Per l’applicabilità della legge sulla privacy, dobbiamo aver ben chiare due parole chiave: osservanza e rispetto. Dove per OSSERVANZA si intende l’ubbidienza scrupolosa a principi e prescrizioni e per RISPETTO, il sentimento che ci induce a riconoscere i diritti, la dignità di qualcuno o di qualcosa. (www.garantedellaprivacy.it) Sono due sinonimi che chiariscono e definiscono quello che deve essere il nostro atteggiamento nei confronti di questa legge; il codice in materia di protezione dei dati personali, tutela quindi, quello che è un diritto fondamentale dell’individuo. (Art.1) (decreto legislativo 20 giugno 2003, n. 196) Il Garante della Privacy li suddivide in tre categorie: identificativi – sensibili – giudiziari.

I dati personali identificano una persona fisica e possono fornire svariati dettagli della sua vita e permettono l’identificazione diretta come una foto, un video, il codice fiscale.

I dati sensibili possono rivelare l’origine razziale, etnica, la religione, le opinioni politiche, lo stato di salute, l’orientamento sessuale e l’adesione a partiti e/o sindacati.

I dati giudiziari sono quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari come ad esempio: i provvedimenti penali, la libertà condizionale, la qualità d’imputato o di indagato.

La riservatezza e il segreto professionale dei dati sono, pertanto, un aspetto fondamentale per garantire il rispetto della dignità e della libertà dei pazienti. Il segreto professionale è quindi ogni fatto che, per disposizione di legge, o per decisione di una volontà giuridicamente autorizzata, è destinato a rimanere nascosto a qualsiasi persona diversa dal legittimo depositario cioè dal custode dei dati stessi, questo lo definisce la Corte di Cassazione. (n°2393 sez. III^ del 10/01/1967). La riservatezza ed il segreto sono un aspetto fondamentale per garantire il rispetto, dignità e libertà del paziente o meglio della “persona”. L’articolo 10 del Codice Deontologico impone il segreto al medico il quale deve informare i suoi collaboratori dell’esistenza del segreto professionale (art.14) e deve vigilare che vi si conformino (art.16). Gli ASO (Assistenti Studio Odontoiatrico) non hanno una professione riconosciuta, non hanno un percorso di studio, figuriamoci se hanno un codice deontologico, che cosa vuol dire? Che i dipendenti ASO devono conoscere cosa dice il codice deontologico della professione medica. Il contratto collettivo dei dipendenti degli studi professionali, parla chiaro: riporto testualmente l’art. 134 del ccnl.: “il lavoratore ha l’obbligo di osservare nel modo più scrupoloso i doveri e il segreto d’ufficio, di usare modi ecc…”. Quindi già esiste un regolamento sul segreto che è sottoscritto dal dipendente nel momento dell’assunzione, proprio per questo e per altri motivi, i dipendenti, cioè gli incaricati del trattamento dei dati, al momento dell’assunzione dovrebbero avere una copia del contratto di lavoro, che dovrebbe essere consegnata loro dal titolare dei dati, nonché titolare dello studio odontoiatrico o amministratore delegato. Questo purtroppo non avviene mai, viene firmato il contratto senza aver chiare le responsabilità della firma.

Il Garante della privacy ha individuato le tre figure che sono abilitate al trattamento dei dati, cioè qualsiasi operazione dalla loro raccolta alla distruzione: il Titolare dei dati, il Responsabile, l’ Incaricato.

Il Titolare dei dati è la persona che ha potere assoluto sulle modalità di trattamento dei dati (articolo 4.1 lettera F del Codice), generalmente è il titolare dello studio odontoiatrico o l’amministratore, in strutture più complesse.

La figura del Responsabile è facoltativa (articolo 29 del Codice), la sua eventuale nomina da parte del Titolare, deve avvenire il modo formale (articolo 4.1, lettera G) del Codice) e il suo grado di responsabilità deve essere scritto: all’interno di una struttura complessa come una clinica, possono coesistere più responsabili con incarichi diversi, ad esempio chi per i dati identificativi, chi per quelli sensibili; spesso negli studi professionali con un solo medico, il Titolare ricopre anche questa figura.

Gli Incaricati sono le persone alle quali vengono affidati i dati, li elaborano e li utilizzano sulla base delle istruzioni ricevute dal Titolare o dal Responsabile, la designazione degli Incaricati, come per il Responsabile va fatta per iscritto, Gli Incaricati sono tutti gli operatori presenti all’interno dello studio, dall’ASO all’igienista dentale. Tutti noi raccogliamo ogni giorno dati identificativi, lo facciamo scrivendo numeri di telefono o indirizzi mail nelle nostre agende o nelle rubriche dei nostri telefoni, per uso strettamente personale possiamo farlo liberamente, però il garante della privacy ci impone di non comunicarli a terze persone. Cosa vuol dire? Semplicemente non possiamo divulgare dati identificativi a chiunque ce li chieda senza prima ottenere il permesso all’interessato; questo, prima di tutto, è segno di buon senso e di educazione. Cosa diversa invece è la raccolta di dati sensibili, che deve avvenire solo con il consenso scritto dell’interessato. In alcuni casi definiti dal Garante della privacy, il segreto del medico può essere rivelato senza consenso dell’interessato (Art.24), spetta comunque al medico la valutazione sull’opportunità della deroga, quindi può valutare in prima persona se rivelare o no il segreto. Nello specifico se richiesto dai legali rappresentanti del minore o dell’incapace nell’interesse degli stessi, se autorizzato dall’interessato una volta informato sull’utilità della rivelazione stessa, se necessario per la salvaguardia della la vita o dell’incolumità fisica di un terzo.

Solo in un caso il medico è obbligato a rivelare il segreto senza consenso e a prescindere dalla deroga: per adempiere ad obblighi previsti dalla legge. Il Decreto-Legge n.5 del 9 febbraio 2012 (Disposizioni urgenti in materia di semplificazione e di sviluppo) ha abolito l’obbligo di redigere il DPS (dispositivo programmatico sicurezza) ma non è cambiata la sostanza della normativa sulla privacy: tutte le misure di sicurezza obbligatorie e i provvedimenti stabiliti dal Garante sono ancora in vigore, comprese le sanzioni, occorre quindi continuare ad osservare tutti i principi fondamentali stabiliti dal D.Lgs. 196/03 per il trattamento dei dati.

Il Codice della Privacy ha individuato delle misure di sicurezza (Art.31) che devono essere adottate in base all’oggetto di trattamento in modo da ridurre al minimo i rischi di distruzione e perdita anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alla raccolta. Il Garante della Privacy raccomanda: il salvataggio di dati sensibili e personali dei pazienti andrebbe attivato ogni settimana, la password (che deve essere sicura, quindi composta caratteri alfanumerici) cambiata ogni 3 mesi, i programmi di protezione antivirus aggiornati ogni 6 mesi, ogni anno andrebbero verificate le funzioni attribuite agli incaricati, con regole scritte. Come già detto, l’Art. 1 (decreto legislativo 30 giugno 2003, n. 196) sancisce il diritto di chiunque alla protezione dei dati personali che lo riguardano, quindi il diritto di accedere ai propri dati personali: è possibile richiedere a un soggetto (persona fisica, impresa, associazione, ecc.) di fornire informazioni sull’eventuale trattamento dei propri dati oltre a ottenere la messa a disposizione di tutte le informazioni personali detenute dal Titolare del trattamento. In particolare, è possibile chiedere di sapere: quale sia l’origine dei dati personali trattati, le finalità e le modalità del trattamento, se i dati personali sono trattati con strumenti elettronici e qual è la logica applicata a tale trattamento, gli estremi identificativi di chi tratta i dati (titolare, rappresentante designato nel territorio dello Stato italiano), i soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato, di responsabili o incaricati. È possibile altresì richiedere a chi sta trattando i propri dati personali che questi siano aggiornati, rettificati o integrati o bloccati, cancellati o trasformati in forma anonima, se il trattamento non viene effettuato secondo le regole stabilite dalla legge o non è più necessaria la loro conservazione. Nota importante: delle operazioni di aggiornamento, rettifica o cancellazione dei dati devono essere informati tutti coloro ai quali eventualmente sono stati comunicati o diffusi i dati personali. L’esercizio del diritto non è subordinato ad alcuna motivazione particolare e di regola, gratuito. È possibile esercitare il Diritto di Opposizione, per motivi legittimi e senza necessità di motivare l’opposizione quando i dati sono trattati per finalità commerciali o di marketing. Dal 1° febbraio 2011 gli abbonati, i cui nominativi e numeri siano pubblicati negli elenchi telefoni ci e che non desiderino ricevere telefonate pubblicitarie con operatore, devono iscriversi al Registro Pubblico delle Opposizioni (articolo 130, 3-bis e seguenti del Codice in materia di protezione dei dati personali). Per quanto riguarda il STS (Sistema Tessera Sanitaria), il paziente, all’atto di emissione della ricevuta sanitaria, può opporsi all’invio della stessa all’Agenzia delle Entrate, chiedendo oralmente al medico o alla struttura sanitaria l’annotazione dell’opposizione sul documento fiscale. Quindi per quanto riguarda le ricevute emesse a partire dal 1 gennaio 2016, ciascun paziente può esercitare la propria opposizione a rendere disponibili, all’Agenzia delle Entrate, i dati relativi alle spese sanitarie per l’elaborazione del modello 730 precompilato, l’informazione di tale opposizione deve essere conservata anche dal medico/struttura sanitaria (art. 3 D.M. 31/07/2015). In tal caso, i dati NON andranno trasmessi e si deve apporre su entrambe le copie delle fatture emesse l’annotazione, anche attraverso un timbro, A titolo indicativo si consiglia la seguente dicitura: “ricevuta non trasmessa al sistema tessera sanitaria ai fini della predisposizione del 730 p re c o m p i l a to , per opposizione dell’assistito ai sensi dell’art. 3 d.m. 31/07/2015 e dell’art. 7 d. lgs. n.196/2003 e ss.mm.ii”. Solo per le spese e i relativi rimborsi del 2015, l’opposizione può essere effettuata seguendo 2 modalità:

Dal 10 febbraio al 9 marzo 2017, accedendo all’area autenticata del sito web dedicato del Sistema Tessera Sanitaria, oppure utilizzando le credenziali Fisconline rilasciate dall’Agenzia delle Entrate. Con questa modalità, è possibile consultare l’elenco delle spese sanitarie e selezionare le singole voci per le quali esprimere la propria opposizione all’invio dei relativi dati all’Agenzia delle Entrate per l’elaborazione della dichiarazione precompilata.

Fino al 31 gennaio 2017, c o m u n i c a n d o d i r e t t a m e n t e all’Agenzia delle Entrate tipologia (o tipologie) di spesa da escludere, dati anagrafici (nome e cognome, luogo e data di nascita), codice fiscale, numero della tessera sanitaria e relativa data di scadenza utilizzando gli appositi moduli messi a disposizione nel sito dall’Agenzia delle Entrate.