GDPR negli studi dentistici: tutto quello che è importante sapere

Entro il 25 maggio 2018 sarà necessario uniformarsi al nuovo regolamento europeo sul trattamento dei dati personali (GDPR). L’argomento è di forte interesse, cerchiamo di fare il punto della situazione, focalizzandoci sugli aspetti fondamentali.

Il nuovo GDPR interessa anche lo studio medico ed odontoiatrico? La risposta è sì. Gli studi odontoiatrici posseggono i dati personali dei pazienti, informazioni che rilevano lo stato di salute dell’interessato e sono quindi tenuti a trattarli e conservarli nel rispetto del regolamento. E’ necessario essere informati ed attuare una serie di misure atte a proteggere i dati personali, il loro trattamento e la loro conservazione.

Obiettivo del nuovo regolamento è infatti quello di verificare che il trattamento dei dati abbia una finalità lecita, che sia svolto in modo sicuro e che l’interessato ne sia adeguatamente informato. Per garantire ciò il legislatore ha introdotto nuovi diritti per l’interessato (il paziente):

Diritto all’oblio
Per rispondere a recenti fatti di cronaca, il paziente può richiedere di eliminare od oscurare i dati che lo riguardano. Ricordiamo che in ambito sanitario è necessario conservare alcuni dati per un certo numero di anni per questioni medico/legali. In questo caso è quindi preferibile oscurare il dato invece di eliminarlo.

Diritto alla portabilità del dato
Il paziente può richiedere, e deve poter ottenere, una copia dei propri dati in un formato elettronico interscambiabile, ad esempio il formato ‘XML’.

Diritto di sapere dove vengono trattati i propri dati
Se utilizzate una soluzione che, ad esempio, fa risiedere i dati in Germania, avete il dovere di informare in merito i vostri pazienti, in quanto non tutti potrebbero essere favorevoli al fatto che i propri dati risiedano in un cloud e/o siano inviati fuori dall’Italia. Nel malaugurato caso di un futuro data crash, è consigliabile ponderare bene le conseguenze del doversi rivolgere a un tribunale e/o a un’autorità di controllo privacy non italiani per far valere, in tutto o in parte, i vostri diritti e quelli dei vostri pazienti. In generale si dovrà quindi agire in modo da rispettare i nuovi diritti dei pazienti.

Per garantire la sicurezza con cui vengono trattati i dati e la loro conservazione, il legislatore pone l’attenzione su altri aspetti.

La legge sulla Privacy prevede già da tempo che i dati siano protetti da accessi non autorizzati e che vengano effettuate tutte le azioni necessarie per garantirne sicurezza ed integrità, come ad esempio l’obbligo di effettuare copie di sicurezza periodiche degli stessi.

Il nuovo GDPR precisa ulteriormente questi aspetti e ne inasprisce le conseguenze in caso di inadempimento.

Introduce il concetto di ‘Privacy By Design’, nuovo elemento chiave nella legislazione sulla protezione dei dati personali che prevede che le soluzioni informatiche utilizzate per il trattamento dei dati siano progettate e realizzate già con l’obiettivo intrinseco di proteggere la privacy degli interessati. Ecco alcuni requisiti tecnici essenziali:
- L’accesso ai software che trattano i dati dovranno essere regolati da un sistema di credenziali. Ogni operatore dovrà avere una propria ID e password univoca che determini a quali dati potrà accedere in base al proprio ruolo.
- Sarà necessario dimostrare di avere una procedura attiva di backup dei dati, che ne prevenga l’eventuale perdita accidentale. Per verificare l’efficacia del sistema di backup sarà necessario provare di aver effettuato i test di ripristino dei dati. I software dovranno predisporre strumenti di protezione del dato per impedire accessi fraudolenti e violazioni della privacy: ad esempio la criptazione consente di trasformare i dati tramite uno specifico algoritmo, rendendoli leggibili solo attraverso un’apposita procedura di decriptaggio.

In caso si forniscano i dati dei pazienti a soggetti terzi (come nel caso del laboratorio odontotecnico), per adempiere alla nuova normativa è possibile intraprendere due strade:
- La pseudonimizzazione del dato: utilizzando cioè un codice casuale invece dei dati che possano ricondurre all’identificazione del paziente.
-Incaricare il laboratorio come responsabile del trattamento dei dati e richiedendo quindi anche a lui l’adempimento degli obblighi previsti dal GDPR.

Il risultato di tutte le azioni e verifiche riportate sopra dovrà quindi confluire in un ‘Registro dei trattamenti’.

Chi è tenuto a garantire tutti questi aspetti? La risposta è ‘il titolare del trattamento’, che solitamente è il professionista o il legale rappresentante della società. Questa informazione deve essere fornita sul consenso al trattamento dei dati che il paziente deve obbligatoriamente firmare prima di iniziare qualsiasi tipo di cura. Il titolare del trattamento è sempre il primo responsabile verso i terzi; non è previsto quindi che possa esonerarsi tramite “incarichi” esterni di natura tecnica, sui quali, anzi, è necessario prestare molta attenzione proprio per evitare futuri problemi legati alla perdita del dato o alla difficoltà di controllo del processo di trattamento dello stesso. Quest’ultimo aspetto merita una particolare attenzione nel caso si utilizzi un sistema in Cloud, poiché è sempre il titolare dei dati il primo responsabile. Esternalizzando i dati potrebbe non essere semplice ed immediato entrarne in possesso in caso di necessità.

Il GDPR, una volta stabilite le misure di sicurezza adeguate, chiede anche di valutare preventivamente quali possano essere i rischi per la privacy delle persone e quali le misure per affrontarli; la cosiddetta ‘Valutazione di impatto’.