Entro il 25 maggio 2018 anche gli studi dentistici dovranno adeguarsi al nuovo regolamento europeo sul trattamento dei dati personali (GDPR). In questo articolo rispondiamo ai dubbi più frequenti sull’argomento.
1. Cos’è il GDPR?
È il nuovo Regolamento europeo sul trattamento dei dati personali in applicazione a partire dal 25 maggio 2018, che sancite le nuove regole sul trattamento dei dati personali ad opera di enti privati o pubblici, nonché i nuovi standard di protezione degli stessi dati.
2. Perché il GDPR interessa anche lo studio odontoiatrico?
Il GDPR introduce nuove norme sul trattamento dei dati personali e quindi dei pazienti, cioè sul trattamento, la gestione e l’archiviazione di tutte le informazioni e i dati che lo studio ottiene dai pazienti.
3. Quali sono i nuovi diritti del paziente fissati dal GDPR?
Obiettivo del nuovo regolamento è infatti quello di verificare che il trattamento dei dati abbia una finalità lecita, che sia svolto in modo sicuro e che l’interessato ne sia adeguatamente informato.
Per garantire ciò il legislatore ha introdotto nuovi diritti per il paziente:
- Diritto all’oblio: il paziente può richiedere di eliminare od oscurare i dati che lo riguardano. Ricordiamo che in ambito sanitario è necessario conservare alcuni dati per un certo numero di anni per questioni medico/legali. In questo caso è quindi preferibile oscurare il dato invece di eliminarlo.
- Diritto alla portabilità del dato: il paziente può richiedere, e deve ottenere, una copia dei propri dati in un formato elettronico interscambiabile (ad es. file XML)
- Diritto di sapere dove vengono trattati i propri dati: il paziente deve essere informato sul luogo fisico o digitale in cui i suoi dati sono salvati e conservati.
4. Cos’è un RPD?
È il Responsabile della Protezione dei Dati Personali, ossia il principale responsabile del trattamento dei dati ed è designato dal titolare dello studio dentistico.
Il suo ruolo consiste nel monitoraggio sistematico dell’adeguatezza del trattamenti dei dati sensibili, nonché dei sistemi utilizzati per la protezione dei dati.
Ha insomma il compito di aiutare lo studio a rispettare le nuove regole del GDPR e funge da intermediario con le autorità di controllo, in particolare le autorità giudiziarie e il Garante della Privacy.
5. È obbligatorio nominare un RPD?
La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 GDPR).
N.B. Nel testo del GDPR non viene specificato cosa si intenda per “larga scala” e al momento le stessa Commissione Europea, nonché il Garante della Privacy, interpretano la norma in modo non univoco. Secondo il Considerando 91, inoltre, gli studi odontoiatrici con un solo titolare del trattamento dei dati personali dei pazienti non sono obbligati a nominare un RPD.
Chiarimenti saranno forniti dal Garante della Privacy, per cui occorrerà attendere il lavoro del Legislatore per una definizione definitiva. Tuttavia, essere esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte le responsabilità e dalle attività sancite dal GDPR.
6. L’RPD può esterno allo studio?
La funzione di RPD può essere svolta da un fornitore esterno di servizi, purché la funzione sia esercitata sulla base di un contratto stipulato tra il titolare dello studio ed una persona fisica oppure giuridica (Art. 36 GDPR), quindi una società.
Lo studio può inoltre delegare la responsabilità al fornitore del proprio software gestionale (se in cloud) che è tenuto a nominare un RPD per tutti i dati contenuti nei propri server e gestiti attraverso il software.
Per tutti gli altri dati che lo studio conserva fisicamente sui propri Pc o in formato cartaceo, invece, il responsabile del trattamento dei dati (il titolare dello studio) deve conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.
7. Quali sono le responsabilità del RPD?
Per rispettare la conformità al GDPR, l’RPD dovrà creare un’apposita valutazione di rischio, eseguita con specifico riferimento alla tutela dei dati personali gestiti all’interno degli studi medico-odontoiatrici.
In particolare si tratta di assicurare che i dati raccolti dallo studio rispettino gli standard di sicurezza imposti dalla normativa.
In particolare tra gli elementi fissati dalla normativa sono presenti:
- Crittografia e pseudonimizzazione dei dati personali. Ossia nascondere le informazioni di un paziente in modo che non siano riconducibili alla sua persona e trasformare i dati rendendoli leggibili solo mediante apposita chiave di decriptaggio. Inoltre l’accesso ai software che trattano i dati dovrà essere regolato da un sistema di credenziali. Ogni operatore dovrà avere una propria ID e password univoca che determini a quali dati potrà accedere in base al proprio ruolo.
- La garanzia che i dati gestiti siano sempre disponibili, accessibili e recuperabili. Creando copie di sicurezza dei dati (backup), in quanto anche in caso di danni fisici o difetti dei dispositivi, i dati dovranno comunque essere recuperabili.
Il risultato di tutte le azioni e verifiche riportate sopra dovrà quindi confluire in ‘Registro dei trattamenti’.
8. Cos’è il registro delle attività sui dati?
Si tratta di un registro dove vengono rendicontati i processi e le attività svolte sui dati dei pazienti, quindi chi ha interagito con quel documento (ad esempio un piano di cura, una fattura), cosa ha effettivamente fatto, in che data e con quale finalità.
È previsto che sia il titolare del trattamento dei dati a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida elaborate dal Gruppo di Lavoro della Commissione Europea sostengono che è prassi comune affidare questo compito al RPD, qualora se ne sia nominato uno.
Lo studio è comunque tenuto a disporre dello stesso registro, prontamente presentabile in caso di richiesta da parte della autorità di controllo.
Per saperne di più clicca per scaricare la Guida redatta dal Garante della Privacy, oppure visita il sito.
