Alcune attività professionali devono garantire un grado particolarmente alto di protezione dei dati: è il caso degli studi dentistici e delle attività in ambito sanitario. Il GDPR ha sicuramente rivoluzionato il concetto di privacy ma, dal punto di vista pratico, ha introdotto e innovato l’approccio con cui devono essere redatti i documenti necessari per raggiungere l’agognata compliance.
Alcuni professionisti più di altri devono garantire un grado particolarmente alto di protezione dei dati: è il caso degli studi dentistici e degli studi medici. In particolare, i piccoli studi hanno spesso relegato la conformità privacy alle formalità in formato prestampato che, una volta firmato, poteva essere archiviato e dimenticato.
La tutela dei dati personali proposta dal GDPR, invece, prevede non solo l’utilizzo di documenti studiati per le singole realtà e un sistema informatico adeguato, ma anche un insieme di best practice da porre in essere quotidianamente.
Indice degli argomenti
Cosa devono fare i piccoli studi medici
Tutti i professionisti che trattano dati sono stati chiamati a confrontarsi con il Regolamento Europeo, ma capire concretamente cosa deve essere fatto risulta difficile sia per la complessità della normativa sia per le innumerevoli indicazioni, talvolta anche contraddittorie, che sono circolate nell’ultimo anno.
Cosa devono fare, dunque, i professionisti in ambito sanitario? Dipende: dalla natura del trattamento, dal campo di applicazione, dal contesto e dalle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Il GDPR, come noto, è incentrato sul principio di “accountability”: parola inglese di non facile traduzione solitamente interpretata come “responsabilizzazione”. Il legislatore europeo ha, infatti, superato il concetto di “misure minime” lasciando l’onere (e la responsabilità) di individuare gli adempimenti al titolare del trattamento.
Risulta dunque fondamentale per il titolare raggiungere la consapevolezza di come viene trattato il dato (dalla raccolta fino alla cancellazione) e ciò non può prescindere da un’accurata analisi dei metodo di trattamento dei dati e dei sistemi informatici adottati.
I documenti, infatti, non possono più essere relegati ad un mero adempimento formale, figli di un copia-incolla di un modello trovato su internet, ma devono essere redatti puntualmente in modo da rispecchiare esattamente le attività e le finalità previste.
L’informativa e il consenso informato
Il consenso informato e l’informativa sono due documenti già noti ai professionisti dell’ambito sanitario, ma cosa è cambiato dopo l’introduzione del GDPR? L’informativa (ex. art. 13 del GDPR) è, in estrema sintesi, la comunicazione che viene fornita al cittadino, prima che diventi interessato, di come vengono trattati i dati.
Tale documento deve necessariamente contenere:
- l’identità e i dati di contatto del titolare del trattamento (e del responsabile del trattamento se presente);
- le finalità del trattamento e la base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- il periodo di conservazione dei dati personali;
- l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo;
- l’indicazione dei diritti dell’interessato.
In particolare, diversamente da quanto accadeva in passato, le informative devono contenere solo le attività effettivamente svolte dal titolare del trattamento: indicare una massa di attività rende solo il documento sanzionabile e non fornisce alcuna tutela legale.
Il consenso informato, invece, è un documento con cui viene autorizzato il trattamento sanitario e, dunque, ha principalmente una valenza medico-legale che esula dall’adeguamento privacy.
Nomina dei contitolari e dei responsabili del trattamento
I contitolari e i responsabili del trattamento sono due figure introdotte dal Regolamento Europeo: i primi sono soggetti titolari che condividono i mezzi e le finalità dei trattamenti; i secondi sono le persone fisiche o giuridiche, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento.
La differenza tra le due figure finora “aliene” è stata oggetto di accesi dibattiti tra gli operatori del settore e, solo recentemente, il Garante per la protezione dei dati ha cominciato a fare luce su un argomento così spinoso.
L’autorità indipendente ha infatti stabilito che i consulenti del lavoro sono da ritenersi responsabili del trattamento in quanto “la legittimità del trattamento si “trasferisce” alle operazioni svolte dal consulente del lavoro in ragione del contratto di sua designazione a responsabile del trattamento”. Il Garante, dunque, sembrerebbe suggerire, senza troppi indugi, la nomina di tutti i professionisti esterni allo studio (avvocati, commercialisti, studio paghe, laboratori di analisi ecc.) quali responsabili del trattamento.
Diverso invece è il caso dei professionisti che operano all’interno dello studio che, condividendo strumenti, mezzi e le finalità, ovvero la terapia del paziente, sono per definizione da nominare contitolari del trattamento.
Il registro dei trattamenti negli studi medici e dentistici
Il Regolamento UE ha introdotto, all’articolo 30, un importante strumento di compliance in materia di dati personali: il registro delle attività di trattamento dei dati personali. Tale documento obbligatorio dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda (così come è previsto dal par. 4 dell’art. 30): “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo”.
Il registro può essere anche tenuto in formato elettronico (il Garante per la protezione dei dati propone sul proprio sito un modello in formato Excel) e deve necessariamente contenere:
- il nome e i dati di contatto del titolare del trattamento e, se presente, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- la descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
- i trasferimenti di dati personali verso paesi terzi e la loro identificazione (se presenti);
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative.
Nel registro, come ogni altro adempimento previsto dal GDPR, è opportuno analizzarvi (almeno) i trattamenti riguardanti:
- dati contrattuali dei clienti;
- dati sanitari dei pazienti (che dovrà essere oggetto di DPIA);
- dati riguardanti i dipendenti.
La DPIA nei piccoli studi medici e dentistici
Data protection impact assessment o valutazione d’impatto sulla protezione dei dati sono due modi diversi per indicare la cosiddetta DPIA: ma esattamente di cosa si tratta? Ovviamente è un ulteriore adempimento previsto dal GDPR ma è obbligatorio solo a determinate condizioni: quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono trattati dati sensibili, od anche per una combinazione di questi e altri fattori).
Indubbiamente gli studi medici e dentistici, perlomeno quelli di piccole dimensioni, non trattano i dati in maniera sistematica (cosa che accade normalmente in un ospedale o in una scuola); tuttavia, il considerando 91 del GDPR afferma che: “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d’impatto sulla protezione dei dati”.
Il dubbio, quindi, rimane: per gli studi normalmente composti da più professionisti cosa si intende per trattamento su larga scala? Il WP29 (il gruppo delle Autorità Garanti della Privacy europee) si è espresso in tal senso stabilendo che: “per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento”.
Ancora una volta la risposta alla domanda non è immediata: il titolare del trattamento è tenuto a svolgere un’auto-analisi delle proprie attività e verificare se tali attività sono svolte su larga scala oppure no. In caso di dubbio il consiglio, anche nel rispetto del principio di accountability, è quello di svolgere l’adempimento e di considerarlo uno strumento di analisi ulteriore delle attività effettivamente svolte.
I software giusti per gestire gli adempimenti GDPR
I software possono essere uno strumento utile per gestire gli adempimenti necessari per l’adeguamento al Regolamento UE. Tuttavia, è difficile destreggiarsi tra la miriade di applicativi presenti sul mercato: la scelta, dunque, deve essere adeguata alla tipologia ed alle dimensioni dell’attività.
Come già detto il GDPR rifugge da risposte preconfezionate e lo stesso vale per le tecnologie utilizzate per l’adeguamento. Vi invito quindi con lo stesso spirito critico a valutare l’applicativo che per quella che è la mia esperienza e conoscenza potrebbe essere un buon strumento per l’adeguamento privacy negli studi medici e dentistici: SolarWind Risk Intelligence.
Si tratta di un agent installato su un server che funge da osservatore per controllare il traffico dati all’interno della rete permettendo sia di definire gli accessi alle cartelle condivise sia di gestire i dispositivi connessi.
In altre parole, si tratta di uno strumento utile sia nella gestione delle postazioni (si pensi al caso della sovrapposizione di più professionisti sugli stessi strumenti) sia nella gestione dei dati all’interno dello studio.
L’agent, inoltre, permette un controllo perpetuo nel tempo analizzando costantemente le vulnerabilità (password, accessi indesiderati, verificare lo stato degli antivirus e dei backup ecc.). L’agent consente di monitorare le attività attraverso un sistema di reportistica al fine di migliorare nel tempo il livello di sicurezza informatica; tuttavia, è necessario che vengano impostati correttamente i parametri affinché vengano raccolti i dati giusti.
Il solo software, infatti, per raggiungere il massimo livello di efficienza serve che lavori in sinergia con antivirus e firewall. Ovviamente l’uso di questo agent, o di altri concorrenti, andrebbe valutato caso per caso, tuttavia, in linea generale ritengo che sia consigliabile l’uso a quegli studi che siano minimamente strutturati e che al cui interno operino almeno una decina di persone tra professionisti e collaboratori.
Inutile dire che non c’è più tempo da perdere: il periodo di tolleranza (previsto dall’art. 22 comma 13 del dlgs 101 del 2018) è scaduto il 15 maggio scorso e l’Autorità Garante dovrà applicare le sanzioni senza più tener conto della “fase di prima applicazione”. A buon intenditor poche parole.
