strutture che possono conoscerli. I dati non sono comunicati a terzi, tranne quando sia necessario o previsto dalla legge. Si possono fornire informazioni sullo stato di salute a familiari e conoscenti solo su vostra indicazione. In qualunque momento potrete conoscere i dati che vi riguardano, sapere come sono stati acquisiti, verificare se sono esatti, completi, aggiornati e ben custoditi, e far valere i vostri diritti al riguardo. Per attività più delicate da svolgere nel vostro interesse, sarà mia cura informarvi in modo più preciso. 4.Vi è l obbligo di richiedere il consenso al trattamento dei dati di salute Il titolare del trattamento dei dati ha l obbligo di raccogliere il consenso espresso dall interessato all utilizzo dei propri dati personali e/o sensibili (artt. 23 e 26). L infermiere, nell ambito dell esercizio della libera professione, deve richiedere il consenso al trattamento ai propri pazienti. Il legislatore ha previsto alcune semplificazioni per facilitare lo svolgimento dell attività sanitaria: l art. 81 prevede che il consenso possa essere espresso anche in forma orale (e non necessariamente scritta) per il trattamento dei dati di salute, a patto che tale volontà venga documentata dall infermiere (nella cartella infermieristica, sulla scheda personale del paziente); inoltre, se il paziente ha già dato il consenso al primo professionista con cui viene in contatto per uno specifico problema di salute (es.: il medico di base), e questo professionista lo invia poi ad altri professionisti (medici specialisti, infermieri, fisioterapisti, ecc) per il proseguimento delle cure, il consenso resta valido anche per tutti gli altri. Lo stesso vale per i colleghi che sostituiscono l infermiere quando questi, ad esempio, è in ferie o nel caso di presa in carico del paziente da parte di tutti gli infermieri che operano nell ambulatorio. L art. 76 prevede che, nel caso il professionista non sia in grado di acquisire direttamente il consenso dall interessato (per sua impossibilità fisica, incapacità di agire o incapacità di intendere e di volere, oppure se è presente un rischio grave, imminente e irreparabile per la sua salute) egli possa acquisirlo: - o da altre persone raggiungibili, elencate nel Codice (chi esercita legalmente la potestà, un prossimo congiunto, un familiare, un convivente o, in loro assenza, il responsabile della struttura presso cui la persona dimora) - nel caso che anche queste persone non siano raggiungibili e la prestazione infermieristica non possa essere procrastinata, il consenso potrà essere richiesto anche successivamente alla prestazione stessa. 5. Vi è l obbligo di adottare idonee misure di sicurezza Le misure di sicurezza sono quegli accorgimenti di natura tecnica che il titolare deve predisporre, al fine di proteggere i dati personali 24

5 oggetto di trattamento nella propria attività lavorativa. Tali misure sono disciplinate dal Titolo V della parte I del Codice, e dettagliate nell allegato B, denominato Disciplinare tecnico in materia di misure di sicurezza. Concretamente, nel caso di trattamento dei dati personali dei propri pazienti unicamente con strumenti cartacei l infermiere-titolare deve: - custodire atti e documenti in modo che non possano accedervi persone prive di autorizzazione (in armadi/locali chiusi a chiave) - organizzare accessi controllati (prevedendo un registro ove vengano annotati: ora e data, nonché nominativo, di chi ha avuto accesso alla documentazione) - organizzare un modo di identificazione e registrazione delle persone eventualmente ammesse all ambulatorio negli orari di non utilizzo dell infermiere (es.: altri professionisti; addetti dell impresa di pulizia). Nel caso, certamente più frequente, di trattamento delle informazioni svolte con mezzi informatici, l infermiere deve: - rendere necessariamente identificabile qualunque soggetto che acceda al/ai computer, attraverso un identificativo di utente ( user ) e una parola chiave ( password ); - autorizzare, attraverso procedura scritta, i soggetti che possono accedere ai dati informatizzati, specificando il tipo di dati e operazioni consentite; - installare programmi antivirus, aggiornare il sistema operativo, prevedere la presenza di firewall per evitare attacchi alla sicurezza dei dati quando il computer è collegato alla rete Internet; - eseguire periodicamente il back up dei dati (copie di riserva) e conservarli accuratamente; - predisporre il documento programmatico della sicurezza (DPS), conservandolo nella propria struttura e aggiornandolo ogni anno entro l ultimo giorno del mese di marzo vedi riquadro 6. Riquadro 6. Cos è il documento programmatico sulla sicurezza (DPS)? Il DPS è un atto che descrive tutto il sistema adottato dal titolare del trattamento per garantire la sicurezza della propria struttura relativamente all utilizzo dei dati personali. La normativa prevede l obbligo di procedere alla redazione del DPS solo per i titolari che operano un trattamento di dati sensibili o di dati giudiziari in forma elettronica (vedi anche parere del Garante del 22 marzo 2004). Una volta redatto il documento, non occorre spedirlo o effettuare comunicazione al Garante, ma semplicemente custodirlo all interno della propria struttura a disposizione per un eventuale controllo. Il DPS deve contenere: l elenco dei trattamenti effettuati, la distribuzione dei compiti e delle responsabilità, l analisi dei rischi che incombono sui dati e le misure da adottare per garantire la loro integrità, la protezione delle aree e dei locali, la descrizione delle modalità per il ripristino della disponibilità dei dati, la descrizione dei criteri da adottare per l affidamento di dati a terzi. La redazione del DPS presuppone che tutte le misure minime di sicurezza siano state adottate; predisporlo senza avere queste può risultare una forma di autodenuncia del mancato rispetto del disposto di legge (con sanzioni previste dall art. 169 del Codice). Il Garante ha predisposto delle linee guida per la compilazione del DPS, reperibili sul sito in home page. Per saperne di più: Ciacci G. Privacy e sanità. Roma: Il Pensiero Scientifico Editore, 2005 Gobbi P. Privacy e professione infermieristica. Milano: Mc Graw-Hill, 2003 Gobbi P. Aggiornamenti in tema di privacy. Io Infermiere 2005, 3:8-12 Gobbi P. Le strutture sanitarie devono rispettare la dignità delle persone. Il Garante della privacy prescrive le regole di condotta per gli operatori sanitari. Io Infermiere 2006, 1:10-15 Per contattare l autore: paolagobbi64@yahoo.it 25