Saperne di più
approfondimento scientifico
Privacy 2018 - istruzioni per l'uso
Le novità e gli adempimenti relativi al nuovo Regolamento UE per la privacy
I fatti
Entro il 25/5/2018 deve trovare la piena applicazione il “Regolamento europeo in materia di protezione dei dati personali - UE 2016/679” (GDPR - General Data Protection Regulation), con il quale l’Unione Europea ha posto l'obiettivo di rafforzare la protezione dei dati personali e impedirne la condivisione non autorizzata.
Il Garante italiano per la Privacy ha redatto una breve guida all’applicazione del Regolamento UE.
Il Parlamento italiano, a cavallo fra vecchia e nuova legislatura, ad oggi (23/5/2018) non ha ancora emanato la norma attuativa.
Pediatria On Line e Camilla hanno preparato una soluzione chiavi in mano, semplice e gratuita, a disposizione dei colleghi.
La teoria: sembra complicato, ma...
Il sistema è evidentemente pensato per situazioni d’uso complesse (tipo social network, banche, ospedali) e nelle nostre realtà ha comunque impatto contenuto.
Tuttavia è utile conoscerne i punti essenziali, per capire in cosa consistono le novità e quale sia il migliore approccio da tenere:
interesse legittimo
- il trattamento dei dati deve fondarsi su un interesse legittimo (del titolare o di un terzo): nel nostro caso, l’esercizio di un compito di tutela della salute previsto da norme e contratti nazionali
approccio basato sul rischio
- “responsabilizzazione” di titolari e responsabili sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure idonee alla tutela dei dati
- protezione dei dati a partire dalla fase di configurazione dell’organizzazione, a monte del trattamento vero e proprio (analisi preventiva e attività specifiche e dimostrabili)
registro dei trattamenti
- registro delle operazioni di trattamento (ricognizione dei trattamenti svolti e delle rispettive caratteristiche)
- valutazione e analisi del rischio
- misure di sicurezza
notifica delle violazioni
- tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”
- soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati
- documentare le violazioni (registro)
informativa
- deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice
- il titolare deve specificare la propria identità, le finalità del trattamento, i diritti degli interessati e quali sono i destinatari dei dati; inoltre, l’eventuale responsabile del trattamento e la sua identità (per noi, la società che gestisce la cartella clinica informatizzata)
- deve precedere la raccolta dei dati
consenso
- deve essere informato: informativa comprensibile, semplice e chiara
- deve essere esplicito: non è ammesso il tacito consenso, né quello presunto (tipo caselle già spuntate)
- deve essere dimostrabile; pur non essendo l’unica forma possibile, la firma per iscritto certamente è modalità idonea
diritti degli interessati
- diritto di accesso: in ogni caso l’interessato ha il diritto di ricevere una copia dei dati personali oggetto di trattamento
- diritto “all’oblio”: un diritto alla cancellazione dei propri dati personali, anche dopo revoca del consenso al trattamento
- diritto di limitazione del trattamento: l’interessato può chiedere la rettifica dei dati o opporsi al loro trattamento; esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante)
- diritto alla portabilità dei dati: si applica solo ai trattamenti automatizzati (non cartacei); sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio) e solo i dati che siano stati “forniti” dall’interessato al titolare
titolare, responsabile, incaricato
- titolare: il medico
- contitolari: i medici in rete
- responsabile: la società che gestisce il software di studio
- incaricato: il personale di studio, l’operatore della teleassistenza (“persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”)
- responsabile della protezione dei dati (RPD-DPO): previsto solo per organizzazioni complesse (ospedali, ecc), non si applica agli studi medici
- il titolare designa l’eventuale responsabile del trattamento con un contratto, attribuendogli specifici compiti e indicando la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento
La pratica: poche semplici cose e sei a posto!
Cose da fare
Redigere il registro dei trattamenti
- censire cosa e come viene trattato, con quali rischi e quali contromisure
- Pediatria On Line e Camilla forniscono un fac-simile di registro dei trattamenti, precompilato per le normali situazioni d’uso e modificabile dall’interessato secondo le proprie specifiche necessità
Prima di procedere alla raccolta dei dati personali, fornire l’informativa alla persona presso cui si raccolgono i dati (l’interessato) e raccogliere il consenso al trattamento
- informativa affissa in sala d’attesa
- carta dei servizi affissa in sala d’attesa
- foglio di consenso intestato e firmato (se situazione conflittuale, da entrambi i genitori; se tutore, verificare l’identità con un documento)
- Pediatria On Line e Camilla forniscono un fac-simile di informativa, nonchè l’opportunità di configurare il proprio “studio online” sul sito pediatria.it (dove ospitare carta dei servizi e informativa pubblica)
- Camilla fornisce un avviso di “raccogliere consenso” (diverso dai precedenti, che rimangono salvati), che viene disattivato quando viene stampata l’informativa
Notificare al Garante l’eventuale avvenuta violazione dei dati trattati (effrazioni o comunque violazioni dell’accesso fisico in studio; attacchi informatici; smarrimento o furto di pc)
- da non fare se i dati erano cifrati o se il titolare ha rimediato ad eventuali condizioni di “rischio elevato a diritti e libertà delle persone”
- Pediatria On Line e Camilla forniscono un fac-simile di notifica di avvenuta violazione
Rifare i contratti di incarico fra medico e società di software
- Camilla provvederà nelle prossime settimane a far firmare un nuovo contratto di incarico, che si rifaccia esplicitamente al nuovo Regolamento UE
Rifare i contratti di incarico al personale di studio e ai sostituti
Definire procedure scritte per la riduzione del rischio (e condividerle con il personale di studio)
- se presente il medico o il personale di studio, evitare che materiale sensibile sia accedibile/leggibile da terzi
- se assente, l’accesso ai dati deve essere precluso (chiudere a chiave stanze, armadi, schedari e contenitori; spegnere i computer o fare il logout "disconnessione" dell'account)
- prestare attenzione all’identità di coloro ai quali si comunicano dati (familiari incaricati al ritiro di ricette o documenti, interlocutori al telefono, destinatari di fax)
- tenere copia (foto, scanner) dei documenti di consenso, da salvare in cartella protetta
- prestare attenzione agli attacchi informatici (utilizzo dei pc solo per lavoro; utilizzo di versioni aggiornate del sistema operativo, no Windows Xp e Vista; attivazione antivirus nativo di Windows; utilizzare account distinti per ogni operatore; non aprire allegati di posta elettronica se non provenienti da fonti certe; utilizzare password complesse; utilizzare procedure di backup o programmi gestionali che le contemplino in automatico; custodire supporti esterni, tipo chiavette USB o hard-disk esterni, meglio se criptandone i dati; distruggere eventuali supporti di dati non più funzionanti)
Cose da non fare
- non lasciare incustodita la postazione di lavoro. Se ci si deve allontanare, non lasciare l’account loggato. A fine lavoro, spegnere il pc o effettuare il logout dell’account.
- non lasciare nulla a disposizione di estranei (ricette, chiavette USB, dischetti, fogli, cartelle). Utilizzare cassetti o mobili richiudibili con chiave o stanze con porte chiuse a chiave.
- non cestinare materiale leggibile: se contiene dati sensibili utilizzare il distruggi-documenti
- non consegnare documentazione sanitaria a persone diverse dai genitori del paziente, se non esplicitamente citate nel documento di consenso
Risposte a domande frequenti
è lecita la corrispondenza via chat (Whatsapp, Messenger, ecc) o email?
- Whatsapp garantisce la cifratura dei dati, per cui potrebbe essere considerato un sistema protetto
- l’email non è un sistema protetto (in teoria, il provider della posta potrebbe estrarre il dato), ma può diventarlo se i dati sensibili sono inviati come allegato protetto da password o criptato
quanto tempo ho per fare firmare i consensi?
- non ci sono scadenze, l’importante è avviare la procedura: affiggere l’informativa e, man mano che i pazienti verranno in studio, raccogliere il consenso
tocca alle software-house occuparsi della privacy?
- non esattamente: le software house vengono incaricate al trattamento (come responsabile, dunque un incarico “forte” che si fonda su requisiti specifici di qualità e sicurezza), ma il resto degli adempimenti è a cura del singolo medico
serve un sistema informatico per gestire la privacy?
- no, serve pensare all'organizzazione dello studio, generare i documenti necessari, formalizzare gli incarichi e raccogliere i consensi
- per tutto questo è possibile adottare un pacchetto informatizzato, ma ovviamente anche no
è obbligatorio partecipare a corsi sulla privacy? serve un attestato?
- informarsi è sempre una buona cosa, ma la risposta è "no, non serve nessuna qualifica ufficiale": è sufficiente adottare le misure corrette
il consenso va fatto firmare in duplice copia?
- la copia necessaria è una, qualle che verrà costudita presso lo studio; una eventuale altra copia può essere lasciata al paziente, se lo richiede
cosa fare del registro dei trattamenti?
- si deve poter dimostrare che esiste: va compilato, stampato e custodito col resto della documentazione
Documenti e link utili
22/5/2018
22/5/2018