Le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta.
Per evitare errori, digitalizzazione dei processi e formazione del personale possono essere decisivi. In questo contesto è intervenuto il Garante privacy, che ha comminato a un’azienda sanitaria dell’Emilia Romagna una sanzione perché le condizioni di una paziente sono state comunicate al marito contro la sua volontà, per l’errore di un’infermiera.
Come precisato dal Garante, occorre il pieno rispetto dei principi di correttezza e trasparenza, nonché è necessario adottare misure tecniche e organizzative utili non solo a proteggersi da attacchi informatici, ma anche a evitare violazioni di dati personali, in particolare quelli più delicati, come quelli sulla salute – troppo spesso causate da inadeguate procedure gestionali aziendali. Altro elemento chiave è la formazione del personale, chiave del successo del sistema di gestione privacy oltre che onere in capo al Titolare del trattamento. La dematerializzazione del documento sanitario e l’implementazione di adeguate soluzioni IT capaci di garantire una corretta gestione dei processi aziendali sono la vera sfida delle aziende sanitarie pubbliche e private.
La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo. In particolare, l’art. 83 del Codice, prevede che, tra gli altri, le strutture pubbliche che erogano prestazioni sanitarie debbano adottare “(…) idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza”. Tali misure comprendono, in particolare:
- il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;
- la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute.
A tale riguardo, si rinvia, altresì, agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente a “segreto professionale”, “riservatezza dei dati personali” e “trattamento dei dati sensibili”.