Caro iscritto,
come già saprai, il 25 maggio 2018 entra in vigore la nuova normativa europea riguardante la Privacy, nuovo Regolamento UE 2016/679 sulla protezione dei dati.
La norma (UE) 2016/679 del Parlamento e del Consiglio europei, del 27 aprile 2016, relativo alla protezione delle persone fisiche in relazione al trattamento dei dati personali, nonché alla loro libera circolazione, è direttamente applicabile in tutti i Paesi dell’Unione europea, senza necessità di recepimento e sostituisce il “vecchio” Codice della Privacy (Dlgs 196/2003).
Una delle principali novità del Regolamento Privacy Ue è l’intensificazione dei doveri che gravano sui titolari del trattamento dei dati. Vanno in questo senso l’introduzione del principio di accountability (l’obbligo di responsabilità in capo all’azienda per l’utilizzo dei dati), l’irrobustimento delle garanzie di sicurezza, l’introduzione dei principi di privacy by design (tutela del dato personale fin dalla progettazione) e privacy by default (tutela della vita privata secondo regole predefinite), dei registri aziendali, della valutazione d’impatto e della consultazione preventiva; l’immissione della nuova figura del Responsabile della Protezione dei Dati (RPD) e il ricorso alla certificazione nei processi di trattamento. Chi non si adeguerà entro la data prestabilita potrà andare incontro a sanzioni fino al 4% del fatturato annuo globale.
Sintetizzando il medico nel suo studio dovrà:
- RACCOLTA DEL CONSENSO previa informativa sul trattamento dei dati personali. Ovvero la dichiarazione scritta con la quale il medico informa il proprio paziente su quali dati avrà necessità di raccogliere per un efficace rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti.
- MODELLI D’INFORMATIVA: L’Autorità ha predisposto un modello di informativa che può essere adottato nella maggior parte dei casi dai medici e dagli odontoiatri nei propri studi professionali. Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico.
- Se il medico, nel proprio studio, si avvale di personale di segreteria, deve redigere una formale lettera di incarico al trattamento dei dati sanitari al personale di segreteria, che si deve attenere alle istruzioni impartite.
- Se il medico si avvale di un ragioniere e/o commercialista per la tenuta della sua contabilità, anche il consulente fiscale deve firmare una lettera.
- ARCHIVIAZIONE DEI DATI: i dati sanitari dei pazienti devono essere utilizzati, conservati e in definitiva trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer.
- Nel caso di trattamento dei dati in forma cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente la salute del paziente. Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate ne possano prendere conoscenza.
- Se il medico utilizza un computer, questo deve essere protetto da una password alfanumerica che deve essere cambiata almeno ogni tre mesi.
Inoltre il computer deve essere protetto da un software antivirus, anti-malware e, se è connesso a internet, anche da un firewall. Infine deve essere previsto un salvataggio periodico dei dati da poter utilizzare in caso di emergenza.
Il Responsabile della Protezione dei Dati Personali (RPD) funge da intermediario tra lo studio e le autorità di controllo, in particolare le autorità giudiziarie ed il Garante della Privacy. La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 GDPR).
La funzione di RPD può essere svolta da un fornitore esterno di servizi e non deve necessariamente essere un dipendente effettivo dello studio medico-odontoiatrico, purché la funzione sia esercitata sulla base di un contratto stipulato tra il titolare dello studio ed una persona fisica oppure giuridica (Art. 36 GDPR), quindi una società.
Gli studi che utilizzano un software in cloud interagiscono con dati contenuti in un server remoto e non sul pc locale. Per questo motivo, la società fornitrice del software ha la responsabilità di nominare un RPD ed attenersi a tutte le normative del GDPR, senza che la nomina del RPD ricada sullo studio.
Le misure prese dal RPD saranno conseguenti ad un’apposita valutazione di rischio elaborata dal RPD, eseguita con specifico riferimento alla tutela dei dati personali gestiti all’interno degli studi medico-odontoiatrici.
Nel testo del GDPR non viene specificata la misura o la quantità di dati definita “larga scala” e al momento le stessa Commissione Europea, nonché il Garante della Privacy, interpretano la norma in modo diverso sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici, infatti, gli studi medici, odontoiatrici e professionali con un solo titolare del trattamento dei dati personali dei pazienti non sono obbligati a nominare un RPD. Tuttavia, se lo studio medico è convenizionato con il SSN, il Garante della Privacy raccomanda fortemente di nominare un RPD.
Secondo il parere dei nostri legali, che hanno studiato la nuova complessa normativa,
- il MMG singolo, in rete o gruppo, non è obbligato alla nomina del DPO;
- per il MMG singolo, in rete o gruppo non è necessaria alcuna certificazione;
- non è obbligatorio il corso di aggiornamento del medico e del personale;
- nell’ipotesi in cui il medico usufruisca della collaborazione di personale dipendente, sarebbe opportuna (anzi d’obbligo) una lettera di nomina del personale quale incaricato del trattamento dei dati personali e sensibili e lo stesso dicasi nell’ipotesi in cui ci si serva di professionista esterno per la tenuta della contabilità.
Riassumendo gli obblighi sono:
- informativa sul trattamento dei dati del paziente (ovvero informare il Pz. su chi è deputato al trattamento dei dati),
- raccolta del consenso informato anche in forma orale (ma è consigliabile cartaceo controfirmato),
- valutazione dei rischi di vulnerabilità dei dati, che non riguardano solo la cartella clinica ed il proprio pc, ma anche tutto quello che comporta la gestione del nostro studio medico (gestione del materiale cartaceo, accorgimenti adottati nel proprio studio per evitare fughe di notizie, ecc, conservazione e tutela dell’integrità dei dati),
- invio obbligatorio di denuncia entro 24 – 72 ore a seconda dei casi, nel caso in cui si venga a conoscenza dell’avvenuta violazione della riservatezza dei dati (Hackeraggio ecc,).
Lo SNAMI Nazionale ha cercato soluzioni praticabili in qualsiasi realtà lavorativa su tutto il territorio italiano, per i Colleghi che ritenessero opportuno avvalersi di consulenza tecnica per conformarsi al nuovo Regolamento Europeo della Privacy “General Data Protection Regulation”.
- Vagliando, per i suoi iscritti, molti enti terzi per il rilascio delle certificazioni di conformità degli studi, ha individuato il “GDPR 4med software”. Questo software, a un buon compromesso qualità/prezzo per gli iscritti, permetterà:
– la consultazione di una guida alla nuova legge,
– la valutazione del rischio con le relative certificazioni di conformità,
– l’uso dei moduli necessari
– un’assistenza tecnica
- Adesione al software di gestione della privacy (GDPR4MED), creato ad hoc per noi medici, in grado di valutare e attestare la congruità di tutti i protocolli di gestione privacy oggi in uso presso i nostri studi. Costo abbonamento base alla piattaforma €149,00 + iva /anno.
- Adesione al software di gestione della privacy (GDPR4MED) Premium che, con oltre a quanto sopra, rilascia l’attestato di tracciabilità del processo. Costo abbonamento premium € 299,00 + iva /anno.
N.B.: Acquistando un abbonamento base o premium di GDPR4MED si ottiene gratuitamente un percorso formativo dedicato al proprio personale, senza alcun onere aggiuntivo e valido ai fini di certificare l’avvenuta formazione dello stesso.
per ulteriori informazioni clicca qui.
Video programma gestione privacy gdpr4med
- Propone, inoltre, una polizza assicurativa con “Vittoria assicurazioni” contro l’hackeraggio, divulgazione di dati involontaria con un massimale di 150.000 euro (con un’estensione per la conduzione di studio con massimale di 500.000 euro) ad un premio competitivo e conveniente, sempre per i propri iscritti.
- Infine lo SNAMI Con il contributo non condizionante di “Contatto & Archimedica” propone un FAD gratuita per i suoi iscritti (Iscrizioni aperte fino al 26 Luglio 2018 – 10 crediti ECM) (non obbligatorio – consigliato): “GDPR: CHE COSA CAMBIA CON IL NUOVO CODICE EUROPEO DELLA PRIVACY” clicca qui
Per ulteriori info contatteci a snamipa@gmail.it oppure a snami@sindacatopa.191.it.