I poliambulatori sono strutture dove vengono erogate prestazioni sanitarie di vario tipo; possono essere pubbliche (appartenenti alle ASL o a strutture ospedaliere) o private, ed in quest’ultimo caso possono essere convenzionate o meno col Servizio Sanitario Nazionale e con compagnie assicurative.
Dal punto d vista organizzativo, possono esserci più sedi sparse in un certo territorio; esisterà un servizio di segreteria/reception, svolto da personale non sanitario, mentre le prestazioni saranno eseguite da personale sanitario infermieristico e/o medico; ed è possibile che alcuni medici svolgano la loro attività in regime privatisticoo, usufruendo degli spazi, delle attrezzature e dei servizi generali del poliambulatorio. La clientela, ossia i pazienti, possono scegliere il polimbulatorio autonomamente, oppure possono essere indirizzati dalle assicurazioni sanitarie o dalle aziende, nel caso ci siano i servizi per la medicina del lavoro.
È evidente che la maggior parte dei dati personali trattati appartiene alle categorie particolari, e che facilmente il volume di pazienti viaggi su numeri significativi (parecchie migliaia anche per i poliambulatori più piccoli).
Trattamenti
Come ogni organizzazione, sono presenti i trattamenti basilari: contabilità e gestione del personale (che può essere sia dipendente che a contratto, nelle sue forme più varie); mentre i trattamenti più specifici possono essere diversi:
- Prestazioni sanitarie (che comprendono, oltre alla prestazione propiamente detta, anche le prenotazioni, le consegne dei referti incluse le eventuali deleghe, i trasferimenti verso gli enti sanitari obbligatori)
- Sito internet e app per dispositivi mobili (che potrebbero comprendere moduli di prenotazione o richiesta informazioni, nonché pubblicazione di informazioni dei medici operanti nel poliambulatorio, o anche accesso ai referti)
- Noleggio degli studi ai medici per attività privatistica
- Videosorveglianza
- Promozioni, newsletter, etc
Adempimenti formali
Partendo dagli adempimenti sempre obbligatori, si ricordano le nomine del personale (se a contratto di Partita IVA, và verificato se la nomina deve essere come addetto o come Responsabile del Trattamento, sulla base delle circostanze specifiche) e dei Responabili del Trattamento (tra cui Commercialista, Consulente del lavoro, RSPP, ed eventualmente: altre strutture sanitarie come laboratori di analisi; assistenza IT e dei dispositivi medici; sorveglianza) ed ovviamente tutte le informative e la loro messa a disposizione (per quella dei pazienti, si consiglia: un’informativa completa affissa in sede, nella sala d’attesa o nella reception, e pubblicata sul sito internet; ed un’informativa breve che richiami quella completa nei moduli di raccolta dati, nei referti, nei form di prenotazione, e ovunque possa essere utile).
Viste le considerazioni fatte prima sui dati e sui volumi trattati, la compilazione del Registro dei Trattamenti deve essere completa ed ovviamente dettagliata; l’analisi dei rischi va inglobata nella Valutazione di Impatto necessaria sicuramente per i trattamenti sanitari, ed eventualmente per la videosorveglianza, per la trasmissione online dei referti, e per eventuali app.
Anche la nomina del Data Protection Officer risulta obbligatoria e comunque quanto mai opportuna.
Misure di sicurezza organizzative
Nel contesto in esame, le misure di sicurezza fisiche assumono una grande importanza, ma possono risultare inutili se non sono accompagnate da misure organizzative (che, ricordiamo, sono quelle che competono ai comportamenti umani) altrettanto rigide.
I problemi di privacy nei poliamblatori nascono principalmente dall’affollamento delle strutture durante le ore di apertura e dall’utilizzo promiscuo di spazi e strumenti. Nel caso della sala di attesa e della recepetion, è evidente che non sia possibile garantire l’isolamento acustico tra pazienti diversi, per cui è necessario usare accorgimenti che limitino al massimo la possibilità che siano diffuse informazioni sanitarie, specie se associate a nominativi: evitare di chiamare le persone per nome/cognome (vanno assegnati dei codici); evitare di pronunciare patologie e/o prestazioni troppo specifiche; garantire puntualità nelle prestazioni per evitare sovraffollamenti.
Negli studi, eventuali documenti cartacei non devono mai essere visibili o accessibili ai pazienti (il che vuol dire che è inutile avere cassetti, armadi, archivi sotto chiave se poi i documenti sono lasciati, anche per poco tempo, alla mercé di chiunque); allo stesso modo, in caso di strumenti diagnostici digitali, deve essere garantito che i dati siano tempestivamente trasferiti nei loro archivi finali e non lasciati nelle memorie locali, accessibili potenzialmente a pazienti curiosi ma anche ad altri medici non autorizzati.
Riguardo al ritiro di referti cartacei, è da evitare la conservazione di copie di documenti di identità, sia del paziente che del delegato: essi possono essere semplicemente esibiti ed è possibile registrare l’avvenuto controllo attraverso il numero del documento stesso.
Misure di sicurezza tecniche
Riguardo alle misure di sucrezza tecniche, oltre a quelle consuete ma in questo contesto particolarmente importanti (firewall, antivirus, backup, etc), è bene sottolineare un paio di aspetti.
Il personale non sanitario dovrebbe avere il minino accesso possibile alle informazioni sanitarie dei pazienti. Come al solito, è bene analizzzare le situazioni specifiche, ma in generale dovrebbe limitarsi alle informazioni amministrative/contabili ed alla tipologie di prestazioni richieste (il che ovviamente include l’accesso alle prescrizioni ed alle eventuali esenzioni); mentre referti, immagini diagnostiche, piani terapeutici, etc dovrebbero rimanere esclusiva del personale sanitario, e peraltro non in modo indiscriminato ma specifico in funzione delle effettive prestazioni effettuate dal singolo. Per far ciò, è necessario che i sistemi digitali (siano essi computer tradizionali o apparati specifici sanitari) siano configurati in modo che tutti gli operatori abbiano credenziali personali, e che per tramite di queste siano inibiti gli accessi indesiderati.
Nel caso si voglia avere un sistema di accesso online ai referti, si ricorda che è obbligatorio che l’uso di tale sistema sia facoltativo per il paziente, quindi il ritiro tradizionale (copia cartacea) deve sempre essere garantito. L’accesso a tale sistema deve essere cifrato (quindi protocollo HTTPS) e assolutamente personale; le credenziali di accesso è opportuno vengano fornite al momento dell’accettazione o della prestazione (reset o nuova comunicazione delle stesse deve avvenire esclusivamente al paziente dopo averne verificato l’identità). Invio di file via app di chat o SMS è vietato, mentre è possibile inviare informazioni riguardo la disponibilità dei documenti (ma non le credenziali).
Infine, la distruzione dei supporti fisici (cartacei o digitali) deve essere effettuata in modo sicuro (cioè rendendone impossibile la ricostruzione), eventualmente affidandosi a ditte specializzate che vanno perlatro nominate Responsabili del Trattamento.
Leggi anche: La gestione privacy del medico di base – Ricetta elettronica, modalità di invio – La privacy degli studi medici
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.