Gli studi medici sono l’esempio più lampante dell’importanza del GDPR in quanto si trovano a dover gestire i dati di vari soggetti, sia personali che sensibili: non solo quelli del dipendente che lavora presso lo studio, o del collaboratore esterno, ma anche e soprattutto quelli del paziente.
Va inoltre detto che lo Studio Medico, con il nuovo regolamento, diventa Titolare del trattamento dati quindi unico responsabile e imputato in caso di non corretta applicazione della legge. In molti casi coincide con il singolo medico, o singolo odontoiatra cui lo studio appartiene (a meno che non sia uno studio di medici associati, in cui tutti diventano contitolari del trattamento).
I passi da attuare sono quelli che andiamo ad elencare.
L’IDENTIFICAZIONE DELL’INTERESSATO
Come accennato ad inizio articolo si va dal personale, al paziente, passando per i fornitori. L’analisi e l’individuazione dei soggetti è molto importante per poter procedere con una corretta informativa.
CREARE CORRETTA INFORMATIVA
Come per tutti coloro che devono adempiere alla legge, vanno inclusi e specificati i dati del Titolare, del Responsabile, del DPO, delle finalità, delle modalità, del tempo di conservazione, dei soggetti a cui i dati possono essere comunicati e dei diritti del soggetto interessato.
L’aspetto più “particolare” della tipologia di trattamento dati che riguarda gli studi medici è solitamente quella che riguarda le finalità, in quanto, trattando dati anche sanitari, quindi sensibili, va ben specificato a cosa possono e devono servire tali informazioni al titolare del trattamento.
Solitamente le finalità sono quelle di prevenzione, diagnosi, cura e altre prestazioni mediche, farmaceutiche o specialistiche. Ma non solo, uno studio medico potrebbe anche dover comunicare tali dati a scopo assicurativo, o di ricerca scientifica (incluse le possibili pubblicazioni di settore, o congressuali etc..).
In estrema sintesi quindi, ogni studio medico, ogni titolare del trattamento, vista la peculiarità dell’argomento deve ben analizzare per quali finalità sta raccogliendo i dati del proprio paziente, per poi esplicitarli nell’informativa per non incorrere in sanzioni o spiacevoli incidenti con i propri clienti.
Per tutte le finalità sopra riportate occorre RICHIEDERE IL CONSENSO da parte del paziente (e ovviamente degli altri soggetti già citati in precedenza)
ISTITUZIONE DEL REGISTRO E TEMPORALITA’ DI CONSERVAZIONE DATI
Come per qualsiasi altro titolare del trattamento dati, occorre istituire un registro per la loro conservazione, la reperibilità e la corretta gestione. Il registro può essere richiesto dal Garante per controllo in quanto obbligatorio dato il trattamento di dati sensibili.
Anche la “temporalità” è un aspetto importante per gli studi medici: le prestazioni sanitarie, di qualsiasi tipologia esse siano, sono soggette a termini di legge per venire incontro ad eventuali contenziosi (generalmente si parla di 10 anni, ma per ovvi motivi potrebbe servire più tempo: tutto dipende dal rapporto di cura necessario a seconda del tipo di prestazione). Per questo quando si richiede il consenso al soggetto, occorre specificare che sìpuò essere revocato, ma solo dopo che i termini di prescrizione legali siano passati, per tutelare il medico al suo diritto di difesa.
Quindi: se il paziente richiede la revoca, il medico può non accettare, se non sono ancora decorsi i tempi legali per un eventuale contenzioso.
Altra specifica: se il paziente revoca il consenso, termina il rapporto assistenziale (fermo restando il principio di tutela in caso di emergenza).
IN CASO DI DATA BREACH O VIOLAZIONE DELLA PRIVACY
Il Data breach tecnicamente è la violazione dei dati e se ne fa menzione negli articoli 33 e 34 del GDPR. Tale violazione può venire per incidente o a fronte di un’azione illecita (es. attacco informatico).
Come recita l’art. 33 il titolare del trattamento dati ha l’obbligo di informare entro 72 ore dall’eventuale data breach sia l’autorità competente che eventualmente il/i diretto/i interessato/i.
Nel fare questo deve essere in grado di:
- descrivere il tipo di violazione (accidentale o meno) con i relativi numeri implicati (quantità di soggetti coinvolti, quantità e tipologia di dati esposti, probabile esposizione statistica)
- comunicare responsabile dei dati per avere più informazioni specifiche
- descrivere le probabili conseguenze e le soluzioni adottate per limitare o rimediare al problema.
DISTANZA DI CORTESIA E SISTEMI DI GARANZIA
Negli studi medici o strutture sanitarie pubbliche l’obbligo è quello della tutela anche nelle sale d’aspetto o al “desk”. Per questo sicuramente avrete notato che le liste nominali sono state sostituite da codici alfanumerici di chiamata (per cui non sentiamo più gridare il nostro cognome), e si richiede una distanza di “garanzia privacy” quando dobbiamo effettuare una prenotazione o richiedere un documento direttamente al banco.
Nelle strutture private questo non è obbligatorio, in quanto non sono, appunto, “aperte al pubblico”. Tutto sta alla volontà del medico.