Il GDPR è il nuovo Regolamento europeo sul trattamento dei dati personali, in applicazione a partire dal 25 maggio 2018. All’interno del regolamento vengono sancite le nuove regole sul trattamento dei dati personali ad opera di enti privati o pubblici, nonché i nuovi standard di protezione degli stessi dati.
Il GDPR e gli studi medico-odontoiatrici
Il GDPR introduce nuove norme sul trattamento dei dati personali che lo studio medico, odontoiatrico e professionale ottengono dai pazienti, e sulle specifiche modalità con cui questi dati devono essere gestiti e conservati. Le norme prevedono la nomina di un responsabile della protezione dei dati (RPD) che si occuperà di verificare la conformità dello studio alle nuove norme in qualità di consulente, ma soprattutto fornirà istruzioni e raccomandazioni su come agire praticamente a norma di legge. Le istruzioni fornite dal RPD riguarderanno, tra l’altro, il controllo di accesso ai dati, la protezione delle informazioni personali, il corretto mantenimento dei dispositivi che detengono i dati e, soprattutto, la compilazione del registro di tutte le attività eseguite sui dati dei pazienti. Il RPD funge, inoltre, da intermediario tra lo studio e le autorità di controllo, in particolare le autorità giudiziarie ed il Garante della privacy.
Chi è obbligato a nominare un RPD
La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala (tra cui i dati sanitari). Nel testo del GDPR non viene specificata la misura o la quantità di dati riferibili al concetto di larga scala, e al momento la stessa Commissione Europea, nonché il Garante della privacy, interpretano la norma in modo diverso sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici. Tuttavia, se lo studio medico è convenzionato con il SSN, il Garante della privacy raccomanda fortemente di nominare un RPD. Maggiori chiarimenti saranno forniti prossimamente dallo stesso Garante, per cui occorrerà attendere il lavoro del legislatore per una definizione definitiva. Tuttavia, essere eventualmente esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte le responsabilità e dalle attività sancite dal GDPR.
Nomina RPD esterno allo studio
La funzione di RPD può essere svolta da un fornitore esterno di servizi e non deve necessariamente essere un dipendente effettivo dello studio medico-odontoiatrico, purché la funzione sia esercitata sulla base di un contratto stipulato tra il titolare dello studio ed una persona fisica oppure giuridica, quindi una società. Per fare un esempio: lo studio delega la responsabilità al fornitore del proprio software gestionale (attraverso un accordo sul trattamento dei dati che fornisce il fornitore del software), che nominerà un RPD per tutti i dati contenuti nei propri server e gestiti attraverso il software. Ma occorre fare attenzione, poiché questo sarà possibile solo nel caso in cui il gestionale sia un software in cloud, dato che la tecnologia cloud permette di controllare alla fonte tutti i dati degli studi. Gli studi che utilizzano un software in cloud, infatti, interagiscono con dati contenuti in un server remoto e non sul pc locale. Per questo motivo, la società fornitrice del software ha la responsabilità di nominare un RPD ed attenersi a tutte le normative del GDPR, senza che la nomina del RPD ricada sullo studio. Per tutti gli altri eventuali dati che lo studio conserva fisicamente sui propri dispositivi (o in cartaceo), invece, il responsabile del trattamento dei dati (il titolare dello studio) deve conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.
Quali sono le responsabilità del RPD?
In particolare si tratta di assicurare che i dati raccolti dallo studio rispettino gli standard di sicurezza imposti dalla normativa.
Tra gli standard citati nella normativa rientrano i seguenti.
Crittografia e pseudonimizzazione dei dati personali.
Pseudonimizzare significa nascondere le informazioni di un paziente in modo che non siano riconducibili alla sua persona. Criptare, invece, significa trasformare i dati con un algoritmo, rendendoli leggibili solo mediante apposita chiave di decriptaggio (che è un altro algoritmo).
La garanzia che i dati gestiti siano sempre disponibili, integri, recuperabili e segreti.
Dovrà essere garantito che si possa accedere ai dati in qualsiasi momento, che essi non vengano danneggiati, che non possano perdersi, che siano consultabili solo da chi ne ha diritto di accesso.
La garanzia che i dati siano sempre accessibili anche per eventi dolosi o difetti tecnici dei sistemi utilizzati.
Implicitamente, la norma raccomanda di disporre delle copie di sicurezza dei dati (backup), in quanto anche in caso di danni fisici o difetti dei dispositivi di immagazzinamento (PC, server locali, hard disk), i dati dovranno comunque essere recuperabili.
Una procedura regolare di valutazione dell’effettiva capacità di mantenimento dei dati dal punto di vista tecnico dei sistemi utilizzati.
In altre parole, il RPD dovrà effettuare test regolari per verificare l’effettivo funzionamento dei dispositivi e dei sistemi utilizzati per il trattamento dei dati, quindi suggerire eventuali aggiornamenti, sostituzioni di strumenti, componenti o processi.
Che tipo di controllo applica il RPD sullo studio?
Il monitoraggio sui dati raccolti dallo studio dovrà avvenire in modo sistematico, lo stesso varrà per la conformità delle attività svolte su di essi. Il testo non specifica nel dettaglio cosa si intende per sistematico. Tuttavia, secondo l’interpretazione del gruppo di lavoro UE, si tratta di un controllo effettuato ad intervalli regolari che avviene in un arco di tempo predefinito, quindi in modo continuo e sistematico su specifiche attività o vulnerabilità.
Che cos’è il registro delle attività?
Il nuovo Regolamento europeo sul trattamento dei dati personali impone che chi applica un qualsiasi trattamento sui dati tenga un registro delle attività di trattamento svolte. In poche parole, si tratta di un registro su cui vengono rendicontate le attività svolte sui dati dei pazienti, quindi chi ha interagito con quel documento (ad esempio un piano di cura, una fattura), cosa ha effettivamente fatto, in che data e con quale finalità lo ha fatto.
Chi deve tenere il registro delle attività sui dati?
Il GDPR prevede che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida elaborate dal gruppo di lavoro della Commissione Europea sostengono che è prassi comune affidare questo compito al RPD, qualora se ne sia nominato uno. Lo studio medico-odontoiatrico, anche qualora affidasse il compito di conservare il registro sulle attività dei dati al RPD, sarà comunque tenuto a disporre dello stesso registro, in quanto in caso di richiesta da parte della autorità di controllo, esso dovrà essere prontamente presentato.
Cosa succede in caso di violazioni da parte dello studio?
Il RPD non risponde personalmente delle violazioni commesse dallo studio, poiché spetta a chi applica il trattamento dei dati personali rispettare la normativa, quindi a chi effettivamente ha accesso ai dati dei pazienti, modifica o inserisce dati fiscali e di salute su un documento digitale o cartaceo. Facendo un esempio pratico: se lo studio condivide informazioni riservate (di salute, dati fiscali o informazioni di contatto) con un soggetto non autorizzato sarà lo studio a risponderne di fronte alle autorità giudiziarie, in quanto autore della violazione.
Cosa succede in caso di violazioni del RPD?
In caso di violazione sul trattamento dei dati personali da parte dello studio medico-odontoiatrico, il RPD non è penalizzato dal comportamento illecito del tutelato, in quanto figura autonoma di garanzia. Tuttavia, il RPD risponde della mancata realizzazione dei suoi compiti, quindi di consulenze errate o non efficaci rispetto al contratto stipulato e soprattutto risponde delle proprie violazioni riguardo alla normativa europea sul trattamento dei dati personali. Facendo un esempio concreto: nel caso in cui sia lo stesso RPD a condividere un piano di cura o una fattura con soggetti terzi non autorizzati, oppure a commettere un qualsiasi altro reato, sarà egli stesso a risponderne di fronte alle autorità.
Requisiti del RPD
Il nuovo regolamento non specifica quali saranno i requisiti formali, quindi la qualifica professionale o accademica. Tuttavia, il Garante della privacy raccomanda attenzione nella selezione del responsabile. Il RPD incaricato, infatti, dovrà avere qualità professionali adeguate al compito da svolgere, in particolare con esperienza in materia di privacy, protezione e trattamento di dati sensibili. Inoltre, un RPD dovrà avere sufficiente esperienza tecnica sui dispositivi digitali e sui sistemi di protezione dei dati informatici, tale da poterne garantire la corretta manutenzione.
Maggiori informazioni possono essere desunte dal sito del Garante per la protezione dei dati personali:
