Qual è il comportamento più corretto da tenere all’interno del mio studio di Osteopata in relazione alla privacy?
REGOLAMENTO UE 2016/679 del 27.04.2016
Articolo di Alfonso Causi
In data 27 aprile 2016 è stato emanato il regolamento U.E. numero 679, che entrerà automaticamente in vigore il 25 maggio 2018.
Prescrive, per chiunque tratti i dati relativi alla salute in modalità sia cartacea che elettronica, di farsi rilasciare un Consenso Informato e di redigere un Registro delle Attività di Trattamento.
L’articolo 30 istituisce il REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO, nel quale devono essere presenti i seguenti punti:
- A) Dati del titolare del trattamento:
[i miei dati personali: nome, cognome, indirizzo, codice fiscale, partita IVA] - B) Finalità del trattamento:
[perché sto raccogliendo quei dati? Per monitoraggio dello stato di salute ma anche per ricerca scientifica o altre motivazioni che dovessero essere ritenute idonee] - C) Descrizione delle categorie di interessati e dei dati personali:
[quali sono gli “interessati” i cui dati sto raccogliendo? Normalmente le persone che si recano presso il mio studio per i trattamenti osteopatici] - D) Eventuali destinatari cui i dati saranno comunicati
[qui andranno indicate le persone alle quali i dati saranno eventualmente comunicati: sicuramente si potranno indicare i dati del commercialista, specificando che vengono comunicati esclusivamente i dati relativi agli adempimenti fiscali e burocratici. Se i dati relativi alla salute non sono comunicati a nessuno sarà importante specificarlo] - E) Eventuali misure di sicurezza tecniche ed organizzative:
[è il punto più elaborato da redigere:
La SICUREZZA DEL TRATTAMENTO, secondo l’articolo 32, va valutata seguendo i seguenti quattro punti:- E.1) Pseudonimizzazione e cifratura:
[i dati sensibili non devono mai presentare direttamente il nome e il cognome, ma essere sostituiti da uno pseudonimo o da numeri che ci permettano di identificare quella determinata persona. Ovviamente qualsiasi elenco esplicativo di quegli pseudonimi o di quelle cifre numeriche sarà custodito in luogo diverso. È importante indicare nel regolamento quale di questi due strumenti sto utilizzando] - E.2) Assicurare permanentemente riservatezza, integrità, disponibilità, resilienza:
[In quale modo? Descrivo nel registro i seguenti punti, se applicabili:
ACCESSO AI LOCALI DELLO STUDIO:
indicare l’eventuale distanza da tenere dalla reception, se è stata predisposta;ACCESSO AGLI ARCHIVI CARTACEI:
sistemarli in appositi locali con porta chiusa a chiave e cartello “accesso consentito solo a personale autorizzato” o quanto meno in armadi chiusiSALA DEI TRATTAMENTI:
nessuna scheda osteopatica sulla scrivania, nessuna cartellina visibileCOLLOCAZIONE DEI SERVIZI INFORMATICI:
rialzati da terra, per evitare danni da dispersioni di acqua o altre sostanzeSCHERMI DEGLI STRUMENTI INFORMATICI:
orientati in modo che non siano visibili dal clienteACCESSO AGLI STRUMENTI INFORMATICI:
utilizzare sempre modalità di accesso a username e password – almeno otto caratteri e preferibilmente alfanumerici – da variare frequentementeAGGIORNAMENTI DI WINDOWS:
per impostazione automaticaPROGRAMMA ANTIVIRUS:
con aggiornamento automaticoFIREWALL
SALVATAGGIO E BACKUP:
su cloud o altre memorie, preferibilmente in modo automatico] - E.3) Ripristinare la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
[descrivo quali siano le procedure che utilizzerò per il recupero dei dati sensibili se è successo qualcosa che li ha cancellati, quali siano le procedure per il “ripristino” dei dati. Grazie alle copie su cloud, per esempio] - E.4) Procedura per testare l’efficacia delle misure tecniche
[descrivo come faccio a verificare che le misure tecniche che ho indicato nei punti a) b) e c) siano effettivamente valide]
L’articolo 11 chiarisce quali siano i requisiti minimi da fornire nel consenso informato: l’identità del titolare del trattamento (il titolare dello studio osteopatico), le finalità del trattamento (a quale scopo sto raccogliendo quei dati), eventuali destinatari (se ci sono, indicare quali saranno i destinatari del trattamento dei dati sensibili), il periodo di conservazione dei dati (sempre che sia possibile determinarlo) e, nel caso, quali siano i criteri per determinare quel periodo, l’esistenza, da parte del titolare dei dati, del suo diritto di accedere, rettificare, cancellare, limitare e opporsi al trattamento dei dati, nonché del diritto di porre reclamo davanti ad un’autorità di controllo.L’articolo 12 specifica che i dati vanno conservati per un periodo non superiore al conseguimento delle finalità. Come già nel passato, si sottolinea la necessità di un tempo limite, ma è comprensibile come, specialmente per quanto attiene alle cartelle cliniche, non può determinarsi un tempo finale, essendo sempre presente la possibilità che il paziente torni in studio. Diverso discorso è per quanto riguarda la ricerca scientifica o la scrittura di una tesi, a completamento della quale i dati dovrebbero potersi cancellare.L’articolo 13 stabilisce i requisiti del Consenso Informato:
Identità del titolare del trattamento
Finalità del trattamento
Eventuali destinatari
Periodo di conservazione e criteri per determinare tale periodo
Esistenza del diritto di accedere (art. 15 diritto di accesso dell’interessato)
. rettificare (art. 16 diritto di rettifica)
. cancellare (art. 17 diritto di cancellazione, c.d. diritto all’oblio)
. limitare (art. 18 diritto di limitazione di trattamento)
opporsi al trattamento dei dati (art. 21 diritto di opposizione)
Diritto di porre reclamo ad un’autorità di controlloRiesco a rispondere di sì a tutte le seguenti domande?1 – Ho predisposto un consenso informato con un linguaggio semplice e chiaro?
2 – Sto raccogliendo solo i dati necessari?
3 – Ho organizzato i documenti in modo da averne sempre la disponibilità e in modo che siano accessibili solo a chi è autorizzato?
4 – Se ho collaboratori, hanno ricevuto adeguate istruzioni? Ho formalizzato i rapporti con i professionisti ai quali mi rivolgo?
5 – I miei pc sono protetti dalle minacce esterne? Ho un tecnico informatico di fiducia al quale chiedere la soluzione a specifici problemi?
6 – Utilizzo il pc portatile e altri strumenti informatici rimovibili fuori dallo studio minimizzando i rischi di perdita accidentale, furto, ecc.?
7 – Effettuo un back-up almeno una volta alla settimana?
8 – Ho definito un tempo di conservazione dei dati in linea con le finalità dei trattamenti?
9 – Se rottamo uno strumento elettronico, mi assicuro che avvenga nel rispetto della protezione dei dati?
10 – Mi sono preoccupato della sicurezza fisica dello studio, per prevenire accessi indesiderati o azioni che possano ledere la riservatezza, la disponibilità e l’integrità delle banche dati?CLICCA QUI E SCARICA IL CONSENSO INFORMATOCLICCA QUI E SCARICA IL CONSENSO INFORMATO PER MINORI• Leggi la parte 2 dell’articolo - E.1) Pseudonimizzazione e cifratura: