Mar 25, 2019 Last Updated 8:55 PM, Mar 22, 2019

DATI PERSONALI E STUDI PROFESSIONALI: COSA CAMBIA

Visite: 51 times
L’adeguamento a GDPR e decreto 101/2018 comporta una serie di obblighi per gli studi e gli ambulatori degli esercenti la professione sanitaria.
Il Regolamento Europeo 2016/679 divenuto efficace il 25 maggio 2018 ha modificato sostanzialmente la disciplina relativa al trattamento dei dati personali per i cittadini nell’ambito dell’Unione europea.
L’orientamento del legislatore europeo è quello di responsabilizzare chi esercita l’attività di impresa, una libera professione, le PA ecc... nella “gestione dei rischi” connessi e correlati alla propria attività. Nell’ambito del trattamento dei dati personali questo orientamento è declinato nel principio cardine della cosiddetta Accountability (termine che si può tradurre in “responsabilizzazione”/“rendicontazione”).
Come “gestire” dunque i rischi correlati al trattamento dei dati personali?
1) Innanzitutto attraverso un’analisi della propria organizzazione ed una mappatura della categoria dei dati trattati e dei  rischi ai quali possono essere soggetti nell’ambito dell’esercizio della propria normale attività; l’art.31 del Regolamento UE 2016/679, indica tra i rischi:
• la distruzione o la perdita,
   anche accidentale;
• l’accesso non autorizzato;
• il trattamento non consentito;
• il trattamento non conforme alle
   finalità per le quali è avvenuta la
   raccolta dei dati personali.
In ragione di questa analisi il Titolare deve “progettare” (Privacy by Design) le misure poste a tutela dei dati dallo stesso trattati, sia dal punto di vista delle cautele e delle procedure informatiche, che dal punto di vista delle tutela dei dati conservati su supporto cartaceo in archivi materiali, ma anche formare ed informare i propri collaboratori (interni ed esterni) sul “progetto” in modo che tutti possano agire coerentemente con le decisioni prese dal Titolare.
In ambito sanitario il Titolare tratta di norma dati dei pazienti (che deve essere adeguatamente informato) per finalità di prevenzione, anamnesi, diagnosi, terapia sanitaria, riabilitazione o per altre prestazioni di natura medica e/o sanitaria e/o farmaceutica. I dati personali possono essere trattati anche per finalità diverse da quelle indicate: si pensi agli infortuni sul lavoro, alla malattia professionale, al trattamento dei dati per finalità collegate a richieste di risarcimento del danno etc ma anche comunicazioni obbligatorie per legge; ogni finalità deve essere ben comunicata nell’informativa (anche in caso trattamento per ricerca scientifica, epidemiologica, pubblicazioni scientifiche);
2) Il Titolare deve formare i collaboratori (specializzanti, tirocinanti, stagisti, etc) affinché gli stessi trattino i dati dei pazienti dello studio in maniera legittima, lecita e corretta e secondo quanto da questi progettato. Quando più professionisti condividono locali, ognuno di essi può essere considerato Titolare autonomo del trattamento dei dati dei propri pazienti; tuttavia, qualora ci siano rapporti interni di collaborazione (consulenze/pareri etc) è necessario che il rapporto sia regolato da un contatto interno che chiarisca le responsabilità di ognuno nella filiera del trattamento dei dati dei pazienti.
3) Per quanto riguarda la conservazione dei dati, il Titolare deve adottare tutte le misure che ritiene adeguate al rischio per la tutela dei dati ed in linea di massima: usare software, antivirus e malware aggiornati, programmi di back up in cloud, etc; utilizzare la criptazione dei dati genetici, biometrici e sanitari nei file del pc o in chiavette o hard disk esterni (di cui si sconsiglia l’utilizzo).Per la documentazione cartacea si consiglia di adottare le buone prassi; a titolo esemplificativo non lasciare documenti in luoghi ad uso promiscuo (sala ricevimento pazienti) senza che vi sia un controllo degli stessi; anonimizzare le cartelle contenenti documenti e che si trovano al di fuori degli archivi; accesso alla documentazione contenente i dati dei pazienti consentito ai soli operatori autorizzati, appositamente formati, solo per le finalità legate al ruolo dell’operatore e solo per lo stretto tempo necessario alla prestazione richiesta. All’interno dei locali è vietato, per la riservatezza degli utenti, registrare audio, video e scattare foto senza il consenso esplicito da parte del paziente.
4) Il Titolare del Trattamento può conservare i dati personali dei pazienti per 10 anni. Termine indicato in  base al termine di prescrizione delle azioni di responsabilità civile (contrattuale ed extracontrattuale) e penale cui può incorrere l’esercente la professione sanitaria.
5) Il Titolare deve adottare il Registro del Trattamento documento in cui annotare tutte le operazioni descritte. Si tratta di uno strumento fondamentale per avere un quadro aggiornato dei trattamenti in essere all’interno dello studio, indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante, pochè sostituisce la notificazione al Garante (Codice Privacy, art. 37 abrogato dal D.lgs. 101/18).
In caso di violazione dei dati personali, sussiste l’obbligo di documentazione (art 33.5 GDPR). Tale obbligo è attribuito solo al Titolare, il quale dovrà conservare un dossier relativo alle circostanze della violazione, alle sue conseguenze, ed ai provvedimenti adottati per porvi rimedio.
Basta un trattamento di dati particolari o un trattamento non occasionale o rischioso per far scattare l’obbligo della tenuta dello stesso, anche al di sotto della soglia di 250 dipendenti.