Nuova legge sulla protezione dei dati: cosa devono sapere le operatrici e gli operatori del settore sanitario (parte 2)
La nuova Legge sulla protezione dei dati (nLPD) e la nuova Ordinanza sulla protezione dei dati (OPDa) nonché la nuova Ordinanza sulle certificazioni in materia di protezione dei dati (OCPD) entreranno in vigore il 1° settembre 2023. Alcune innovazioni possono richiedere agli studi medici o alle istituzioni operanti nel settore sanitario di adattare o ampliare le linee guida e le procedure di trattamento dei dati personali esistenti.
Nel primo articolo del Blog sulla nuova Legge sulla protezione dei dati, abbiamo fornito una panoramica dei cambiamenti importanti e abbiamo approfondito alcune innovazioni in termini di trattamento dei dati. L’articolo tratta ora i punti importanti relativi al trattamento, all’archiviazione e alla cancellazione dei dati.
Elenco delle operazioni di trattamento dei dati
Con l’entrata in vigore della nuova Legge federale sulla protezione dei dati, i responsabili del trattamento saranno obbligati a tenere un registro delle attività di trattamento a determinate condizioni. Questo obbligo si applica alle aziende con più di 250 dipendenti e ai responsabili di un trattamento esteso di dati personali particolarmente degni di protezione. Data la sensibilità dei dati sanitari, si raccomanda che gli studi medici e le altre istituzioni operanti nel settore sanitario mantengano un registro di questo tipo, anche come base per qualsiasi divulgazione dei dati. Tuttavia, in sua assenza, non sono previsti multe. Tutte le attività di trattamento che si concentrano sul trattamento di dati personali particolarmente degni di protezione devono essere indicate nell’elenco dei trattamenti dei dati.
Alcuni esempi:
- conservazione e gestione delle cartelle cliniche
- gestione dei dati dei pazienti per la fatturazione delle assicurazioni sociali
- analisi di laboratorio
- gestione degli ordini di medicamenti e materiali
- gestione del personale
La FMH offre un modello di registro delle attività di trattamento, vedi «Modello di elenco delle attività di trattamento dei dati» nella pagina informativa della FMH.
Di seguito illustriamo le colonne che devono essere compilate come minimo:
- Attività di trattamento: attività di trattamento specifica nell’ambito della quale vengono trattati i dati personali. Le attività di trattamento correlate o simili possono essere elencate insieme.
- Finalità: finalità del trattamento dei dati personali. Si possono elencare anche diverse finalità (ad esempio, determinazione dei valori di laboratorio, documentazione del trattamento).
- Persona responsabile: responsabile dell’attività di trattamento e dei dati trattati. Si tratta della persona che decide come trattare i dati e con quali strumenti (ad esempio il medico). Se più persone sono responsabili di un’attività di trattamento (ad esempio, la conservazione della cartella clinica (decorso) in uno studio collettivo), si raccomanda di elencare il nome dello studio medico e le funzioni delle persone responsabili (ad esempio, il medico curante).
- Categorie di soggetti interessati: soggetti i cui dati vengono trattati. Si tratta di gruppi tipizzati che hanno determinate caratteristiche comuni (ad esempio, parti interessate, pazienti, personale, fornitori di servizi).
- Categorie di dati personali: i dati personali trattati, raggruppati in categorie (non troppo dettagliate, ad esempio dati anagrafici, dati base, dati di contatto, dati retributivi, dati assicurativi, dati bancari, dati di trattamento, dati sanitari).
- Categoria di destinatari: i destinatari che ricevono l’accesso ai dati personali o la possibilità di consultarli nel corso di un’attività sono raggruppati in categorie. I destinatari possono essere persone, aziende, autorità, ecc. Designazioni significative per le categorie di destinatari sono, ad esempio, le casse malati, le assicurazioni invalidità, la contabilità, l’amministrazione fiscale, le autorità di vigilanza, i fornitori di servizi.
- Periodo di conservazione / criterio di conservazione: termini per la conservazione dei dati (ad esempio, numero di giorni o anni), se noti. In particolare, occorre tenere conto degli obblighi di conservazione legali o per responsabilità professionale, cfr. capitolo «Archiviazione e cancellazione dei dati». In assenza di periodi di conservazione legali o per responsabilità professionale, devono essere specificati i criteri per la conservazione dei dati personali (ad esempio, fino al conseguimento della finalità, fino all’uscita del dipendente dall’azienda).
- Misure di sicurezza dei dati: misure tecniche e organizzative già attuate per proteggere i dati dalla perdita di riservatezza, integrità e disponibilità (ad es. armadietti chiusi a chiave per le cartelle cliniche fisiche, traffico e-mail crittografato, accesso limitato ai file digitali, formazione dei dipendenti ecc.) Vi è anche la possibilità di fare riferimento ai concetti di sicurezza esistenti.
Archiviazione dei dati
I dati personali regolamentati dalla Legge sulla protezione dei dati e trattati in gran numero nelle strutture sanitarie sono soggetti a diversi requisiti legali per l’archiviazione e la distruzione o cancellazione.Di seguito forniamo una panoramica su quali dati – tra l’altro in base alla revisione della Legge sulla protezione dei dati – devono essere conservati e per quanto tempo, ordinati per periodo di conservazione. Potete documentare l’implementazione nel vostro studio medico o nella vostra istituzione nell’elenco dei trattamenti dei dati illustrati sopra.
Dati trattati nello studio medico o nell’istituzione:
- Fascicolo del personale, registrazione delle ore e contabilità delle retribuzioni: 5 anni dalla data di uscita del dipendente
- Fatture, spese e documenti fiscali: 10 anni dalla fine dell’esercizio finanziario
- Cartella clinica (decorso): a causa del periodo di prescrizione previsto dalla Legge sulla responsabilità civile, 20 anni dopo il completamento dell’ultima visita o dell’ultimo trattamento. Inoltre, possono essere conservati solo con il consenso dell’interessato.
- Registri relativi alla manipolazione del sangue o degli emoderivati (ad esempio, in caso di prelievo di sangue): 30 anni
- Documenti sulla salute sul lavoro: 40 anni
Dati elaborati dai partner:
- Registri dei trattamenti dei dati estesi (Event Logs) di dati personali che richiedono particolare protezione: almeno 1 anno, separati dal sistema in cui i dati personali sono trattati. Questo riguarda principalmente i vostri fornitori di servizi informatici, che sono responsabili dell’archiviazione dei vostri dati elettronici.
- Protocolli CIP: 10 anni. Questo riguarda soprattutto la vostra comunità di riferimento.
- Cartelle informatizzate dei pazienti (CIP): devono essere cancellate se la finalità non è più valida, su richiesta dell’interessato (il paziente) o al più tardi dopo 20 anni. Questo riguarda soprattutto la vostra comunità di riferimento.
In questo caso, la distruzione o la cancellazione dei dati viene solitamente svolta dai vostri partner. In caso di incertezza, chiedete conferma.
Ulteriori dettagli sono disponibili nelle «Guida per la conversazione e l’archiviazione» della FMH sulla pagina informativa della FMH.
Le informazioni principali in sintesi
- Trattamento trasparente dei dati: i pazienti devono essere informati in modo trasparente sul trattamento dei loro dati. Un modello di dichiarazione sulla protezione dei dati si trova sulla pagina informativa della FMH, vedi «Informativa in materia di protezione dei dati».
- Requisito del consenso per la divulgazione dei dati: i pazienti devono acconsentire espressamente alla trasmissione dei loro dati a terzi (ma non necessariamente per iscritto). Un modello di dichiarazione di consenso è disponibile sulla pagina informativa della FMH (vedi «Dichiarazione di consenso, Modulo per il paziente»).
- Minimizzazione dei dati: memorizzate ed elaborate i dati solo se è veramente necessario e trasmetteteli a terzi solo se è dimostrato che ne hanno assolutamente bisogno.
- Elenco delle operazioni di trattamento dei dati: curate l’elenco sopra illustrato e mantenetelo aggiornato. Qualora non svolgiate tale attività non sarete multati. Tuttavia, l’elenco è utile anche per voi, per tenere traccia delle elaborazioni dei dati da voi svolte.
- Protezione e sicurezza dei dati: proteggete con cura i dati dei pazienti nel lavoro quotidiano. Non lasciate mai i dossier fisici in giro aperti e investite in un’infrastruttura informatica sicura. Proteggete i computer e i notebook su cui sono memorizzati dati personali digitali con una password sicura. Le e-mail che contengono i dati dei pazienti devono essere trasmesse in forma crittografata. Si veda anche la protezione di base IT della FMH.
- Misure tecniche e organizzative: definite disposizioni concrete per l’implementazione di misure tecniche e organizzative relative alla protezione e alla sicurezza dei dati nel vostro studio medico. Implementatele con attenzione, verificatene il livello di aggiornamento e la conformità e, se necessario, modificatele. La responsabilità del trattamento dei dati è ora un processo continuo.
Definizioni dei termini: distruzione, cancellazione, archiviazione, backup
Archiviazione significa che i dati vengono trasferiti in una memoria fisica o digitale sicura e inalterabile per poter fornire prove in un periodo di tempo definito. Al contrario, un backup serve a ripristinare immediatamente i dati operativi dopo una perdita di dati. Se i dati vengono distrutti irrevocabilmente, si parla di distruzione nel caso di dati fisici (come le cartelle dei pazienti in formato cartaceo), ma di cancellazione nel caso di dati elettronici.
Maggiori informazioni
- Una panoramica dei cambiamenti più importanti dovuti alla nLPD e i primi consigli sull’elaborazione dei dati sono disponibili nell’articolo del Blog HIN Parte 1
- Tutte le guide e i modelli di documenti per studi medici e istituzioni operanti nel settore sanitario sono disponibili nella pagina informativa della FMH