·

Documentazione clinica

Assistenza sanitaria

Responsabile della pratica / Admin

Correzioni delle cartelle cliniche secondo il GDPR: cosa devono fare i clinici

Scopri cosa richiede il GDPR quando i pazienti richiedono correzioni o cancellazioni delle cartelle cliniche, inclusi i registri di controllo e le esenzioni legali

Le cartelle cliniche si trovano all'intersezione di due obblighi legali che possono tirare in direzioni opposte. Il Regolamento generale sulla protezione dei dati (GDPR) garantisce ai pazienti diritti significativi sui propri dati personali, tra cui il diritto di far correggere informazioni inesatte e, in alcune circostanze, di farle cancellare. Allo stesso tempo, i quadri professionali e normativi richiedono ai clinici di mantenere una documentazione clinica completa, accurata e inalterata delle cure. Per gli amministratori clinici responsabili della gestione quotidiana di queste richieste, comprendere esattamente dove questi obblighi iniziano, finiscono e si sovrappongono è un requisito fondamentale di conformità GDPR in ambito sanitario.

I due diritti GDPR che contano: rettifica e cancellazione

Due articoli del GDPR sono direttamente rilevanti quando un paziente contesta il contenuto della propria cartella clinica.

L'articolo 16, il diritto alla rettifica, conferisce alle persone il diritto di far correggere senza indebito ritardo i dati personali inesatti e di far completare i dati personali incompleti. Come conferma la Commissione irlandese per la protezione dei dati, questo diritto si applica ai dati personali fattuali, come una data di nascita errata, un indirizzo sbagliato o un nome scritto male, in modo relativamente semplice. Diventa considerevolmente più complesso quando i dati in questione sono un'opinione clinica, una diagnosi o una nota di trattamento.

L'articolo 17, il diritto alla cancellazione (chiamato anche diritto all'oblio), conferisce alle persone il diritto di richiedere la cancellazione dei propri dati personali in circostanze specifiche: quando i dati non sono più necessari, quando il consenso è stato ritirato o quando i dati sono stati trattati illecitamente. Come chiarisce la guida dell'Information Commissioner's Office (ICO) sul diritto alla cancellazione, questo diritto non è assoluto. Il diritto si applica solo ai dati personali attualmente detenuti dal titolare del trattamento al momento della ricezione della richiesta.

Entrambi i diritti possono essere invocati da qualsiasi interessato identificato, in questo contesto il paziente la cui cartella è conservata. Entrambi prevedono un termine di risposta di un mese di calendario. Nessuno dei due opera senza significative limitazioni in un contesto sanitario.

Quando un paziente richiede una correzione: cosa vi obbliga effettivamente a fare il GDPR

Quando un paziente presenta una richiesta di rettifica, l'articolo 16 richiede al titolare del trattamento, tipicamente l'organizzazione sanitaria, di valutare se i dati in questione siano effettivamente inesatti o incompleti e di agire di conseguenza entro un mese.

Per errori fattuali semplici come un numero NHS errato o una data di nascita sbagliata, la procedura è relativamente semplice. La voce viene corretta, la modifica viene registrata e il paziente viene informato. La complessità sorge con le voci cliniche, tra cui diagnosi, osservazioni, valutazioni del rischio e decisioni sui farmaci, dove il concetto di inesattezza non è evidente.

L'ICO affronta questo aspetto direttamente. La sua guida sulla rettifica afferma che se un paziente riceve una diagnosi che successivamente si rivela non corretta, le sue cartelle cliniche dovrebbero registrare sia la diagnosi iniziale che i risultati finali. La voce originale non viene cancellata, ma contestualizzata. Questo riflette un principio fondamentale della documentazione clinica: la cartella esiste per mostrare ciò che era noto e deciso in un dato momento, non solo ciò che attualmente si ritiene essere vero.

La correzione in un contesto di cartella clinica significa quasi sempre un'aggiunta o un'annotazione, non una sovrascrittura. Il commento di GDPR-Hub sull'articolo 16 conferma che la rettifica può essere ottenuta modificando i dati, mediante cancellazione parziale o completa, o mediante completamento, e che in alcune situazioni l'interessato può scegliere tra richiedere la rettifica o la cancellazione. In pratica, per le cartelle cliniche, il completamento tramite una dichiarazione supplementare è l'approccio più comune e legalmente difendibile.

Quando un paziente richiede la cancellazione: i limiti dell'articolo 17 in ambito sanitario

Il diritto alla cancellazione è la richiesta che gli amministratori clinici hanno maggiori probabilità di gestire male, trattandola come automaticamente valida o rifiutandola senza una valutazione adeguata. Nessuno dei due approcci è conforme.

Il testo completo dell'articolo 17(3) stabilisce diverse esenzioni direttamente rilevanti per le cartelle cliniche. La cancellazione non si applica quando la conservazione è necessaria:

  • Per l'adempimento di un obbligo legale ai sensi del diritto dell'Unione o degli Stati membri

  • Per motivi di interesse pubblico nel settore della sanità pubblica ai sensi dell'articolo 9(2)(h) e (i)

  • A fini di archiviazione nel pubblico interesse, o per scopi di ricerca scientifica o storica

  • Per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria

In pratica, la maggior parte delle cartelle cliniche rientra in almeno una di queste esenzioni. La legislazione nazionale negli Stati membri dell'Unione europea e nel Regno Unito impone periodi minimi di conservazione obbligatori per le cartelle cliniche, tipicamente tra otto e trent'anni a seconda del tipo di cartella e della giurisdizione, che costituiscono un obbligo legale ai sensi dell'articolo 17(3)(a). La guida del responsabile della protezione dei dati di Secure Privacy per il settore sanitario conferma che quando si applica un obbligo di conservazione obbligatorio, le richieste di cancellazione possono essere legittimamente rifiutate.

Tuttavia, l'azione coordinata di applicazione del 2025 del Comitato europeo per la protezione dei dati (EDPB) ha analizzato le risposte di 764 titolari del trattamento in tutta Europa, rilevando che i titolari applicavano frequentemente in modo errato le esenzioni dell'articolo 17(3) trattandole come automaticamente applicabili senza condurre valutazioni caso per caso. Nove autorità per la protezione dei dati hanno avviato indagini formali di applicazione di conseguenza. La lezione per gli amministratori clinici è chiara: rifiutare una richiesta di cancellazione richiede una motivazione documentata, non una politica generale.

Anche quando una richiesta di cancellazione viene legittimamente rifiutata, l'organizzazione deve comunque rispondere al paziente entro un mese, spiegare i motivi del rifiuto e informarlo del diritto di presentare reclamo all'autorità di controllo competente.

Il requisito della traccia di controllo: cosa deve essere registrato quando una cartella viene modificata

Ogni volta che una voce di una cartella clinica viene corretta, annotata o contrassegnata come contestata, l'organizzazione deve mantenere una completa traccia di controllo. Questo è sia un requisito di responsabilità GDPR che una necessità medico-legale.

Una traccia di controllo conforme per una modifica di cartella deve acquisire:

  • L'identità della persona che ha effettuato la modifica

  • La data e l'ora della modifica

  • Il motivo della modifica

  • Il contenuto della voce originale, conservato integralmente

  • La natura della modifica (aggiunta, correzione o contrassegno di contestazione)

La politica di accesso alle cartelle degli studi medici allineata alle linee guida NHS afferma esplicitamente: "Le informazioni possono essere rimosse dalla visualizzazione, ma la traccia di controllo manterrà sempre la cartella completa. Le modifiche alle cartelle possono essere effettuate a condizione che siano fatte in modo da indicare perché è stata apportata la modifica, in modo che sia chiaro che le cartelle non sono state manomesse."

Sovrascrivere o cancellare voci originali senza lasciare traccia è uno dei più gravi fallimenti di conformità che un amministratore clinico possa commettere. Crea un rischio GDPR simultaneo (mancanza di responsabilità ai sensi dell'articolo 5(2)) e un rischio medico-legale (potenziale prova di manomissione della cartella in un'indagine per negligenza clinica o regolamentare). Le tracce di controllo devono essere a prova di manomissione e dovrebbero acquisire dettagli granulari per ogni interazione, inclusi identità dell'utente, timestamp, indirizzo IP, identificatore del dispositivo, classificazione dei dati e azione eseguita, come richiesto dai principi di responsabilità GDPR e dalle linee guida NHS sulla gestione delle cartelle sanitarie.

Come gli standard professionali e gli organismi di regolamentazione interagiscono con gli obblighi GDPR

Il GDPR stabilisce un livello minimo, non massimo. I consigli medici nazionali, i regolatori professionali e gli organismi del sistema sanitario aggiungono ulteriori obblighi, e nella maggior parte dei casi questi rafforzano piuttosto che contraddire l'approccio GDPR all'integrità delle cartelle.

Nel Regno Unito, il General Medical Council (GMC) e il Nursing and Midwifery Council (NMC) richiedono entrambi ai clinici di mantenere cartelle chiare, accurate e contemporanee. Le linee guida NHS sulla gestione delle cartelle specificano i programmi di conservazione che determinano il periodo minimo per cui devono essere conservati i diversi tipi di cartelle. Questi obblighi interagiscono direttamente con l'articolo 17(3)(a): quando esiste un requisito di conservazione obbligatorio o regolamentare, questo fornisce la base giuridica per rifiutare una richiesta di cancellazione.

Negli Stati membri dell'UE, il quadro è simile ma variabile. I quadri legislativi nazionali in Svezia, Regno Unito e Germania rispecchiano in gran parte il GDPR offrendo al contempo diversi meccanismi aggiuntivi per gestire gli errori nei sistemi di cartelle cliniche. Il prossimo Spazio europeo dei dati sanitari (EHDS) dovrebbe posizionare il processo di rettifica all'interno dei servizi sanitari digitali, potenzialmente consentendo l'input del paziente nel sistema, sebbene questo rimanga prospettico al momento della stesura.

Gli amministratori clinici che operano oltre confine, o in organizzazioni soggette sia al GDPR del Regno Unito che al GDPR dell'UE, dovrebbero essere consapevoli che le norme degli Stati membri possono essere più rigorose della base GDPR e dovrebbero richiedere consulenza legale specifica per giurisdizione quando il quadro applicabile non è chiaro.

Il processo corretto per gestire una richiesta di rettifica passo dopo passo

Il seguente flusso di lavoro riflette i requisiti degli articoli 16 e 19 del GDPR, il termine di risposta di un mese e le migliori pratiche per la gestione delle cartelle cliniche.

Passaggio 1: Ricevere e registrare la richiesta. Registrare la data di ricezione. Il conto alla rovescia di un mese inizia immediatamente, indipendentemente da come è stata presentata la richiesta (lettera, email, modulo online o richiesta verbale seguita da conferma scritta).

Passaggio 2: Verificare l'identità del paziente. Non elaborare la richiesta finché l'identità non è confermata. Questo protegge da modifiche non autorizzate alle cartelle di terzi.

Passaggio 3: Identificare i dati specifici in questione. Chiedere al paziente di specificare con precisione quale voce o voci considera inesatte o incomplete e quale correzione sta cercando.

Passaggio 4: Consultare il clinico responsabile. La politica sulle cartelle allineata al NHS è chiara: "Quando la contestazione riguarda una voce medica, il clinico che ha effettuato la voce dovrebbe essere consultato e si dovrebbe considerare se sia appropriato modificarla." Questo passaggio non è facoltativo.

Passaggio 5: Determinare l'azione appropriata. Sulla base della valutazione del clinico e della natura dei dati:

  • Se la voce contiene un chiaro errore fattuale (data sbagliata, nome sbagliato): correggerla e conservare l'originale nella traccia di controllo

  • Se la voce è un'opinione clinica che il clinico sostiene: aggiungere una nota supplementare che registra la contestazione del paziente senza alterare l'originale

  • Se la voce è effettivamente incompleta: aggiungere una dichiarazione di completamento

Passaggio 6: Aggiornare la cartella in modo conforme. Conservare la voce originale, datare e attribuire chiaramente la modifica e documentare il motivo della modifica.

Passaggio 7: Notificare al paziente l'esito. Rispondere entro un mese di calendario dalla richiesta originale. Se la richiesta viene rifiutata in tutto o in parte, spiegare i motivi e informare il paziente del diritto di presentare reclamo all'autorità di controllo.

Passaggio 8: Documentare il processo decisionale. Registrare cosa è stato considerato, chi è stato consultato, quale decisione è stata presa e perché. Questa documentazione è la prova di conformità dell'organizzazione se la decisione viene successivamente contestata.

Cosa fare quando non si è d'accordo con la versione dei fatti del paziente

Un paziente può affermare che una voce clinica è inesatta quando il clinico che ha effettuato la voce ne sostiene l'accuratezza. Questo è uno degli scenari più comuni e più fraintesi nella gestione delle cartelle cliniche.

Il GDPR non richiede ai fornitori di assistenza sanitaria di accettare come fatto la versione preferita degli eventi del paziente. La guida della Commissione irlandese per la protezione dei dati è esplicita sul fatto che né il diritto alla rettifica né il diritto alla cancellazione si applicano facilmente alle opinioni mediche, alle diagnosi e alle note di trattamento clinico, proprio perché queste rappresentano giudizi professionali piuttosto che fatti oggettivi.

La risposta conforme al GDPR in uno scenario di voce clinica contestata è aggiungere una nota alla cartella indicando che il paziente contesta la voce, lasciando intatta la documentazione originale del clinico. Questo approccio:

  • Preserva l'integrità della cartella clinica originale

  • Riconosce il diritto del paziente di far registrare il proprio punto di vista

  • Crea una traccia di controllo trasparente che mostra che la contestazione è stata gestita

  • Non richiede all'organizzazione di giudicare tra versioni contrastanti

Il termine di risposta di un mese si applica comunque. Il paziente deve essere informato dell'esito, compreso il fatto che la voce originale è stata conservata, e del diritto di rivolgersi all'autorità di controllo se rimane insoddisfatto.

Notifiche a terzi: è necessario informare qualcun altro della modifica?

L'articolo 19 del GDPR richiede ai titolari del trattamento di notificare a qualsiasi terzo a cui i dati sono stati comunicati una rettifica o cancellazione, a meno che ciò non sia impossibile o comporti uno sforzo sproporzionato. Quando è avvenuta la notifica a terzi, il titolare deve anche informare l'interessato di tali destinatari se richiesto.

In un contesto clinico, questo obbligo ha implicazioni operative dirette. Se la cartella di un paziente è stata modificata e quella cartella è stata precedentemente condivisa con un fornitore di assistenza specialistica a seguito di un invio, uno specialista che ha ricevuto una lettera di invio, un assicuratore o datore di lavoro (quando il paziente ha acconsentito alla divulgazione), o un team di assistenza sociale, allora ciascuno di questi destinatari dovrebbe in linea di principio essere informato della modifica. In pratica, questo richiede agli amministratori clinici di mantenere registrazioni chiare di chi ha ricevuto quali informazioni e quando.

L'eccezione dello sforzo sproporzionato fornisce un certo sollievo quando la notifica è effettivamente impraticabile, ad esempio quando i dati sono stati condivisi molti anni fa con più parti e i dettagli di contatto non sono più disponibili. Tuttavia, questa eccezione richiede una giustificazione documentata e non può essere invocata come impostazione predefinita.

Errori comuni che gli amministratori clinici commettono nella gestione di queste richieste

I risultati dell'applicazione EDPB del 2025 hanno identificato fallimenti sistematici tra i titolari del trattamento nel modo in cui vengono gestiti i diritti di cancellazione. In un contesto di cartelle cliniche, i fallimenti di conformità più frequenti includono:

  • Mancato rispetto del termine di un mese. Il conto alla rovescia inizia alla data di ricezione, non alla data in cui la richiesta viene formalmente registrata o assegnata. I ritardi nell'instradamento interno non sono un motivo valido per una risposta tardiva.

  • Sovrascrittura delle voci originali. Sostituire una voce originale senza conservarla in una traccia di controllo è sia un fallimento di responsabilità GDPR che una potenziale responsabilità medico-legale.

  • Mancata documentazione del processo decisionale. Decidere di non modificare una cartella, o decidere di aggiungere un'aggiunta piuttosto che una correzione, richiede una motivazione documentata. Una decisione non documentata è una decisione indifendibile.

  • Trattare tutte le richieste di cancellazione come automaticamente valide. Accettare richieste di cancellazione senza valutare se si applica un'esenzione, in particolare l'esenzione di conservazione obbligatoria, espone l'organizzazione al rischio di distruggere cartelle che è legalmente tenuta a conservare.

  • Trattare tutte le richieste di cancellazione come automaticamente non valide. L'EDPB ha identificato il rifiuto riflessivo di tutte le richieste di cancellazione senza valutazione caso per caso come un fallimento comune e sanzionabile.

  • Non inoltrare al responsabile della protezione dei dati (DPO). Richieste complesse, contestazioni che coinvolgono dati sensibili o casi in cui la base giuridica per la conservazione è effettivamente poco chiara dovrebbero essere inoltrate al DPO piuttosto che essere risolte a livello amministrativo.

Quando inoltrare: il vostro DPO, il vostro team legale e il vostro regolatore

Non tutte le richieste di rettifica o cancellazione possono o dovrebbero essere risolte a livello di amministrazione clinica. I seguenti scenari giustificano l'inoltro al DPO, al team legale o, in alcuni casi, all'autorità di controllo:

  • Richieste che coinvolgono minori. L'interazione tra i diritti dei genitori, la competenza Gillick (nelle giurisdizioni del Regno Unito) e i diritti sui dati del bambino stesso richiede un contributo legale.

  • Cartelle condivise oltre i confini nazionali. Quando i dati sono stati trasferiti a responsabili del trattamento o destinatari in altre giurisdizioni, le norme di conservazione e cancellazione applicabili possono differire.

  • Incertezza genuina sulla base giuridica per la conservazione. Se non è chiaro se si applica un obbligo di conservazione obbligatorio, o se è coinvolta un'esenzione di interesse pubblico, questa è una questione legale, non amministrativa.

  • Richieste che sembrano riferirsi a una potenziale richiesta legale. Quando c'è qualche indicazione che il paziente sta considerando o ha avviato un procedimento legale, la cartella ha un potenziale valore probatorio e qualsiasi modifica richiede consulenza legale.

  • Contestazioni ripetute o crescenti. Se un paziente si è già lamentato con l'autorità di controllo, o ha indicato che intende farlo, il DPO deve essere coinvolto.

Ai sensi dell'articolo 37 del GDPR, la maggior parte delle organizzazioni sanitarie dell'UE che trattano dati sanitari su larga scala è tenuta a designare un responsabile della protezione dei dati. La guida sanitaria di Secure Privacy conferma che devono essere in atto processi affinché i pazienti possano esercitare tutti i diritti degli interessati e che il ruolo del DPO include la consulenza su richieste che entrano in conflitto con obblighi di legge. Gli amministratori clinici dovrebbero sapere chi è il loro DPO, come contattarlo e quale soglia attiva un rinvio, prima che arrivi una richiesta complessa, non dopo.

Domande frequenti

▶ I pazienti hanno il diritto di correggere le proprie cartelle cliniche ai sensi del GDPR?

Sì, ma con limiti importanti. L'articolo 16 del Regolamento generale sulla protezione dei dati conferisce ai pazienti il diritto di far correggere i dati personali inesatti. Per errori fattuali semplici (una data di nascita sbagliata o un nome scritto male) la correzione è relativamente semplice. Per le voci cliniche come diagnosi, valutazioni del rischio o note di trattamento, il concetto di inesattezza è più complesso. Il giudizio professionale di un clinico non è la stessa cosa di un fatto oggettivo, e la Commissione irlandese per la protezione dei dati conferma che il diritto alla rettifica non si applica facilmente alle opinioni mediche e alle note di trattamento clinico.

▶ Un paziente può richiedere la cancellazione delle proprie cartelle cliniche ai sensi del GDPR?

I pazienti possono presentare una richiesta di cancellazione ai sensi dell'articolo 17 del GDPR, ma questo diritto non è assoluto in un contesto sanitario. La maggior parte delle cartelle cliniche rientra in almeno una delle esenzioni dell'articolo 17(3), tra cui l'adempimento di un obbligo legale, l'interesse pubblico nella sanità pubblica o l'accertamento o la difesa di diritti in sede giudiziaria. La legislazione nazionale negli Stati membri dell'UE e nel Regno Unito stabilisce periodi minimi di conservazione obbligatori per le cartelle cliniche, tipicamente tra otto e trent'anni, che costituiscono un obbligo legale che consente alle organizzazioni di rifiutare legittimamente le richieste di cancellazione. Tuttavia, il rifiuto richiede una motivazione documentata caso per caso, non una politica generale.

▶ Qual è il modo corretto di modificare una cartella clinica quando un paziente contesta una voce?

L'approccio corretto è aggiungere un'aggiunta o un'annotazione alla cartella, non sovrascrivere o cancellare la voce originale. Se un paziente contesta un'opinione clinica che il clinico responsabile sostiene, dovrebbe essere aggiunta una nota supplementare che registra la contestazione del paziente, lasciando intatta la documentazione originale. Se la voce contiene un errore fattuale genuino, dovrebbe essere corretta con l'originale conservato nella traccia di controllo. L'Information Commissioner's Office conferma che quando una diagnosi si rivela successivamente errata, la cartella dovrebbe mostrare sia la diagnosi iniziale che i risultati finali.

▶ Cosa deve includere una traccia di controllo quando una cartella clinica viene modificata?

Una traccia di controllo conforme deve acquisire l'identità della persona che ha effettuato la modifica, la data e l'ora della modifica, il motivo della modifica, il contenuto completo della voce originale e la natura della modifica. Le linee guida NHS sono esplicite sul fatto che le informazioni possono essere rimosse dalla visualizzazione, ma la traccia di controllo deve sempre mantenere la cartella completa. Sovrascrivere le voci originali senza lasciare traccia crea sia un fallimento di responsabilità GDPR ai sensi dell'articolo 5(2) che un rischio medico-legale, compresa la potenziale prova di manomissione della cartella in un'indagine per negligenza clinica.

▶ Quanto tempo ha un'organizzazione sanitaria per rispondere a una richiesta di rettifica o cancellazione?

Sia il diritto alla rettifica ai sensi dell'articolo 16 che il diritto alla cancellazione ai sensi dell'articolo 17 prevedono un termine di risposta di un mese di calendario. Il conto alla rovescia inizia alla data di ricezione della richiesta, non alla data in cui viene formalmente registrata o assegnata internamente. Se la richiesta viene rifiutata in tutto o in parte, l'organizzazione deve comunque rispondere entro quel mese, spiegare i motivi del rifiuto e informare il paziente del diritto di presentare reclamo all'autorità di controllo competente.

▶ Il GDPR richiede ai fornitori di assistenza sanitaria di accettare come fatto la versione degli eventi del paziente?

No. Il GDPR non richiede ai fornitori di assistenza sanitaria di accettare come fatto la versione preferita degli eventi del paziente. La Commissione irlandese per la protezione dei dati è esplicita sul fatto che il diritto alla rettifica non si applica facilmente alle opinioni mediche, alle diagnosi e alle note di trattamento clinico, perché queste rappresentano giudizi professionali piuttosto che fatti oggettivi. Quando un clinico sostiene la propria voce originale, la risposta conforme al GDPR è aggiungere una nota che registra che il paziente contesta la voce, lasciando intatta la documentazione originale. Il paziente deve quindi essere informato dell'esito e del diritto di rivolgersi all'autorità di controllo.

▶ La modifica di una cartella clinica comporta l'obbligo di notificare terzi?

Sì. L'articolo 19 del GDPR richiede ai titolari del trattamento di notificare a qualsiasi terzo a cui i dati sono stati comunicati una rettifica o cancellazione, a meno che ciò non sia impossibile o comporti uno sforzo sproporzionato. In un contesto clinico, questo può includere fornitori di assistenza specialistica che hanno ricevuto un invio, specialisti che hanno ricevuto una lettera di invio o team di assistenza sociale. Gli amministratori clinici devono mantenere registrazioni chiare di chi ha ricevuto quali informazioni e quando. L'eccezione dello sforzo sproporzionato può applicarsi quando la notifica è effettivamente impraticabile, ma richiede una giustificazione documentata e non può essere utilizzata come impostazione predefinita.

▶ Quali sono gli errori più comuni nella gestione delle richieste di rettifica e cancellazione dei pazienti?

I risultati dell'azione coordinata di applicazione del Comitato europeo per la protezione dei dati del 2025 hanno identificato diversi fallimenti ricorrenti. Questi includono il mancato rispetto del termine di risposta di un mese, la sovrascrittura delle voci originali senza conservarle in una traccia di controllo, la mancata documentazione del ragionamento alla base delle decisioni, il trattamento di tutte le richieste di cancellazione come automaticamente valide e il trattamento di tutte le richieste di cancellazione come automaticamente non valide senza valutazione caso per caso. L'EDPB ha rilevato che nove autorità per la protezione dei dati hanno avviato indagini formali di applicazione a seguito di titolari del trattamento che applicavano in modo errato le esenzioni dell'articolo 17(3) senza una valutazione individuale adeguata.

▶ Quando un amministratore clinico dovrebbe inoltrare una richiesta di rettifica o cancellazione al responsabile della protezione dei dati?

Diversi scenari giustificano l'inoltro piuttosto che la risoluzione a livello amministrativo. Questi includono richieste che coinvolgono minori, dove i diritti dei genitori e i diritti sui dati del bambino stesso si intersecano; cartelle condivise oltre i confini nazionali, dove possono applicarsi diverse norme di conservazione; casi in cui c'è una genuina incertezza sulla base giuridica per la conservazione; richieste che possono riferirsi a una potenziale richiesta legale, dove la cartella ha valore probatorio; e situazioni in cui il paziente si è già lamentato con l'autorità di controllo o ha indicato che intende farlo. Ai sensi dell'articolo 37 del GDPR, la maggior parte delle organizzazioni sanitarie dell'UE che trattano dati sanitari su larga scala è tenuta a designare un responsabile della protezione dei dati, e gli amministratori clinici dovrebbero sapere chi è il loro prima che arrivi una richiesta complessa.

Inizia a usare Tandem oggi stesso

Unisciti a migliaia di operatori sanitari che scelgono referti senza stress.

Inizia a usare Tandem oggi stesso

Unisciti a migliaia di operatori sanitari che scelgono referti senza stress.

Inizia a usare Tandem oggi stesso

Unisciti a migliaia di operatori sanitari che scelgono referti senza stress.