Nuccio Sciacca
Direttore responsabile
Email: nucciosciacca@cataniamedica.it
Organo Ufficiale di Informazione e Formazione dell'Ordine dei Medici Chirurghi e degli Odontoiatri della Provincia di Catania
Importante scadenza per medici ed odontoiatri: sta per entrare in vigore il famigerato GDPR. Il GDPR è il nuovo Regolamento europeo sul trattamento dei dati personali, pubblicato come Regolamento EU 679/2016 ma in applicazione a partire, appunto, dal 25 maggio 2018. All’interno del regolamento vengono sancite le nuove regole sul trattamento dei dati personali ad opera di enti privati o pubblici, nonché i nuovi standard di protezione degli stessi dati. Il GDPR introduce nuove norme sul trattamento dei dati personali e quindi dei pazienti, cioè sul trattamento di tutte le informazioni e i dati che lo studio medico, odontoiatrico e professionale ottiene dai pazienti, sul modo in cui lo studio interagisce con questi dati e sul modo in cui li conserva. Le norme prevedono la nomina di un Responsabile della Protezione dei Dati (RPD) che si occuperà di verificare la conformità dello studio alle nuove norme in qualità di consulente, ma soprattutto fornirà istruzioni e raccomandazioni su come agire praticamente a norma di legge. Le istruzioni fornite dal RPD riguarderanno, tra l’altro, il controllo di accesso ai dati, la protezione delle informazioni personali, il corretto mantenimento dei dispositivi che detengono i dati e, soprattutto, la compilazione del registro di tutte le attività eseguite sui dati dei pazienti. Il Responsabile della Protezione dei Dati Personali (RPD) è una nuova figura designata dal titolare dello studio medico, odontoiatrico e professionale (cioè il principale responsabile del trattamento dei dati), responsabile di aiutare lo studio a mantenersi conforme alle nuove regole sulla protezione della privacy. Il RPD funge da intermediario tra lo studio e le autorità di controllo, in particolare le autorità giudiziarie ed il Garante della Privacy. Le sue attività consistono nel monitoraggio sistematico dell’adeguatezza del trattamenti dei dati sensibili, nonché dei sistemi utilizzati per la protezione dei dati. La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 GDPR). Nel testo del GDPR non viene specificata la misura o la quantità di dati definita “larga scala” e al momento le stessa Commissione Europea, nonché il Garante della Privacy, interpretano la norma in modo diverso sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici. Secondo il Considerando 91, infatti, gli studi medici, odontoiatrici e professionali con un solo titolare del trattamento dei dati personali dei pazienti non sono obbligati a nominare un RPD. Tuttavia, se lo studio medico è convenzionato con il SSN, il Garante della Privacy raccomanda fortemente di nominare un RPD. Maggiori chiarimenti saranno forniti prossimamente dal Garante della Privacy, per cui occorrerà attendere il lavoro del Legislatore per una definizione definitiva. Tuttavia, essere eventualmente esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte le responsabilità e dalle attività sancite dal GDPR. I requisiti di protezione dei dati sanciti dall’Art. 32, il controllo degli accessi ed il registro delle attività sancite dall’Art. 30 sono comunque previsti dal nuovo regolamento, quindi dovranno essere realizzati e verificabili dalle autorità di controllo. Per soddisfare questi requisiti, lo studio medico-odontoiatrico può comunque decidere di nominare un RPD, anche qualora non ne fosse obbligato. Nel caso di nomina di un RPD, sia essa obbligatoria o volontaria, occorre seguire le linee-guida descritte nelle domande successive. Il RPD deve essere sempre facilmente accessibile dallo studio (Art. 4 GDPR), tuttavia il nuovo regolamento europeo sul trattamento dei dati personali non impone dei limiti concreti di localizzazione del responsabile nominato. La funzione di RPD può essere svolta da un fornitore esterno di servizi e non deve necessariamente essere un dipendente effettivo dello studio medico-odontoiatrico, purché la funzione sia esercitata sulla base di un contratto stipulato tra il titolare dello studio ed una persona fisica oppure giuridica (Art. 36 GDPR), quindi una società. Per fare un esempio: lo studio delega la responsabilità al fornitore del proprio software gestionale (attraverso un accordo sul trattamento dei dati che fornisce il fornitore del software), che nominerà un RPD per tutti i dati contenuti nei propri server e gestiti attraverso il software. Ma occorre fare attenzione, poiché questo sarà possibile solo nel caso in cui il gestionale sia un software in cloud , dato che la tecnologia cloud permette di controllare alla fonte tutti i dati degli studi. Gli studi che utilizzano un software in cloud, infatti, interagiscono con dati contenuti in un server remoto e non sul pc locale. Per questo motivo, la società fornitrice del software ha la responsabilità di nominare un RPD ed attenersi a tutte le normative del GDPR, senza che la nomina del RPD ricada sullo studio. Per tutti gli altri eventuali dati che lo studio conserva fisicamente sui propri dispositivi (o in cartaceo), invece, il responsabile del trattamento dei dati (il titolare dello studio) deve conformarsi alle norme sancite dal GDPR sotto la propria responsabilità. L’attività principale del RPD è il mantenimento della conformità al nuovo regolamento europeo sul trattamento dei dati personali all’interno dello studio medico, odontoiatrico e professionale (Art. 39 GDPR). Le misure prese dal RPD saranno conseguenti ad un’apposita valutazione di rischio elaborata dal RPD, eseguita con specifico riferimento alla tutela dei dati personali gestiti all’interno degli studi medico-odontoiatrici. In particolare si tratta di assicurare che i dati raccolti dallo studio rispettino gli standard di sicurezza imposti dalla normativa (Art. 32 GDPR).
Tra gli standard citati nella normativa ci sono:
Pseudonimizzare significa nascondere le informazioni di un paziente in modo che non siano riconducibili alla sua persona. Criptare, invece, significa trasformare i dati con un algoritmo, rendendoli leggibili solo mediante apposita chiave di decriptaggio (che è un altro algoritmo).
In altre parole, il RPD dovrà effettuare test regolari per verificare l’effettivo funzionamento dei dispositivi e dei sistemi utilizzati per il trattamento dei dati, quindi suggerire eventuali aggiornamenti, sostituzioni di strumenti, componenti o processi. Il RPD è responsabile di controllare la conformità dello studio rispetto al nuovo regolamento europeo sul trattamento dei dati personali (Art. 39, Par. 1 GDPR). Il monitoraggio sui dati raccolti dallo studio dovrà avvenire in modo sistematico, lo stesso varrà per la conformità delle attività svolte su di essi (Art. 35 GDPR). Il testo non specifica nel dettaglio cosa si intende per sistematico. Tuttavia, secondo l’interpretazione del Gruppo di Lavoro UE, si tratta di un controllo effettuato ad intervalli regolari che avviene in un arco di tempo predefinito, quindi in modo continuo e sistematico su specifiche attività o vulnerabilità. Il controllo costante dei rischi sulla sicurezza dei dati dei pazienti e soprattutto le raccomandazioni che il RPD fornirà allo studio per migliorare i punti deboli dovranno garantire il livello di sicurezza dei dati gestiti dallo studio medico odontoiatrico, quindi la sua conformità alla nuova normativa sulla protezione dei dati.
Il nuovo regolamento europeo sul trattamento dei dati personali impone che chi applica un qualsiasi trattamento sui dati tenga un registro delle attività di trattamento svolte (Art. 30 GDPR). In poche parole, si tratta di un registro dove vengono rendicontate le attività svolte sui dati dei pazienti, quindi chi ha interagito con quel documento (ad esempio un piano di cura, una fattura), cosa ha effettivamente fatto, in che data e con quale finalità. Il GDPR all’Art. 30 prevede che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida elaborate dal Gruppo di Lavoro della Commissione Europea sostengono che è prassi comune affidare questo compito al RPD, qualora se ne sia nominato uno. Lo studio medico odontoiatrico, anche qualora affidasse il compito di conservare il registro sulle attività dei dati al RPD sarà comunque tenuto a disporre dello stesso registro, in quanto in caso di richiesta da parte della autorità di controllo, esso dovrà essere prontamente presentato. Il RPD non risponde personalmente delle violazioni commesse dallo studio, poiché spetta a chi applica il trattamento dei dati personali rispettare la normativa (Art.24 GDPR), quindi a chi effettivamente ha accesso ai dati dei pazienti, modifica o inserisce dati fiscali e di salute su un documento digitale o cartaceo.
Facendo un esempio pratico: se lo studio condivide informazioni riservate (di salute, dati fiscali o informazioni di contatto) con un soggetto non autorizzato sarà lo studio a risponderne di fronte alle autorità giudiziarie, in quanto autore della violazione. In caso di violazione sul trattamento dei dati personali da parte dello studio medico odontoiatrico, il RPD non è penalizzato dal comportamento illecito del tutelato, in quanto figura autonoma di garanzia (Art. 38, Par. 3 GDPR). Tuttavia, il RPD risponde della mancata realizzazione dei suoi compiti, quindi di consulenze errate o non efficaci rispetto al contratto stipulato e soprattutto risponde delle proprie violazioni riguardo alla normativa europea sul trattamento dei dati personali. Facendo un esempio concreto: nel caso in cui sia lo stesso RPD a condividere un piano di cura o una fattura con soggetti terzi non autorizzati, oppure a commettere un qualsiasi altro reato, sarà egli stesso a risponderne di fronte alle autorità. Il nuovo regolamento non specifica quali saranno i requisiti formali, quindi la qualifica professionale o accademica. Tuttavia, il Garante della Privacy raccomanda attenzione nella selezione del responsabile. Il RPD incaricato, infatti, dovrà avere qualità professionali adeguate al compito da svolgere, in particolare con esperienza in materia di privacy, protezione e trattamento di dati sensibili (Art. 37). Inoltre, un RPD dovrà avere sufficiente esperienza tecnica sui dispositivi digitali e sui sistemi di protezione dei dati informatici, tale da poterne garantire la corretta manutenzione. Per il momento, le istituzioni e le autorità non hanno fornito indicazioni specifiche al riguardo. Non appena saranno disponibili indicazioni specifiche, provvederemo ad aggiornare il nostro articolo con riferimenti più precisi. Ad ogni modo, i modelli per la nomina dell’RPD sono già disponibili sul sito del Garante della Privacy italiano, in particolare sarà necessario compilare l’atto di designazione ed il modello di comunicazione della nomina da inviare al Garante stesso.
Direttore responsabile
Email: nucciosciacca@cataniamedica.it
Catania Medica, bollettino ufficiale dell’Ordine dei Medici e degli Odontoiatri della Provincia di Catania, da anni svolge l’importante ruolo di fornire a tutti gli iscritti le novità e gli aggiornamenti della professione medica.