Il 25 maggio 2018 dovrà essere pienamente implementato il Reg.Ue 679/2016 in materia di privacy e data protection (c.d GDPR). La disciplina – che trova piena applicazione anche per la PA, e quindi ASL e ospedali – è fortemente impattante sull’intero assetto organizzativo interno: introduce infatti un nuovo modo di pensare e gestire il trattamento dei dati.
Lungi dall’essere dunque un mero o aggiornamento della disciplina precedente, il Regolamento richiede di effettuare una analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte (c.d. principio dell’accountability): richiede quindi anche il coinvolgimento di competenze trasversali (legali, di sistema ed informatiche). La normativa in generale prevede quindi che da un lato il medico o il personale sanitario abbia maggiore cura e sicurezza nella gestione del dato sensibile, utilizzando strumenti sicuri ed efficienti e dall'altro lato il paziente maggiore controllo ed accesso ai propri dati sanitari aggiornati. Seguirà nei prossimi giorni una guida più "smart" per poter comprendere meglio alcuni aspetti di questa nuova normativa e delle implementazioni che comporta.
Da dove cominciare allora?
Abbiamo identificato 10 step che possono essere seguiti per l’implementazione:
1) conoscenza del nuovo Regolamento
Il Reg. 679/2016 sostituirà in toto la dir 95/46/CE: si tratta di un provvedimento più complesso rispetto alla Direttiva e che arriva (dopo oltre 20 anni) a regolare una realtà sostanzialmente diversa da quella del ’95 e sempre più digitale. Occorre capirne i punti cardine e la ratio di fondo, nonché costituire un team di soggetti che opera in sinergia per l’implementazione.
2) mappatura dei dati trattati e Registro dei Trattamenti
Occorre mappare con esattezza quali dati si trattano, perché si trattano e come si trattano.
Il Regolamento infatti richiede, in sostanza, di effettuare una analisi del rischio dei dati trattati, per definire quali misure adottare al fine di tutelare i diritti degli interessanti, proteggendo i loro dati e gestendo i rischi ineliminabili. Occorre poi redigere il Registro del Trattamenti (art. 30 Reg.).
3) revisione della Informativa
Il nuovo Regolamento si incardina su un principio (in parte) nuovo: l’interessato deve avere il controllo dei propri dati (considerando n. 6). Sotto questo profilo appare chiaro come l’informativa deve essere chiara, completa ed esaustiva: con la nuova disciplina potranno essere usate anche le icone. L’informativa privacy deve diventare come l’informazione alle cure, consentendo all’interessato di sapere e, quindi, di decidere se e come permettere il trattamento dei dati.
4) verifica dell’impatto dei nuovo diritti del soggetto interessato
La nuova disciplina non solo ribadisce ed amplia la tutela dei diritti dell’interessato già esistenti, ma ne crea dei nuovi. Oltre infatti ai diritti conoscitivi dell’informativa ed accesso, sono disciplinati i c.d. diritti di controllo, quali la limitazione al trattamento, la revoca del consenso, il diritto all’oblio, ed altresì il diritto alla portabilità dei dati.
E’ necessario quindi verificare le procedure interne atte a dare risposta ove l’interessato azioni i suoi diritti e, per quanto riguarda in particolare, il (nuovo) diritto alla portabilità valutare una eventuale riorganizzazione interna, atta a consentire all’interessato di poter ricevere i propri dati in formato strutturato, di uso comune e leggibile.
5) l’acquisizione del consenso
Il consenso non è più scritto o verbale, ma per tutti libero (non condizionato), specifico (uno per ogni finalità), inequivocabile (certo) ed espresso. Per chi tratta poi dati sensibili deve essere anche “esplicito”. Poiché, poi, è in capo al titolare la prova di aver acquisito correttamente il consenso, occorre verificare con precisione il rapporto tra chiarezza della informativa e modalità di acquisizione dei diversi consensi a seconda delle diverse finalità.
6) il rispetto dell’accountability
L’accountability è principio cardine del nuovo sistema: il titolare non è chiamato infatti al mero adempimento di un elenco di obblighi, ma è tenuto oggi a valutare i suoi trattamenti sotto il profilo del rischio, ad implementare le misure idonee e necessarie, a gestire il rischio residuo e, soprattutto, a dimostrare perché ha scelto quello misure (piuttosto che altre).
Cambia quindi totalmente la prospettiva: da una logica meramente reattiva ad un atteggiamento assolutamente pro-attivo.
Occorre quindi rivedere il processo interno di gestione del dato della ASL o dell’Ospedale sotto questa nuovo lente.
7) la privacy by design e by default e la valutazione di impatto
il Regolamento introduce poi l’obbligo in capo al Titolare di implementare un sistema organizzativo coerente con la privacy by design e by default (vale a dire che il rispetto dei principi privacy è insito nella organizzazione del servizio o del prodotto ad origine ed in via predefinita). Ove poi l’erogazione del servizio (es. servizio sanitario) possa impattare fortemente sulla tutela dei dati va effettuata una valutazione di impatto che mira ad effettuare un bilanciamento tra benefici raggiungibili e rischio al quali di dati sono esposti.
8) Data Protection Officer
E' una figura nuova, che svolge in parte attività di consulenza e formazione ed in parte attività di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi (corte di giustizia e WP 29) nonché competenza di natura tecnologia. Inoltre, proprio in ragione
dei suoi compiti di controllo, non può essere in posizione di conflitto di interessi.
9) il trasferimento di dati
Occorre accertarsi dove sono i propri dati e come vengono trattati, specie nel caso di cloud, di manutenzione da remoto o di uso di app. E’ poi necessario verificare se il paese dove eventualmente i dati risiedono o sono trasferiti ha un accordo con la UE, e quali sono i termini.
10) Data breach
Già presente nel provvedimento del Garante sul Dossier sanitario, viene esteso dal Regolamento a tutti i trattamenti, prevedendo l’obbligo di comunicare eventuali violazione dei dati o del sistema.
Le sanzioni sono poi altissime e possono arrivare fino a fino a 20 milioni di euro e/o 4% del fatturato mondiale annuo dell’azienda (art. 83 co 4 e 5).
Se vuoi una consulenza gratuita su questo delicato tema puoi contattarci così da verificare gli impatti che la normativa ha sul tuo studio. Inoltre la nostra agenzia sta attivando un pacchetto di servizi extra a pagamento per consentirti di essere più sereno nei processi clinici e delegare un nostro consulente sulla parte puramente tecnica di gestione della privacy: tu ti concentri sulla tua attività medica ed al resto pensiamo noi!!! Tale pacchetto includerà:
- modulistica per la richiesta dei consensi
- consulenza continua sui vari aspetti delicati della privacy
- procedure e opzioni di controllo del programma per le medicine di gruppo e rete
- sistemi cloud per consentire un dialogo diretto e costante con il paziente
- maggiore sicurezza nella gestione dei dati
- maggiore trasparenza nel rapporto con il paziente
- procedure di backup sicuri automatici
- supporto decisionale nelle fasi di gestione del consenso
- sistema cloud mediante il quale il paziente potrà gestire la propria cartella clinica, autorizzare o revocare il consenso al medico, direttamente dal suo account
- protezione dei dati in locale e su cloud
Il pacchetto di consulenza avrà un costo opzionale (solo se ritieni di averne bisogno) per licenza a partire da euro 100,00 + tasse e sarà gratuito per le utenze di tipo premium. Le tariffe potranno variare a seconda delle opzioni che si discuteranno con il consulente. E' importante in ogni caso sapere che potresti non avere necessità di attivare sistemi più approfonditi di controllo sulla privacy in quanto nel tuo studio già attivi tutti i processi che garantiscono riservatezza nella gesione dei dati clinici e sensibili dei tuoi pazienti.