FAQ sulla protezione dei dati nello studio medico e terapeutico

Come dati personali o dati riferiti a persone si intendono tutti i dati che riguardano una persona e la identificano o contribuiscono alla sua identificazione. Il termine dati personali ha quindi un ampio significato. La legge sulla protezione dei dati distingue tra dati personali (degni di protezione) e dati personali degni di particolare protezione.

Ad essere degni di protezione sono in linea di principio tutti i dati personali.

Come dati personali degni di particolare protezione la legge indica, tra gli altri, i dati sulla salute e la sfera intima nonché i dati su opinioni o attività religiose, filosofiche, politiche o sindacali. In relazione al trattamento dei dati personali degni di particolare protezione, la legge prevede tuttavia requisiti supplementari.

Dei dati personali trattati negli studi fanno parte ad esempio:

• Dati di base e di contatto di pazienti, dipendenti e persone di contatto dei fornitori di servizi o di altre istituzioni sanitarie (p.es. nome, numero di telefono, indirizzo, indirizzo e-mail o anche la data di nascita)
• Registrazioni sull’andamento di un trattamento, descrizioni dei sintomi, diagnosi, prescrizioni, reazioni, risultati di laboratorio, radiografie, medicazioni
• Status relativo all’assicurazione sociale
• Dati sulla sfera intima, come ad esempio lo stato di salute, la vita sessuale o la vita emotiva
• Dati sul personale e sul rapporto di lavoro, comprese le valutazioni delle prestazioni e i conteggi salariali.

• Dati di base e di contatto di pazienti e di persone di contatto dei fornitori di servizi o di altre istituzioni sanitarie (p.es. nome, numero di telefono, indirizzo, indirizzo e-mail, data di nascita)
• Registrazioni sull’andamento di un trattamento, descrizioni dei sintomi, diagnosi, prescrizioni, reazioni, risultati di laboratorio, radiografie, medicazioni
• Status relativo all’assicurazione sociale
• Dati sulla sfera intima, come ad esempio lo stato di salute, la vita sessuale o la vita emotiva

Gli studi sono tenuti a trattare correttamente anche i dati relativi al proprio personale, di cui fa parte anche il consenso delle dipendenti e dei dipendenti. Spesso si tratta dei seguenti dati personali:

Dati sul personale e sul rapporto di lavoro, comprese le valutazioni delle prestazioni e i conteggi salariali.

La raccolta dei dati dipende sempre dallo scopo. Vale a dire che è determinante il motivo per cui si richiedono i dati. Per gli studi medici e terapeutici si impongono essenzialmente due basi di dati:

Dal punto di vista amministrativo

L’amministrazione dei pazienti è autorizzata a richiedere nome, data di nascita, dati di contatto, ente assicurativo e numero d’assicurato, se la fatturazione avviene tramite la cassa malati. I dati minimi necessari sono il nome e l’indirizzo per consentire la fatturazione, nel caso in cui la cassa malati non debba essere coinvolta. Questo comprende anche un indirizzo e-mail, se viene ad esempio inviata per via elettronica la copia della fattura nel terzo pagante. La paziente/il paziente deve fornire un indirizzo e-mail al quale ha accesso in modo esclusivo. La decisione finale circa l’accesso e gli standard di codifica che deve presentare il proprio indirizzo e-mail spetta però alla paziente/al paziente. Se necessario, possono essere richiesti anche altri dati.

Dal punto di vista medico

Nell’ambito del trattamento medico devono essere richieste ulteriori informazioni. Questi dati sono in relazione all’incarico di trattamento. Possono includere malattie preesistenti, allergie note, intolleranze ai farmaci, malattie trasmissibili, sintomi, ecc. Anche in questo caso è l’incarico di trattamento a stabilire lo scopo della raccolta dei dati medici.

La cartella clinica classica

La legge sulle professioni mediche e le leggi sanitarie cantonali prevedono un obbligo esplicito di conservazione. In linea di principio, ogni professionista della salute deve essere in grado di documentare il trattamento e le informazioni fornite alla paziente/al paziente. A questo riguardo, ogni professionista della salute è soggetto all’obbligo di prova.

Per quanto concerne il contenuto, il medico deve stabilire i fatti medici in conformità con le regole valide della medicina. Questo comprende in particolare l’anamnesi, il decorso della malattia e la relativa diagnosi. È inoltre importante indicare un’eventuale assunzione dei costi da parte della paziente/del paziente o se vi sono incertezze riguardo al pagamento da parte della rispettiva assicurazione.

Inoltre, nella cartella clinica deve essere registrata anche la terapia prescritta con le spiegazioni fornite alla paziente/al paziente, nonché i medicamenti prescritti o i certificati di incapacità lavorativa rilasciati.

Queste informazioni devono essere fornite in maniera oggettiva. In base alla prassi consueta solo le annotazioni personali non fanno parte della cartella clinica, di cui occorre comunque fare un uso molto limitato.

Per le professioni citate all’art. 321 del Codice penale si applica in aggiunta il segreto professionale. Di per sé il segreto professionale va perfino oltre la protezione dei dati. La possibilità di dare il proprio consenso alla trasmissione dei dati coperti dal segreto professionale (e dalla protezione dei dati) spetta essenzialmente al paziente/alla paziente (cfr. anche consenso paziente), a meno che non vi siano motivi legali che consentono la trasmissione dei dati senza necessità di consenso. Il caso più comune che si presenta negli studi è la trasmissione di dati ad altre professioniste o altri professionisti della salute nella catena di trattamento diretta. In caso di dubbio, anche le direzioni o uffici della sanità cantonali offrono un «esonero ufficiale», che deve essere però richiesto in maniera specifica. Un punto controverso riguarda la questione se l’esonero dall’obbligo del segreto professionale debba essere ottenuto per ogni singolo trattamento. Nello studio questo comporta ulteriore lavoro amministrativo per cui, per il momento, si potrebbe far riferimento al modulo pazienti con il rispettivo esonero al momento della registrazione.

La protezione dei dati ha per oggetto l’autodeterminazione informativa e la protezione dal trattamento improprio dei dati che limita le persone fisiche nella loro personalità o nei loro diritti fondamentali. Lo scopo della legge sulla protezione dei dati consiste nel tutelare questi diritti, definendo direttive sulla gestione e il trattamento dei dati personali.

La nuova versione della Legge sulla protezione dei dati (LPD), che entrerà in vigore il 1° settembre 2023, rafforza in particolare l'autodeterminazione sui propri dati da parte delle persone interessate, obbligando le titolari e i titolari del trattamento a una maggiore trasparenza, e amplia i diritti delle persone interessate. A essere rilevanti per gli studi sono in primo luogo i seguenti cambiamenti:

• La definizione dei dati personali degni di particolare protezione viene estesa ai dati genetici e biometrici, a condizione che questi identifichino una persona fisica in modo univoco.
• Le condizioni più severe per il trattamento dei dati personali degni di particolare protezione si applicheranno in futuro anche a questi tipi di dati.
• L’attuale registro delle collezioni di dati sarà sostituito da un registro delle attività di trattamento. L’attenzione non sarà quindi più incentrata sulle raccolte di dati, ma sulle modalità e sullo scopo del trattamento dei dati personali.
• La legge prevede ora lo svolgimento di una valutazione d'impatto sulla protezione dei dati quando si intende effettuare un trattamento che può prevedibilmente comportare un rischio elevato per i diritti della personalità e i diritti fondamentali della persona interessata.
• La revisione della legge sulla protezione dei dati prevede un obbligo di notifica delle violazioni della sicurezza dei dati.
• Le disposizioni penali vengono inasprite.

Per principio, i dati sono e rimangono di proprietà della paziente/del paziente. Questo significa che la paziente/il paziente può decidere, al di fuori degli obblighi legali sull’uso dei propri dati personali. Inoltre, i dati delle pazienti e dei pazienti comportano per ogni professionista degli obblighi: primo fra tutti l’obbligo di conservazione. La legislazione obbliga ogni professionista della salute a compilare la «cartella clinica». Inoltre, la nuova legge sulla protezione dei dati prevede ora che il consenso per il trattamento dei dati personali, degni di particolare protezione debba essere richiesto espressamente. Espressamente significa che deve essere dimostrato che le pazienti e i pazienti, in quanto persone interessate, acconsentono al trattamento dei loro dati. La paziente/il paziente deve essere informata/o e deve sapere chi riceve i dati e per quale scopo. A tal fine, la Cassa dei Medici ha modificato il modulo pazienti e ha preparato una informativa corrispondente che può essere consultata dalle pazienti e dai pazienti o consegnata loro.

Al momento la risposta a questa domanda può essere fornita solo con riserva. Il tempo fornirà le esperienze necessarie. Sembra importante che il processo dell’espresso consenso venga avviato presso le pazienti e i pazienti e attuato in modo sistematico dal 1° settembre 2023. È piuttosto probabile che il consenso non dovrà essere ottenuto per ogni singolo caso, come avviene nel settore stazionario. Sarà probabilmente definita una periodicità ragionevole che non aumenti inutilmente il lavoro amministrativo. Al momento viene suggerito come valore indicativo una cadenza di 2‑3 anni, anche se questo può variare a seconda dei casi.

Nel caso della dichiarazione di consenso si tratta in definitiva di una misura di prova della professionista o del professionista della salute, che dovrà eventualmente dimostrare che la paziente X / il paziente Y acconsente espressamente al trattamento, inclusa la trasmissione a determinati destinatari. È quindi consigliabile scannerizzare il consenso e salvarlo nella rispettiva cartella del paziente. L’originale non deve essere necessariamente conservato se il consenso scansionato risulta ben leggibile. Un’altra possibilità sarebbe quella di conservare tutti i moduli firmati in un raccoglitore separato.

La legge e l’ordinanza prevedono disposizioni obbligatorie che devono essere rispettate nel trattamento dei dati. Per principio, il trattamento dei dati personali è lecito se vengono rispettati l’ordinamento giuridico vigente e i requisiti di protezione dei dati previsti.

Nel contesto del trattamento dei dati personali, gli operatori sanitari hanno il dovere di fornire informazioni agli interessati (in particolare ai pazienti). Gli operatori sanitari sono tenuti a fornire ai pazienti informazioni comprensibili sul trattamento dei dati, specificando le finalità per cui i dati personali vengono raccolti e trattati e le categorie di destinatari a cui vengono trasmessi.

La raccolta e lo scopo del trattamento devono essere trasparenti e conformi ai principi della buona fede. Se la raccolta dei dati e lo scopo del trattamento non risultano evidenti per la persona interessata, questa ne deve essere informata. “Conforme ai principi della buona fede” significa anche che i dati saranno trattati solo nella maniera che la persona interessata può aspettarsi.

Il trattamento dei dati personali deve essere conforme ai principi della proporzionalità. La proporzionalità è data se il trattamento è limitato ai dati idonei e necessari per l’adempimento dell’incarico o il raggiungimento dello scopo indicato.

Il trattamento deve essere adeguato. L’adeguatezza è data se il trattamento dei dati personali è effettuato solo per lo scopo definito e dichiarato al momento della raccolta dei dati.

Se i dati personali non sono esatti, devono essere corretti o cancellati.

In base alla legge il trattamento comprende qualsiasi operazione relativa ai dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l’utilizzazione, la modificazione, la comunicazione, l’archiviazione, la cancellazione o la distruzione di dati. Per comunicazione dei dati personali si intende sia la trasmissione, come cessione intenzionale, sia il fatto di renderli accessibili divulgando dati per negligenza anche a persone non autorizzate.

In sintesi, anche se l’elenco non è esaustivo, sono i seguenti principi ad essere in primo piano nella vita quotidiana:

1. Legittimità: i dati personali possono essere trattati solo sulla base della legge o di un contratto e in modo conforme ai principi della buona fede.

Ho un accordo con la paziente/il paziente, la partner/il partner commerciale oppure una dichiarazione di consenso? Oppure devo trattare i dati perché lo prevede una legge?

2. Proporzionalità: il trattamento dei dati deve essere conforme ai principi della proporzionalità. Questo significa che i dati devono essere necessari, adeguati e oggettivamente idonei allo scopo.

Ho davvero bisogno dei dati per lavorare, adempiere al contratto o rispettare un obbligo legale?

3. Trasparenza e destinazione vincolata: i dati personali possono essere raccolti e trattati soltanto per uno scopo determinato e riconoscibile per la persona interessata.

È chiaro a me stesso e alle pazienti/ai pazienti perché e per quale scopo ho bisogno dei loro dati?

4. Conservazione: non appena i dati personali hanno adempiuto il loro scopo, vengono distrutti (cancellati) o resi anonimi.

Lo scopo determina la conservazione/ durata di conservazione. Attenzione: nel settore sanitario vi si contrappone l’obbligo di conservazione LAMal.

5. Integrità dei dati: chi tratta dati personali deve accertarsi della loro esattezza e prendere tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti.

I dati devono essere per principio mantenuti aggiornati e corretti.

6. Consenso: laddove ci sia una condizione necessaria per il trattamento, il consenso della persona interessata è valido soltanto se, dopo debita informazione, è dato in modo libero in riferimento a uno o più trattamenti specifici. Questo vale in particolare per il trattamento dei dati degni di particolare protezione. I dati personali degni di particolare protezione non possono essere resi noti a terzi senza una giustificazione o il consenso della persona interessata.

Nel caso dei dati sanitari, è necessario ottenere un consenso esplicito (firmato) indicando le categorie di dati, lo scopo e gli eventuali destinatari.

7. Sicurezza dei dati: i dati personali devono essere protetti dai trattamenti non autorizzati mediante provvedimenti tecnici e organizzativi e possono essere trattati solo per lo scopo previsto.

I sistemi e gli accessi ai dati, sia sul PC che tramite gli schedari, devono essere controllati e chiusi a chiave in modo che nessuno possa «introdursi» senza autorizzazione. Questo vale anche per le password, per i PC accesi o per le cartelle cliniche nel locale di trattamento.

Per principio, le pazienti e i pazienti devono dare il consenso alla trasmissione. Il modulo di consenso della Cassa dei Medici tiene già conto delle trasmissioni consuete.

Anche nei confronti dell’ospedale si applicano essenzialmente gli stessi principi della protezione dei dati. Tuttavia, a seconda delle basi giuridiche cantonali possono essere previste disposizioni ancora più ampie. Spesso i cantoni dispongono di legislazioni cantonali sulla protezione dei dati che si applicano principalmente alle istituzioni o alle autorità pubbliche e che valgono, a seconda dell’impostazione, anche per gli ospedali.

Per principio, ogni studio è tenuto a proteggere l’accesso ai dati. Per quanto riguarda i dati elettronici, questo significa che l’accesso viene protetto da password, che gli ingressi sono dotati di protezioni tecniche e che i PC o i server non sono accessibili. Questo include anche il fatto che le password non vengano trasmesse o riportate su un post-it applicato al monitor. L’accesso deve essere personale, vale a dire che la nuova legge o ordinanza sulla protezione dei dati richiede che venga registrato non solo chi accede ai dati e quando, ma anche chi effettua modifiche o cancellazioni. Lo stesso vale per i dati fisici, che devono essere opportunamente tenuti sottochiave.

Per semplificare la gestione degli accessi, la Cassa dei Medici ha introdotto il Single Sign-On (SSO). Ciò consente di assegnare gli accessi che devono essere personali.

Con l’entrata in vigore della nuova Legge federale sulla protezione dei dati (LPD), le titolari e i titolari del trattamento sono tenuti a determinate condizioni a tenere un registro delle attività di trattamento. Tale obbligo si applica alle titolari e ai titolari del trattamento con più di 250 dipendenti e a quelle/quelli che effettuano un ampio trattamento di dati personali degni di particolare protezione. Data la sensibilità dei dati sanitari, alle professioniste e ai professionisti della salute o agli studi, si raccomanda di includere nel registro almeno le attività di trattamento incentrate sul trattamento dei dati personali degni di particolare protezione (p.es. la tenuta e la gestione delle cartelle cliniche, la gestione dei dati pazienti per il conteggio delle assicurazioni sociali, la gestione del personale, ecc.) Per principio, sia le titolari e i titolari del trattamento (p.es. gli studi) che anche le responsabili e i responsabili del trattamento (p.es. i centri di fatturazione) devono tenere un registro.

La legge prevede ora lo svolgimento di una valutazione d'impatto sulla protezione dei dati quando si intende effettuare un trattamento che può prevedibilmente comportare un rischio elevato per i diritti della personalità e i diritti fondamentali della persona interessata. Un tale rischio può sussistere ad esempio se vengono trattati dati personali degni di particolare protezione, come i dati sanitari, o se vengono utilizzate per il trattamento dei dati personali nuove tecnologie (p.es. prodotti cloud, intelligenza artificiale). Si può rinunciare a una valutazione d’impatto se il trattamento viene effettuato sulla base di una disposizione di legge, se i sistemi, i prodotti o i servizi utilizzati sono certificati per il trattamento previsto o se viene rispettato un codice di condotta presentato all’incaricato federale della protezione dei dati e delle informazioni (IFPDT).

Il titolare del trattamento ai sensi della legge sulla protezione dei dati è e rimane per principio lo studio medico e terapeutico. Lo studio è responsabile del rispetto della protezione dei dati e deve in particolare garantire la tutela dei diritti della personalità e dei diritti fondamentali, sia delle proprie pazienti e dei propri pazienti che del personale.

Se uno studio desidera o ha bisogno di supporto nell’attuazione dei requisiti di protezione dei dati, ha la possibilità di ricorrere a una persona interna o esterna che offre consulenze in materia di protezione dei dati. Il ricorso a una consulente o un consulente per la protezione dei dati è facoltativo per gli studi medici gestiti secondo il diritto privato e non costituisce un obbligo legale.

Obbligo di conservazione

La sicurezza dei dati non è la protezione dei dati. La sicurezza dei dati assicura mediante provvedimenti tecnici e organizzativi che non venga violata la protezione dei dati. La sicurezza dei dati è quindi molto individuale e subordinata alla protezione dei dati. Per proteggere i diritti della personalità e i diritti fondamentali delle pazienti e dei pazienti nonché del personale, i dati personali devono essere protetti da accessi e modifiche non autorizzati e da perdite. Lo studio deve adottare i provvedimenti tecnici e organizzativi adeguati a garantire la sicurezza dei dati. I provvedimenti tecnici e organizzativi da scegliere dipendono essenzialmente dal rischio. Devono essere rispettate le disposizioni sulla sicurezza dei dati contenute nell’Ordinanza sulla protezione dei dati (OPDa).

Restrizioni di accesso ai sistemi e ai dati fisici (p.es. atti cartacei), copie di sicurezza (back-up), corsi di formazione del personale, ecc.

Si raccomanda una codifica. Molti fornitori offrono una possibilità corrispondente. HIN offre un ambiente eccellente a questo scopo.

Anche in questo caso la decisione spetta alla paziente/al paziente. Per principio è la paziente/il paziente a fornire informazioni sull’indirizzo e-mail desiderato. Con le dovute spiegazioni, i dati possono essere trasmessi anche in modo non codificato se la paziente/il paziente vi acconsente espressamente. Questo non vale però obbligatoriamente per le e-mail in arrivo che non provengono necessariamente dalla persona che ha inviato l’e-mail. Inoltre, le professioniste e i professionisti della salute non dovrebbero mai avviare di propria iniziativa una conversazione non criptata via e-mail con le pazienti e i pazienti, se il rispettivo indirizzo e-mail non è stato espressamente indicato e confermato dalla paziente/dal paziente in questione.