L’applicazione del GDPR ha introdotto notevoli cambiamenti per gli studi medici e odontoiatrici sia nell’ambito della protezione dei dati e della privacy dei pazienti, un esempio è la nuova informativa privacy, sia nei processi di trattamento dei dati stessi, che necessitano di un’attenta revisione e di maggiore controllo.
Dotarsi di una informativa privacy conforme al GDPR da consegnare ai pazienti è obbligatorio per tutti gli studi medici e odontoiatrici, ma l’adempimento non è esente da difficoltà: non soltanto recuperare un modello di informativa corretto non è semplice, ma soprattutto la sua compilazione non è così immediata.
Compilare un’informativa privacy adeguata al GDPR non è semplice e commettere errori è un rischio piuttosto alto da correre, poiché non essere conforme alla normativa significa esporsi a sanzioni piuttosto pesanti, come abbiamo descritto in questo articolo sulle sanzioni previste dal GDPR.
In questo articolo cercheremo di spiegare come compilare correttamente una informativa privacy conforme al GDPR in modo semplice e pratico, servendoci del nostro generatore automatico di informativa privacy e analizzando le singole voci da compilare.
Il titolare del trattamento dati nell’informativa privacy GDPR
Le prime informazioni da inserire nell’informativa privacy riguardano il nome del titolare del trattamento, la sede legale dello studio medico-odontoiatrico e il rappresentante legale dello studio. Malgrado il GDPR non fornisca indicazioni specifiche per i singoli paesi, sappiamo che in Italia le forme giuridiche degli studi possono variare sostanzialmente tra società e studi monoprofessionali.
Per questo motivo è fondamentale che nella prima parte si indichino il nome della società come titolare dei dati ed il socio amministratore, oppure nome e cognome del direttore sanitario, come rappresentante legale. Per quanto riguarda gli studi monoprofessionali non vi sono incertezze, valgono le stesse indicazioni.
Finalità del trattamento nell’informativa privacy GDPR
Il GDPR dedica molta attenzione alle finalità del trattamento dei dati, non a caso anche nel registro delle attività previsto nell’Art. 30 è necessario motivare il trattamento dei dati. In questo campo, inoltre, lo studio medico dovrà segnalare se i dati dei pazienti vengono utilizzati anche per attività esterne al lavoro di studio.
Ad esempio, se il medico o l’odontoiatra utilizza i dati raccolti dai pazienti per attività di ricerca, di studio e nelle relative presentazioni scientifiche del suo lavoro di ricerca, il GDPR impone che questa attività venga riportata nell’informativa e che il paziente accetti e sottoscriva.
Tuttavia, il GDPR impone che lo studio informi il paziente anche delle eventuali attività di marketing svolte attraverso i dati raccolti, come l’invio di comunicazioni via email, nonché di tutte le attività di promozione effettuate nei suoi confronti.
Infine, il paziente dovrà sottoscrivere il consenso anche ad essere raggiunto dalle comunicazioni dello studio riguardo a richiami per appuntamenti, oppure per tutte le attività organizzative e di segreteria che lo studio svolge per migliorare il flusso di lavoro interno.
Comunicazione e diffusione dei dati
I dati raccolti dallo studio medico-odontoiatrico sono frequentemente trattati tramite un software gestionale, oppure attraverso dispositivi informatici cui hanno accesso anche tecnici, amministratori di sistema, oppure altre figure professionali che collaborano con lo studio medico odontoiatrico.
Nel caso di studi medici e odontoiatrici, ad esempio, una figura esterna che viene a contatto con i dati dello studio è un laboratorio di analisi, oppure il più comune commercialista.
Secondo quanto previsto dal GDPR, tutte le figure che entrano a contatto con i dati di cui lo studio è titolare devono essere inserite nell’informativa privacy da consegnare al paziente, ma essi sono già inclusi nell’informativa predisposta da AlfaDocs, quindi non andranno indicati.
I servizi di Google, oppure Microsoft ed altri, sono utilizzati da ogni studio per inviare e ricevere email o altre forme di comunicazione. Tuttavia, questi strumenti fanno comunque capo ad un soggetto esistente che entra a contatto con i dati dei pazienti, ciò significa che anche le società produttrici di software andranno indicate all’interno dell’informativa privacy.
Trasferimento dei dati fuori dall’Europa
Ogni studio medico e odontoiatrico italiano è ovviamente obbligato a rispettare le regole del nuovo regolamento europeo sul trattamento dei dati GDPR. Le nuove regole sono una garanzia di protezione e sicurezza per i pazienti, oltre che per il titolare dello studio stesso, eppure trasferendo i dati fuori dall’unione europea la situazione cambia.
Per questo motivo, l’informativa sulla privacy a norma di GDPR deve contenere un esplicito riferimento al trasferimento dei dati al di fuori dell’Unione Europea. Quali sono i casi in cui dati varcano il territorio dell’unione?
Nella pratica sono molti, poiché gran parte dei servizi citati che utilizziamo per inviare email (Gmail, Hotmail) oppure per lanciare campagne pubblicitarie (Facebook, AdWords) fanno capo a società che mantengono i dati negli Stati Uniti.
Google, Microsoft, Facebook oppure LinkedIn, se vengono utilizzati e caricando i dati dei pazienti per il retargeting, sono strumenti essenziali per la comunicazione e la promozione del proprio studio; tuttavia, essendo localizzati in territorio statunitense, l’informativa privacy dovrà essere compilata con attenzione senza dimenticare di indicare anche:
- quale servizio o società trasferisce i dati fuori dall’UE;
- qual è lo scopo del trasferimento (ad esempio invio di email e promozioni);
- su quale base giuridica avviene il trasferimento;
- qual è il contatto di riferimento per comunicare con questo servizio.
Responsabile della protezione dei dati
Il responsabile della protezione dei dati personali, in sigla RPD o DPO con la nomenclatura internazionale, è al centro di un’incertezza della normativa per quanto riguarda l’obbligo di nomina all’interno degli studi medici e odontoiatrici.
Come abbiamo già descritto nella nostra FAQ sul GDPR, il legislatore europeo non obbliga le attività sotto ai 250 dipendenti alla nomina dell’RPD, tuttavia, il Garante della Privacy italiano ne raccomanda comunque la nomina, dato che i dati personali trattati negli studi medici sono di altissima sensibilità.
Nell’informativa privacy a norma di GDPR, dunque, occorre specificare se il RPD è stato nominato oppure no. Come forma di garanzia ulteriore, ogni studio è libero di affidarsi alla tutela di un esperto, ma nell’informativa dovrà riportarne il nome ed i recapiti.
Nominare un RPD comporta ovviamente un costo aggiuntivo per gli studi medici e odontoiatrici. Alcuni studi potrebbero infatti decidere di norminarlo volontariamente pur di essere certi di essere a norma, ma esiste un modo per accertarsi di essere conformi al GDPR senza ricorrere alla nomina di un RPD?
Scegliere un software conforme è la risposta?
AlfaDocs è perfettamente conforme alla normativa, per cui lo studio medico-odontoiatrico che tratta i dati dei pazienti, oltre ai dati contabili dello studio, esclusivamente attraverso AlfaDocs non ha necessità di temere sanzioni o violazioni del GDPR.
L’informativa privacy può essere compilata automaticamente tramite il nostro Generatore di Informativa Privacy, senza costi aggiuntivi e soprattutto senza preoccupazioni di mancata conformità, dato che questo strumento è stato sviluppato con lo Studio Legale Stefanelli.
AlfaDocs permette agli studi di dedicarsi al lavoro clinico, alla comunicazione con i pazienti, senza sacrificare tempo per gli adempimenti normativi legati al GDPR e alla protezione dei dati personali dei pazienti.
Risparmia tempo sugli adempimenti del GDPR
Commenti
0 Commenti