Privacy 2018 - istruzioni per l'uso

I fatti

Entro il 25/5/2018 deve trovare la piena applicazione il  “Regolamento europeo in materia di protezione dei dati personali - UE 2016/679” (GDPR  - General Data Protection Regulation), con il quale l’Unione Europea ha posto l'obiettivo di rafforzare la protezione dei dati personali e impedirne la condivisione non autorizzata.

Il Garante italiano per la Privacy ha redatto una breve guida all’applicazione del Regolamento UE.

Il Parlamento italiano, a cavallo fra vecchia e nuova legislatura, ad oggi (23/5/2018) non ha ancora emanato la norma attuativa.

Pediatria On Line e Camilla hanno preparato una soluzione chiavi in mano, semplice e gratuita, a disposizione dei colleghi.

La teoria: sembra complicato, ma...

Il sistema è evidentemente pensato per situazioni d’uso complesse (tipo social network, banche, ospedali) e nelle nostre realtà ha comunque impatto contenuto.
Tuttavia è utile conoscerne i punti essenziali, per capire in cosa consistono le novità e quale sia il migliore approccio da tenere:

interesse legittimo

• il trattamento dei dati deve fondarsi su un interesse legittimo (del titolare o di un terzo): nel nostro caso, l’esercizio di un compito di tutela della salute previsto da norme e contratti nazionali

approccio basato sul rischio

• “responsabilizzazione” di titolari e responsabili sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure idonee alla tutela dei dati
• protezione dei dati a partire dalla fase di configurazione dell’organizzazione, a monte del trattamento vero e proprio (analisi preventiva e attività specifiche e dimostrabili)

registro dei trattamenti

• registro delle operazioni di trattamento (ricognizione dei trattamenti svolti e delle rispettive caratteristiche)
• valutazione e analisi del rischio
• misure di sicurezza

notifica delle violazioni

• tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”
• soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati
• documentare le violazioni (registro)

informativa

• deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice
• il titolare deve specificare la propria identità, le finalità del trattamento, i diritti degli interessati e quali sono i destinatari dei dati; inoltre, l’eventuale responsabile del trattamento e la sua identità (per noi, la società che gestisce la cartella clinica informatizzata)
• deve precedere la raccolta dei dati

consenso

• deve essere informato: informativa comprensibile, semplice e chiara
• deve essere esplicito: non è ammesso il tacito consenso, né quello presunto (tipo caselle già spuntate)
• deve essere dimostrabile; pur non essendo l’unica forma possibile, la firma per iscritto certamente è modalità idonea

diritti degli interessati

• diritto di accesso: in ogni caso l’interessato ha il diritto di ricevere una copia dei dati personali oggetto di trattamento
• diritto “all’oblio”: un diritto alla cancellazione dei propri dati personali, anche dopo revoca del consenso al trattamento
• diritto di limitazione del trattamento: l’interessato può chiedere la rettifica dei dati o opporsi al loro trattamento; esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante)
• diritto alla portabilità dei dati: si applica solo ai trattamenti automatizzati (non cartacei); sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio) e solo i dati che siano stati “forniti” dall’interessato al titolare

titolare, responsabile, incaricato

• titolare: il medico
• contitolari: i medici in rete
• responsabile: la società che gestisce il software di studio
• incaricato: il personale di studio, l’operatore della teleassistenza (“persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”)
• responsabile della protezione dei dati (RPD-DPO): previsto solo per organizzazioni complesse (ospedali, ecc), non si applica agli studi medici
• il titolare designa l’eventuale responsabile del trattamento con un contratto, attribuendogli specifici compiti e indicando la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento

La pratica: poche semplici cose e sei a posto!

Cose da fare

Redigere il registro dei trattamenti

• censire cosa e come viene trattato, con quali rischi e quali contromisure
• Pediatria On Line e Camilla forniscono un fac-simile di registro dei trattamenti, precompilato per le normali situazioni d’uso e modificabile dall’interessato secondo le proprie specifiche necessità

Prima di procedere alla raccolta dei dati personali, fornire l’informativa alla persona presso cui si raccolgono i dati (l’interessato) e raccogliere il consenso al trattamento

• informativa affissa in sala d’attesa
• carta dei servizi affissa in sala d’attesa
• foglio di consenso intestato e firmato (se situazione conflittuale, da entrambi i genitori; se tutore, verificare l’identità con un documento)
• Pediatria On Line e Camilla forniscono un fac-simile di informativa, nonchè l’opportunità di configurare il proprio “studio online” sul sito pediatria.it (dove ospitare carta dei servizi e informativa pubblica)
• Camilla fornisce un avviso di “raccogliere consenso” (diverso dai precedenti, che rimangono salvati), che viene disattivato quando viene stampata l’informativa

Notificare al Garante l’eventuale avvenuta violazione dei dati trattati (effrazioni o comunque violazioni dell’accesso fisico in studio; attacchi informatici; smarrimento o furto di pc)

• da non fare se i dati erano cifrati o se il titolare ha rimediato ad eventuali condizioni di “rischio elevato a diritti e libertà delle persone”
• Pediatria On Line e Camilla forniscono un fac-simile di notifica di avvenuta violazione

Rifare i contratti di incarico fra medico e società di software

• Camilla provvederà nelle prossime settimane a far firmare un nuovo contratto di incarico, che si rifaccia esplicitamente al nuovo Regolamento UE

Rifare i contratti di incarico al personale di studio e ai sostituti

• Pediatria On Line e Camilla forniscono un fac-simile di lettera di incarico a personale di studio e a sostituti

Definire procedure scritte per la riduzione del rischio (e condividerle con il personale di studio)

• se presente il medico o il personale di studio, evitare che materiale sensibile sia accedibile/leggibile da terzi
• se assente, l’accesso ai dati deve essere precluso (chiudere a chiave stanze, armadi, schedari e contenitori; spegnere i computer o fare il logout "disconnessione" dell'account)
• prestare attenzione all’identità di coloro ai quali si comunicano dati (familiari incaricati al ritiro di ricette o documenti, interlocutori al telefono, destinatari di fax)
• tenere copia (foto, scanner) dei documenti di consenso, da salvare in cartella protetta
• prestare attenzione agli attacchi informatici (utilizzo dei pc solo per lavoro; utilizzo di versioni aggiornate del sistema operativo, no Windows Xp e Vista; attivazione antivirus nativo di Windows; utilizzare account distinti per ogni operatore; non aprire allegati di posta elettronica se non provenienti da fonti certe; utilizzare password complesse; utilizzare procedure di backup o programmi gestionali che le contemplino in automatico; custodire supporti esterni, tipo chiavette USB o hard-disk esterni, meglio se criptandone i dati; distruggere eventuali supporti di dati non più funzionanti)

Cose da non fare

• non lasciare incustodita la postazione di lavoro. Se ci si deve allontanare, non lasciare l’account loggato. A fine lavoro, spegnere il pc o effettuare il logout dell’account.
• non lasciare nulla a disposizione di estranei (ricette, chiavette USB, dischetti, fogli, cartelle). Utilizzare cassetti o mobili richiudibili con chiave o stanze con porte chiuse a chiave.
• non cestinare materiale leggibile: se contiene dati sensibili utilizzare il distruggi-documenti
• non consegnare documentazione sanitaria a persone diverse dai genitori del paziente, se non esplicitamente citate nel documento di consenso

Risposte a domande frequenti

è lecita la corrispondenza via chat (Whatsapp, Messenger, ecc) o email?

• Whatsapp garantisce la cifratura dei dati, per cui potrebbe essere considerato un sistema protetto
• l’email non è un sistema protetto (in teoria, il provider della posta potrebbe estrarre il dato), ma può diventarlo se i dati sensibili sono inviati come allegato protetto da password o criptato

quanto tempo ho per fare firmare i consensi?

• non ci sono scadenze, l’importante è avviare la procedura: affiggere l’informativa e, man mano che i pazienti verranno in studio, raccogliere il consenso

tocca alle software-house occuparsi della privacy?

• non esattamente: le software house vengono incaricate al trattamento (come responsabile, dunque un incarico “forte” che si fonda su requisiti specifici di qualità e sicurezza), ma il resto degli adempimenti è a cura del singolo medico

serve un sistema informatico per gestire la privacy?

• no, serve pensare all'organizzazione dello studio, generare i documenti necessari, formalizzare gli incarichi e raccogliere i consensi
• per tutto questo è possibile adottare un pacchetto informatizzato, ma ovviamente anche no

è obbligatorio partecipare a corsi sulla privacy? serve un attestato?

• informarsi è sempre una buona cosa, ma la risposta è "no, non serve nessuna qualifica ufficiale": è sufficiente adottare le misure corrette

il consenso va fatto firmare in duplice copia?

• la copia necessaria è una, qualle che verrà costudita presso lo studio; una eventuale altra copia può essere lasciata al paziente, se lo richiede

cosa fare del registro dei trattamenti?

• si deve poter dimostrare che esiste: va compilato, stampato e custodito col resto della documentazione

Documenti e link utili

• Garante italiano per la Privacy: breve guida all’applicazione del Regolamento UE
• Pediatria On Line - Camilla: facsimile di registro dei trattamenti
• Pediatria On Line - Camilla: facsimile di informativa ai pazienti
• Pediatria On Line - Camilla: facsimile di lettera di incarico a personale di studio
  
• Pediatria On Line - Camilla: facsimile di lettera di incarico a medico sostituto
  
• Pediatria On Line - Camilla: facsimile di lettera di incarico a commercialista
• Garante italiano per la Privacy: modello di notifica delle violazioni
• Pediatria On Line: servizio "studi on line" per pubblicare informativa e carta dei servizi

22/5/2018

22/5/2018

Alla tastiera...

Stai navigando come utente anonimo. Nessun problema per noi, ma in questo modo non potrai accedere alle pagine riservate ai Pediatri.

Se non lo hai ancora fatto, iscriviti.

Se sei già iscritto,
fatti riconoscere.

ICP provider ECM

ICP è provider nazionale ECM accreditato standard Agenas per eventi residenziali, formazione a distanza e formazione sul campo.