pubblicazioni
Libera professione e privacy
di Paola Gobbi, Consigliere
S
ono in aumento, negli ultimi anni, gli infermieri che decidono di svolgere la libera professione, svincolandosi da rapporti di dipendenza con soggetti pubblici o privati.
Al Collegio IPASVI di Milano-Lodi arrivano
molte richieste di consulenza da parte degli
iscritti, relative alla richiesta di informazioni
circa le opportunità che la libera professione
può riservare agli infermieri, ma anche in merito agli adempimenti di natura legislativa, fiscale e previdenziale a cui si va incontro qualora
si scelga di intraprendere questa carriera.
Occorre mettere in conto che il libero professionista ha degli obblighi anche nei confronti
del Decreto Legislativo 30 giugno 2003, n. 196,
ossia il Codice in materia di protezione dei dati
personali (meglio noto come “legge sulla privacy”).
Questo articolo vuole essere una sorta di sintetico “breviario della privacy” per guidare i
colleghi nei passi necessari da intraprendere
per il pieno rispetto di una legge non certo di
facile applicazione, alla luce delle attività tipiche svolte dagli infermieri liberi professionisti.
Il punto di partenza è definire l’identikit di un
infermiere libero professionista, sulla base
delle prestazioni erogate. Iniziamo, allora, da
una e-mail giunta al Collegio qualche mese fa:
“Nel marzo 2006 ho aperto la partita IVA e ho
stipulato una convenzione con il Comune di B.
per la gestione di un ambulatorio infermieristico. L’ambulatorio è attivo dal lunedì al venerdì: parte della mia attività è svolta in struttura,
il resto sul territorio del Comune. Inoltre svolgo attività libero professionale nei confronti
dei miei pazienti, sia in ambulatorio che al loro
domicilio (in un’area coincidente con la provincia di residenza).
Mi sono dotato di un personal computer portatile dove registro le prestazioni infermieristiche e i nomi degli assistiti, così da fornire dei
IO INFERMIERE - N.4 /2006
dati sull’attività svolta al Comune.
Inoltre ho un computer fisso in ambulatorio,
per registrare le prestazioni erogate ai miei
pazienti. Volevo avere delle informazioni circa
gli eventuali adempimenti da adottare per la
legge sulla privacy”.
Ipotizziamo, quindi, un modello di esercizio
della libera professione così come suggerito
dal collega: la gestione di un ambulatorio
infermieristico, autonomamente o in collaborazione con uno o più colleghi; parte delle attività svolte al domicilio degli utenti; utilizzo di
uno o più computer, connessi alla rete
Internet; presenza di documenti e schede cartacee personali degli utenti assistiti.
Quali sono gli ambiti di trattamento dei dati nell’attività libero professionale?
Nel modello ipotizzato, possiamo affermare
che l’infermiere tratta numerose informazioni
(dati) dei propri pazienti, da quelle più semplici (dati anagrafici, codice fiscale, ecc per la
redazione delle ricevute/fatture) a quelle più
delicate (i “dati sensibili”): notizie relative alla
salute passata (anamnesi) e/o presente (analisi dei bisogni nella visita di presa in carico,
rilevazione dei parametri vitali, stadiazione e
misurazione di lesioni, ferite, ecc – vedi riquadri 1, 2 e 3. I dati di salute possono riguardare anche i familiari del paziente; possono essere acquisiti direttamente dal paziente ma
anche con modalità diverse (es.: liste di utenti
fornite dal Comune all’infermiere; risultati di
analisi o di visite specialistiche a cui l’utente si
è sottoposto, informazioni sanitarie trasmesse
da altri colleghi, es. da infermieri del reparto
ospedaliero che ha dimesso il paziente).
Queste informazioni possono essere gestite a
livello cartaceo (la modalità più comune: in
schede, cartelle, documenti) ma oramai in
maniera sempre più diffusa i dati vengono
informatizzati in programmi gestiti dai compu21
ter, spesso collegati alla rete Internet. L’accesso
a questi computer è solitamente condiviso da
tutti i professionisti e /o collaboratori che operano nell’ambulatorio.
Riquadro 1.
Cosa sono i dati personali?
L’art. 4, comma 1, lett. b, definisce il dato personale come “qualunque informazione relativa
a persona fisica, giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di
identificazione personale”.
Sono esempi di dati personali: nome, cognome, indirizzo, professione, cittadinanza, immagini, suoni, codici alfanumerici quali il codice
fiscale, il codice Bancomat, le impronte digitali, l’indirizzo e-mail (ossia tutto ciò che, direttamente o indirettamente, può essere associato ad una persona).
distruzione di dati, anche se non registrati in
una banca dati”, e quindi una qualsiasi attività
in genere effettuata dal professionista utilizzando le informazioni relative al proprio
paziente.
Quali sono gli obblighi a cui il professionista
deve adempiere per il rispetto del decreto legislativo 196/2003?
Riquadro 2.
Cosa sono i dati sensibili?
Sono i dati personali idonei a rivelare l’origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale.
Sono esempi di dati sensibili: le informazioni
relative alla diagnosi, prognosi, esito di una
malattia; la descrizione di un intervento chirurgico; i referti degli esami diagnostici (es. glicemia) e radiologici; il peso e la lunghezza del
neonato; l’appartenenza ad un sindacato o
partito politico; il credo religioso; la condizione di omosessualità; l’allergia a farmaci.
1. Non vi è l’obbligo di notificare il trattamento
dei dati al Garante
La notificazione è la procedura attivata dal
legislatore per rendere note al Garante per la
protezione dei dati personali (l’Autorità di controllo istituita dallo stesso decreto) le caratteristiche principali del trattamento dei dati eseguito dal titolare. È quindi lo strumento per
attivare la forma cosiddetta di “controllo pubblico” (contrapposto a quello “privato” realizzato attraverso il rilascio dell’informativa e l’eventuale richiesta del consenso da parte dell’interessato).
L’articolo 37, comma 1, del D.Lgs. 196/2003
individua dettagliatamente le fattispecie e gli
ambiti di trattamento dei dati che comportano
l’obbligo di notifica; solo quella prevista dalla
lettera b (“trattamenti di dati che riguardano
dati idonei a rivelare lo stato di salute …, trattati a fini di … indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, …, monitoraggio della
spesa pubblica”) potrebbe applicarsi agli infermieri. Ma con il provvedimento n. 1/2004
(pubblicato in GU del 6 aprile 2004, n. 81) il
Garante ha escluso da tale adempimento “gli
esercenti le professioni sanitarie … limitatamente ai dati e alle operazioni indispensabili
per la tutela della salute o dell’incolumità fisica dell’interessato o di un terzo”.
Riquadro 3.
Cosa si intende per “trattamento dei dati”?
Secondo l’art. 4, comma 1, lett. a è trattamento “qualunque operazione o complesso di operazioni, svolti anche senza l’ausilio di mezzi
elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la
consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
2. Non vi è l’obbligo di richiedere l’autorizzazione per il trattamento dei dati sensibili
Gli adempimenti per il titolare (vedi riquadro
4) che esegue trattamenti di dati di salute e
delle abitudini sessuali, definiti “sensibili” dal
legislatore proprio perché afferiscono alla sfera
più intima della vita delle persone, sono generalmente più severi rispetto ai dati personali:
alcune procedure sono più rigide (es.: il consenso manifestato dall’interessato in forma
scritta), le sanzioni sono inasprite e il sistema
22
IO INFERMIERE - N.4 /2006
di tutela è integrato da ulteriori obblighi, tra i
quali quello di richiedere l’autorizzazione al
Garante (articoli 26 e 76).
Rispetto a tale adempimento il Garante, con
l’obiettivo di snellire le procedure previste dal
Codice, ha introdotto lo strumento dell’“autorizzazione generale”, una sorta di consenso
preventivo rilasciata dal Garante per specifiche
categorie di persone e per determinati trattamenti/finalità. In pratica, per gli esercenti le
professioni sanitarie, con l’Autorizzazione
generale n. 2/2004 “Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale” il Garante autorizza una
serie di soggetti a trattare tali dati; sono indicati come destinatari di tale provvedimento, tra
gli altri, anche “gli esercenti le professioni sanitarie iscritti in albi o elenchi” e “il personale
sanitario infermieristico, tecnico e della riabilitazione che esercita l’attività in regime di libera professione”.
Riquadro 4.
Chi è il titolare del trattamento dei dati? Chi è
l’interessato?
Per la legge (art. 4, comma 1, lett. f) è “la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in
ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati,
ivi compreso il profilo della sicurezza”.
Nel modello preso in esame in questo articolo
il titolare non può che essere l’infermiere libero professionista; possono esserci più titolari
del trattamento, se l’attività nell’ambulatorio
viene svolta congiuntamente da due o più
infermieri (che diventano quindi contitolari,
dividendo così le loro responsabilità); se invece è presente una vera e propria associazione
professionale (es.: studio associato) sarà questa ad essere titolare del trattamento, e quindi
tenuta ad adempiere alle varie disposizioni
della normativa, non già i singoli professionisti
che ne fanno parte (Provvedimento del
Garante del 30 giugno 1997).
L’interessato è invece la persona fisica a cui si
riferiscono i dati; è quindi il paziente del professionista, ma può essere anche il dipendente
o il fornitore di beni (se presenti nell’ambulatorio).
IO INFERMIERE - N.4 /2006
3. Vi è l’obbligo di fornire l’informativa all’interessato
L’informativa, disciplinata dall’art.13 del
D.Lgs. 196/2003 consiste nel rendere edotto
il soggetto i cui dati vengono trattati delle
caratteristiche del trattamento posto in essere, attraverso la comunicazione di una serie
di dettagliate informazioni:
- sul titolare e la sua attività,
- sulle finalità e le modalità del trattamento,
- sulla natura obbligatoria o facoltativa del
con
ferimento dei dati personali,
- sui diritti dell’interessato.
Lo scopo è quello di consentire al paziente di
esercitare in concreto i propri diritti, stabiliti
in particolare nell’art. 7 del Codice (il diritto
di accesso, di controllo delle proprie informazioni, di rettifica/cancellazione dei propri
dati, di oblio).
Il Garante per la protezione dei dati personali, con il provvedimento del 19 luglio 2006,
pubblicato in GU l’8 agosto 2006, n. 183, ha
fornito a medici di base e pediatri di libera
scelta indicazioni su come informare i
pazienti relativamente al trattamento dei dati
personali. Queste indicazioni possono essere
estese a tutti i professionisti sanitari, compresi gli infermieri che esercitano la libera professione. Inoltre il Garante ha anche predisposto un modello di informativa che può
essere utilizzato, anche opportunamente
adattato alle esigenze del singolo professionista, per ottemperare all’obbligo di informazione al proprio paziente.
Nel riquadro 5 si propone il modello di informativa proposto dal Garante, e scaricabile
dal sito www.garanteprivacy.it, rivisto e adattato per l’attività professionale dell’infermiere.
Gli elementi indicati nel modello di informativa, sottolinea il Garante, possono essere
forniti all'interessato nei modi di legge una
tantum, attraverso idonee modalità che ne
facilitino la conoscenza da parte degli assistiti, anche sulla base del rapporto personale
con il singolo paziente e tenendo conto delle
circostanze concrete.
I contenuti dell'informativa possono essere
comunicati direttamente all'assistito, a voce
(sconsigliata) o per iscritto, oppure affiggendo il testo dell'informativa, facilmente visibile, nella sala d'attesa dell’ambulatorio ovvero
23
con altre modalità (in aggiunta o in sostituzione delle altre forme) quale, ad esempio, la
riproduzione dell'informativa in carte tascabili con eventuali allegati pieghevoli (art. 78,
comma 3, del Codice), o consegnati insieme
al modulo per il consenso al trattamento dei
dati sensibili (vedi paragrafo successivo).
A norma di legge l’infermiere deve integrare
gli elementi essenziali dell’informativa in
relazione a trattamenti ulteriori di dati personali che presentano rischi specifici, in particolare per scopi scientifici, di ricerca scientifica ed epidemiologica (artt. 78, comma 5,
lett. a e 110 del Codice).
Riquadro 5.
Il modello di informativa proposto dal
Garante, rivisto e adattato per gli infermieri
INFORMAZIONE
Gentili signori,
desidero informarvi che i vostri dati sono utilizzati solo per svolgere attività necessarie
per l’erogazione di prestazioni infermieristiche atte a rispondere ai problemi di salute
che vi hanno condotto in ambulatorio.
Si tratta dei dati forniti da voi stessi o che
sono acquisiti altrove, ma con il vostro consenso, ad esempio presso il vostro medico di
base che vi ha indirizzato qui, o in caso di
ricovero.
Anche in caso di uso di computer, adotto
misure di protezione per garantire la conservazione e l'uso corretto dei dati anche da
parte dei miei collaboratori, nel rispetto del
segreto professionale. Sono tenuti a queste
cautele anche i professionisti (il sostituto, il
farmacista, lo specialista) e le strutture che
possono conoscerli.
I dati non sono comunicati a terzi, tranne
quando sia necessario o previsto dalla legge.
Si possono fornire informazioni sullo stato di
salute a familiari e conoscenti solo su vostra
indicazione.
In qualunque momento potrete conoscere i
dati che vi riguardano, sapere come sono
stati acquisiti, verificare se sono esatti, completi, aggiornati e ben custoditi, e far valere i
vostri diritti al riguardo.
Per attività più delicate da svolgere nel vostro
interesse, sarà mia cura informarvi in modo
più preciso.
24
4.Vi è l’obbligo di richiedere il consenso al trattamento dei dati di salute
Il titolare del trattamento dei dati ha l’obbligo
di raccogliere il consenso espresso dall’interessato all’utilizzo dei propri dati personali e/o
sensibili (artt. 23 e 26). L’infermiere, nell’ambito dell’esercizio della libera professione, deve
richiedere il consenso al trattamento ai propri
pazienti. Il legislatore ha previsto alcune semplificazioni per facilitare lo svolgimento dell’attività sanitaria: l’art. 81 prevede che il consenso possa essere espresso anche in forma orale
(e non necessariamente scritta) per il trattamento dei dati di salute, a patto che tale volontà venga documentata dall’infermiere (nella
cartella infermieristica, sulla scheda personale
del paziente); inoltre, se il paziente ha già dato
il consenso al primo professionista con cui
viene in contatto per uno specifico problema
di salute (es.: il medico di base), e questo professionista lo invia poi ad altri professionisti
(medici specialisti, infermieri, fisioterapisti,
ecc) per il proseguimento delle cure, il consenso resta valido anche per tutti gli altri.
Lo stesso vale per i colleghi che sostituiscono
l’infermiere quando questi, ad esempio, è in
ferie o nel caso di presa in carico del paziente
da parte di tutti gli infermieri che operano nell’ambulatorio.
L’art. 76 prevede che, nel caso il professionista
non sia in grado di acquisire direttamente il
consenso dall’interessato (per sua impossibilità
fisica, incapacità di agire o incapacità di intendere e di volere, oppure se è presente un
rischio grave, imminente e irreparabile per la
sua salute) egli possa acquisirlo:
- o da altre persone raggiungibili, elencate nel
Codice (chi esercita legalmente la potestà, un
prossimo congiunto, un familiare, un convivente o, in loro assenza, il responsabile della
struttura presso cui la persona dimora)
- nel caso che anche queste persone non siano
raggiungibili e la prestazione infermieristica
non possa essere procrastinata, il consenso
potrà essere richiesto anche successivamente
alla prestazione stessa.
5. Vi è l’obbligo di adottare idonee misure di
sicurezza
Le misure di sicurezza sono quegli accorgimenti di natura tecnica che il titolare deve predisporre, al fine di proteggere i dati personali
IO INFERMIERE - N.4 /2006
oggetto di trattamento nella propria attività
lavorativa. Tali misure sono disciplinate dal
Titolo V della parte I del Codice, e dettagliate
nell’allegato B, denominato “Disciplinare tecnico in materia di misure di sicurezza”.
Concretamente, nel caso di trattamento dei
dati personali dei propri pazienti unicamente
con strumenti cartacei l’infermiere-titolare
deve:
- custodire atti e documenti in modo che non
possano accedervi persone prive di autorizzazione (in armadi/locali chiusi a chiave)
- organizzare accessi controllati (prevedendo
un registro ove vengano annotati: ora e data,
nonché nominativo, di chi ha avuto accesso
alla documentazione)
- organizzare un modo di identificazione e
registrazione delle persone eventualmente
ammesse all’ambulatorio negli orari di non utilizzo dell’infermiere (es.: altri professionisti;
addetti dell’impresa di pulizia).
Nel caso, certamente più frequente, di trattamento delle informazioni svolte con mezzi
informatici, l’infermiere deve:
- rendere necessariamente identificabile qualunque soggetto che acceda al/ai computer,
attraverso un identificativo di utente (“user”) e
una parola chiave (“password”);
- autorizzare, attraverso procedura scritta, i
soggetti che possono accedere ai dati informatizzati, specificando il tipo di dati e operazioni
consentite;
- installare programmi antivirus, aggiornare il
sistema operativo, prevedere la presenza di
“firewall” per evitare attacchi alla sicurezza dei
dati quando il computer è collegato alla rete
Internet;
- eseguire periodicamente il “back up” dei dati
(copie di riserva) e conservarli accuratamente;
- predisporre il documento programmatico
della sicurezza (DPS), conservandolo nella
propria struttura e aggiornandolo ogni anno
entro l’ultimo giorno del mese di marzo – vedi
riquadro 6.
Riquadro 6.
Cos’è il documento programmatico sulla sicurezza (DPS)?
Il DPS è un atto che descrive tutto il sistema
adottato dal titolare del trattamento per garantire la sicurezza della propria struttura relativamente all’utilizzo dei dati personali. La normaIO INFERMIERE - N.4 /2006
tiva prevede l’obbligo di procedere alla redazione del DPS solo per i titolari che operano
un trattamento di dati sensibili o di dati giudiziari in forma elettronica (vedi anche parere
del Garante del 22 marzo 2004). Una volta
redatto il documento, non occorre spedirlo o
effettuare comunicazione al Garante, ma semplicemente custodirlo all’interno della propria
struttura a disposizione per un eventuale controllo.
Il DPS deve contenere: l’elenco dei trattamenti effettuati, la distribuzione dei compiti e delle
responsabilità, l’analisi dei rischi che incombono sui dati e le misure da adottare per garantire la loro integrità, la protezione delle aree e
dei locali, la descrizione delle modalità per il
ripristino della disponibilità dei dati, la descrizione dei criteri da adottare per l’affidamento
di dati a terzi.
La redazione del DPS presuppone che tutte le
misure minime di sicurezza siano state adottate; predisporlo senza avere queste può risultare una forma di autodenuncia del mancato
rispetto del disposto di legge (con sanzioni
previste dall’art. 169 del Codice).
Il Garante ha predisposto delle linee guida per
la compilazione del DPS, reperibili sul sito
www.garanteprivacy.it, in home page.
Per saperne di più:
www.garanteprivacy.it
www.puntosicuro.it
Ciacci G. Privacy e sanità. Roma: Il Pensiero Scientifico
Editore, 2005
Gobbi P. Privacy e professione infermieristica. Milano: Mc
Graw-Hill, 2003
Gobbi P. Aggiornamenti in tema di privacy. Io Infermiere
2005, 3:8-12
Gobbi P.“Le strutture sanitarie devono rispettare la dignità
delle persone”.
Il Garante della privacy prescrive le regole di condotta per
gli operatori sanitari. Io Infermiere 2006, 1:10-15
Per contattare l’autore:
[email protected]
25