Neues Datenschutzgesetz: Das müssen Akteure des Gesundheitswesens wissen (Teil 1)
Protezione Dei Dati & Sicurezza Contesto

Nuova Legge sulla protezione dei dati: cosa devono sapere le operatrici e gli operatori del settore sanitario (parte 1)

Philipp Senn
Philipp Senn

La nuova Legge sulla protezione dei dati (nLPD) e la nuova Ordinanza sulla protezione dei dati (OPDa) nonché la nuova Ordinanza sulle certificazioni in materia di protezione dei dati (OCPD) entreranno in vigore il 1° settembre 2023. Anche i nostri clienti devono considerare una serie di cambiamenti che possono richiedere un adattamento o un ampliamento delle precedenti linee guida e procedure di trattamento dei dati personali.

Con la revisione totale della LPD, questa sarà adattata alle mutate condizioni tecnologiche e sociali. In particolare viene migliorata la trasparenza nel trattamento dei dati personali e viene rafforzata l’autodeterminazione delle persone interessate per quanto riguarda i propri dati. Affinché le professioniste e i professionisti della salute siano preparati a tali cambiamenti devono affrontare la questione il prima possibile poiché la nLPD e l’OPDa possono richiedere modifiche alle rispettive linee guida e alle procedure di trattamento dei dati personali.

Quali dati sono interessati

Negli studi medici e in altre istituzioni operanti nel campo della salute vengono trattati numerosi dati personali che rientrano nella nLPD e nell’OPDa. Questi includono ad esempio:

  • Dati base e dati di contatto di pazienti, dipendenti, referenti di fornitori di servizi o altre strutture sanitarie (ad esempio nome e cognome, numero di telefono, recapito postale, indirizzo e-mail e anche data di nascita)
  • Registrazioni relative al decorso di un trattamento, descrizione dei sintomi, diagnosi, prescrizioni mediche, reazioni, risultati di laboratorio, radiografie, farmaci
  • Stato dell’assicurazione sociale
  • Dati su questioni prettamente personali come lo stato di salute, la vita sessuale o lo stato emotivo
  • Dati sui dipendenti e sul rapporto di lavoro, comprese le valutazioni delle prestazioni e le buste paga

Panoramica delle modifiche principali

Per gli studi medici e le istituzioni operanti nel campo della salute sono rilevanti soprattutto i seguenti cambiamenti:

  • L’entità dei dati personali che richiedono particolare protezione viene integrata con dati genetici e biometrici nella misura in cui questi identificano in modo univoco una persona fisica. Le condizioni più severe poste al trattamento dei dati personali degni di particolare protezione si applicano ora anche a questi tipi di dati.
  • Il registro delle raccolte di dati attualmente in vigore sarà sostituito da un registro delle attività di trattamento. Ciò significa che l’attenzione non è più rivolta alle raccolte di dati ma alle modalità e alle finalità nel trattamento dei dati personali. Per i relativi dettagli si rimanda al «Modello di registro delle attività di trattamento dei dati e relativa guida» e al «Modello di elenco delle attività di trattamento dei dati» nella pagina informativa della FMH.
  • La Legge richiede ora che venga effettuata una Valutazione d’impatto sulla protezione dei dati se si pianifica un trattamento che potrebbe comportare un rischio elevato per i diritti fondamentali o della personalità della persona interessata. Tale rischio può sussistere, ad esempio, in caso di trattamento di dati personali degni di particolare protezione – come quelli relativi allo stato di salute – o in caso di utilizzo di nuove tecnologie – ad esempio prodotti cloud, intelligenza artificiale – nel trattamento dei dati personali. Si può rinunciare a una Valutazione d’impatto sulla protezione dei dati se il trattamento viene effettuato sulla base di un obbligo di legge, se i sistemi, i prodotti o i servizi utilizzati sono certificati per il trattamento previsto oppure se viene rispettato un codice di condotta sottoposto all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
  • La nuova Legge sulla protezione dei dati prevede l’obbligo di segnalare eventuali violazioni della sicurezza dei dati. Per i relativi dettagli si rimanda alla «Check-list e procedura in caso di violazioni della protezione dei dati» nella pagina informativa della FMH.
  • Le disposizioni penali sono state inasprite.

Tutte le guide e i modelli di documenti per gli studi medici e le istituzioni operanti nel campo della salute sono disponibili nella pagina informativa della FMHIn questo articolo affrontiamo il tema del trattamento dei dati. Approfondiremo a breve, in un prossimo articolo, le tematiche dell’archiviazione e della cancellazione.

Trattamento dei dati: cosa devono sapere le operatrici e gli operatori del settore sanitario

Il trattamento dei dati ai sensi della LPD comprende qualsiasi trattamento di dati personali come l’acquisizione, la conservazione, l’utilizzo, la rielaborazione, la divulgazione, l’archiviazione e la distruzione dei dati, indipendentemente dai mezzi impiegati e dalle procedure adottate. Al trattamento dei dati personali si applicano i seguenti principi:

  • Il trattamento dei dati personali è, in linea di principio, lecito se vengono rispettati l’ordinamento giuridico applicabile e le disposizioni in materia di protezione dei dati.
  • In relazione al trattamento dei dati personali, le operatrici e gli operatori del settore sanitario hanno il dovere di informare le persone interessate, compresi i pazienti. Devono informare i pazienti in modo comprensibile sulle finalità per cui i dati personali sono raccolti e trattati nonché sulle categorie di destinatari a cui i dati sono divulgati.
  • Per garantire che i pazienti siano adeguatamente informati, le operatrici e gli operatori del settore sanitario utilizzano appositi moduli informativi che vengono firmati dal paziente dopo il colloquio informativo, confermando così che il paziente ha compreso le informazioni. Un modello di esempio è fornito dalla FMH («Dichiarazione di consenso / Modulo per il paziente» nella pagina informativa della FMH.
  • La raccolta dei dati e le finalità del trattamento devono essere trasparenti ed essere effettuate in buona fede. Se l’acquisizione dei dati e le finalità del trattamento non sono evidenti alla persona interessata, questa deve essere informata in merito. Per «buona fede» si intende anche che i dati devono essere trattati solo in un modo che la persona interessata possa aspettarsi.
  • Il trattamento dei dati personali deve essere proporzionato. La proporzionalità è data se il trattamento è limitato ai dati idonei e necessari all’adempimento del compito o al raggiungimento delle finalità dichiarate. Proporzionalità significa inoltre che i dati personali devono essere conservati solo per il tempo effettivamente necessario all’adempimento del compito o per il tempo richiesto da un obbligo legale di conservazione. Se i dati personali non sono più necessari e non sussiste alcun obbligo legale di conservarli devono essere cancellati irrevocabilmente.
  • Il trattamento deve essere funzionale. La funzionalità è data se il trattamento dei dati personali avviene solo per le finalità definite e dichiarate al momento dell’acquisizione dei dati.
  • Se i dati personali non sono corretti devono essere rettificati o cancellati.

Tutte le guide e i modelli di documenti per studi medici e istituzioni operanti nel campo della salute sono disponibili nella pagina informativa della FMH.

Il contributo fornito da HIN

HIN è certificata secondo la norma ISO/IEC 27001:2017 e secondo l’allegato 8 dell’Ordinanza del DFI sulla cartella informatizzata del paziente. Grazie al nostro costante impegno a favore della protezione dei dati e della sicurezza delle informazioni ..

  • … stiamo attualmente ampliando le nostre linee guida, i processi e i contenuti formativi in base ai requisiti stabiliti nella nLPD e nell’OPDa. Nel 2024 amplieremo anche questo aspetto in conformità ai requisiti aggiuntivi della norma ISO/IEC 27001:2022.
  • … stiamo attualmente riesaminando le nostre componenti contrattuali con clienti e fornitori. Vi informeremo più avanti sulle modifiche previste.

Elenco delle fonti

 
clemens-hueppe

Clemens Hüppe

Clemens Hüppe è Head of Compliance and Risk da HIN.

Philipp Senn
Autore: Philipp Senn - Responsabile Comunicazione

La lingua e la tecnologia dell’informazione sono due aspetti che mi hanno sempre affascinato e che da HIN posso conciliare. Come Responsabile comunicazione presso HIN e secondariamente referente per la HIN Academy, mi piacerebbe mostrare ai nostri lettore i molteplici aspetti della trasformazione digitale, migliorando la loro consapevolezza per le questioni correlate alla sicurezza informatica.

Competenze

La lingua e la tecnologia dell’informazione sono due aspetti che mi hanno sempre affascinato e che da HIN posso conciliare. In qualità di specialista della comunicazione ho maturato esperienza nel settore IT, nell’ambiente associativo e nell’amministrazione pubblica. Come Responsabile comunicazione presso HIN e secondariamente referente per la HIN Academy, mi piacerebbe mostrare ai nostri lettore i molteplici aspetti della trasformazione digitale, migliorando la loro consapevolezza per le questioni correlate alla sicurezza informatica.

Contenuti redazionali

Nel blog di HIN fornisco informazioni sugli attuali sviluppi presso HIN, presento personalità e pareri sulla digitalizzazione nel settore sanitario, parlo di e-Health e sicurezza dei dati. Conduco interviste con esponenti del settore, approfondisco informazioni di carattere generale, fornendo così uno sguardo dietro le quinte.

Curiosità personali

Che si tratti di viaggi lontani, meno lontani o piccoli progetti di fai da te in casa o in giardino, le lingue (straniere) e la tecnologia occupano un posto importante anche nella mia vita privata. Il tempo libero lo preferisco trascorrere con la mia famiglia. Mi piace ridere e ogni occasione è buona per un’interessante conversazione tra amici, colleghi o conoscenti.

Altri articoli da Weitere Artikel von Philipp Senn

Avviso sui cookie