Il nuovo regolamento europeo sul trattamento dei dati personali (GDPR) entra in vigore il 25 maggio 2018. In questo articolo raccogliamo una serie di domande frequenti su quali saranno i cambiamenti effettivi nel lavoro degli studi medici e odontoiatrici.
- Che cosa è il GDPR?
- Cosa interessa davvero del GDPR agli studi medico-odontoiatrici?
- Cosa è un RPD?
- Chi è obbligato a nominare un RPD?
- Dove deve essere localizzato il RPD?
- Si può nominare un RPD esterno allo studio?
- Quali sono le responsabilità del RPD?
- Che tipo di controllo applica il RPD sullo studio?
- Che cos’è il registro delle attività?
- Chi deve tenere il registro delle attività sui dati?
- Cosa succede in caso di violazioni dello studio?
- Cosa succede in caso di violazioni del RPD?
- Come trovare un RPD?
- Scarica il libro sulla normativa fiscale per odontoiatri
Disclaimer: le informazioni riportate in questo articolo sono riprese dai documenti ufficiali pubblicati sul sito dell’Unione Europea e del Garante della Privacy italiano. Ad ogni modo, AlfaDocs non rappresenta una fonte ufficiale sull’argomento. Pertanto, oltre a leggere e commentare i nostri post, occorre comunque consultare il Garante della Privacy, chiamando il numero (+39) 06 696772917 oppure scrivendo a urp@gpdp.it.
1. Che cosa è il GDPR?
Il GDPR è il nuovo Regolamento europeo sul trattamento dei dati personali, pubblicato come Regolamento EU 679/2016 ma in applicazione a partire dal 25 maggio 2018. All'interno del regolamento vengono sancite le nuove regole sul trattamento dei dati personali ad opera di enti privati o pubblici, nonché i nuovi standard di protezione degli stessi dati.
Scopri come mettere lo studio
a norma di GDPR
2. Cosa interessa davvero del GDPR agli studi medico-odontoiatrici?
Il GDPR introduce nuove norme sul trattamento dei dati personali e quindi dei pazienti, cioè sul trattamento di tutte le informazioni e i dati che lo studio medico, odontoiatrico e professionale ottiene dai pazienti, sul modo in cui lo studio interagisce con questi dati e sul modo in cui li conserva.
Le norme prevedono la nomina di un Responsabile della Protezione dei Dati (RPD) che si occuperà di verificare la conformità dello studio alle nuove norme in qualità di consulente, ma soprattutto fornirà istruzioni e raccomandazioni su come agire praticamente a norma di legge.
Le istruzioni fornite dal RPD riguarderanno, tra l’altro, il controllo di accesso ai dati, la protezione delle informazioni personali, il corretto mantenimento dei dispositivi che detengono i dati e, soprattutto, la compilazione del registro di tutte le attività eseguite sui dati dei pazienti.
Scopri come mettere lo studio
a norma di GDPR
3. Cosa è un RPD?
Il Responsabile della Protezione dei Dati Personali (RPD) è una nuova figura designata dal titolare dello studio medico, odontoiatrico e professionale (cioè il principale responsabile del trattamento dei dati), responsabile di aiutare lo studio a mantenersi conforme alle nuove regole sulla protezione della privacy.
Il RPD funge da intermediario tra lo studio e le autorità di controllo, in particolare le autorità giudiziarie ed il Garante della Privacy.
Le sue attività consistono nel monitoraggio sistematico dell’adeguatezza del trattamenti dei dati sensibili, nonché dei sistemi utilizzati per la protezione dei dati.
4. Chi è obbligato a nominare un RPD?
La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 GDPR).
Nel testo del GDPR non viene specificata la misura o la quantità di dati definita “larga scala” e al momento le stessa Commissione Europea, nonché il Garante della Privacy, interpretano la norma in modo diverso sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici.
Secondo il Considerando 91, infatti, gli studi medici, odontoiatrici e professionali con un solo titolare del trattamento dei dati personali dei pazienti non sono obbligati a nominare un RPD.
Eppure, il Garante della Privacy raccomanda fortemente di nominare un RPD per tutte le tipologie di studio medico e odontoiatrico.
Maggiori chiarimenti saranno forniti prossimamente dal Garante della Privacy, per cui occorrerà attendere il lavoro del Legislatore per una definizione definitiva. Tuttavia, essere eventualmente esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte le responsabilità e dalle attività sancite dal GDPR.
I requisiti di protezione dei dati sanciti dall’Art. 32, il controllo degli accessi ed il registro delle attività sancite dall’Art. 30 sono comunque previsti dal nuovo regolamento, quindi dovranno essere realizzati e verificabili dalle autorità di controllo.
Per soddisfare questi requisiti, lo studio medico-odontoiatrico può comunque decidere di nominare un RPD, anche qualora non ne fosse obbligato. Nel caso di nomina di un RPD, sia essa obbligatoria o volontaria, occorre seguire le linee-guida descritte nelle domande successive.
5. Dove deve essere localizzato il RPD?
Il RPD deve essere sempre facilmente accessibile dallo studio (Art. 4 GDPR), tuttavia il nuovo regolamento europeo sul trattamento dei dati personali non impone dei limiti concreti di localizzazione del responsabile nominato.
6. Si può nominare un RPD esterno allo studio?
La funzione di RPD può essere svolta da un fornitore esterno di servizi e non deve necessariamente essere un dipendente effettivo dello studio medico-odontoiatrico, purché la funzione sia esercitata sulla base di un contratto stipulato tra il titolare dello studio ed una persona fisica oppure giuridica (Art. 36 GDPR), quindi una società.
Per fare un esempio: lo studio delega la responsabilità al fornitore del proprio software gestionale (attraverso un accordo sul trattamento dei dati che fornisce il fornitore del software), che nominerà un RPD per tutti i dati contenuti nei propri server e gestiti attraverso il software.
Ma occorre fare attenzione, poiché questo sarà possibile solo nel caso in cui il gestionale sia un software in cloud (come AlfaDocs), dato che la tecnologia cloud permette di controllare alla fonte tutti i dati degli studi.
Gli studi che utilizzano un software in cloud, infatti, interagiscono con dati contenuti in un server remoto e non sul pc locale. Per questo motivo, la società fornitrice del software ha la responsabilità di nominare un RPD ed attenersi a tutte le normative del GDPR, senza che la nomina del RPD ricada sullo studio.
Per tutti gli altri eventuali dati che lo studio conserva fisicamente sui propri dispositivi (o in cartaceo), invece, il responsabile del trattamento dei dati (il titolare dello studio) deve conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.
Scopri come mettere lo studio
a norma di GDPR
7. Quali sono le responsabilità del RPD?
L’attività principale del RPD è il mantenimento della conformità al nuovo regolamento europeo sul trattamento dei dati personali all’interno dello studio medico, odontoiatrico e professionale (Art. 39 GDPR).
Le misure prese dal RPD saranno conseguenti ad un’apposita valutazione di rischio elaborata dal RPD, eseguita con specifico riferimento alla tutela dei dati personali gestiti all’interno degli studi medico-odontoiatrici.
In particolare si tratta di assicurare che i dati raccolti dallo studio rispettino gli standard di sicurezza imposti dalla normativa (Art. 32 GDPR).
Tra gli standard citati nella normativa ci sono:
- crittografia e pseudonimizzazione dei dati personali
Pseudonimizzare significa nascondere le informazioni di un paziente in modo che non siano riconducibili alla sua persona. Criptare, invece, significa trasformare i dati con un algoritmo, rendendoli leggibili solo mediante apposita chiave di decriptaggio (che è un altro algoritmo).
- la garanzia che i dati gestiti siano sempre disponibili, integri, recuperabili e segreti
Dovrà essere garantito che si possa accedere ai dati in qualsiasi momento, che essi non vengano danneggiati, che non possano perdersi, che siano consultabili solo da chi ne ha diritto di accesso.
- la garanzia che i dati siano sempre accessibili anche per eventi dolosi o difetti tecnici dei sistemi utilizzati
Implicitamente, la norma raccomanda di disporre delle copie di sicurezza dei dati (backup), in quanto anche in caso di danni fisici o difetti dei dispositivi di immagazzinamento (PC, server locali, hard disk), i dati dovranno comunque essere recuperabili.
- una procedura regolare di valutazione dell’effettiva capacità di mantenimento dei dati dal punto di vista tecnico dei sistemi utilizzati
In altre parole, il RPD dovrà effettuare test regolari per verificare l’effettivo funzionamento dei dispositivi e dei sistemi utilizzati per il trattamento dei dati, quindi suggerire eventuali aggiornamenti, sostituzioni di strumenti, componenti o processi.
8. Che tipo di controllo applica il RPD sullo studio?
Il RPD è responsabile di controllare la conformità dello studio rispetto al nuovo regolamento europeo sul trattamento dei dati personali (Art. 39, Par. 1 GDPR). Il monitoraggio sui dati raccolti dallo studio dovrà avvenire in modo sistematico, lo stesso varrà per la conformità delle attività svolte su di essi (Art. 35 GDPR).
Il testo non specifica nel dettaglio cosa si intende per sistematico. Tuttavia, secondo l’interpretazione del Gruppo di Lavoro UE, si tratta di un controllo effettuato ad intervalli regolari che avviene in un arco di tempo predefinito, quindi in modo continuo e sistematico su specifiche attività o vulnerabilità.
Il controllo costante dei rischi sulla sicurezza dei dati dei pazienti e soprattutto le raccomandazioni che il RPD fornirà allo studio per migliorare i punti deboli dovranno garantire il livello di sicurezza dei dati gestiti dallo studio medico odontoiatrico, quindi la sua conformità alla nuova normativa sulla protezione dei dati.
9. Che cos’è il registro delle attività?
Il nuovo regolamento europeo sul trattamento dei dati personali impone che chi applica un qualsiasi trattamento sui dati tenga un registro delle attività di trattamento svolte (Art. 30 GDPR).
In poche parole, si tratta di un registro dove vengono rendicontati i processi e le attività svolte sui dati dei pazienti.
Scopri come mettere lo studio
a norma di GDPR
10. Chi deve tenere il registro delle attività sui dati?
Il GDPR all’Art. 30 prevede che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida elaborate dal Gruppo di Lavoro della Commissione Europea sostengono che è prassi comune affidare questo compito al RPD, qualora se ne sia nominato uno.
Lo studio medico odontoiatrico, anche qualora affidasse il compito di conservare il registro sulle attività dei dati al RPD sarà comunque tenuto a disporre dello stesso registro, in quanto in caso di richiesta da parte della autorità di controllo, esso dovrà essere prontamente presentato.
Scopri come mettere lo studio
a norma di GDPR
11. Cosa succede in caso di violazioni dello studio?
Il RPD non risponde personalmente delle violazioni commesse dallo studio, poiché spetta a chi applica il trattamento dei dati personali rispettare la normativa (Art.24 GDPR), quindi a chi effettivamente ha accesso ai dati dei pazienti, modifica o inserisce dati fiscali e di salute su un documento digitale o cartaceo.
Facendo un esempio pratico: se lo studio condivide informazioni riservate (di salute, dati fiscali o informazioni di contatto) con un soggetto non autorizzato sarà lo studio a risponderne di fronte alle autorità giudiziarie, in quanto autore della violazione.
12. Cosa succede in caso di violazioni del RPD?
In caso di violazione sul trattamento dei dati personali da parte dello studio medico odontoiatrico, il RPD non è penalizzato dal comportamento illecito del tutelato, in quanto figura autonoma di garanzia (Art. 38, Par. 3 GDPR).
Tuttavia, il RPD risponde della mancata realizzazione dei suoi compiti, quindi di consulenze errate o non efficaci rispetto al contratto stipulato e soprattutto risponde delle proprie violazioni riguardo alla normativa europea sul trattamento dei dati personali.
Facendo un esempio concreto: nel caso in cui sia lo stesso RPD a condividere un piano di cura o una fattura con soggetti terzi non autorizzati, oppure a commettere un qualsiasi altro reato, sarà egli stesso a risponderne di fronte alle autorità.
13. Come trovare un RPD?
Il nuovo regolamento non specifica quali saranno i requisiti formali, quindi la qualifica professionale o accademica. Tuttavia, il Garante della Privacy raccomanda attenzione nella selezione del responsabile.
Il RPD incaricato, infatti, dovrà avere qualità professionali adeguate al compito da svolgere, in particolare con esperienza in materia di privacy, protezione e trattamento di dati sensibili (Art. 37).
Inoltre, un RPD dovrà avere sufficiente esperienza tecnica sui dispositivi digitali e sui sistemi di protezione dei dati informatici, tale da poterne garantire la corretta manutenzione.
Per il momento, le istituzioni e le autorità non hanno fornito indicazioni specifiche al riguardo. Non appena saranno disponibili indicazioni specifiche, provvederemo ad aggiornare il nostro articolo con riferimenti più precisi.
Ad ogni modo, i modelli per la nomina dell'RPD sono già disponibili sul sito del Garante della Privacy italiano, in particolare sarà necessario compilare l'atto di designazione ed il modello di comunicazione della nomina da inviare al Garante stesso.
Scarica il libro sulla normativa fiscale per odontoiatri
Sei sicuro di conoscere tutto quello che riguarda la normativa fiscale per lo studio dentistico? Scarica gratis la nostra guida per conoscere tutto quello che c'è da sapere su:
- La Fatturazione elettronica obbligatoria
- Il Preventivo dopo la Legge Concorrenza
- La differenza tra Fattura e Ricevuta Sanitaria
- La Marca da Bollo virtuale
- Lo Spesometro
- L'invio delle fatture al Sistema TS
- L'Ammortamento dei beni strumentali
- La Legge Gelli e l'RC professionale
- La Legge sulla Privacy
Commenti
9 Commenti