La nuova legge sulla protezione dei dati è in vigore dal primo settembre 2023 e si applica anche alle imprese private. In caso di gestione negligente di dati sensibili sono previste sanzioni severe non solo per la dirigenza, ma anche per qualsiasi dipendente qualora ne sia la causa. L’avvocata Kathrin Kummer spiega come bisogna procedere al fine di evitare scenari di questo tipo.

Traduzione dell’articolo pubblicato nell’edizione di dicembre di Obstetrica in tedesco e francese.

Adeguarsi alle nuove norme sulla protezione dei dati è obbligatorio; la legge non prevede alcun periodo di transizione per le imprese inadempienti. La Federazione svizzera delle levatrici (FSL) mette a disposizione dei propri membri documenti e checklist per compiere i passi necessari.[1] Il segreto professionale ai sensi dell’art. 321 del Codice penale mantiene la sua validità per le levatrici e il personale ausiliario. Non è questo il tema dell’articolo.

Cosa si intende per «dati personali»?

Non tutte le informazioni ricadono sotto la legge sulla protezione dei dati (LPD), ma solamente quelle personali. Si tratta non solo di informazioni che sono direttamente associate a un nome, ma anche di tutte quelle informazioni che, con uno sforzo realistico, possono portare all’individuazione dell’identità della persona a cui fanno riferimento. Nome, cognome e email rientrano già nella categoria dei dati personali. Non contengono invece dati personali le statistiche relative a servizi forniti e rispettivi ricavi, purché vi figurino esclusivamente le prestazioni erogate e gli importi in franchi.

In base alla legge sulla protezione dei dati, i dati personali relativi alla salute sono dati personali particolarmente sensibili, degni di una protezione rafforzata. In un’impresa con dipendenti i dati personali vengono trattati anche nell’ambito delle risorse umane, per esempio nella contabilità salariale. Nell’attività delle risorse umane, infatti, sono presenti molte informazioni che costituiscono dati particolarmente degni di protezione, come ad esempio il certificato medico presentato da una dipendente, oppure il protocollo del colloquio di valutazione nel quale la contabile parla della propria situazione personale.

Gestione sensibile dei dati

La LPD si applica al «trattamento» dei dati. Con ciò si intende qualsiasi operazione relativa a dati personali, come raccogliere, trasmettere, lasciare incustoditi, conservare e distruggere dati. Il «trattamento» secondo la LPD comprende ad esempio le seguenti attività: riferire ad alta voce in corridoio a una collega un’informazione su una determinata cliente; gettare nel cestino un appunto telefonico riguardante un problema di allattamento su cui è scritto il nome della puerpera; conservare cartelle con i dati delle clienti nella stanza da stiro dell’abitazione di famiglia.

Primi passi per garantire la protezione dei dati

Innanzitutto occorre chiarire dove vengono raccolti i dati personali all’interno dell’impresa. È opportuno creare fin da subito un elenco sotto forma di registro delle attività di trattamento dei dati. Si raccomanda alle levatrici, alle case nascita e alle organizzazioni di levatrici di tenere un tale registro, poiché i dati che esse trattano sono particolarmente degni di protezione. D’ora in poi, un’impresa deve informare le clienti e i clienti quando raccoglie i loro dati. Ciò vale anche per le raccolte dati effettuate attraverso una homepage, la quale deve includere una dichiarazione di consenso. Per la trasmissione di dati sanitari a terzi – a meno che non vi sia un obbligo legale o un’autorizzazione specifica – è necessario il consenso delle e dei clienti. Questo deve indicare quali informazioni devono essere trasmesse e a chi sono destinate (ad esempio pediatra, ginecologa/o, psicologa/o, consulente genitori bambini). Il documento «Dichiarazione di consenso-Modulo paziente»[2]  deve essere opportunamente integrato. La cliente o il cliente deve sottoscrivere sia l’informativa sulla raccolta e sull’elaborazione dei dati sia il documento di consenso prima dell’inizio della presa in carico. Questi elementi costituiscono la base per una collaborazione sicura tra levatrice e cliente. La levatrice può rifiutare la cliente o il cliente che non intende firmare, tranne che in caso di emergenza medica.

Distruggere, ma non così in fretta

Da un lato la LPD stabilisce che i dati personali devono essere cancellati o distrutti non appena non sono più necessari. È importante ripulire accuratamente i vecchi archivi cartacei e gli hard disk dei computer. I documenti non più necessari devono quindi essere smaltiti correttamente. Tuttavia, ciò non è affatto semplice quando si tratta di dati informatici: gettarli nel cestino elettronico non è sufficiente. D’altro canto però, è importante non distruggere i dati prematuramente. Devono infatti essere rispettate le leggi cantonali in materia sanitaria, le quali prevedono la conservazione fino a 20 anni. Inoltre, un’impresa può non distruggere determinati documenti – come ad esempio il dossier della o del cliente, i fascicoli del personale o specifici contratti – se c’è il rischio di una causa legale e tale diritto non è ancora caduto in prescrizione.

Proteggere dall’accesso non autorizzato

La LPD impone alle aziende di garantire la sicurezza all’accesso dei dati personali sensibili. Tutti i dati personali devono essere protetti da accessi non autorizzati e dalla distruzione. Per tali ragioni è importante fare attenzione quando si sceglie un fornitore di servizi cloud. La LPD permette che i dati personali siano comunicati all’estero solo se la nazione di destinazione garantisce una protezione dei dati adeguata. Di norma è così per i paesi dell’Unione europea. Il Consiglio federale pubblica un elenco di questi stati.

Stipulare un accordo con soggetti esterni

La levatrice collabora spesso con soggetti esterni, ad esempio la specialista IT o il servizio di pulizia, che potrebbero accidentalmente aver accesso a informazioni durante il loro lavoro. Con loro la levatrice stipula un accordo di riservatezza affinché le informazioni sensibili rimangano confidenziali. La levatrice può delegare un proprio compito che include anche il trattamento di dati – come ad esempio la contabilità salariale – a una società esterna (si parla quindi di «responsabili del trattamento»), a patto che vengano rispettati determinati requisiti stabiliti dalla LPD. Oltre al contratto principale, la levatrice stipula con la/il responsabile del trattamento anche un accordo relativo all’affidamento del trattamento dei dati e, se necessario, un accordo di riservatezza. È opportuno scegliere attentamente le/i responsabili del trattamento, poiché la levatrice – in quanto incaricata della protezione dei dati – risponde in una certa misura dei loro errori. Attuare quanto stabilito dalla nuova legge sulla protezione dei dati non avviene per magia. Bisogna fare subito il punto della situazione nella propria impresa e ottimizzare i processi che riguardano la protezione dei dati.

Traduzione dal tedesco di Elena Panduri

Dr. iur. Kathrin Kummer, avvocata, titolare del proprio studio legale a Berna e dal 2009 consulente della FSL. Ha molti anni di esperienza in consulenza e contenzioso nel diritto del lavoro, in materia di assicurazioni sociali e nel diritto sanitario.

[1] Vedi News della Federazione sulla nuova legge sulla protezione dei dati del 29.08.2023

[2] Vedi «Dichiarazione di consenso» al punto 3 nella sezione documenti