Il testo unico sulla tutela della Privacy: gli obblighi dell’odontoiatra

 

Spesso parlando con i vari colleghi sugli oneri del professionista, noto la confusione tra segreto professionale e quello che è il consenso del trattamento dei dati personali (volgarmente chiamato privacy), quindi ho pensato di scrivere questo post per condividere con voi info e trick in tema di privacy.

Dopo aver chiarito di che cosa tratta il segreto professionale nei precedenti posts( il segreto professionale ), oggi parleremo della privacy, o meglio del codice in materia di protezione dei dati personali e i doveri a carico del professionista odontoiatra.

Entriamo un po’ nella terminologia (Art. 4)

Con il termine dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile “. Questa definizione include  il nome, un numero di identificazione, dati relativi all’ubicazione. I dati identificativi sono quelle informazioni che permettono l’identificazione diretta dell’interessato, mentre i dati sensibili sono i dati che riguardano l’etnia, le convinzioni religiose, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Con il termine “trattamento” si intende “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati”

Il  “titolare”, è la persona fisica, la persona giuridica,a cui competono le modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, mentre il responsabile è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

Gli  “incaricati”, infine sono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

É inevitabile quindi che in uno studio professionale, tutte queste informazioni vengano a contatto non solo con il titolare delllo studio ma anche del personale ad esso afferente. É quindi fondamentale informare il paziente su come verranno trattati i suoi dati personali e avere il suo consenso prima di iniziare il trattamento.

Non solo quindi consenso al trattamento sanitario ma aanche consenso al trattamento dei dati.

Ai sensi dell’articolo 34 è necessario allestire il Documento Programmatico sulla Sicurezza (DPS) che ha come finalità quello di ridurre al minimo il verificarsi di eventi dannosi a carico dei dati personali. È un documento da redigere entro il 31 marzo di ogni anno da parte del titolare, dove devono essere indicati:

  • La tipologia dei dati trattati all’interno dello studio
  • A chi si riferiscono i dati presenti all’interno dello studio
  • La motivazione per cui questi dati sono presenti all’interno dello studio
  • Modalità e luogo di conservazione dei dati.

Sempre nell’art.34 del codice e nell’Allegato B vengono indicate le modalità di trattamento dei dati qualora si utilizzino sistemi elettronici (ad esempio software gestionali).

In particolare si sottolinea che:

  • È necessaria l’autenticazione informatica;
  • L’adozione di procedure di gestione delle credenziali di autenticazione (username o codice di identificazione e parola chiave o password che deve essere composta da almeno otto caratteri o dal un numero di caratteri pari consentito dal sistema, modificata ogni sei mesi)
  • Utilizzo di un sistema di autorizzazione, vale a dire strumenti e procedure stabilisca quali dati un soggetto non incaricato possa accede a determinate informazioni e non ad altre
  • Aggiornamento periodico a cadenza annuale
  • Utilizzo di software anti virus per la protezione del sistema elettronico stesso da aggiornare almento ogni sei mesi
  • Backup settimanale
  • DPS aggiornato

L’articolo 35 prevede e il relativo allegato B prevede il trattamento dei dati senza l’ausilio degli strumenti elettronici.

In questa circostanza le misure minime prevedono:

  • Aggiornamento annuale dell’ambito del trattamento degli incaricati
  • Procedure per l’identificazione di un’idonea custiodia della documentazione
  • Procedure per la conservazione di determinati dati e delle modalità di accesso (accesso controllato all’archivio).

Il 27 aprile 2016 ha visto a la nascita del regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Il testo è volto a unificare le varie normative vigenti sul territorio europeo, e soprattutto contiene riferimenti ai dati diffusi dai social network e il “diritto all’oblio”.

Inoltre nel regolamento che sarà applicato a partire dal 25 maggio 2018 viene menzionata l’introduzione di un meccanismo di certificazione  per dimostrare la conformità ai requisiti del regolamento stesso.

Doveri in merito agli studi professionali o aggiornamenti del nostro codice della privacy alla luce della nuova normativa ancora non sono disponibili. Tuttavia è disponibile sul sito http://www.garanteprivacy.it/regolamentoue una iconografia esplicativa sulle novità che porterà il nuovo regolamento.

 

Bibliografia

NORELLI G.A.,  PINCHI V. Odontologia forense, Ed. Piccin

Codice in materia di protezione dei dati personali [Testo consolidato vigente] Decreto legislativo 30 giugno 2003, n. 196

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016, Gazzetta Ufficiale dell’Unione europea,  4.5.2016

http://www.garanteprivacy.it/regolamentoue

Dott.ssa Sara Bernardi

Circa l'autore

Fabio De Propris

Copyright © 2016. Created by Evolve Studio