Ordine dei Medici Chirurghi e degli Odontoiatri della Provincia di Firenze
Ente Pubblico sussidiario dello Stato (Legge 11/01/2018 n. 3, art. 4)

Cos'è il certificato medico?
Il certificato medico è la testimonianza scritta su fatti e comportamenti tecnicamente apprezzabili e valutabili, la cui dimostrazione può produrre affermazione di particolari diritti soggettivi previsti dalla legge, ovvero determinare particolari conseguenze a carico dell'individuo o della collettività aventi rilevanza giuridica e/o amministrativa.

Cosa significa "certificare"?
I contenuti possibili del certificato medico sono non soltanto le dichiarazioni circa lo stato di salute o di malattia, ma ogni fatto di natura tecnico-sanitaria che il medico ha potuto riscontrare direttamente nell'esercizio della sua professione (ad esempio, la sottoposizione a vaccinazioni, l'idoneità al lavoro, l'idoneità alla pratica sportiva, la salubrità degli ambienti di lavoro, ecc.). Rientrano, così, fra i contenuti possibili della certificazione medica anche fattispecie che non riguardano soltanto la salute o la malattia, ma anche eventi come la nascita o la morte, che il medico è chiamato a constatare di persona.

Quali sono i requisiti "formali" del certificato?
Il certificato deve essere privo di abrasioni e correzioni che possono far sorgere il dubbio di alterazioni o contraffazioni dell'atto. Nel caso di correzioni, devono essere indicate a chiare lettere e controfirmate dall'estensore. Inoltre il certificato deve essere redatto con una grafia chiara e comprensibile che non dia luogo ad equivoci. La terminologia e il significato del certificato deve essere intellegibile e coerente fra quanto constatato e quanto dichiarato nel certificato. La legge prevede una specifica modulistica solo per alcuni tipi di certificati (ad esempio, certificato di malattia per lavoratori privati, certificato di idoneità alla guida, ecc.).

Quali sono i requisiti "sostanziali" del certificato?
Il certificato deve riportare:

• il nome, il cognome, la qualifica ed eventualmente la struttura sanitaria di appartenenza del medico certificatore;
• le generalità del paziente o del richiedente;
• l'oggetto della certificazione (eventuale diagnosi e prognosi). Nel caso di certificato redatto sulla base di referti obiettivi è opportuno citarli;
• il luogo e la data di rilascio;
• la firma del medico.

É necessario identificare il paziente tramite documento di riconoscimento?
Se fra medico e paziente sussiste un rapporto fiduciario consolidato, si deve dare per scontato che il medico conosca il paziente. Ma se il paziente non è conosciuto, è fortemente raccomandato al medico di chiedere l'esibizione di un documento di riconoscimento.
Infatti se il medico rilascia, anche in buona fede, un certificato col nome di una persona diversa da quella che ha realmente visitato, può essere accusato di aver agito con leggerezza emettendo un certificato che risulta falso.
Quindi identificare il paziente è molto opportuno per evitare qualunque tipo di problema legale.

Cosa significa "veridicità" del certificato?
Il Codice Deontologico impone al medico di redigere il certificato solo con affermazioni che derivano da constatazioni dirette, personalmente effettuate (ad esempio tramite la visita medica), oppure sulla base di documentazione oggettiva (ad esempio sulla base di referti oggettivi). Pertanto al medico non è concesso di redigere un certificato esclusivamente sulla base di quanto gli viene riferito dal paziente o da terzi o su fatti che egli non abbia personalmente constatato, perché questo rappresenta al limite una raccolta anamnestica, insufficiente di per sé a formulare una diagnosi certificabile. E' necessario, quindi, prestare molta attenzione a questi casi, perché è fin troppo facile per il medico esporsi al rischio di certificare qualcosa che in realtà non è veritiero.

Il medico può rifiutarsi di certificare?
Il Codice Deontologico impone al medico di rilasciare al paziente le certificazioni sul suo stato di salute. Ovviamente questo precetto va integrato con quanto detto alla risposta precedente, per cui il medico può e deve rifiutarsi di cerficare fatti che egli non abbia constatato personalmente o che non siano supportati da riscontri oggettivi. Altrettanto ovviamente, il medico deve rifiutarsi di certificare fatti che egli sappia non corrispondenti al vero. Infine il medico deve rifiutarsi di certificare nei casi in cui la legge prevede che il certificato possa essere rilasciato solo da colleghi rivestiti di particolari qualifiche.

Cos'è il reato di "falso materiale" in certificazione medica?
Il reato di "falso materiale" riguarda la parte formale del certificato. Il medico risponde di questo reato quando, nella redazione del certificato, commette alterazioni o contraffazioni mediante cancellature, abrasioni o aggiunte successive, miranti a far apparire adempiute le condizioni richieste per la sua validità. Come per ogni reato, presuppone il dolo, cioè l'intenzionalità.

Cos'è il reato di "falso ideologico" in certificazione medica?
Il reato di "falso ideologico" riguarda la falsa rappresentazione della realtà, cioè l'attestazione per autentici di fatti non rispondenti a verità. Si tratta, quindi, di una certificazione volutamente mendace per fatti o condizioni inesistenti. Come per ogni reato, presuppone il dolo, cioè l'intenzionalità.

Il certificato "erroneo" è un reato?
Se il medico commette un errore nel certificato, ma persuaso di essere nel vero e certificando conformemente alla propria convinzione, non può essere accusato di alcun reato perché in questo caso il certificato non è falso, ma soltanto erroneo. Tuttavia è una situazione che nella realtà può essere difficile da dimostrare.

Cos'è il certificato "compiacente"?
E' il certificato che tende, con terminologia volutamente imprecisa e ambigua, ad alterare una situazione o minimizzandola o rendendola sproporzionata. E' quindi un certificato che non risponde al requisito della veridicità e quindi può integrare gli estremi di reato di falso ideologico. E' irrilevante se questo tipo di certificato sia stato redatto per venire incontro alle esigenze del richiedente. Il medico non deve mai sottrarsi al dovere di attenersi alla veridicità dei fatti.

Il certificato falso può esporre anche al rischio di essere accusati di truffa?
Sì, perché il certificato può determinare la costituzione di diritti in favore del richiedente, con possibili oneri a carico di terzi o a carico dello Stato. Pertanto una falsa certificazione può esporre anche al rischio di essere accusati di truffa.

C'è differenza fra il certificato rilasciato dal medico dipendente pubblico, dal medico convenzionato o dal medico libero professionista?
Dipende dal contesto di riferimento. In linea di principio, ogni medico abilitato all'esercizio della professione e iscritto all'Albo è ugualmente idoneo a rilasciare una certificazione medica. Tuttavia leggi specifiche riservano la potestà certificativa in alcuni casi a medici in possesso di particolari qualifiche (ad esempio per la certificazione di morte, per la guida di autoveicoli, per il porto d'armi, per la sicurezza sul lavoro, per la pratica sportiva, per l'assenza per malattia dei dipendenti pubblici, ecc.). Dal punto di vista giuridico, i certificati rilasciati dai medici dipendenti pubblici sono considerati "atti pubblici", in quanto il medico che li redige ha la funzione di pubblico ufficiale. Invece i certificati rilasciati dai medici convenzionati sono considerati "certificazioni amministrative", in quanto il medico che li redige ha la qualifica di incaricato di pubblico servizio. Infine i certificati rilasciati dai medici liberi professionisti sono considerati "scritture private" in quanto il medico che li redige svolge un servizio di pubblica utilità. Queste differenze hanno rilevanza soprattutto dal punto di vista penale, perché le pene sono più severe per il falso in atto pubblico rispetto alle altre certificazioni.

Cos'è il "certificato storico"?
Il certificato storico è l'attestazione di una situazione che si è già verificata nel passato e che il medico ricostruisce sulla base di documentazione dell'epoca. Si tratta quindi di una certificazione "ora per allora". Questo tipo di certificazione è piuttosto frequente nell'ambito della medicina legale quando il medico svolge una funzione peritale, oppure quando il medico è chiamato a redigere atti aventi finalità assicurativa o previdenziale. Al contrario, un certificato "storico" non ha ragione di essere in altri contesti, come ad esempio per la certificazione di malattia dei lavoratori dipendenti, perché il certificato deve essere contestuale all'accertamento della patologia e recare la stessa data dell'effettuazione della visita. Non è, quindi, consentito certificare "a posteriori": farlo esporrebbe il medico al rischio di essere accusato del reato di falsa certificazione.

Come si tutela la privacy del paziente nel certificato?
Se il certificato è richiesto dal paziente e consegnato a lui direttamente, non si pongono problemi di riservatezza. Viceversa, se il certificato viene consegnato ad una persona diversa dal richiedente, il medico deve acquisire una delega scritta che lo autorizza a rilasciare il certificato nelle mani di un terzo. E' importante ricordare che, comunque, il certificato deve essere consegnato dal medico o da un suo incaricato (ad esempio la segretaria), ma non deve essere lasciato in luoghi dove non si possa essere sicuri che il ritiro venga effettuato dal diretto interessato. Per i certificati di malattia ad uso lavorativo il medico deve evitare di indicare la diagnosi, in quanto il datore di lavoro non è tenuto a conoscerla. Fa eccezione il caso in cui sia lo stesso paziente a richiedere che la diagnosi sia espressamente indicata sul certificato, perché vuole beneficiare di permessi lavorativi speciali che il datore di lavoro può concedere solo previa conoscenza della diagnosi. In questo caso il medico è legittimato ad indicare le informazioni sulla patologia, proprio perché lo stesso paziente glielo ha richiesto.

Che cos'è il "Certificato Telematico"?
Dal settembre 2011 la normativa ha previsto la trasmissione dei certificati di malattia dei lavoratori dipendenti per via telematica, a cura del medico prescrittore.
In buona sostanza il medico, dotato delle credenziali di accesso al sistema informatico, compila il certificato di malattia sul computer e lo invia all'INPS, evitando così il rilascio cartaceo all'assistito. Il sistema genera un numero di protocollo attribuito al singolo certificato e tramite questo numero, sia il lavoratore che la sua azienda possono prendere visione del certificato emesso.

Quali sono i medici obbligati all'invio telematico del certificato di malattia?
Tutti coloro che visitano un paziente lavoratore e ritengono debba astenersi dal lavoro per una patologia in atto.
Prioritariamente quindi sono i medici dipendenti del SSN (ospedalieri e di distretto) e i medici convenzionati (medici di medicina generale, di continuità assistenziale, di emergenza territoriale, pediatri di libera scelta e specialisti ambulatoriali interni). Costoro vengono dotati dalla ASL delle credenziali di accesso al sistema e devono obbligatoriamente utilizzare la procedura telematica di certificazione.
I medici che non hanno rapporti con il SSN (ossia i liberi professionisti) devono utilizzare la procedura telematica tramite le credenziali di accesso al portale "Sistema TS" che possono essere rilasciate dall'Ordine dei Medici presso cui sono iscritti.
In definitiva, qualunque medico è messo nelle condizioni di utilizzare la procedura telematica di certificazione.

L'obbligo del certificato telematico riguarda anche gli Odontoiatri?
Sì, anche gli Odontoiatri, come tutti i liberi professionisti, sono tenuti a rilasciare il certificato telematico di malattia ai loro pazienti-lavoratori quando ritengono di assegnare dei giorni di prognosi dopo un intervento odontoiatrico.
Anche gli Odontoiatri, infatti, possono disporre delle credenziali di accesso al portale "Sistema TS" dal quale è possibile generare il certificato di malattia telematico.
In proposito, vedasi il chiarimento della Commissione Nazionale Odontoiatri: pdf Certificati di malattia telematici Odontoiatri (418 KB)

E se il sistema telematico non funziona?
Nel caso in cui si presentino interruzioni o malfunzionamenti nel sistema informatico, essendo prioritario il dovere assistenziale, è consentito rilasciare il certificato di malattia in forma cartacea, ma è opportuno indicare sul certificato che l'utilizzo del cartaceo è dovuto al temporaneo malfunzionamento del sistema informatico (con data e ora del rilascio).

Ci sono sanzioni per il mancato utilizzo della procedura di certificazione telematica?
I medici dipendenti e convenzionati con il SSN che senza validi motivi non utilizzano la procedura telematica vengono sottoposti dalla ASL a procedimento disciplinare che può concludersi anche con la cessazione del rapporto di lavoro.

Il certificato di malattia telematico riguarda tutti i lavoratori dipendenti?
Il certificato telematico è obbligatorio per tutti i lavoratori del settore privato e per la maggior parte dei lavoratori del settore pubblico.
Più precisamente, sono esclusi dal certificato di malattia telematico (e quindi hanno diritto ad ottenere il certificato cartaceo) i dipendenti pubblici appartenenti alle Forze Armate, ai Corpi militari dello Stato e al Corpo dei Vigili del Fuoco.

Il medico che non può o non vuole fare il certificato telematico, può delegare un collega o rinviare la certificazione al medico di famiglia?
Assolutamente no.
Il certificato di malattia è l'atto conclusivo di una visita medica, per cui solo il medico che ha constatato l'esistenza di una patologia è tenuto a certificare quanto ha constatato, non altri.
Proprio per questo motivo, se ad esempio il paziente viene visitato in ospedale sarà il medico ospedaliero che l'ha visitato ad emettere il certificato di malattia telematico, così come se viene visitato in un ambulatorio della ASL sarà il medico specialista ambulatoriale ad emettere il certificato. Allo stesso modo, se il paziente viene visitato da un medico privato libero professionista, sarà costui a dover rilasciare il certificato di malattia.
Non è corretto, quindi, visitare il paziente e rinviarlo al medico di famiglia o ad altro collega per il rilascio del certificato, anche perchè questa situazione esporrebbe il medico certificatore all'accusa di falsa certificazione perchè certifica qualcosa che non ha direttamente e personalmente constatato.
Questi principi ovviamente valgono anche per l'eventuale certificato cartaceo.

Considerazioni conclusive
Il medico deve sempre essere consapevole che ogni suo atto, per quanto semplice e apparentemente banale possa essere, è carico di implicazioni giuridiche, amministrative e deontologiche. Quindi deve prestare la massima attenzione ed il massimo scrupolo in ogni momento della propria attività, anche nell'esecuzione di atti spesso banali come la redazione di certificati medici. Che sono molto frequenti e, proprio per questo, è più alto il rischio di disattenzioni o superficialità che però possono avere conseguenze legalmente pesanti.

Un quesito molto frequente che si pongono i medici riguarda l'obbligo o meno di possedere una certificazione BLS-D, ossia relativa all'uso del defibrillatore semiautomatico. Facciamo chiarezza con questa breve disamina, precisando che nel testo il termine "medico" si riferisce sia al Medico Chirurgo che all'Odontoiatra.

Il supporto di base alle funzioni vitali
II supporto di base delle funzioni vitali (Basic Life Support, BLS) consiste nelle procedure di rianimazione cardiopolmonare (RCP) necessarie per soccorrere un paziente che abbia perso conoscenza, oppure abbia un'ostruzione alle viee aeree da corpo estraneo, oppure si trovi in stato di arresto respiratorio o arresto cardiaco.
Le varie situazioni cliniche che si possono presentare devono essere gestite dal personale sanitario, in primis dal medico, con competenze di base che vanno dal riconoscimento all'allarme tempestivo e al primo trattamento con manovre di base che non richiedono utilizzo di apparecchiature (manovra di Heimlich - posizione laterale di sicurezza - ventilazione artificiale - compressioni toraciche esterne). Queste competenze minime derivano dalla formazione professionale del personale sanitario, in primis del medico, e pertanto sono prestazioni esigibili da qualunque medico, indipendentemente dalla tipologia di attività che svolge e dal contesto in cui opera.
Del resto, quanto sopra è chiaramente previsto nell'art. 8 del Codice di Deontologia Medica che così dispone: "Il medico in caso di urgenza, indipendentemente dalla sua abituale attività, deve prestare soccorso e comunque attivarsi tempestivamente per assicurare idonea assistenza".

Il Defibrillatore semi-automatico (DAE)
A queste competenze di base (che, si ripete, sono obbligatorie per qualunque medico), si aggiunge la capacità di usare il defibrillatore semi-automatico, un apparecchio che non ha il compito di formulare diagnosi, ma si limita, se correttamente utilizzato, a suggerire lo shock in caso di arresto cardiaco del paziente.
La Legge n. 120 del 03/04/2001, come poi modificata dalla Legge n. 69 del 15/03/2004, dispone che "è consentito l'uso del defibrillatore semi-automatico in sede intra ed extraospedaliera anche al personale sanitario non medico, nonché al personale non sanitario che abbia ricevuto una formazione specifica nelle attività di rianimazione cardio-polmonare".
Il testo della norma legittima anche il personale sanitario non medico (ad esempio gli infermieri) e il personale non sanitario (i "laici") ad usare il defibrillatore, purchè abbiano ricevuto una idonea formazione. Il fatto che la norma non dica nulla sui medici è perchè si dà per scontato che il medico, non solo è legittimato ad usare il defibrillatore, ma anzi è doveroso che lo sappia usare. Infatti la sua formazione universitaria e il suo status professionale lo rendono "ipso facto" legittimato e deontologicamente tenuto a saper usare il defibrillatore.
L'art. 8 del Codice di Deontologia Medica sopra citato, nell'imporre al medico il dovere di intervento in caso di urgenza, impone che si tratti di un intervento capace e appropriato ("assicurare idonea assistenza") per cui se si verifica una situazione di urgenza per arresto cardiaco ed è disponibile in loco un defibrillatore semi-automatico, il medico che presta soccorso deve saperlo usare appropriatamente.
Non sarà mai scusabile il medico che eviti di intervenire o di usare il defibrillatore adducendo di non avere le competenze per farlo. Potrebbe incorrere nel reato di lesioni colpose o omicidio colposo per imperizia, nel caso in cui non riuscisse ad assistere un paziente in arresto cardiaco per incapacità nell'uso del defibrillatore.

Obbligo formativo per l'uso del DAE
La formazione per le manovre di rianimazione cardiopolmonare di base e per l'uso del DAE viene erogata dalle Aziende Sanitarie e Ospedaliere e dalle istituzioni e organismi accreditati dalle Regioni. Tali Enti garantiscono un percorso formativo adeguato e rilasciano una certificazione internazionalmente riconosciuta perchè conforme alle raccomandazioni del Comitato Internazionale per la rianimazione cardiopolmonare (ILCOR).
Come già detto sopra, la Legge 120/2001 prevede l'obbligo di tale percorso formativo con certificazione finale per i sanitari non medici e per i non sanitari. I medici, a stretto rigor di legge, non sono obbligati a seguire tali corsi per il semplice motivo che si dà per scontato che siano competenti ad eseguire le manovre di sostegno vitale di base e all'uso del defibrillatore. Pertanto il medico, dal punto di vista legale, può non avere alcuna certificazione BLS-D, ma in caso di urgenza deve saper intervenire e, se del caso, deve saper usare il defibrillatore.
La Regione Toscana, con il Regolamento n. 79/2016 come aggiornato con Regolamento n. 90/2020, prevede fra i requisiti generali che devono possedere tutte le strutture sanitarie pubbliche e private, la presenza in struttura del defibrillatore semi-automatico e di personale sanitario con documentata frequenza ai corsi BLS-D con cadenza secondo gli standard di settore. Per cui è possibile che le varie strutture sanitarie promuovano o richiedano la frequenza a corsi formativi BLS-D a tutti i loro operatori sanitari indistintamente, compresi i medici. Nell'ambito dell'attività libero-professionale nel proprio studio privato, invece, il Regolamento regionale prevede la necessaria presenza del defibrillatore solo negli studi dove si praticano interventi invasivi (non negli studi dove si effettuano solo visite), ma senza obbligare il medico alla certificazione BLS-D proprio perchè si dà per scontato che il medico sia abilitato ad utilizzarlo. In tal caso è raccomandato che in studio vi siano comunque collaboratori del medico con la certificazione BLS-D (ad esempio l'infermiere, l'igienista dentale, l'assistente alla poltrona, il personale di segreteria, ecc.) in modo che possano intervenire in caso di emergenza, in assenza del medico titolare.
In conclusione e per un principio di massima precauzione, anche se non obbligatorio a stretto rigor di legge, è fortemente raccomandato che anche i medici frequentino periodicamente i corsi di formazione per l'uso del DAE, sia che lavorino presso strutture sanitarie, sia presso il proprio studio privato. Ciò consente al medico di mantenere un bagaglio conoscitivo e operativo sempre aggiornato e adempie sia al dovere di aggiornamento e formazione professionale permanente previsto dall'art. 19 del Codice di Deontologia Medica, sia al dovere di garantire al cittadino la migliore qualità professionale previsto dall'art. 6 del medesimo Codice.

Catalogo dei corsi di formazione
La Regione Toscana mette a disposizione il catalogo dei corsi formativi sul BLS-D erogati dalle Aziende ed Enti accreditati. Il catalogo è consultabile al seguente indirizzo: https://servizi.toscana.it/sis/icuore/home/listaCorsi/ricerca
E' possibile fare una ricerca selezionando la tipologia di corso (per i medici la tipologia più appropriata è "esecutore BLSD adulto e pediatrico per sanitari" e relativo retraining), l'ambito territoriale dell'offerta formativa e le date di interesse.
Si tratta di corsi da svolgersi in presenza perchè, oltra alla parte teorica, prevedono una esercitazione pratica su manichino per cui non effettuabile in modalità telematica.
Per quanto riguarda i costi dei corsi, la Regione Toscana aveva fissato il tetto massimo di 70 euro per i corsi "esecutore BLSD adulto e pediatrico per sanitari" (e di 35 euro per il retraining), ma l'Autorità Garante per la Concorrenza e il Mercato ha censurato tale tariffa ritenendola distorsiva della concorrenza. Per cui attualmente non vi è un tetto massimo e le Aziende e gli Enti formatori propongono costi secondo le regole di mercato.
A catalogo sono presenti anche i corsi per Istruttore, nel caso in cui il medico desideri acquisire lo status di formatore nei corsi BLS-D.

Conclusioni
I medici hanno il dovere deontologico di assicurare al paziente la migliore e più qualificata assistenza, anche in casi di urgenza, per cui sono tenuti sia a saper praticare le manovre di supporto vitale di base, sia a saper usare il defibrillatore semi-automatico, quando disponibile.
La frequenza di corsi BLS-D certifica tale competenza e pertanto è fortemente raccomandata.

In questa pagina vengono raccolte le risposte ad alcune domande frequenti su argomenti di interesse generale, che riguardano l'esercizio professionale dei medici e degli odontoiatri.

Gli argomenti saranno progressivamente implementati, così come le risposte ai quesiti, sulla base delle richieste degli iscritti, dell'evoluzione normativa e giurisprudenziale e sulla base dell'esperienza "sul campo".

Si auspica, in questo modo, di fornire uno strumento di aiuto semplice ma utile per risolvere alcuni dubbi e orientare correttamente il comportamento professionale.

 

• Il certificato medico telematico e cartaceo
• La ricetta medica
• Lo studio medico: caratteristiche e requisiti
• Attività sportiva
• Aspetti fiscali e tributari
• Il potere disciplinare dell'Ordine
• Medici stranieri e/o titoli stranieri - Doctors from abroad and/or medical degrees from abroad
• La Privacy nello studio medico dopo il Regolamento Europeo
• Il Direttore Sanitario nelle strutture ambulatoriali private
• Rapporti Medico di medicina generale-paziente
• Primo soccorso e BLS-D

Nei rapporti fra medico (soprattutto di medicina generale) e paziente, talvolta possono sorgere criticità e incomprensioni che possono diventare fonte di disagi e ostacolo alla assistenza, con possibile effetto di inappropriatezza dei percorsi terapeutici e di ritardi diagnostici.

Si descrivono di seguito alcune situazioni ricorrenti che sono all'attenzione dell'Ordine per una loro possibile soluzione.

Contattabilità del Medico di Famiglia
Secondo l'Accordo Nazionale della Medicina Generale, art. 40 comma 3, l’Azienda Sanitaria provvede ad informare gli assistiti sulla organizzazione degli ambulatori e a fornire i recapiti telefonici del medico. Tra questi ultimi il più importante è il numero della contattabilità di 2 ore che preferibilmente è al mattino per ovvi motivi di organizzazione delle visite e delle necessità. L'orario varia da medico a medico, ma prevalentemente è nell’intervallo 8-10, 7-9 e simili.
Purtroppo questo dato attualmente non viene più esplicitato nella stampa che viene consegnata dall'ufficio della ASL al momento della iscrizione nella lista del medico e, se è riportato, è inserito accanto al telefono degli ambulatori, perdendone del tutto di significato. Ecco che si genera fin dall'origine una mancanza di chiarezza nei rapporti medico–paziente che può diventare fonte di difficoltà nell'assistenza, di incomprensioni e contenziosi.
Purtroppo anche la carta dei servizi, che il Medico di Medicina Generale deve esporre nello studio, spesso viene ignorata dai pazienti e le disposizioni transitorie per la contattabilità  aggiuntiva durante il periodo di emergenza pandemica hanno fatto perdere quel poco di organizzato che alcuni assistiti avevano assimilato.
E’ impegno dell'Ordine richiamare l’Azienda Sanitaria  a ristampare in maniera chiara questo elemento informativo essenziale per l’avvio di un corretto rapporto professionale, altrimenti non finirà mai il tormentone dei pazienti: “non lo trovo mai….”

Medici di Famiglia "pensionandi"
Fino a un paio di anni fa, il termine della assistenza da parte del proprio medico di famiglia per raggiunti limiti di età non era comunicato ai pazienti da nessuno e non vi era alcuna norma o disposizione in merito. Si determinavano così due possibili effetti: se il medico avvertiva i propri assistiti pochi giorni prima della sua cessazione, molti pazienti si trovavano in difficoltà a fare una nuova scelta e ad evitare una discontinuità assistenziale che per alcuni poteva essere critica; se invece il medico avvertiva per tempo gli assistiti, lo stesso vedeva negli ultimi mesi di attività un crollo drastico degli iscritti nel suo elenco, con conseguente perdita di emolumenti e contributi.
Più recentemente l’Azienda Sanitaria si è fatta carico di avvertire gli assistiti entro gli ultimi 15 giorni di attività del medico, ma si riscontrano ugualmente disagi e temporanee perdite di assistenza, favorite dal particolare momento di calo di medici con i requisiti per accedere alla convenzione.
E' impegno dell'Ordine proporre una soluzione per conciliare le diverse esigenze, ad esempio che l'Azienda Sanitaria avverta i cittadini 2-3 mesi prima della cessazione dell'attività del medico pensionando, congelando contestualmente le liste degli assistiti (ad eccezione ovviamente di decessi o trasferimenti).

Le norme sulla privacy riguardano tutti i medici? Oppure chi non gestisce i dati dei pazienti ne è esonerato?
Prima cosa importante da chiarire: il nuovo Regolamento Europeo (ma era già previsto dalla Legge italiana) definisce “trattamento di dati” ogni operazione di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati, anche se non registrati in una banca di dati, sia che si utilizzi il computer, sia che si lavori su carta.
Sulla base di questa definizione, è praticamente impossibile che il medico non esegua nessun “trattamento” dei dati dei propri pazienti. Ad esempio, anche tenere un’agenda degli appuntamenti con annotati i nominativi dei pazienti è già un trattamento di dati. Anche emettere una fattura con i dati del paziente è un trattamento di dati. Anche fornire le fatture al commercialista per gli adempimenti fiscali è un trattamento di dati.
Per cui si deve concludere che le norme sulla privacy riguardano tutti.

Chiarito questo, cosa deve fare il medico nel suo studio per essere in regola con la privacy dopo l’entrata in vigore del Regolamento Europeo 679/2016?
Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme del Regolamento Europeo, che si possono riassumere così:

• identificare i soggetti interessati al trattamento dei dati;
• predisporre un’adeguata informativa;
• raccogliere il consenso (se necessario);
• istituire il Registro dei trattamenti dei dati;
• elaborare procedure per fronteggiare le ipotesi di violazione della privacy.

Cominciamo dal primo punto: identificare i soggetti interessati. Chi sono?
Secondo logica, i soggetti interessati al trattamento dei dati da parte di un medico sono i suoi pazienti.
Ma non solo: il medico potrebbe gestire anche i dati personali del suo personale dipendente o dei suoi collaboratori.
Infine il medico potrebbe dover avere necessità di gestire anche i dati personali di soggetti che non sono né suoi pazienti né suoi dipendenti o collaboratori. Ad esempio i fornitori.
Questa ricognizione è il primo passo da fare per calibrare poi i successivi adempimenti.

INFORMATIVA

Cos’è l’informativa sul trattamento dei dati personali?
È una dichiarazione scritta con linguaggio semplice e chiaro da rendere nota al paziente anticipatamente rispetto al trattamento dei dati da redigere in forma concisa, trasparente, intellegibile e facilmente accessibile.
Può essere consegnata ad ogni singolo paziente, oppure può essere affissa nella sala d’attesa dello studio in modo da renderla conoscibile alla generalità degli utenti dello studio.
L’informativa deve contenere tutta una serie di informazioni, secondo quanto previsto dal Regolamento Europeo, che si possono così riassumere:

• dati di contatto del Titolare dello Studio;
• dati di contatto del Responsabile del trattamento dei dati (se presente);
• dati di contatto del Responsabile della protezione dei dati – DPO (se presente);
• finalità e scopo del trattamento dei dati;
• modalità di trattamento dei dati;
• tempo di conservazione dei dati;
• soggetti a cui i dati vengono comunicati;
• trasferimento all’estero dei dati;
• diritti dell’interessato.

É importante ricordare che l’informativa è un adempimento obbligatorio e in nessun modo eludibile.

Entriamo nel vivo dell’informativa: i dati di contatto
In primo luogo l’informativa deve contenere i dati di contatto del Titolare dello studio (nominativo, sede, telefono, email).
Se il titolare dello studio nomina un responsabile del trattamento dei dati, deve indicare gli stessi dati anche per il responsabile. La nomina di tale responsabile non è obbligatoria.
Se il titolare dello studio nomina un responsabile per la protezione dei dati (DPO), deve indicare gli stessi dati anche per il DPO. Sull’obbligatorietà o meno della figura del DPO si parlerà più avanti.

Finalità e scopi del trattamento
Vanno indicate le finalità del trattamento, cioè lo scopo per cui si raccolgono, si gestiscono e si trattano i dati dei pazienti. La finalità principale per uno studio medico è: prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni di natura medica o sanitaria richieste dal diretto interessato, anche farmaceutiche o specialistiche.
Ci sono poi altre finalità, che sono obbligatorie per legge, ad esempio comunicare i dati a soggetti, enti o autorità a cui la comunicazione sia obbligatoria in forza di disposizioni di legge o ordini delle autorità.
Oppure le finalità possono derivare da precisi rapporti contrattuali, come ad esempio nel caso di pazienti che aderiscono a fondi mutualistici o a polizze assicurative. In questi casi la finalità dello studio medico è anche quella di comunicare i dati ad enti privati per motivi assicurativi su richiesta dell’interessato.
Un’altra importante finalità per cui lo studio medico tratta i dati dei propri pazienti è esercitare i diritti legali del titolare dello studio, ad esempio il diritto di difesa in giudizio.
Solitamente questi sono gli scopi e le finalità che ogni studio medico si prefigge nel trattare i dati dei propri pazienti, per cui si può dire che quanto sopra rappresenta l’informativa “minimale” riguardo alle finalità del trattamento. Se il titolare dello studio, avendo riguardo alla sua specifica attività medica, si rende conto che utilizza i dati dei pazienti anche per altri e ulteriori scopi, deve dichiararlo esplicitamente nell’informativa che quindi va adeguatamente integrata.

Quali possono essere queste ulteriori finalità di trattamento?
Ad esempio condurre attività di ricerca scientifica o epidemiologica, utilizzare i dati dei pazienti per pubblicazioni scientifiche o presentazioni ai congressi, spedire una periodica newsletter ai pazienti per informarli sulle attività dello studio.
Sono tutte finalità ulteriori rispetto a quella fondamentale di attività assistenziale che quindi vanno separatamente evidenziate per renderle note al paziente.

Modalità di trattamento dei dati
Il titolare dello studio deve dichiarare che si ispira ai principi di liceità, correttezza, trasparenza, minimizzazione e limitazione dei dati, come previsto dal Regolamento Europeo.
Una formula utilizzabile potrebbe essere la seguente: I dati potranno essere trattati in forma cartacea ed elettronica, con accesso consentito ai soli operatori autorizzati, precedentemente nominati Responsabili o addetti al trattamento, i quali seguono corsi di formazione specifici e vengono periodicamente aggiornati sulle regole della privacy e sensibilizzati al rispetto e alla tutela della dignità e della riservatezza del paziente. Tutti gli operatori dello Studio che accedono ai dati informatizzati sono identificabili e dotati di password personale; l’accesso ai dati è consentito solo per le finalità legate al ruolo dell’operatore e solo per lo stretto tempo necessario a trattare la prestazione per la quale il paziente si è recato presso lo Studio.
Lo Studio non svolge attività di profilazione dei dati dei propri assistiti.
All’interno dei locali è vietato, per la riservatezza degli utenti, registrare audio, video e scattare foto.

Tempo di conservazione dei dati
Nell’informativa va anche indicato il tempo di conservazione dei dati da parte dello studio. Si tratta di un termine piuttosto difficile da stabilire a priori e se ne discuterà più approfonditamente in seguito. Intanto una formulazione adeguata nell’informativa potrebbe essere la seguente: I dati personali e sensibili verranno conservati per il tempo previsto dall’attuale normativa: in particolare, i dati relativi a ciascun episodio assistenziale, raccolti nella relativa scheda sanitaria, verranno conservati a tempo indeterminato, perdurando il rapporto contrattuale di cura.
Al termine del rapporto contrattuale di cura, lo Studio conserverà i dati per un periodo non superiore al termine prescrizionale di legge per la tutela dei propri diritti legali e di difesa.

Comunicazioni a terzi dei dati
Una formulazione suggerita può essere la seguente: I dati non verranno in alcun modo diffusi, ma potranno essere trasmessi agli Enti competenti per finalità amministrative o istituzionali, secondo quanto richiesto dalla normativa vigente. Più precisamente, i dati potranno essere comunicati a destinatari appartenenti alle seguenti categorie:

• soggetti interni allo Studio con funzione di Incaricati al trattamento;
• professionisti medici e personale sanitario, anche con rapporto di collaborazione occasionale con lo Studio;
• soggetti esterni incaricati di funzioni di manutenzione e assistenza dei sistemi informatici e di comunicazione;
• soggetti esterni consulenti in materia fiscale;
• autorità ed Enti Pubblici competenti per obbligo di legge;
• (eventuali altre categorie di destinatari).

I soggetti appartenenti alle categorie suddette svolgono la funzione di Responsabile del trattamento dei dati, oppure operano in totale autonomia come distinti Titolari del trattamento.
I dati potranno essere comunicati a familiari o conoscenti solo su espressa autorizzazione dell’interessato.

Trasferimento all’estero dei dati
Di norma uno studio medico non ha mai necessità di trasferire all’estero i dati dei propri pazienti. Però bisogna aver presente che lo studio può avvalersi di strumenti informatici che si “appoggiano” su server ubicati al di fuori del territorio italiano.
Per cui una formulazione suggerita può essere la seguente: I dati personali sono conservati su server ubicati all’interno dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare i server anche extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, previa stipula delle clausole contrattuali standard previste dalla Commissione Europea.

Diritti dell’interessato
In questa sezione dell’informativa occorre riportare i diritti dell’interessato come l’esempio sottostante:
Nella Sua qualità di Interessato, ai sensi dell’art. 15 del GDPR, ha il diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

1. le finalità del trattamento;
2. le categorie dei dati in questione;
3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
4. il periodo di conservazione dei dati personali previsto oppure dei criteri determinati per determinare tale periodo;
5. richiedere al Titolare l’accesso ai dati, la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che La riguardano o di opporsi al loro trattamento;
6. con riferimento all’eventuale consenso prestato, il diritto di revocare, in ogni momento, il consenso prestato;
7. il diritto di proporre reclamo all’Autorità Garante;
8. il diritto alla portabilità dei dati.

Devono essere evidenziate le modalità per l’interessato di esercizio dei suoi diritti, ad esempio scrivendo una lettera o una email al titolare dello studio o al responsabile.

Ma se il paziente ha diritto a ottenere “la cancellazione dei suoi dati”, come fa il medico a difendersi in caso di contenzioso?
Il diritto alla cancellazione va messo in relazione al diritto del medico di tutelare i suoi interessi legali, per cui se il paziente chiede la cancellazione dei suoi dati prima che siano decorsi i termini di prescrizione legali, il medico può legittimamente rifiutare tale cancellazione, motivando tale decisione con la necessità di tutelare il suo diritto di difesa. Viceversa, se i termini sono oramai decorsi, il medico può tranquillamente procedere alla cancellazione, accogliendo la richiesta del paziente.
In altre parole, il “diritto all’oblio” non è assoluto: trova un limite nel diritto del medico a tutelare i suoi diritti legali.

E cosa significa che il paziente può “revocare il consenso”? Senza di quello non può più essere curato…
Esatto. Se il paziente revoca il suo consenso al trattamento dei dati per le finalità di prevenzione, diagnosi e cura, il medico non può più legittimamente averlo in cura. Per cui, fermo restando il principio di tutela in casi di emergenza, il rapporto assistenziale è da intendersi terminato.

Cosa significa la “portabilità dei dati”?
Significa che il paziente ha diritto ad ottenere i dati che lo riguardano in un formato facilmente accessibile e gestibile con sistemi informatici.
Quindi il paziente ha diritto a chiedere che lo studio medico gli fornisca i suoi dati o in forma cartacea o in forma digitale (in un formato facilmente accessibile).
Se il paziente lo richiede, lo studio deve essere in grado di trasmettere i dati ad un altro studio medico indicato dal paziente stesso. E anche in questo caso il formato di trasmissione deve assicurare la facilità di accesso e di interscambio.

 CONSENSO

Una volta che il paziente è stato informato, cosa deve fare il medico?
Deve valutare se, per l'attività che svolge e il trattamento dei dati che compie, è necessario acquisire il consenso del paziente.
Infatti il Garante della Privacy ha chiarito che i medici possono trattare i dati dei pazienti, per finalità di cura, senza dover chiedere il consenso. I medici, sia per obbligo deontologio che di legge, sono tenuti al segreto professionale, per cui per le finalità di cura il consenso del paziente ai fini privacy non è necessario.
Viceversa il consenso torna ad essere necessario quando il trattamento dei dati del paziente non ha finalità di cura in senso stretto: ad esempio se il medico utilizza "App" mediche diverse dalla telemedicina; se utilizza i dati dei pazienti per fidelizzazione dei clienti o per fini promozionali o anche informativi (newsletter). In tali casi è quindi necessario raccogliere il consenso anche in forma orale, ma per evitare future ed eventuali contestazioni è opportuno che venga raccolto in forma scritta, con la sottoscrizione di un apposito modulo.
Se il medico intende utilizzare i dati per finalità diverse e ulteriori (ad esempio: per sperimentazione scientifica oppure per pubblicare i dati del paziente su riviste medico-scientifiche o presentazioni a congressi) sono necessari ulteriori e differenziati consensi.

Questo consenso firmato dal paziente è “una tantum” o va rinnovato periodicamente?
Il consenso del paziente resta valido a tempo indeterminato.

Chi può esprimere il consenso? Solo il diretto interessato?
Generalmente sì. Il paziente maggiorenne, capace di intendere e di volere, è l’unico soggetto autorizzato a dare il consenso per il trattamento dei propri dati sanitari.
Se il paziente invece è minorenne o non è capace di intendere e di volere, allora il consenso deve essere dato rispettivamente dai genitori (anche disgiuntamente) o da chi esercita la potestà genitoriale o dal tutore.

A proposito dei minorenni: c’è qualche differenza se i genitori sono sposati o separati o divorziati?
No, nessuna differenza.
Entrambi i genitori, indipendentemente dal loro status giuridico, hanno il dovere di tutelare la salute dei propri figli, per cui hanno il diritto-dovere di essere informati sullo stato di salute dei figli e il medico deve portare a loro conoscenza i dati sanitari di cui dispone, o disgiuntamente o congiuntamente. È responsabilità dei genitori (e non del medico) relazionarsi fra loro.

Il consenso di cui stiamo parlando equivale al consenso al trattamento sanitario?
Assolutamente no.
Il consenso di cui stiamo parlando riguarda esclusivamente l’autorizzazione che il paziente dà al medico al trattamento dei dati ai fini della privacy.
Tutt’altra cosa è il consenso del paziente all’atto medico, che non riguarda la legge sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà.
Adesso ci stiamo occupando solo e soltanto del consenso ai fini della legge sulla privacy.

E se il consenso viene revocato?
La revoca riguarderebbe solo il consenso al trattamento dei dati del paziente per finalità diverse da quelle di cura. In tal caso il medico deve attenersi alla volontà del paziente e cessare dal trattare i suoi dati per le finalità per le quali in precedenza era stato manifestato il consenso.
In ogni caso il rapporto di cura prosegue normalmente.

 FORMALIZZAZIONE DEI RUOLI

Oltre a riformulare l’informativa e raccogliere il consenso, cos’altro deve fare il medico nel suo studio?
Se il medico, nel proprio studio, si avvale di personale di segreteria, deve redigere una formale lettera al personale di segreteria, che si deve attenere alle istruzioni impartite dal medico titolare dello studio. Un modello di lettera di incarico può essere il seguente:

Il sottoscritto/a …………............................………………… in qualità di Titolare del trattamento dei dati dello Studio medico …..……………………………...……….. con sede in ……………………………………….

NOMINA QUALE ADDETTO AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI

il signor/a ……………………………………… nato/a a …………… il …...........…

In particolare dovrà:

a) raccogliere, registrare, trattare e conservare i dati personali e sensibili contenuti nelle cartelle cliniche, sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;

b) adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste.

Le rammento che dovrà adottare la parola chiave riservata per l’accesso alla banca dati elettronica che dovrà essere periodicamente modificata.

Data ……………………

FIRMA DEL TITOLARE

per ricevuta: Firma dell’Incaricato

Si consiglia di allegare la copia del documento di identità dell’addetto.

Se il medico si avvale di collaboratori medici o personale infermieristico?
Se il medico, nel proprio studio, si avvale di collaboratori medici o personale infermieristico, deve redigere una formale lettera a tali soggetti conferendogli apposita responsabilità alla tutela della privacy. Un modello di lettera può essere il seguente:

Il sottoscritto/a …………............................………………… in qualità di Titolare del trattamento dei dati dello Studio medico …..……………………………...……….. con sede in ……………………………………….

NOMINA QUALE RESPONSABILE AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI

il signor/a ……………………………………… nato/a a …………… il …...........…

In particolare dovrà:

a) raccogliere, registrare, trattare e conservare i dati personali e sensibili contenuti nelle cartelle cliniche, sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;

b) adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste.

Le rammento che dovrà adottare la parola chiave riservata per l’accesso alla banca dati elettronica che dovrà essere periodicamente modificata.

Data ……………………

FIRMA DEL TITOLARE

per ricevuta: Firma dell’Incaricato

Si consiglia di allegare la copia del documento di identità del collaboratore.

Se il medico si avvale di un ragioniere e/o commercialista per la tenuta della sua contabilità?
Anche in questo caso va affidata al commercialista la formale responsabilità per il trattamento dei dati. Si può utilizzare il seguente modello di lettera:

Il sottoscritto/a …………............................………………… in qualità di titolare del trattamento dei dati dello Studio medico/Studio medico associato ………...……….. con sede in ………………………………………..

NOMINA QUALE RESPONSABILE AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI

Il/la signor/a - Il/La dott./ssa titolare di Studio commercialista con sede in…………… nato/a a …………… il …...........…..

In particolare dovrà:

a) raccogliere, registrare, trattare e conservare i dati personali e sensibili sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;

b) adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste.

Le rammento che dovrà adottare la parola chiave riservata per l’accesso alla banca dati elettronica che dovrà essere periodicamente modificata.

Data ……………………

FIRMA DEL TITOLARE

per ricevuta: Firma del Responsabile

Si consiglia di allegare la copia del documento di identità del commercialista.

E nel caso dell’odontoiatra che si avvale dell’opera dell’odontotecnico?
Anche in questo caso è necessario che l’odontoiatra rediga una apposita lettera per affidare la responsabilità per il trattamento dei dati:

Il sottoscritto/a …………............................………………… in qualità di titolare del trattamento dei dati dello Studio odontoiatrico/ Studio odontoiatrico associato …………………………...……….. con sede in ………………………………………..

NOMINA QUALE RESPONSABILE AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI

il signor/a ……………………………………… nato/a a …………… il …...........… , Titolare del Laboratorio odontotecnico con sede…………

In particolare dovrà:

a) raccogliere, registrare, trattare e conservare i dati personali e sensibili contenuti nelle cartelle cliniche, sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati;

b) adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste.

Le rammento che dovrà adottare la parola chiave riservata per l’accesso alla banca dati elettronica che dovrà essere periodicamente modificata.

Data ……………………

FIRMA DEL TITOLARE

per ricevuta: Firma del Responsabile

Si consiglia di allegare la copia del documento di identità dell’odontotecnico.

E se lo studio è composto da più medici in forma associativa?
Se i dati dei pazienti sono condivisi da più medici in forma stabile e continuativa, fermo restando che ciascun medico è titolare dei dati dei suoi diretti assistiti, può essere necessario sottoscrivere un accordo di contitolarità per legittimare il trattamento in comune dei dati.
Ovviamente si tratta di una situazione che va esplicitata nell’informativa e che renderà necessario approntare misure di sicurezza adeguate.

 REGISTRO DEI TRATTAMENTI

Oltre a tutto questo bisogna preoccuparsi del “Registro dei Trattamenti”. Cos’è in pratica?
E’ un registro in cui si elencano le tipologie di trattamenti che vengono svolti dallo studio e che coinvolgono i dati personali degli interessati.
Può essere composto come un semplice foglio in formato Excel (ce ne sono molti esempi su internet, fra cui quello suggerito dal Garante per la Privacy) oppure può essere realizzato dall’azienda informatica che fornisce il software gestionale dello studio.

In che cosa consiste?
Si tratta di un documento tenuto in forma libera e conservato dove il professionista svolge l’attività.
Ogni professionista deve esplicitare chiaramente da chi e come saranno trattati i dati, dall’informativa all’archiviazione, ma non va visto come un mero adempimento burocratico, bensì parte integrante di un sistema di corretta gestione dei dati personali, in quanto finalizzato a tenere sotto controllo il ciclo vitale del dato.
E’ un documento che può essere necessario esibire agli organi di controllo in caso di verifiche o accertamenti.

E’ obbligatorio per tutti gli studi medici?
Siccome gli studi medici trattano dati inerenti la salute dei propri assistiti, che sono dati particolarmente delicati e sensibili, al di là dell’esistenza di uno specifico obbligo è obbligatorio approntare il registro, come previsto dall’art. 30 del Regolamento Europeo.

Cosa deve essere riportato sul registro?
In tale Registro devono essere annotati:

• identificativi del titolare dello studio e del responsabile (se presente);
• la denominazione del trattamento (ad esempio: gestione sanitaria dei pazienti);
• la finalità del trattamento (ad esempio: rapporto di cura);
• la tipologia del trattamento (ad esempio: normale);
• le categorie di soggetti interessati (ad esempio: pazienti);
• le categorie di dati personali trattati (ad esempio: dati relativi alla salute);
• le categorie di destinatari a cui i dati possono o devono essere comunicati (ad esempio: ASL, INPS, INAIL, Agenzia delle Entrate, Autorità Giudiziaria, Compagnie Assicurative, ecc.);
• gli eventuali responsabili esterni (ad esempio: il commercialista o il consulente del lavoro);
• i Paesi stranieri verso cui i dati possono essere trasferiti (ad esempio: nessuno);
• le garanzie adottate per il trasferimento internazionale di dati (ad esempio: nessuna);
• il periodo di conservazione dei dati (ad esempio: 10 anni o comunque per il tempo necessario a tutelare i diritti legali del titolare);
• il software informatico utilizzato per il trattamento dei dati;
• le misure di sicurezza fisiche, organizzative ed informatiche adottate per la protezione dei dati;
• la base giuridica su cui si fonda il trattamento (ad esempio: obbligo legale oppure consenso dell’interessato);
• la fonte dei dati personali (ad esempio: conferiti dall’interessato o acquisiti dal suo FSE);
• la necessità o meno di una valutazione d’impatto sulla protezione dei dati.

Il registro dei trattamenti è uno soltanto?
Dipende dall’organizzazione dello studio medico.
Nello studio monoprofessionale è sufficiente la predisposizione di un solo registro dei trattamenti a cura del titolare dello studio.
In altri contesti operativi potrebbe essere necessaria la predisposizione di un registro dei trattamenti per il titolare e uno per il responsabile del trattamento dei dati.

Esiste una versione "semplificata" del Registro?
Sì. L'Autorità Garante per la privacy ha elaborato e messo a disposizione un modello semplificato di Registro dei Trattamenti per le PMI - piccole e medie imprese e per gli studi professionali.
E' disponibile sul sito del Garante: https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento

 POLITICHE DI SICUREZZA

Dopo aver scritto l’informativa, fatto firmare i consensi e compilato il Registro dei trattamenti sono finiti gli adempimenti?
Da questo momento in poi scatta la parte “sicurezza dei dati” nel senso che gli adempimenti che sono stati illustrati fino ad ora non esauriscono, ma anzi avviano un processo di protezione e tutela nel trattamento dei dati perché, secondo il Regolamento Europeo, chi gestisce i dati deve agire sul principio della “responsabilizzazione”, cioè sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione delle norme di tutela e protezione della privacy.
Ad esempio, fin dall’inizio bisogna configurare il trattamento dei dati prevedendo le garanzie indispensabili per soddisfare i requisiti del Regolamento Europeo e tutelare i diritti degli interessati. A questo proposito, i produttori di software informatico gestionale per gli studi medici sono tenuti a ripensare i loro prodotti preoccupandosi della tutela della privacy fin dalla progettazione del software che dev’essere conforme al Regolamento Europeo “by default”.
Allo stesso modo il medico nel suo studio deve orientare la propria organizazione di lavoro in modo sempre assolutamente attento alla tutela della riservatezza dei dati dei pazienti fin dall’origine, evitando comportamenti o prassi che mettano a rischio i diritti e le libertà personali degli interessati.
Ad esempio, deve essere valorizzata e costantemente adeguata la formazione del personale di segreteria, che deve essere consapevole dei comportamenti più adeguati a tutela della privacy.
Tutto questo deve avvenire costantemente e deve sostanziarsi in una serie di attività specifiche e dimostrabili, con monitoraggi periodici.

Ho sentito parlare di “Data Breach”. Cosa significa?
Il termine indica ogni “violazione dei dati” e nella pratica può significare ad esempio il furto, la perdita, l’alterazione, la manipolazione di dati cartacei o informatici.
In questi casi il titolare dello studio deve notificare il fatto all’Autorità Garante per la privacy entro 72 ore dal momento in cui ne è venuto a conoscenza. Ma non basta notificare il fatto che si è subita una violazione: bisogna anche dire cosa si è fatto per contenere il danno.
Siccome queste eventualità non sono purtroppo rare, è assolutamente indispensabile che il titolare dello studio progetti e rediga una “procedura di emergenza” con la quale fronteggiare simili evenienze. Tale procedura di emergenza deve essere approntata prima che si verifichino fenomeni di violazione, proprio per essere in grado, prima possibile, di farvi fronte nel modo tecnicamente e organizzativamente più adeguato.
Un po’ come quando si sale in aereo: le procedure di emergenza vanno elaborate e rese note prima che l’aereo stia precipitando…

In concreto, qual è la procedura di emergenza da seguire?
Dipende dall’organizzazione dello studio.
Ad esempio il titolare dello studio potrebbe stabilire a priori che, in caso di violazione di dati, lui personalmente o un suo incaricato appositamente individuato, svolga alcune operazioni essenziali e basilari come ad esempio: spengere il server; spostarlo in un luogo più sicuro; interrompere l’energia elettrica; spostare i fascicoli in un luogo più sicuro; allertare i Vigili del Fuoco, ecc.
Bisogna prevedere gli interventi di emergenza ritenuti più adeguati al caso concreto, metterli per iscritto e seguirli in caso di “data breach”.

Quali accorgimenti deve adottare il medico che non utilizza il computer, ma conserva tutto su carta?
Nel caso di trattamento dei dati in forma cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente la salute del paziente.
Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate ne possano prendere conoscenza. Per esempio, se sono riposte in un armadio, questo dovrebbe essere chiuso a chiave e collocato in una stanza dello studio non accessibile al pubblico in generale. Le chiavi dell’armadio dovrebbero essere in possesso solo del medico e del suo sostituto (o dei suoi collaboratori medici) e non di altre persone. Inoltre l’armadio dovrebbe essere di materiale ignifugo, in modo da evitare il rischio di perdita o distruzione di dati a causa di incendio.

E se il medico utilizza anche il computer?
Vale lo stesso principio di evitare o ridurre al minimo il rischio di perdita, distruzione, sottrazione, manomissione o alterazione dei dati memorizzati nel computer.
Ciò si può realizzare con diversi accorgimenti tecnici. In primo luogo il computer deve essere protetto da una password alfanumerica (la meno intuitiva possibile) che deve essere cambiata ogni tre mesi. Inoltre il computer deve essere protetto da un software antivirus, anti-malware e, se è connesso a internet, anche da un firewall di ultima generazione, capace di identificare le minacce e bloccarle prima che si concretizzino. Infine deve essere previsto un salvataggio periodico dei dati da poter utilizzare in caso di emergenza.
Le misure di protezione informatica hanno una rapida evoluzione tecnologica, per cui è assolutamente necessario che il medico possa contare su un consulente informatico di propria fiducia per rendere il suo sistema sempre protetto al massimo grado.

Il sostituto o comunque il collaboratore medico può usare il computer del medico titolare?
Allo stesso modo con cui il sostituto o il collaboratore medico può accedere ai fascicoli cartacei dei pazienti, può certamente accedere ai dati sanitari memorizzati nel computer dello studio.
Però è necessario che vi acceda con un proprio nome utente e una propria password, in modo che sul computer rimanga una “traccia informatica” di chi, come e quando ha acceduto al sistema.
Come già detto sopra, a monte ci deve essere una formale lettera di attribuzione di responsabilità.

E il personale di segreteria? Può accedere al computer e alle schede dei pazienti?
Il personale di segreteria deve limitare l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei pazienti.
Anche in questo caso è necessario che l’accesso al computer sia effettuato con un nome utente e una password dedicata al personale di segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati comuni e non a quelli sensibili.
E anche in questo caso, come già detto, a monte ci deve essere una formale lettera di attribuzione dell’incarico.

Ma il “Documento Programmatico per la sicurezza” (DPS) esiste sempre?
Il DPS deve ritenersi superato dal Regolamento Europeo che non parla più di “misure minime di sicurezza”, ma obbliga il titolare a pensare alla sicurezza al massimo grado.
In pratica col Regolamento Europeo non bisogna limitarsi ad adottare misure di sicurezza minime, ma all’opposto bisogna approntare le procedure che diano il massimo di garanzie tecnicamente possibili per tutelare e proteggere i dati.
Ed in effetti: costruire per bene l’informativa, redigere correttamente il Registro dei Trattamenti e monitorare costantemente le proprie procedure per evitare i rischi di Data Breach sono tutte azioni che rientrano nell’ottica della tutela della riservatezza “al massimo grado” possibile, sia in termini di sicurezza fisica (luoghi e ambienti) che organizzativa (procedure e incarichi) che informatica (strumenti hardware e software adeguati).

Il medico deve segnalare a qualche autorità il fatto che possiede una banca dati (cartacea o su computer) di dati di pazienti?
No, non ha alcun obbligo di segnalare il possesso di una banca dati. L’unico obbligo di segnalazione è il DPO se nominato (vedasi poi).

In definitiva, è preferibile usare il cartaceo o il computer?
E’ una scelta che dipende esclusivamente dalle modalità organizzative del singolo medico. Nessuno dei due sistemi è migliore dell’altro. Semplicemente se si lavora solo su carta, dovranno essere adottati alcuni accorgimenti; se si lavora col computer, altri. Si può solo dire che nella fase attuale di progresso tecnologico, l’uso del computer è sempre più utile e semplifica notevolmente il lavoro, purché ovviamente venga utilizzato con criterio e diligenza.

 IL DPO

Parliamo adesso del DPO: chi è?
Il Regolamento Europeo ha introdotto la figura del “Responsabile della Protezione dei Dati” (in italiano RPD e in inglese DPO).
Si tratta di un soggetto, persona fisica o giuridica, nominato dal titolare con il compito di collaborare con lui nella protezione dei dati e che quindi può affiancare il titolare anche nella redazione dell’informativa, nella gestione del Registro dei Trattamenti, nell’elaborazione delle procedure di emergenza e nel monitoraggio costante e continuativo delle prassi all’interno dello studio.
Il DPO funge anche da punto di contatto con l’Autorità Garante per la Privacy ed è per questo motivo che il suo nominativo va comunicato al Garante.

Lo studio medico è obbligato a nominare un DPO?
Il Garante per la Privacy ha chiarito che per i medici che operano nello studio privato sia come liberi professionsti che come convenzionati con il SSN (medici di medicina generale), la nomina del DPO non è obbligatoria perché il trattamento dei dati dei pazienti non è svolto "su larga scala".
Viceversa la nomina del DPO è obbligatoria per gli Enti Pubblici (ad esempio le ASL) e per le Case di Cura private perché tali soggetti trattano i dati "su larga scala".

Come si fa ad individuare il DPO giusto?
Il Regolamento Europeo non prevede specifici requisiti per svolgere la funzione di DPO. E’ però necessario che sia un soggetto esperto in materia di privacy sia dal punto di vista legale e normativo, sia dal punto di vista tecnico-informatico.
Per cui nella scelta del DPO è opportuno valutare attentamente il curriculum e/o le referenze del professionista o dell’azienda che si propone di svolgere tale attività.

Studi medici autonomi possono nominare lo stesso DPO?
Più studi medici possono concordare, seppur non ve ne sia l'obbligo, di nominare un DPO comune per rafforzare le loro politiche di privacy. Si tratta di una decisione organizzativa che dipende dalle scelte gestionali e operative dei titolari degli studi coinvolti.

SUGGERIMENTI PRATICI

Il paziente ha diritto di chiedere al medico solo una copia degli atti o può pretendere di ottenere gli originali?
Come già detto sopra, il paziente ha diritto alla “portabilità dei dati”.
Questo non significa che il medico si deve necessariamente privare dei dati per darli al paziente. Bisogna distinguere: se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso (facendosi firmare una ricevuta di consegna). Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia o in formato digitale facilmente accessibile.

E se la richiesta proviene da un familiare o da un conoscente del paziente?
Dipende se il paziente ha dato il suo consenso. Se è così, allora il medico è autorizzato a fornire i dati sanitari ai familiari o conoscenti individuati dal paziente stesso. Ma se non è così il medico non può rivelare alcunché a nessun soggetto diverso dal diretto interessato.
Per evitare contestazioni, è opportuno che il medico si faccia indicare per iscritto chi sono i soggetti a cui acconsente che siano forniti dati e/o informazioni sul suo stato di salute.

La consegna di documenti sanitari (ad esempio un certificato medico o una ricetta) deve farla materialmente il medico o può farlo anche il personale di segreteria?
Può farlo anche il personale di segreteria, ma in tal caso il documento sanitario deve sempre essere chiuso in una busta e spetterà al personale di segreteria identificare il soggetto che ritira la busta: se il diretto interessato o se un delegato. In quest’ultima ipotesi, dovrà acquisire la delega del diretto interessato.

La delega al familiare o al conoscente deve essere rinnovata volta per volta?
Il paziente può liberamente decidere di dare una delega ad hoc per il ritiro di un singolo documento che lo riguarda, oppure può autorizzare il medico in via continuativa a fornire i dati e i documenti al proprio delegato, senza scadenza.
Il medico si deve attenere a quanto ha indicato il paziente.

Le buste chiuse contenenti i documenti sanitari possono essere messe a disposizione dei pazienti per il ritiro, ad esempio in uno scaffale della sala d’attesa dello studio?
No, perché così facendo non si sa chi è il soggetto che ritira la busta e potrebbe anche succedere che il paziente (magari anche in buona fede) ritiri una busta che non è la sua.
Per evitare questi rischi di indebita conoscenza di dati sanitari da parte di terzi non autorizzati, una efficace misura di sicurezza, ad esempio, è inserire le buste in appositi schedari ubicati non nella sala d’attesa dello studio, bensì nello spazio dedicato alla segreteria. In questo modo l’identificazione del soggetto e la consegna della busta è mediata dal personale di segreteria, che deve attenersi alle regole di tutela della privacy sopra descritte.

Se il paziente chiede al medico una attestazione dettagliata del suo stato di salute, perché per esempio deve presentarla al datore di lavoro per usufruire di permessi speciali, o alla compagnia di assicurazione per un risarcimento, il medico può rifiutarsi di farlo per motivi di privacy?
Assolutamente no.
La decisione se rivelare al datore di lavoro o ad altri soggetti i dati inerenti lo stato di salute spetta al paziente, non al medico. Quindi se il paziente desidera ottenere dei permessi speciali o benefici assicurativi e vuole giustificare questa richiesta con una certificazione medica dettagliata, il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico sindacare questa decisione del paziente.

E se la richiesta di dati e informazioni sanitarie proviene da un qualunque altro soggetto?
In generale vale la regola per cui senza il consenso del diretto interessato, il medico non può comunicare niente a nessuno.
Quindi, solo se c’è il consenso del paziente il medico può fornire dati e informazioni sanitarie ad altri soggetti, come ad esempio alla compagnia di assicurazione del paziente, al datore di lavoro del paziente, e così via.

Ci sono casi in cui il medico è autorizzato a comunicare a terzi i dati sanitari del paziente, in assenza del suo consenso?
Sì, ma sono previsti da specifiche norme di legge (nazionali o regionali) e ciò deve già risultare dall’informativa, come detto sopra.
Per esempio nei casi in cui sussiste obbligo di referto, il medico è tenuto a segnalare all’autorità giudiziaria i dati in suo possesso anche senza il consenso del diretto interessato. Oppure per la segnalazione di malattie infettive o diffusive.
Così come i medici convenzionati (medici di famiglia e pediatri) sono tenuti a comunicare i dati degli assistiti alla ASL per motivi di controllo della spesa sanitaria.

Al di fuori di questi casi, esistono altre situazioni in cui il medico può derogare all’obbligo della riservatezza?
Sì, in ipotesi particolari in cui si renda necessario tutelare la salute di un terzo o della collettività, oppure di un minore, di un soggetto disabile o comunque di un soggetto in situazione di particolare fragilità.

Si può fare qualche esempio di queste situazioni particolari?
Per esempio, se il medico ha in cura un paziente psichiatrico e vi è il rischio concreto e attuale che costui possa costituire un pericolo per l’incolumità di terzi o della collettività, deve segnalare il caso alle competenti autorità (servizi sociali e/o autorità giudiziaria).
Oppure se il medico ha in cura un minore e constata che è oggetto di maltrattamenti o abusi, deve segnalare il caso alle medesime autorità.
Si tratta di situazioni molto delicate, nelle quali il medico deve agire con la massima prudenza e attenzione, valutando caso per caso. Ma ricordando che il diritto alla privacy del paziente può essere superato se sussistono ragioni in cui prevale la necessità di tutelare interessi più rilevanti.

E come si deve comportare il medico a cui l’autorità giudiziaria chiede di rendere testimonianza o di esibire documenti riguardanti un suo paziente?
Il medico che abbia avuto notizia di un reato nell'esercizio o a causa delle sue funzioni è obbligato alla denuncia all'Autorità Giudiziaria (se medico pubblico ufficiale o incaricato di pubblico servizio) o al referto (se medico libero professionista). Ne consegue che il medico che ha presentato denuncia o referto è anche tenuto a rendere testimonianza o a esibire documenti all'Autorità Giudiziaria connessi alla sua denuncia o referto.
Viceversa, se al medico vengono richieste informazioni per un caso di cui egli non ha constatato l'ipotesi di reato, deve opporre il segreto professionale. Infatti l'Autorità Giudiziaria (e con essa la Polizia o i Carabinieri) non possono acquisire fonti di prova in violazione del diritto di difesa, per cui non possono imporre al medico di violare unilateralmente il segreto professionale.
Per approndire compiutamente questi aspetti, piuttosto delicati, si rinvia alla disamina pubblicata su Toscana Medica n. 7/2020: pdf Estratto da Toscana Medica 07 2020 (124 KB)

Il diritto alla privacy esiste anche per il paziente defunto?
Le norme del Regolamento Europeo non si applicano alle persone decedute.
Bisogna però ricordare che gli eredi del defunto subentrano in tutti i diritti del deceduto, per cui nei confronti di costoro il medico non può opporre il segreto.
Se, per esempio, il paziente aveva una polizza assicurativa sulla vita, una volta deceduto i dati sanitari di costui possono essere comunicati agli eredi e anche alla compagnia di assicurazione, visto che nel contratto assicurativo il paziente aveva autorizzato la compagnia ad accedere a tali atti al momento della sua morte.

Per quanto tempo il medico deve conservare i dati dei pazienti nel proprio studio?
Oltre quanto già accennato sopra, si può aggiungere che per gli studi medici privati, a differenza degli ospedali e delle case di cura, non esiste una norma di legge specifica che stabilisca la durata di conservazione degli atti sanitari.
Vale la regola generale enunciata dal Garante per la Privacy, secondo cui i dati vanno conservati per il tempo necessario al perseguimento della finalità per cui sono stati raccolti. Tradotto nella prassi medica, significa che il medico deve conservare gli atti fin tanto che dura il rapporto di cura.
Tuttavia bisogna ricordare che il medico deve poter tutelare i propri diritti legali e di difesa, per cui è buona norma conservare i dati sanitari dei pazienti per il tempo corrispondente alla prescrizione di legge che, nell'ipotesi più ampia, è di 10 anni. Per cui, in conclusione, il suggerimento è di conservare gli atti dei pazienti per tutta la durata del rapporto di cura e, cautelativamente, per almeno i 10 anni successivi al termine di esso. In ogni caso il termine di conservazione deve essere indicato nel registro dei trattamenti e nell'informativa privacy.

Il medico che cessa la propria attività come deve comportarsi?
Vale quanto detto sopra: la cessazione dell’attività corrisponde alla cessazione del rapporto di cura.

La conservazione degli atti per tutti questi anni può non essere agevole…
E’ vero, però bisogna tener conto che potrebbero (anche solo come ipotesi teorica) insorgere contestazioni, vertenze o cause fra medico e paziente e se il medico non dispone più della documentazione clinica non ha nemmeno strumenti per dimostrare la correttezza del suo operato. Conservare i documenti, quindi, significa anche conservare le prove della propria correttezza professionale.

Il medico, nel proprio studio, deve predisporre “distanze di cortesia” o sistemi di chiamata numerica?
A differenza delle strutture sanitarie pubbliche o private, che sono locali aperti al pubblico e dove è obbligatorio adottare misure per la riservatezza dei pazienti, negli studi medici privati, che non sono locali aperti al pubblico, non è obbligatorio adottare simili accorgimenti.
Tuttavia il medico (e il personale del suo studio) deve comunque rispettare la riservatezza dei pazienti, per cui vanno evitati tutti i comportamenti che possano essere poco rispettosi della privacy di ognuno. Sta al medico individuare, nel concreto, le modalità più idonee.

A telefono il medico può divulgare dati sanitari dei pazienti? Per esempio comunicare l’esistenza di una certa patologia?
Per i colloqui telefonici vale la stessa regola prevista per i colloqui di persona. Quindi al diretto interessato si può comunicare ogni informazione sanitaria, sia di persona che per telefono. Ai soggetti terzi, anche se familiari, la comunicazione (di persona o per telefono) è possibile solo con il consenso del diretto interessato.

E si può usare Whatsapp o strumenti simili nel rapporto medico-paziente?
Gli strumenti di chat o messaggistica non danno alcuna garanzia legale sull’identità del mittente.
Detto in altre parole, mentre al telefono si ha la ragionevole possibilità di identificare colui che sta dall’altra parte della cornetta perché se ne conosce la voce, nelle chat o nei messaggi non c’è modo per avere una minima sicurezza su chi c’è dall’altra parte.
Si tratta di strumenti certamente molto utili nelle relazioni quotidiane, ma probabilmente non sono il mezzo migliore per comunicare e trasmettere dati sensibili come quelli inerenti la salute.

Al paziente bisogna dire sempre tutto riguardo al suo stato di salute, o è meglio essere generici?
Il paziente ha diritto di sapere tutto sul suo stato di salute, senza nessun limite.
Ovviamente, siccome il medico non è un burocrate, ma un professionista, deve aver cura di fornire le informazioni, soprattutto quando riguardano patologie serie, nel modo più consono ed appropriato, tenendo conto della personalità del paziente e rispettando la sua sensibilità.
In proposito vale il principio sancito dal Codice Deontologico: le informazioni riguardanti prognosi gravi o infauste o tali da poter procurare preoccupazione e sofferenza alla persona, devono essere fornite con prudenza, usando terminologie non traumatizzanti e senza escludere elementi di speranza. La documentata volontà della persona assistita di non essere informata o di delegare ad altro soggetto l’informazione deve essere rispettata.

Veniamo ora ai documenti che contengono dati sanitari. Per esempio, i certificati di malattia devono riportare la diagnosi?
I certificati di malattia per pazienti che sono lavoratori dipendenti devono essere redatti prioritariamente con la procedura telematica, nella quale è previsto che l’indicazione della diagnosi sia portata a conoscenza solo dell’INPS ma non del datore di lavoro.
Ma anche per i certificati cartacei vale la stessa regola, e cioè che la diagnosi non deve essere portata a conoscenza del datore di lavoro.
Fanno eccezione solo i lavoratori dipendenti delle Forze Armate, della Polizia di Stato e dei Vigili del Fuoco, perché in questi casi il datore di lavoro deve per legge essere a conoscenza del tipo di patologia sofferta dal militare. Ecco perché nei confronti di questi pazienti è tutt’ora obbligatorio il certificato cartaceo e non quello telematico.

E per i bambini che frequentano la scuola?
In caso di malattie infettive o diffusive, il medico è tenuto alla segnalazione, che però deve essere fatta alla ASL e non alla scuola.
La scuola, quindi, non può pretendere alcun certificato di malattia dell’alunno, ma semmai solo un certificato per la riammissione a scuola, una volta superata la malattia.
È evidente, quindi, che in questi casi il medico non deve mai indicare alcuna diagnosi nel certificato.

E per i pazienti che non sono né lavoratori dipendenti né studenti?
Allora si tratta di certificati di malattia che il paziente chiede per suoi motivi privati. In questi casi deve essere lo stesso paziente a chiedere al medico se indicare o meno la diagnosi sul certificato, tenendo conto dell’uso che egli ne vorrà fare.

Oltre ai certificati, ci sono molti altri tipi di documenti che contengono dati sanitari di pazienti….
E’ proprio così. Nella pratica medica i documenti possono assumere moltissime forme: si pensi ai documenti cartacei come le ricette, i certificati, le cartelle cliniche, le perizie, le relazioni e così via. Come sono altrettanti “documenti” anche i cd o le lastre della diagnostica per immagini.
Quello che è importante ricordare è che la tutela della legge riguarda i “dati sanitari” indipendentemente del “supporto” che li ospita. Ma siccome il medico è tenuto a tutelare e proteggere la riservatezza dei dati sanitari, è evidente che i supporti che li contengono devono avere un adeguato sistema di protezione.

C’è un consiglio “finale” che, in conclusione, può essere dato ai medici?
Come già detto in precedenza, i medici sono i professionisti che più di tutti, per tradizione millenaria, hanno nel loro patrimonio etico e deontologico la tutela del segreto professionale e della riservatezza dei pazienti che hanno in cura.
Questo valore deve essere mantenuto vivo e operante perché è alla base del rapporto fiduciario, in quanto nessun paziente riporrebbe la sua fiducia in un medico che divulgasse sconsideratamente e a chiunque le informazioni che ha acquisito.
Proseguendo, quindi, in questo “binario” etico e deontologico, il medico troverà sempre il modo per affrontare le varie e disparate situazioni in cui si trova ad operare, fondando il suo agire sulla propria coscienza, sensibilità e accortezza.

Cosa si intende per “potere disciplinare” dell’Ordine?
I medici e gli odontoiatri, essendo obbligati ad essere iscritti all’Ordine per poter esercitare legittimamente la professione, sono anche soggetti al potere disciplinare dell’Ordine, nel senso che l’Ordine può sanzionare i loro comportamenti se risultano non conformi alla deontologia ed etica medica.

Questo significa che il professionista viene giudicato dal suo Ordine e non dalla magistratura?
Assolutamente no. Tutti i cittadini italiani (quindi anche i medici) sono soggetti al potere giudiziario sia penale che civile, senza nessuna eccezione. I medici, però, oltre a dover rispondere delle loro azioni alla magistratura ordinaria, sia penale che civile, sono anche tenuti a rispondere dei loro comportamenti davanti all’Ordine al quale appartengono.

Allora questo significa che per uno stesso fatto il medico può essere chiamato a risponderne davanti a più organi giudicanti.
É proprio così.
Poniamo ad esempio che un medico, nell’esercizio della sua professione, causi delle lesioni ad un paziente. Di questo fatto potrà essere chiamato a risponderne sia davanti al magistrato penale (per l’ipotesi di reato di lesioni personali), sia davanti al magistrato civile (per il risarcimento del danno), sia davanti all’Ordine (per l’eventuale mancanza deontologica commessa).
Ma c’è di più.
Se il medico esercita nell’ambito del Servizio Sanitario Nazionale si troverà a doversi giustificare anche davanti alla Corte dei Conti (per l’eventuale danno causato all’erario) e anche davanti all’Azienda Sanitaria o Ospedaliera di appartenenza (che in qualità di datore di lavoro ha sempre un potere disciplinare nei confronti dei propri lavoratori).

Quindi, in definitiva, per uno stesso episodio il medico può dover comparire davanti anche a cinque organi giudicanti…
Sì. Attualmente la legge italiana così prevede.

Ma il giudizio della magistratura prevale sugli altri, oppure sono tutti giudizi autonomi?
Il giudizio del magistrato penale ha una sua intrinseca prevalenza su tutti gli altri giudizi quando sia di assoluzione piena.
Per spiegarsi meglio, se il medico, al termine del procedimento penale, viene assolto perché il fatto non sussiste o perché egli non l’ha commesso, tale esito assolutorio impedisce sia all’Ordine sia agli altri organi giudicanti di sottoporre il medico ad un ulteriore giudizio per gli stessi fatti. Viceversa, se il medico viene condannato, gli altri organi giudicanti (compreso l’Ordine) hanno l’obbligo di esercitare il loro potere giudicante.

Cosa succede se il medico non viene né condannato né assolto, ad esempio perché il fatto cade in prescrizione?
L’Ordine conserva intatto il suo potere disciplinare in tutti i casi in cui il professionista non sia stato assolto con formula piena. Quindi se il procedimento penale si conclude per prescrizione, ma anche per amnistia o indulto o remissione di querela, l’Ordine conserva comunque il suo potere disciplinare.
Stesso discorso nel caso in cui il procedimento penale si concluda con il patteggiamento: tale soluzione giudiziaria non impedisce affatto all’Ordine di sottoporre il professionista a procedimento disciplinare.

Questo significa che se il medico è stato condannato in sede penale, lo sarà anche davanti all’Ordine?
No, questa equazione non è valida.
L’Ordine ha piena autonomia di giudizio perché il suo esame non riguarda gli aspetti penali della vicenda, ma esclusivamente gli aspetti etici e deontologici del comportamento del medico.
Per spiegarsi meglio, se il medico ha subito una condanna penale (ma lo stesso discorso vale in caso di patteggiamento), l’Ordine non può mettere in dubbio che il fatto sia davvero successo perché ciò è stato già accertato dal giudice penale e non ci si può tornare sopra. Però l’Ordine ha piena autonomia e libertà di giudizio nel giudicare tale fatto rilevante o meno dal punto di vista della deontologia professionale.
Tornando all’esempio precedente, potrebbe accadere che il medico venga penalmente condannato per lesioni personali, ma l’Ordine potrebbe prosciogliere il professionista, ritenendo che abbia fatto tutto quello che eticamente e deontologicamente era tenuto a fare nel caso concreto.
Il tutto porta a concludere che può accadere che uno stesso episodio, giudicato negativamente dal giudice penale, possa essere giudicato non negativamente dall’Ordine. E ovviamente è possibile anche l’ipotesi contraria, cioè ad esempio che un’estinzione del procedimento penale per prescrizione o remissione di querela potrebbe condurre ad una decisione sanzionatoria da parte dell’Ordine.
Tutto dipende da come l’Ordine giudica il comportamento del medico nel caso specifico dal punto di vista della deontologia professionale.

L’Ordine deve giudicare solo i fatti che hanno dato origine ad un procedimento penale oppure può agire disciplinarmente anche per fatti ed episodi irrilevanti penalmente?
L’Ordine ha competenza disciplinare in tutti i casi in cui vi siano stati abusi o mancanze nell’esercizio professionale e in tutti i casi in cui il professionista, con il suo comportamento, abbia commesso atti disdicevoli al decoro professionale.
Ciò significa che l’Ordine può agire disciplinarmente anche in assenza di un qualunque procedimento penale o civile o di altra natura.
Ad esempio, anche solo un esposto di un cittadino-paziente che arriva all’attenzione dell’Ordine può innescare un procedimento disciplinare nei confronti del professionista, anche se nel caso segnalato non vi è alcun profilo di responsabilità penale, civile o di altra natura.

Nel caso in cui ci sia un procedimento penale in corso, l’Ordine deve attenderne l’esito?
Sì, perché se il procedimento penale si conclude con l’assoluzione piena del medico, l’Ordine non può agire disciplinarmente, come detto sopra. Per cui l’Ordine, in questi casi, apre un fascicolo disciplinare, salvo poi tenerlo sospeso fino all’esito definitivo del procedimento penale. Solo se il procedimento penale si conclude con una formula diversa dall’assoluzione piena, l’Ordine riassume il caso e celebra il suo giudizio disciplinare.

In caso di "errore medico", quali azioni esercita l'Ordine?
Il classico caso di "errore medico" (ad esempio: errata o ritardata diagnosi, errata terapia, ecc.) può essere accertato solo dal Magistrato, in quanto presuppone una valutazione peritale di carattere medico-legale, tipica dei procedimenti giudiziari.
L'Ordine, ovviamente, non può e non deve sostituirsi alla Magistratura, per cui se un paziente presenta un esposto all'Ordine lamentando un ipotetico errore professionale, l'Ordine risponderà che non ha la possibilità di stabilire se un errore medico sussiste realmente oppure no nel caso specifico, perché questo accertamento spetta al Magistrato.
Al termine del procedimento giudiziario, se il medico è stato condannato (e quindi è stato accertato l'errore medico), allora l'Ordine, come detto sopra, esprimerà una propria valutazione sul caso, tramite la celebrazione di un procedimento disciplinare, fermo restando che tale valutazione sarà svolta esclusivamente sul piano della deontologia professionale, in piena autonomia.

L’Ordine ha un termine massimo per celebrare il suo procedimento disciplinare?
Sì: entro cinque anni.
Nel caso in cui sia stato pendente un procedimento penale sullo stesso fatto, i cinque anni decorrono dal passaggio in giudicato (ossia dall’irrevocabilità) della sentenza penale.
Se invece sull’episodio non è stato aperto alcun procedimento penale, i cinque anni decorrono dalla commissione del fatto.

Come funziona, in sintesi, il procedimento davanti all’Ordine?
Quando l’Ordine ha notizia di un fatto che può avere rilevanza disciplinare riguardante un proprio iscritto, il Presidente della Commissione competente (medica per gli iscritti all’Albo Medici e odontoiatrica per gli iscritti all’Albo Odontoiatri) convoca il professionista per ascoltare la sua difesa e acquisire eventuale materiale difensivo.
Successivamente il Presidente riferisce alla Commissione competente l’esito del colloquio e la Commissione decide se aprire un procedimento disciplinare (contestando al professionista gli specifici addebiti) oppure se archiviare il caso.
Nel caso in cui la Commissione decida di aprire un procedimento disciplinare, ne dà notizia al professionista diretto interessato e alle Autorità competenti ad esserne informate: il Ministero della Salute e la Procura della Repubblica.
Successivamente il professionista viene convocato davanti alla Commissione che lo interroga sui fatti oggetti dell’addebito contestato. Al termine la Commissione formula il suo giudizio definitivo che può concretizzarsi nell’irrogazione di una sanzione oppure nel proscioglimento.
Anche dell’esito del giudizio viene data informazione al Ministero della Salute e alla Procura della Repubblica.

Gli addebiti che l’Ordine contesta al professionista devono riguardare la violazione di specifici articoli del Codice di Deontologia Medica?
No, perché la legge professionale prevede che il professionista possa essere giudicato disciplinarmente dall’Ordine per ogni abuso o mancanza nell’esercizio professionale e nei casi in cui il professionista abbia compiuto atti disdicevoli al decoro professionale.
Si tratta, quindi, di una formulazione ampia e generale, che risale alla legge istitutiva dell’Ordine del 1910 e che addirittura può comprendere anche comportamenti commessi al di fuori dell’esercizio professionale. Per esempio, un medico che risultasse evasore fiscale o che commettesse violenze o furti cagionerebbe un danno morale e un discredito all’intera categoria medica, per cui l’Ordine avrebbe tutto il diritto di agire disciplinarmente nei suoi confronti.
Il Codice di Deontologia Medica esplicita, nel suo articolato, i comportamenti eticamente corretti e quelli eticamente da evitare, ma oltre a ciò, anche comportamenti non contemplati dal Codice di Deontologia Medica possono essere oggetto di giudizio disciplinare (e quindi di sanzione) da parte dell’Ordine.

Quando il professionista viene convocato dal Presidente della Commissione e quando poi eventualmente viene convocato davanti alla Commissione, può farsi assistere da un legale di sua fiducia?
Sì, il professionista può avvalersi dell’assistenza di un legale di sua fiducia, a garanzia del suo diritto di difesa.
Tuttavia è ammessa l’assistenza e non la rappresentanza, nel senso che l’avvocato non può sostituire il professionista convocato, ma può solo affiancarlo. Questo perché il procedimento disciplinare dell’Ordine è un procedimento “fra pari” nel senso che deve riguardare gli aspetti deontologici ed etici della professione medica, patrimonio sia dei medici giudicanti che del medico sottoposto a procedimento, per i quali il solo avvocato non può essere sufficiente.

Da chi sono composte le Commissioni disciplinari?
La Commissione Medici, competente per giudicare gli iscritti all’Albo Medici, è composta dai 15 componenti medici del Consiglio Direttivo e presieduta dal Presidente dell’Ordine.
La Commissione Odontoiatri, competente per giudicare gli iscritti all’Albo Odontoiatri, è composta dai 5 componenti eletti in tale Commissione e presieduta dal suo Presidente.

Quali sono le sanzioni che può irrogare l’Ordine?
Le tipologie di sanzioni sono stabilite dalla legge e, dalla più lieve alla più grave sono:

• avvertimento (cioè richiamo a non ricadere più nella mancanza commessa);
• censura (cioè una dichiarazione di biasimo per il comportamento tenuto);
• sospensione da un minimo di 1 mese ad un massimo di 6 mesi;
• radiazione dall’Albo.

Inoltre la legge prevede ipotesi di sanzioni specifiche per comportamenti specifici. Ad esempio, nel caso di accertato favoreggiamento dell’esercizio abusivo della professione, la sanzione è l’interdizione dalla professione per la durata minima di un anno.
La Commissione decide sull’entità della sanzione in base ad un equilibrato e motivato giudizio circa la gravità dell’infrazione deontologica commessa perché, a differenza della legge penale (secondo la quale è prevista una specifica pena per ogni specifico reato), la legge professionale non individua una specifica sanzione per ogni specifica infrazione, ma lascia libero l’Ordine di determinare la sanzione secondo criteri di adeguatezza e proporzionalità.

L’Ordine può comminare sanzioni pecuniarie, multe o ammende o stabilire risarcimenti?
No. La legge professionale contempla esclusivamente le tipologie di sanzioni sopra elencate, per cui l’Ordine non può comminare sanzioni pecuniarie, né può imporre il pagamento di risarcimenti.

Il professionista può ricorrere contro la sanzione irrogata dall’Ordine?
Sì, può presentare ricorso alla Commissione Centrale per gli Esercenti le Professioni Sanitarie che è organo di appello rispetto alle decisioni degli Ordini provinciali. Tale Commissione ha sede presso il Ministero della Salute.
Il ricorso deve essere depositato entro 30 giorni dal ricevimento della notifica della decisione dell’Ordine e ha effetto sospensivo, nel senso che l’applicazione della sanzione rimane sospesa fino alla decisione della Commissione Centrale.
Infine, contro la decisione della Commissione Centrale, sia il professionista che l’Ordine possono ricorrere in Cassazione. Tale ultimo grado di giudizio, però, non ha effetto sospensivo nel senso che nelle more della decisione della Cassazione, la decisione presa dalla Commissione Centrale è esecutiva.

E il cittadino che ha fatto l'esposto? Può ricorrere se non è soddisfatto delle decisione dell'Ordine?
No.
La legge professionale prevede che i soggetti legittimati a ricorrere sono, oltre al diretto interessato, soltanto il Ministro della Salute e il Procuratore della Repubblica. Per cui il cittadino "insoddisfatto" non ha strumenti giuridici per sindacare la decisione dell'Ordine.

Che effetti pratici hanno le sanzioni irrogate dall’Ordine?
In primo luogo la legge prevede che la sanzione disciplinare, quando diviene esecutiva, venga annotata sull’Albo professionale. Siccome l’Albo è pubblico e consultabile da chiunque, anche la sanzione diventa un dato pubblico, conoscibile da chiunque.
In secondo luogo, mentre la sanzione dell’avvertimento e della censura non incidono sull’esercizio professionale (il professionista “avvertito” o “censurato” può comunque continuare ad esercitare regolarmente), la sospensione, l’interdizione e la radiazione interrompono (temporaneamente o definitivamente) l’esercizio professionale, impedendo al professionista di esercitare.
C’è tuttavia da precisare che la sanzione della sospensione o dell’interdizione dispiega i suoi effetti solo sull’esercizio della libera professione (eventualmente anche intra-moenia), ma non sul rapporto di lavoro dipendente, per cui se il professionista è dipendente di un Ente pubblico o privato la sospensione irrogata dall’Ordine non implica automaticamente la sospensione dal lavoro dipendente, che potrà eventualmente essere decisa autonomamente dal datore di lavoro.

Cosa succede se il professionista sospeso o radiato continua comunque ad esercitare?
Commette il reato di esercizio abusivo della professione perché la regolare iscrizione all’Albo è requisito indispensabile per poter esercitare la medicina e l’odontoiatria.
Proprio per evitare questa eventualità e rafforzare l’afflittività della sanzione, la legge professionale prevede che, in caso di sospensione o radiazione, l’Ordine debba informarne le Autorità Giudiziarie (in primis la Procura della Repubblica) e anche i Ministeri (Salute, Lavoro, Giustizia, Università).

Una volta “scontata” la sanzione, il professionista può riprendere ad esercitare regolarmente?
Sì. Se il professionista ha subito una sanzione sospensiva, una volta decorso il periodo di sospensione, può riprendere ad esercitare regolarmente. Tuttavia rimarrà annotato sull’Albo che egli ha subito tale sanzione, così come rimangono annotate sull’Albo anche le altre tipologie di sanzioni irrogate.

E in caso di radiazione? Il professionista non potrà più esercitare a vita?
La radiazione, per sua stessa natura, è una sanzione così grave che preclude al medico di poter esercitare la professione vita natural durante.
Tuttavia la legge professionale ammette una possibilità di “ravvedimento”: se dopo cinque anni dalla radiazione, il professionista dimostra di aver avuto un comportamento ineccepibile e ha ottenuto la riabilitazione (se aveva subito una condanna penale), allora può chiedere la re-iscrizione all’Albo e l’Ordine, valutando quanto sopra, può concederla.

La sanzione disciplinare dell'Ordine può essere revocata?
La legge professionale non prevede tale ipotesi, ma come tutti gli atti amministrativi, anche la decisione dell'Ordine di irrogare una sanzione disciplinare può essere revocata. Ovviamente solo in presenza di validi e fondati motivi: ad esempio perchè sono emersi fatti nuovi e dirimenti che impongono la revisione del procedimento disciplinare, oppure perchè si scopre che i fatti su cui si fondava la condanna disciplinare in realtà erano falsi o inesistenti.
Si tratta di ipotesi che in ogni caso necessitano di prove inoppugnabili perché la revisione di un procedimento definitivo è sempre evento eccezionale.