News ed Eventi

Le ultime di Atsai
privacy in studio di osteopatia
2 Mag 2018

Comportamento da tenere all’interno dello studio di Osteopata in relazione alla privacy

Qual è il comportamento più corretto da tenere all’interno del mio studio di Osteopata in relazione alla privacy?

REGOLAMENTO UE 2016/679 del 27.04.2016

Articolo di Alfonso Causi

In data 27 aprile 2016 è stato emanato il regolamento U.E. numero 679, che entrerà automaticamente in vigore il 25 maggio 2018.

Prescrive, per chiunque tratti i dati relativi alla salute in modalità sia cartacea che elettronica, di farsi rilasciare un Consenso Informato e di redigere un Registro delle Attività di Trattamento.

L’articolo 30 istituisce il REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO, nel quale devono essere presenti i seguenti punti:

  • A) Dati del titolare del trattamento:
    [i miei dati personali: nome, cognome, indirizzo, codice fiscale, partita IVA]
  • B) Finalità del trattamento:
    [perché sto raccogliendo quei dati? Per monitoraggio dello stato di salute ma anche per ricerca scientifica o altre motivazioni che dovessero essere ritenute idonee]
  • C) Descrizione delle categorie di interessati e dei dati personali:
    [quali sono gli “interessati” i cui dati sto raccogliendo? Normalmente le persone che si recano presso il mio studio per i trattamenti osteopatici]
  • D) Eventuali destinatari cui i dati saranno comunicati
    [qui andranno indicate le persone alle quali i dati saranno eventualmente comunicati: sicuramente si potranno indicare i dati del commercialista, specificando che vengono comunicati esclusivamente i dati relativi agli adempimenti fiscali e burocratici. Se i dati relativi alla salute non sono comunicati a nessuno sarà importante specificarlo]
  • E) Eventuali misure di sicurezza tecniche ed organizzative:
    [è il punto più elaborato da redigere:
    La SICUREZZA DEL TRATTAMENTO, secondo l’articolo 32, va valutata seguendo i seguenti quattro punti:

    • E.1) Pseudonimizzazione e cifratura:
      [i dati sensibili non devono mai presentare direttamente il nome e il cognome, ma essere sostituiti da uno pseudonimo o da numeri che ci permettano di identificare quella determinata persona. Ovviamente qualsiasi elenco esplicativo di quegli pseudonimi o di quelle cifre numeriche sarà custodito in luogo diverso. È importante indicare nel regolamento quale di questi due strumenti sto utilizzando]
    • E.2) Assicurare permanentemente riservatezza, integrità, disponibilità, resilienza:
      [In quale modo? Descrivo nel registro i seguenti punti, se applicabili:
      ACCESSO AI LOCALI DELLO STUDIO:
      indicare l’eventuale distanza da tenere dalla reception, se è stata predisposta;ACCESSO AGLI ARCHIVI CARTACEI:
      sistemarli in appositi locali con porta chiusa a chiave e cartello “accesso consentito solo a personale autorizzato” o quanto meno in armadi chiusiSALA DEI TRATTAMENTI:
      nessuna scheda osteopatica sulla scrivania, nessuna cartellina visibile

      COLLOCAZIONE DEI SERVIZI INFORMATICI:
      rialzati da terra, per evitare danni da dispersioni di acqua o altre sostanze

      SCHERMI DEGLI STRUMENTI INFORMATICI:
      orientati in modo che non siano visibili dal cliente

      ACCESSO AGLI STRUMENTI INFORMATICI:
      utilizzare sempre modalità di accesso a username e password – almeno otto caratteri e preferibilmente alfanumerici – da variare frequentemente

      AGGIORNAMENTI DI WINDOWS:
      per impostazione automatica

      PROGRAMMA ANTIVIRUS:
      con aggiornamento automatico

      FIREWALL
      SALVATAGGIO E BACKUP:
      su cloud o altre memorie, preferibilmente in modo automatico]

    • E.3) Ripristinare la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
      [descrivo quali siano le procedure che utilizzerò per il recupero dei dati sensibili se è successo qualcosa che li ha cancellati, quali siano le procedure per il “ripristino” dei dati. Grazie alle copie su cloud, per esempio]
    • E.4) Procedura per testare l’efficacia delle misure tecniche
      [descrivo come faccio a verificare che le misure tecniche che ho indicato nei punti a) b) e c) siano effettivamente valide]

    Nel Registro si suggerisce di riportare questa dicitura: tali misure sono riesaminate ed aggiornate qualora necessario.

    E un Consenso Informato
    L’articolo 11 chiarisce quali siano i requisiti minimi da fornire nel consenso informato: l’identità del titolare del trattamento (il titolare dello studio osteopatico), le finalità del trattamento (a quale scopo sto raccogliendo quei dati), eventuali destinatari (se ci sono, indicare quali saranno i destinatari del trattamento dei dati sensibili), il periodo di conservazione dei dati (sempre che sia possibile determinarlo) e, nel caso, quali siano i criteri per determinare quel periodo, l’esistenza, da parte del titolare dei dati, del suo diritto di accedere, rettificare, cancellare, limitare e opporsi al trattamento dei dati, nonché del diritto di porre reclamo davanti ad un’autorità di controllo.

    L’articolo 12 specifica che i dati vanno conservati per un periodo non superiore al conseguimento delle finalità. Come già nel passato, si sottolinea la necessità di un tempo limite, ma è comprensibile come, specialmente per quanto attiene alle cartelle cliniche, non può determinarsi un tempo finale, essendo sempre presente la possibilità che il paziente torni in studio. Diverso discorso è per quanto riguarda la ricerca scientifica o la scrittura di una tesi, a completamento della quale i dati dovrebbero potersi cancellare.

    L’articolo 13 stabilisce i requisiti del Consenso Informato:
    Identità del titolare del trattamento
    Finalità del trattamento
    Eventuali destinatari
    Periodo di conservazione e criteri per determinare tale periodo
    Esistenza del diritto di accedere (art. 15 diritto di accesso dell’interessato)
    . rettificare (art. 16 diritto di rettifica)
    . cancellare (art. 17 diritto di cancellazione, c.d. diritto all’oblio)
    . limitare (art. 18 diritto di limitazione di trattamento)
    opporsi al trattamento dei dati (art. 21 diritto di opposizione)
    Diritto di porre reclamo ad un’autorità di controllo

    Riesco a rispondere di sì a tutte le seguenti domande?

    1 – Ho predisposto un consenso informato con un linguaggio semplice e chiaro?
    2 – Sto raccogliendo solo i dati necessari?
    3 – Ho organizzato i documenti in modo da averne sempre la disponibilità e in modo che siano accessibili solo a chi è autorizzato?
    4 – Se ho collaboratori, hanno ricevuto adeguate istruzioni? Ho formalizzato i rapporti con i professionisti ai quali mi rivolgo?
    5 – I miei pc sono protetti dalle minacce esterne? Ho un tecnico informatico di fiducia al quale chiedere la soluzione a specifici problemi?
    6 – Utilizzo il pc portatile e altri strumenti informatici rimovibili fuori dallo studio minimizzando i rischi di perdita accidentale, furto, ecc.?
    7 – Effettuo un back-up almeno una volta alla settimana?
    8 – Ho definito un tempo di conservazione dei dati in linea con le finalità dei trattamenti?
    9 – Se rottamo uno strumento elettronico, mi assicuro che avvenga nel rispetto della protezione dei dati?
    10 – Mi sono preoccupato della sicurezza fisica dello studio, per prevenire accessi indesiderati o azioni che possano ledere la riservatezza, la disponibilità e l’integrità delle banche dati?

    CLICCA QUI E SCARICA IL CONSENSO INFORMATO

    CLICCA QUI E SCARICA IL CONSENSO INFORMATO PER MINORI

    • Leggi la parte 2 dell’articolo