Cosa devono sapere le operatrici e gli operatori del settore sanitario

21.08.2023 - Contesto, Protezione dei dati & sicurezza

La nuova Legge sulla protezione dei dati (nLPD) e la nuova Ordinanza sulla protezione dei dati (OPDa) nonché la nuova Ordinanza sulle certificazioni in materia di protezione dei dati (OCPD) entreranno in vigore il 1° settembre 2023. Anche i nostri clienti devono considerare una serie di cambiamenti che possono richiedere un adattamento o un ampliamento delle precedenti linee guida e procedure di trattamento dei dati personali.

Con la revisione totale della LPD, questa sarà adattata alle mutate condizioni tecnologiche e sociali. In particolare viene migliorata la trasparenza nel trattamento dei dati personali e viene rafforzata l’autodeterminazione delle persone interessate per quanto riguarda i propri dati. Affinché le professioniste e i professionisti della salute siano preparati a tali cambiamenti devono affrontare la questione il prima possibile poiché la nLPD e l’OPDa possono richiedere modifiche alle rispettive linee guida e alle procedure di trattamento dei dati personali.

Quali dati sono interessati

Negli studi medici e in altre istituzioni operanti nel campo della salute vengono trattati numerosi dati personali che rientrano nella nLPD e nell’OPDa. Questi includono ad esempio:

Dati base e dati di contatto di pazienti, dipendenti, referenti di fornitori di servizi o altre strutture sanitarie (ad esempio nome e cognome, numero di telefono, recapito postale, indirizzo e-mail e anche data di nascita)
Registrazioni relative al decorso di un trattamento, descrizione dei sintomi, diagnosi, prescrizioni mediche, reazioni, risultati di laboratorio, radiografie, farmaci
Stato dell’assicurazione sociale
Dati su questioni prettamente personali come lo stato di salute, la vita sessuale o lo stato emotivo
Dati sui dipendenti e sul rapporto di lavoro, comprese le valutazioni delle prestazioni e le buste paga

Clemens Hüppe, Head of Compliance and Risk

Clemens Hüppe è Head of Compliance and Risk da HIN.

Panoramica delle modifiche principali

Per gli studi medici e le istituzioni operanti nel campo della salute sono rilevanti soprattutto i seguenti cambiamenti:

L’entità dei dati personali che richiedono particolare protezione viene integrata con dati genetici e biometrici nella misura in cui questi identificano in modo univoco una persona fisica. Le condizioni più severe poste al trattamento dei dati personali degni di particolare protezione si applicano ora anche a questi tipi di dati.
Il registro delle raccolte di dati attualmente in vigore sarà sostituito da un registro delle attività di trattamento. Ciò significa che l’attenzione non è più rivolta alle raccolte di dati ma alle modalità e alle finalità nel trattamento dei dati personali. Per i relativi dettagli si rimanda al «Modello di registro delle attività di trattamento dei dati e relativa guida» e al «Modello di elenco delle attività di trattamento dei dati» nella pagina informativa della FMH.
La Legge richiede ora che venga effettuata una Valutazione d’impatto sulla protezione dei dati se si pianifica un trattamento che potrebbe comportare un rischio elevato per i diritti fondamentali o della personalità della persona interessata. Tale rischio può sussistere, ad esempio, in caso di trattamento di dati personali degni di particolare protezione – come quelli relativi allo stato di salute – o in caso di utilizzo di nuove tecnologie – ad esempio prodotti cloud, intelligenza artificiale – nel trattamento dei dati personali. Si può rinunciare a una Valutazione d’impatto sulla protezione dei dati se il trattamento viene effettuato sulla base di un obbligo di legge, se i sistemi, i prodotti o i servizi utilizzati sono certificati per il trattamento previsto oppure se viene rispettato un codice di condotta sottoposto all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
La nuova Legge sulla protezione dei dati prevede l’obbligo di segnalare eventuali violazioni della sicurezza dei dati. Per i relativi dettagli si rimanda alla «Check-list e procedura in caso di violazioni della protezione dei dati» nella pagina informativa della FMH.
Le disposizioni penali sono state inasprite.

Tutte le guide e i modelli di documenti per gli studi medici e le istituzioni operanti nel campo della salute sono disponibili nella pagina informativa della FMH. In questo articolo affrontiamo il tema del trattamento dei dati. Approfondiremo a breve, in un prossimo articolo, le tematiche dell’archiviazione e della cancellazione.

Trattamento dei dati: cosa devono sapere le operatrici e gli operatori del settore sanitario

Il trattamento dei dati ai sensi della LPD comprende qualsiasi trattamento di dati personali come l’acquisizione, la conservazione, l’utilizzo, la rielaborazione, la divulgazione, l’archiviazione e la distruzione dei dati, indipendentemente dai mezzi impiegati e dalle procedure adottate. Al trattamento dei dati personali si applicano i seguenti principi:

Il trattamento dei dati personali è, in linea di principio, lecito se vengono rispettati l’ordinamento giuridico applicabile e le disposizioni in materia di protezione dei dati.
In relazione al trattamento dei dati personali, le operatrici e gli operatori del settore sanitario hanno il dovere di informare le persone interessate, compresi i pazienti. Devono informare i pazienti in modo comprensibile sulle finalità per cui i dati personali sono raccolti e trattati nonché sulle categorie di destinatari a cui i dati sono divulgati.
Per garantire che i pazienti siano adeguatamente informati, le operatrici e gli operatori del settore sanitario utilizzano appositi moduli informativi che vengono firmati dal paziente dopo il colloquio informativo, confermando così che il paziente ha compreso le informazioni. Un modello di esempio è fornito dalla FMH («Dichiarazione di consenso / Modulo per il paziente» nella pagina informativa della FMH.
La raccolta dei dati e le finalità del trattamento devono essere trasparenti ed essere effettuate in buona fede. Se l’acquisizione dei dati e le finalità del trattamento non sono evidenti alla persona interessata, questa deve essere informata in merito. Per «buona fede» si intende anche che i dati devono essere trattati solo in un modo che la persona interessata possa aspettarsi.
Il trattamento dei dati personali deve essere proporzionato. La proporzionalità è data se il trattamento è limitato ai dati idonei e necessari all’adempimento del compito o al raggiungimento delle finalità dichiarate. Proporzionalità significa inoltre che i dati personali devono essere conservati solo per il tempo effettivamente necessario all’adempimento del compito o per il tempo richiesto da un obbligo legale di conservazione. Se i dati personali non sono più necessari e non sussiste alcun obbligo legale di conservarli devono essere cancellati irrevocabilmente.
Il trattamento deve essere funzionale. La funzionalità è data se il trattamento dei dati personali avviene solo per le finalità definite e dichiarate al momento dell’acquisizione dei dati.
Se i dati personali non sono corretti devono essere rettificati o cancellati.

Tutte le guide e i modelli di documenti per studi medici e istituzioni operanti nel campo della salute sono disponibili nella pagina informativa della FMH.

Il contributo fornito da HIN

HIN è certificata secondo la norma ISO/IEC 27001:2017 e secondo l’allegato 8 dell’Ordinanza del DFI sulla cartella informatizzata del paziente. Grazie al nostro costante impegno a favore della protezione dei dati e della sicurezza delle informazioni ..

… stiamo attualmente ampliando le nostre linee guida, i processi e i contenuti formativi in base ai requisiti stabiliti nella nLPD e nell’OPDa. Nel 2024 amplieremo anche questo aspetto in conformità ai requisiti aggiuntivi della norma ISO/IEC 27001:2022.
… stiamo attualmente riesaminando le nostre componenti contrattuali con clienti e fornitori. Vi informeremo più avanti sulle modifiche previste.

Elenco delle fonti

Profilo di Clemens Hüppe

Nel suo ruolo di Head of Compliance and Risk, Clemens Hüppe è responsabile dei documenti di riferimento e della verifica della conformità alle disposizioni normative e di legge nonché della gestione dei rischi in materia di protezione dei dati e di sicurezza delle informazioni. Egli riferisce direttamente alla Direzione. Clemens Hüppe è ampiamente coinvolto nella certificazione della Comunità CIP AD Swiss conformemente all’allegato 2 dell’OCIP-DFI e nelle certificazioni esistenti di Health Info Net AG in conformità all’allegato 8 dell’OCIP-DFI nonché alla norma ISO/IEC 27001. Clemens Hüppe vanta oltre 25 anni di esperienza nei settori IT Security Engineering, Information Security Management e Certification presso aziende svizzere e internazionali in diversi ambiti. Per rilassarsi, Clemens ama fare escursioni, nuotare, andare in bicicletta o praticare sci di fondo.

< Articolo precedente

Prossimo articolo >

27.03.2024 - Protezione dei dati & sicurezza Alessandro Vitale

Da dove provengono le e-mail di spam e come si possono combattere queste fastidiose e-mail

In origine, la parola spam non aveva a che fare con la posta elettronica. Oggi il termine è meglio conosciuto come e-mail indesiderate, di solito inviate a scopo pubblicita

5.03.2024 - Contesto, Protezione dei dati & sicurezza Philipp Senn

Sanità e sicurezza informatica: intervista a Pascal Lamia, Responsabile della sicurezza informatica operativa dell’UFCS

Negli ultimi anni, la digitalizzazione del settore sanitario ha permesso molti cambiamenti positivi, come la semplificazione dei processi amministrativi, ma ha anche portato con s�

11.01.2024 - Contesto, Protezione dei dati & sicurezza Philipp Senn

Soluzioni cloud: amiche o nemiche?

Questo articolo è stato pubblicato il 10 gennaio 2024 nella rivista Schweizerische Ärztezeitung.Le soluzioni di archiviazione su cloud possono far risparmiare sforzi e costi all�

Nuova Legge sulla protezione dei dati: cosa devono sapere le operatrici e gli operatori del settore sanitario (parte 1)