indietro
Data Protection: la Nuova Privacy.
Blog Bioservice Matrix

Il Decreto Legislativo 10 Agosto 101/2018 riguardante l’adeguamento del Codice della Privacy italiano a quanto disposto dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio 27 aprile 2016 che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) è stato pubblicato in Gazzetta Ufficiale il 4 settembre 2018.
Il decreto legislativo ha introdotto disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDRP, il Regolamento Europeo relativo alla protezione e circolazione dei dati personali.
Il GDPR (General Data Protection Regulation) nasce da precise esigenze messe in luce dalla Commissione Europea riguardo la certezza giuridica, l’armonizzazione e la sempre maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo.

L’obiettivo del Governo italiano è stato quello di semplificare l’applicazione della norma, adeguandola al codice della Privacy già esistente.
Il quadro giuridico è attualmente composto da

  • – la disciplina del GDPR, il “nuovo” Codice Privacy
  • – gli articoli del nuovo Decreto Lgs 101/2018 che danno indicazioni su come gestire la restante disciplina

In area sanitaria la grande novità è il venir meno dell’obbligo di consenso del trattamento dati personali quando i dati sono trattati per finalità di diagnosi e cura.
Prima veniva richiesto il consenso a 360 gradi, ora il Sistema chiede di interrogarsi e capire quali sono le ragioni per cui vengono trattati i dati; si deve valutare perciò la finalità d’impiego e cioè se il fine è strettamente legato alla cura o alla promozione.
E’ un approccio decisamente meno burocratico, in quanto non si deve richiedere il consenso per il trattamento, ma più oneroso a livello di analisi poiché richiede un’ attenzione particolare ai processi di elaborazione e altrettanta scrupolosità nel seguire il fondamento impartito dalla Norma.

In sintesi le novità più rilevanti introdotte:

  • Non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura
  • L’obbligo di informativa al Paziente continua ad essere reso in area sanitaria con modalità semplificate
  • Il Garante ha il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese
  • L’applicazione delle sanzioni dovrà tenere conto, per i primi otto mesi dalla data di entrata in vigore del Decreto, della fase di prima applicazione delle sanzioni stesse

Riprendendo l’ultimo punto citato “le sanzioni”, il 19 Settembre è entrato in vigore il Decreto 10 Agosto 2018 sulla Privacy e ciò ha determinato l’introduzione di controlli ed eventuali penali, anche se identificare quest’ultime come conseguenza agli inadempienti non è così intuitivo.
Il caso più frequente, che possa comportare per lo studio odontoiatrico un rischio reale di sanzioni, è quello del contenzioso sollevato da pazienti insoddisfatti che inevitabilmente comporta una verifica gestionale-amministrativa in tutte le aree, compresa quella del trattamento dati.

In attesa che vengano ulteriormente chiarite, snellite e ridotte alcune modulistiche, gli adempimenti a cui non può sottrarsi lo studio odontoiatrico sono:

    • – Documento di Privacy per i pazienti da far firmare con le autorizzazioni al trattamento dei dati e autorizzazione ad eventuali comunicazioni via sms, email, web.
    • – Documento di autorizzazione al trattamento dei dati personali dei Pazienti da far firmare ai dipendenti e ai collaboratori
    • – Documento informativo per il trattamento dei dati personali da far firmare ai nostri dipendenti e collaboratori.
    •  -Contratto coi Responsabili del Trattamento Dati (Consulenti contabili e del lavoro, laboratorio odontotecnico etc).
    •  -Registro dei trattamenti

Il registro deve avere forma scritta anche in solo “formato elettronico”, così come prevede il terzo comma del medesimo art. 30 GDPR.
Deve essere costantemente aggiornato (sia quello del titolare che quello del responsabile del trattamento) e tenere traccia delle modifiche (relative a modalità, finalità, categorie di dati, categorie di interessati del trattamento).
Deve riportare sia la data della sua prima creazione sia la data dell’ultimo aggiornamento. Il registro è un importante strumento di accountability (“rendicontabilità”) perché serve a comprovare il rispetto dei principi applicati al trattamento dei dati personali. Il registro delle attività di trattamento è uno strumento utile (sia al titolare che al responsabile) per dimostrare come siano stati costantemente applicati i principi del GDPR e come si sia adempiuto agli obblighi derivanti dal trattamento dei dati personali (ciò consente di uscire “vincitori” in casi di contenzioso con Pazienti).
Mentre il DPO, acronimo di Data Protection Officer cioè “Responsabile della protezione dei dati”, non dovrebbe essere necessario per la quasi totalità degli studi odontoiatrici, infatti quasi nessuno tratta big data cioè “grandi numeri” (al contrario delle aziende ospedaliere in cui è necessario questo tipo di figura professionale)

La materia che tratta la segretezza dei dati personali, nell’epoca della rivoluzione digitale in ambito burocratico, non è di poco conto e merita attenzione costante.

Linea Implantare Matrix e BioService continuano lo studio della Norma e le evoluzioni del caso per tenervi sempre aggiornati.

Condividi: