La nuova Legge sulla protezione dei dati (nLPD) e la nuova Ordinanza sulla protezione dei dati (OPDa) nonché la nuova Ordinanza sulle certificazioni in materia di protezione dei dati (OCPD) entreranno in vigore il 1° settembre 2023. Anche i nostri clienti devono considerare una serie di cambiamenti che possono richiedere un adattamento o un ampliamento delle precedenti linee guida e procedure di trattamento dei dati personali.
Con la revisione totale della LPD, questa sarà adattata alle mutate condizioni tecnologiche e sociali. In particolare viene migliorata la trasparenza nel trattamento dei dati personali e viene rafforzata l’autodeterminazione delle persone interessate per quanto riguarda i propri dati. Affinché le professioniste e i professionisti della salute siano preparati a tali cambiamenti devono affrontare la questione il prima possibile poiché la nLPD e l’OPDa possono richiedere modifiche alle rispettive linee guida e alle procedure di trattamento dei dati personali.
Quali dati sono interessati
Negli studi medici e in altre istituzioni operanti nel campo della salute vengono trattati numerosi dati personali che rientrano nella nLPD e nell’OPDa. Questi includono ad esempio:- Dati base e dati di contatto di pazienti, dipendenti, referenti di fornitori di servizi o altre strutture sanitarie (ad esempio nome e cognome, numero di telefono, recapito postale, indirizzo e-mail e anche data di nascita)
- Registrazioni relative al decorso di un trattamento, descrizione dei sintomi, diagnosi, prescrizioni mediche, reazioni, risultati di laboratorio, radiografie, farmaci
- Stato dell’assicurazione sociale
- Dati su questioni prettamente personali come lo stato di salute, la vita sessuale o lo stato emotivo
- Dati sui dipendenti e sul rapporto di lavoro, comprese le valutazioni delle prestazioni e le buste paga
Clemens Hüppe è Head of Compliance and Risk da HIN.
Panoramica delle modifiche principali
Per gli studi medici e le istituzioni operanti nel campo della salute sono rilevanti soprattutto i seguenti cambiamenti:- L’entità dei dati personali che richiedono particolare protezione viene integrata con dati genetici e biometrici nella misura in cui questi identificano in modo univoco una persona fisica. Le condizioni più severe poste al trattamento dei dati personali degni di particolare protezione si applicano ora anche a questi tipi di dati.
- Il registro delle raccolte di dati attualmente in vigore sarà sostituito da un registro delle attività di trattamento. Ciò significa che l’attenzione non è più rivolta alle raccolte di dati ma alle modalità e alle finalità nel trattamento dei dati personali. Per i relativi dettagli si rimanda al «Modello di registro delle attività di trattamento dei dati e relativa guida» e al «Modello di elenco delle attività di trattamento dei dati» nella pagina informativa della FMH.
- La Legge richiede ora che venga effettuata una Valutazione d’impatto sulla protezione dei dati se si pianifica un trattamento che potrebbe comportare un rischio elevato per i diritti fondamentali o della personalità della persona interessata. Tale rischio può sussistere, ad esempio, in caso di trattamento di dati personali degni di particolare protezione – come quelli relativi allo stato di salute – o in caso di utilizzo di nuove tecnologie – ad esempio prodotti cloud, intelligenza artificiale – nel trattamento dei dati personali. Si può rinunciare a una Valutazione d’impatto sulla protezione dei dati se il trattamento viene effettuato sulla base di un obbligo di legge, se i sistemi, i prodotti o i servizi utilizzati sono certificati per il trattamento previsto oppure se viene rispettato un codice di condotta sottoposto all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
- La nuova Legge sulla protezione dei dati prevede l’obbligo di segnalare eventuali violazioni della sicurezza dei dati. Per i relativi dettagli si rimanda alla «Check-list e procedura in caso di violazioni della protezione dei dati» nella pagina informativa della FMH.
- Le disposizioni penali sono state inasprite.
Trattamento dei dati: cosa devono sapere le operatrici e gli operatori del settore sanitario
Il trattamento dei dati ai sensi della LPD comprende qualsiasi trattamento di dati personali come l’acquisizione, la conservazione, l’utilizzo, la rielaborazione, la divulgazione, l’archiviazione e la distruzione dei dati, indipendentemente dai mezzi impiegati e dalle procedure adottate. Al trattamento dei dati personali si applicano i seguenti principi:- Il trattamento dei dati personali è, in linea di principio, lecito se vengono rispettati l’ordinamento giuridico applicabile e le disposizioni in materia di protezione dei dati.
- In relazione al trattamento dei dati personali, le operatrici e gli operatori del settore sanitario hanno il dovere di informare le persone interessate, compresi i pazienti. Devono informare i pazienti in modo comprensibile sulle finalità per cui i dati personali sono raccolti e trattati nonché sulle categorie di destinatari a cui i dati sono divulgati.
- Per garantire che i pazienti siano adeguatamente informati, le operatrici e gli operatori del settore sanitario utilizzano appositi moduli informativi che vengono firmati dal paziente dopo il colloquio informativo, confermando così che il paziente ha compreso le informazioni. Un modello di esempio è fornito dalla FMH («Dichiarazione di consenso / Modulo per il paziente» nella pagina informativa della FMH.
- La raccolta dei dati e le finalità del trattamento devono essere trasparenti ed essere effettuate in buona fede. Se l’acquisizione dei dati e le finalità del trattamento non sono evidenti alla persona interessata, questa deve essere informata in merito. Per «buona fede» si intende anche che i dati devono essere trattati solo in un modo che la persona interessata possa aspettarsi.
- Il trattamento dei dati personali deve essere proporzionato. La proporzionalità è data se il trattamento è limitato ai dati idonei e necessari all’adempimento del compito o al raggiungimento delle finalità dichiarate. Proporzionalità significa inoltre che i dati personali devono essere conservati solo per il tempo effettivamente necessario all’adempimento del compito o per il tempo richiesto da un obbligo legale di conservazione. Se i dati personali non sono più necessari e non sussiste alcun obbligo legale di conservarli devono essere cancellati irrevocabilmente.
- Il trattamento deve essere funzionale. La funzionalità è data se il trattamento dei dati personali avviene solo per le finalità definite e dichiarate al momento dell’acquisizione dei dati.
- Se i dati personali non sono corretti devono essere rettificati o cancellati.
Il contributo fornito da HIN
HIN è certificata secondo la norma ISO/IEC 27001:2017 e secondo l’allegato 8 dell’Ordinanza del DFI sulla cartella informatizzata del paziente. Grazie al nostro costante impegno a favore della protezione dei dati e della sicurezza delle informazioni ..- … stiamo attualmente ampliando le nostre linee guida, i processi e i contenuti formativi in base ai requisiti stabiliti nella nLPD e nell’OPDa. Nel 2024 amplieremo anche questo aspetto in conformità ai requisiti aggiuntivi della norma ISO/IEC 27001:2022.
- … stiamo attualmente riesaminando le nostre componenti contrattuali con clienti e fornitori. Vi informeremo più avanti sulle modifiche previste.