A seguito delle molteplici notizie relative al GDPR che si diffuse negli ultimi giorni, spesso allarmanti e contrastanti, vogliamo cercare di fare un po’ di chiarezza sull’argomento.
Per chi ancora non lo conoscesse il GDPR è un REGOLAMENTO UE 2016/679 del Parlamento Europeo e del consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati. Tale regolamento abroga la direttiva 95/46/CE, regolamento generale sulla protezione dei dati.
DOCUMENTI INFORMATIVA PRIVACY
Di seguito è disponibile il modulo relativo all’informativa sulla privacy per il paziente conforme alla nuova normativa: Informativa Privacy
IL TITOLARE DEI DATI
Il Capo IV del GDPR comprende gli articoli riguardano le Responsabilità del titolare del trattamento, il Responsabile del trattamento, la Sicurezza dei dati personali, la Comunicazione di una violazione dei dati personali all’interessato, la figura e i compiti del Responsabile della protezione dei dati, nonché gli organismi di certificazione.
Il titolare del trattamento è colui che mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento e che vengono trattati solo i dati personali necessari per ogni specifica finalità del trattamento.
Nomina DPO (in italiano RDP)
La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 GDPR).
Nel testo del GDPR non viene specificata la misura o la quantità di dati definita “larga scala” e al momento la stessa Commissione Europea, nonché il Garante della Privacy, interpretano la norma in modo diverso sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici.
Secondo il Considerando 91, infatti, gli studi medici, odontoiatrici e professionali con un solo titolare del trattamento dei dati personali dei pazienti non sono obbligati a nominare un RPD.
Tuttavia, se lo studio medico è convenzionato con il SSN, il Garante della Privacy raccomanda fortemente di nominare un RPD.
Maggiori chiarimenti saranno forniti prossimamente dal Garante della Privacy, per cui occorrerà attendere il lavoro del Legislatore per una definizione definitiva. Tuttavia, essere eventualmente esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte le responsabilità e dalle attività sancite dal GDPR.
I requisiti di protezione dei dati sanciti dall’Art. 32, il controllo degli accessi ed il registro delle attività sancite dall’Art. 30 sono comunque previsti dal nuovo regolamento, quindi dovranno essere realizzati e verificabili dalle autorità di controllo.
Per soddisfare questi requisiti, lo studio medico-odontoiatrico può comunque decidere di nominare un RPD, anche qualora non ne fosse obbligato.
In ogni caso la responsabilità di nomina del RDP spetta al titolare del trattamento dati.
REGISTRI DELLE ATTIVITÀ DEI TRATTAMENTI
Facendo riferimento a quanto indicato nella Guida fornita dal Garante della Privacy:
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
DOCUMENTO PIA
La valutazione di impatto sulla protezione dei dati si rende obbligatoria secondo le Linee Guida adottate dal Gruppo di lavoro ex art. 29: “… quando i trattamenti riguardano (…) cartelle cliniche dei pazienti”.
Le stesse Linee Guida indicano la necessità di seguire uno standard nella redazione della documentazione indicando a quale dei quattro standard accreditati si fa riferimento.
La suite X-GDPR, sviluppata da BPEng e integrabile con SwDental, include una DPIA seguendo le Linee Guida internazionali.
Se lo desideri possiamo fornirti la suite X-GDPR che tra le funzionalità prevede la stesura del documento ed il mantenimento dello stesso in caso di aggiornamenti futuri.
In alternativa il CNIL, l’Autorità garante francese, ha messo a disposizione uno strumento gratuito che offre un percorso guidato alla realizzazione della DPIA ed è scaricabile direttamente dal loro sito. Per maggiori informazioni http://www.garanteprivacy.it/regolamentoue/DPIA#STRUMENTI
CRITTOGRAFAZIONE DEI DATI
Ricordiamo che i nostri programmi da anni lavorano in conformità a quelle che ora sono diventate le normative vigenti in materia di protezione dei dati personali e risultano pertanto conformi a quanto richiesto dal GDPR in termini di gestione ed archiviazione dei dati.
In particolare sottolineiamo che il GDPR non impone la crittografazione dei dati, bensì parla di misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e comunque a garantire un livello di sicurezza adeguato al rischio.
Per una maggiore sicurezza e tutela di TUTTI dati presenti nel vostro computer, non solo quelli contenuti quindi in SWDental, ma anche tutti i file in esso memorizzati, consigliamo comunque di contattare il vostro tecnico e attivare lo strumento gratuito BitLocker presente nei sistemi operativi Microsoft utilizzabile per effettuare la crittografazione completa del disco.
PROGRAMMA DI CONSULENZA XGDPR
X-GDPR è una piattaforma applicativa integrata con SWDEntal e sviluppata da BPEng srl che consente di gestire in modo automatizzato i seguenti processi GDPR:
- configurazione struttura organizzativa tramite integrazione e interfacce dedicate dalla gestione SWHT gli utenti, le posizioni, i ruoli GDPR assegnati e i trattamenti configurati nel gestionale;
- processo di nomina automatizzato degli incaricati GDPR;
- processo di somministrazione automatica del questionario competenze e assegnazione automatica dei corsi di formazione necessari per adeguare le competenze rilevate a quelle minime richieste da GDPR. Archiviazione su Content Management System (CMS Alfresco) in cloud delle nomine prodotte in automatico;
- processo di creazione automatica del registro dei trattamenti con integrazione della struttura organizzativa rilevata, attività, processi e dati trattati dla gestionale SWHT. Archiviazione su CMS del registro dei trattamenti creato in automatico;
- processo semplificato per la gestione della comunicazione della violazione dei dati personali (data breach);
- processo automatizzato per la creazione della DPIA adattata per gli studi dentistici e derivata dallo standard tedesco SDM (The Standard Data Protection Model);
- documentazione automatica e dinamica di tutti i processi GDPR mappati, nonché possibilità di esportali in formato BPMN (Business Process Model and Notation).
NOTA: tutti i processi automatizzati sono eseguiti con il motore di Business Process Management ActivitiTM che tiene traccia dei tempi e degli esecutori di ogni attività di processo svolta.
Visita la pagina dedicata a X-GDPR
TEMPI DI ADEGUAMENTO
La scadenza è il 25 maggio 2018
3min