Nuova legge sulla privacy 2018 : da oggi in vigore il Regolamento

Europeo 2016/679 sulla protezione dei dati personali

Le nuove regole e i numerosi adempimenti in materia di privacy avranno come destinatari le aziende ed i professionisti, studi medici e odontoiatrici inclusi, che dovranno adeguarsi.

Il nuovo Regolamento è molto articolato, indica dei principi da applicare alle singole realtà professionali e produttive ma non dà indicazioni precise. La legge infatti impone di adottare "misure adeguate" senza indicare nel dettaglio quali siano.
I titolari o i responsabili, con il nuovo Codice Europeo sulla Privacy, dovranno dimostrare l’adozione di tutte le misure di privacy scelte, nel pieno rispetto del Regolamento.

L’Autorità Garante dovrebbe mettere a disposizione alcuni strumenti operativi di riferimento, come ad esempio il modello standard per l’informativa per gli studi medici e il modello standard per la raccolta del consenso esplicito, aggiornando quanto pubblicato nel 2006.

A breve la Federazione Nazionale degli Ordini dei Medici, che ha già fissato un incontro con il Garante della Privacy al fine di chiarire alcuni temi ancora controversi, metterà a disposizione informazioni utili circa la concreta applicabilità della norma agli iscritti.

Si resta in attesa di tali determinazioni.

Nel frattempo si raccomanda a tutti gli iscritti medici ed odontoiatri di valutare, rispetto alla specificità della propria attività professionale, l’offerta più consona proposta o operativa sul mercato anche tramite l’intermediazione dei sindacati medici ed odontoiatrici.

Tra le novità introdotte dal Regolamento, vi sono obblighi di informativa ancor più stringenti a carico di chi tratta i dati, essendo previste molte informazioni in più, rispetto ad oggi, da fornire agli interessati.

In particolare, vengono rafforzate le garanzie di sicurezza e introdotti principio di accountability (ovvero la responsabilità in capo all’azienda per l’utilizzo dei dati), di privacy by design (tutela del dato personale fin dalla progettazione, spostando la responsabilità del corretto trattamento tramite strumenti informatici idonei sul titolare e sul responsabile del trattamento) e di privacy by default (devono essere trattati "per default" solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta).

In tale contesto, ci sono alcuni importanti adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy.

 

  • Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali, ovvero la dichiarazione scritta con cui il medico informa il proprio paziente su quali dati avrà necessità di raccogliere il consenso per il rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti.

 

Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico.

Il consenso riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura.

In caso di presenza, nella struttura medica, di personale di segreteria o di collaboratori, vi è l’obbligo di redigere una lettera di incarico al trattamento dei dati sanitari per tali soggetti, i quali sono tenuti ad osservare le istruzioni impartite dal titolare dello studio.

 

 

 

  • Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer.

 

 

 

Il nuovo Regolamento ha introdotto, tra l’altro, la figura del responsabile per la protezione dei dati, il Data Protection Officer (DPO).

Il gruppo europeo dei Garanti per la privacy, approvando le linee guida del regolamento, ha definito l’identikit, il ruolo e la responsabilità di questa nuova figura, la cui nomina sarà obbligatoria per gli enti pubblici e per i soggetti privati che effettuano un monitoraggio delle persone su larga scala o trattano dati sensibili su larga scala.

 

La ratio del nuovo Regolamento UE è evidentemente quella di garantire migliore protezione dove esistono maggiori rischi, sia per il numero di dati personali trattati, sia per la vulnerabilità dei sistemi.

Nelle piccole organizzazioni del settore sanitario sarà, dunque, necessario un cambio di mentalità per essere in grado di valutare adeguatamente quali misure di protezione dei dati occorre adottare per essere conformi alla nuova normativa e per non sottovalutare la questione "privacy".

 

Il nuovo Regolamento, peraltro, conferma il diritto dell’interessato ad ottenere il risarcimento dei "danni da trattamento", per il pregiudizio -patrimoniale e non- sofferto da trattamenti avvenuti in violazione della normativa: esponendo in tal modo i Titolari del trattamento a risarcimenti danni anche consistenti.

 

La quasi totalità delle disposizioni del Regolamento è assistita, inoltre, da sanzioni pecuniarie di ammontare molto elevato, arrivando a prevedere sanzioni amministrative fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente se superiore: il tutto con l’evidente finalità di disincentivare trattamenti non conformi alla nuova disciplina.

 

 

Per ulteriori chiarimenti si consiglia di visitare il sito del Garante al seguente link: http://www.garanteprivacy.it/   e di visionare la guida al regolamento: http://194.242.234.211/documents/10160/5184810/Guida+al+nuovo+Regolamento+europeo+in+materia+di+protezione+dati

 

Di seguito raccogliamo una serie di domande frequenti su quali saranno i cambiamenti effettivi nel lavoro degli studi medici e odontoiatrici.

 

Disclaimer: le informazioni riportate in questo articolo sono riprese dai documenti ufficiali pubblicati sul sito dell’Unione Europea e del Garante della Privacy italiano ma sono passibili di modifica . Per eventuali dubbi occorre comunque consultare il Garante della Privacy, chiamando il numero(+39) 06 696772917 oppure scrivendo a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..

 

 

 

    1. Che cosa è il GDPR?

 

 

    1. Cosa interessa davvero del GDPR agli studi medico-odontoiatrici?

 

 

    1. Cosa è un RPD?

 

 

    1. Chi è obbligato a nominare un RPD?

 

 

    1. Dove deve essere localizzato il RPD?

 

 

    1. Si può nominare un RPD esterno allo studio?

 

 

    1. Quali sono le responsabilità del RPD?

 

 

    1. Che tipo di controllo applica il RPD sullo studio?

 

 

    1. Che cos’è il registro delle attività?

 

 

    1. Chi deve tenere il registro delle attività sui dati?

 

 

    1. Cosa succede in caso di violazioni dello studio?

 

 

    1. Cosa succede in caso di violazioni del RPD?

 

 

    1. Come trovare un RPD?

 

 

1. Che cosa è il GDPR?

Il GDPR è il nuovo Regolamento europeo sul trattamento dei dati personali, pubblicato come Regolamento UE 679/2016 ma in applicazione a partire dal 25 maggio 2018. All’interno del regolamento vengono sancite le nuove regole sul trattamento dei dati personali ad opera di enti privati o pubblici, nonché i nuovi standard di protezione degli stessi dati.

2. Cosa interessa davvero del GDPR agli studi medico-odontoiatrici?

Il GDPR introduce nuove norme sul trattamento dei dati personali e quindi dei pazienti, cioè sul trattamento di tutte le informazioni e i dati che lo studio medico, odontoiatrico e professionale ottiene dai pazienti, sul modo in cui lo studio interagisce con questi dati e sul modo in cui li conserva.

Le norme prevedono la nomina di un Responsabile della Protezione dei Dati (RPD) che si occuperà di verificare la conformità dello studio alle nuove norme in qualità di consulente, ma soprattutto fornirà istruzioni e raccomandazioni su come agire praticamente a norma di legge.

Le istruzioni fornite dal RPD riguarderanno, tra l’altro, il controllo di accesso ai dati, la protezione delle informazioni personali, il corretto mantenimento dei dispositivi che detengono i dati e, soprattutto, la compilazione del registro di tutte le attività eseguite sui dati dei pazienti.

3. Cosa è un RPD?

Il Responsabile della Protezione dei Dati Personali (RPD) è una nuova figura designata dal titolare dello studio medico, odontoiatrico e professionale (cioè il principale responsabile del trattamento dei dati), responsabile di aiutare lo studio a mantenersi conforme alle nuove regole sulla protezione della privacy.

Il RPD funge da intermediario tra lo studio e le autorità di controllo, in particolare le autorità giudiziarie ed il Garante della Privacy.

Le sue attività consistono nel monitoraggio sistematico dell’adeguatezza del trattamenti dei dati sensibili, nonché dei sistemi utilizzati per la protezione dei dati.

4. Chi è obbligato a nominare un RPD?

La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 GDPR).

Nel testo del GDPR non viene specificata la misura o la quantità di dati definita "larga scala" e al momento le stessa Commissione Europea, nonché il Garante della Privacy, interpretano la norma in modo diverso sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici.

Secondo il Considerando 91, infatti, gli studi medici, odontoiatrici e professionali con un solo titolare del trattamento dei dati personali dei pazienti non sono obbligati a nominare un RPD.

Tuttavia, se lo studio medico è convenzionato con il SSN, il Garante della Privacy raccomanda fortemente di nominare un RPD.

Maggiori chiarimenti saranno forniti prossimamente dal Garante della Privacy, per cui occorrerà attendere il lavoro del Legislatore per una definizione definitiva. Tuttavia, essere eventualmente esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte le responsabilità e dalle attività sancite dal GDPR.

I requisiti di protezione dei dati sanciti dall’Art. 32, il controllo degli accessi ed il registro delle attività sancite dall’Art. 30 sono comunque previsti dal nuovo regolamento, quindi dovranno essere realizzati e verificabili dalle autorità di controllo.

Per soddisfare questi requisiti, lo studio medico-odontoiatrico può comunque decidere di nominare un RPD, anche qualora non ne fosse obbligato. Nel caso di nomina di un RPD, sia essa obbligatoria o volontaria, occorre seguire le linee-guida descritte nelle domande successive.

5. Dove deve essere localizzato il RPD?

Il RPD deve essere sempre facilmente accessibile dallo studio (Art. 4 GDPR), tuttavia il nuovo regolamento europeo sul trattamento dei dati personali non impone dei limiti concreti di localizzazione del responsabile nominato.

6. Si può nominare un RPD esterno allo studio?

La funzione di RPD può essere svolta da un fornitore esterno di servizi e non deve necessariamente essere un dipendente effettivo dello studio medico-odontoiatrico, purché la funzione sia esercitata sulla base di un contratto stipulato tra il titolare dello studio ed una persona fisica oppure giuridica (Art. 36 GDPR), quindi una società.

Per fare un esempio: lo studio delega la responsabilità al fornitore del proprio software gestionale (attraverso un accordo sul trattamento dei dati che fornisce il fornitore del software), che nominerà un RPD per tutti i dati contenuti nei propri server e gestiti attraverso il software.

Ma occorre fare attenzione, poiché questo sarà possibile solo nel caso in cui il gestionale sia un software in cloud, dato che la tecnologia cloud permette di controllare alla fonte tutti i dati degli studi.

Gli studi che utilizzano un software in cloud, infatti, interagiscono con dati contenuti in un server remoto e non sul pc locale. Per questo motivo, la società fornitrice del software ha la responsabilità di nominare un RPD ed attenersi a tutte le normative del GDPR, senza che la nomina del RPD ricada sullo studio.

Per tutti gli altri eventuali dati che lo studio conserva fisicamente sui propri dispositivi (o in cartaceo), invece, il responsabile del trattamento dei dati (il titolare dello studio) deve conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.

7. Quali sono le responsabilità del RPD?

L’attività principale del RPD è il mantenimento della conformità al nuovo regolamento europeo sul trattamento dei dati personali all’interno dello studio medico, odontoiatrico e professionale (Art. 39 GDPR).

Le misure prese dal RPD saranno conseguenti ad un’apposita valutazione di rischio elaborata dal RPD, eseguita con specifico riferimento alla tutela dei dati personali gestiti all’interno degli studi medico-odontoiatrici.

In particolare si tratta di assicurare che i dati raccolti dallo studio rispettino gli standard di sicurezza imposti dalla normativa (Art. 32 GDPR).

Tra gli standard citati nella normativa ci sono:

 

    • crittografia e pseudonimizzazione dei dati personali

 

Pseudonimizzare significa nascondere le informazioni di un paziente in modo che non siano riconducibili alla sua persona. Criptare, invece, significa trasformare i dati con un algoritmo, rendendoli leggibili solo mediante apposita chiave di decriptaggio (che è un altro algoritmo).

 

    • la garanzia che i dati gestiti siano sempre disponibili, integri, recuperabili e segreti

 

Dovrà essere garantito che si possa accedere ai dati in qualsiasi momento, che essi non vengano danneggiati, che non possano perdersi, che siano consultabili solo da chi ne ha diritto di accesso.

 

    • la garanzia che i dati siano sempre accessibili anche per eventi dolosi o difetti tecnici dei sistemi utilizzati

 

Implicitamente, la norma raccomanda di disporre delle copie di sicurezza dei dati (backup), in quanto anche in caso di danni fisici o difetti dei dispositivi di immagazzinamento (PC, server locali, hard disk), i dati dovranno comunque essere recuperabili.

 

    • una procedura regolare di valutazione dell’effettiva capacità di mantenimento dei dati dal punto di vista tecnico dei sistemi utilizzati

 

In altre parole, il RPD dovrà effettuare test regolari per verificare l’effettivo funzionamento dei dispositivi e dei sistemi utilizzati per il trattamento dei dati, quindi suggerire eventuali aggiornamenti, sostituzioni di strumenti, componenti o processi.

8. Che tipo di controllo applica il RPD sullo studio?

Il RPD è responsabile di controllare la conformità dello studio rispetto al nuovo regolamento europeo sul trattamento dei dati personali (Art. 39, Par. 1 GDPR). Il monitoraggio sui dati raccolti dallo studio dovrà avvenire in modo sistematico, lo stesso varrà per la conformità delle attività svolte su di essi (Art. 35 GDPR).

Il testo non specifica nel dettaglio cosa si intende per sistematico. Tuttavia, secondo l’interpretazione del Gruppo di Lavoro UE, si tratta di un controllo effettuato ad intervalli regolari che avviene in un arco di tempo predefinito, quindi in modo continuo e sistematico su specifiche attività o vulnerabilità.

Il controllo costante dei rischi sulla sicurezza dei dati dei pazienti e soprattutto le raccomandazioni che il RPD fornirà allo studio per migliorare i punti debolidovranno garantire il livello di sicurezza dei dati gestiti dallo studio medico odontoiatrico, quindi la sua conformità alla nuova normativa sulla protezione dei dati.

9. Che cos’è il registro delle attività?

Il nuovo regolamento europeo sul trattamento dei dati personali impone che chi applica un qualsiasi trattamento sui dati tenga un registro delle attività di trattamento svolte (Art. 30 GDPR).

In poche parole, si tratta di un registro dove vengono rendicontati i processi e le attività svolte sui dati dei pazienti, quindi chi ha interagito con quel documento (ad esempio un piano di cura, una fattura), cosa ha effettivamente fatto, in che data e con quale finalità.

10. Chi deve tenere il registro delle attività sui dati?

Il GDPR all’Art. 30 prevede che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida elaborate dal Gruppo di Lavoro della Commissione Europea sostengono che è prassi comune affidare questo compito al RPD, qualora se ne sia nominato uno.

Lo studio medico odontoiatrico, anche qualora affidasse il compito di conservare il registro sulle attività dei dati al RPD sarà comunque tenuto a disporre dello stesso registro, in quanto in caso di richiesta da parte della autorità di controllo, esso dovrà essere prontamente presentato.

11. Cosa succede in caso di violazioni dello studio?

Il RPD non risponde personalmente delle violazioni commesse dallo studio, poiché spetta a chi applica il trattamento dei dati personali rispettare la normativa (Art.24 GDPR), quindi a chi effettivamente ha accesso ai dati dei pazienti, modifica o inserisce dati fiscali e di salute su un documento digitale o cartaceo.

Facendo un esempio pratico: se lo studio condivide informazioni riservate (di salute, dati fiscali o informazioni di contatto) con un soggetto non autorizzato sarà lo studio a risponderne di fronte alle autorità giudiziarie, in quanto autore della violazione.

12. Cosa succede in caso di violazioni del RPD?

In caso di violazione sul trattamento dei dati personali da parte dello studio medico odontoiatrico, il RPD non è penalizzato dal comportamento illecito del tutelato, in quanto figura autonoma di garanzia (Art. 38, Par. 3 GDPR).

Tuttavia, il RPD risponde della mancata realizzazione dei suoi compiti, quindi di consulenze errate o non efficaci rispetto al contratto stipulato e soprattutto risponde delle proprie violazioni riguardo alla normativa europea sul trattamento dei dati personali.

Facendo un esempio concreto: nel caso in cui sia lo stesso RPD a condividere un piano di cura o una fattura con soggetti terzi non autorizzati, oppure a commettere un qualsiasi altro reato, sarà egli stesso a risponderne di fronte alle autorità.

13. Come trovare un RPD?

Il nuovo regolamento non specifica quali saranno i requisiti formali, quindi la qualifica professionale o accademica. Tuttavia, il Garante della Privacy raccomanda attenzione nella selezione del responsabile.

Il RPD incaricato, infatti, dovrà avere qualità professionali adeguate al compito da svolgere, in particolare con esperienza in materia di privacy, protezione e trattamento di dati sensibili (Art. 37).