GDPR per gli studi medici-odontoiatrici, ecco perché conviene affidarsi ai servizi gestionali su cloud!

Gli studi medici e odontoiatrici conservano moltissimi dati personali e sensibili dei propri pazienti su vari dispositivi, o anche attraverso una gestione cartacea, che devono essere protetti e conservati a norma di legge.

Dal 25 maggio 2018 la normativa sulla privacy è stata aggiornata con l’entrata in vigore del GDPR, che per gli studi medici, odontoiatrici e operatori sanitari in genere introduce nuove regole atte a determinare attività di protezione e monitoraggio al fine di garantire un accesso controllato ai dati sensibili dei pazienti.

La nuova legge sulla privacy definisce, in modo chiaro e inequivocabile, quali devono essere le misure minime di sicurezza che gli operatori sanitari devono adottare con l’ausilio di strumenti informatici e/o tool  gestionali:

• l’accesso al software che trattano i dati dovranno essere regolati da un sistema di credenziali per ogni utente (personale dello studio);
• introdurre un meccanismo di autorizzazioni basato sui ruoli dello studio professionale. Ad esempio, il personale amministrativo non può vedere la cartella clinica dei pazienti;
• adottare procedure atte alla conservazione sicura dei dati (backup), che ne prevenga l’eventuale perdita accidentale nonché il ripristino della disponibilità dei dati o dell’intero sistema;
• adottare adeguati  misure  di protezioni dei dati per impedire accessi fraudolenti e violazioni della privacy, come la criptazione  dei dati personali e dei dati sensibili dei pazienti;
• introdurre un registro delle attività sui dati dei pazienti: ogni processo che coinvolge i dati dei pazienti deve essere annotato su un apposito registro delle attività che oltre a riportare il tipo di operazione (visualizzazione, modifica o utilizzo per la fatturazione) annota anche l’utenza (personale dello studio) che ha generato l’evento.

RPD: Responsabile della Protezione dei Dati

Il Responsabile della Protezione dei Dati Personali (RPD) è una nuova figura designata dal titolare dello studio medico, odontoiatrico o professionale (ovvero colui che è il principale responsabile del trattamento dei dati), con il fine di aiutare lo studio a mantenersi conforme alle nuove regole sulla protezione della privacy.

Le sue attività consistono nel monitoraggio sistematico dell’adeguatezza del trattamenti dei dati sensibili, nonché dei sistemi utilizzati per la protezione dei dati. Quindi, il RPD funge da intermediario tra lo studio e le autorità di controllo, in particolare le autorità giudiziarie ed il Garante della Privacy.

La normativa purtroppo  non è chiara se gli studi medici devono avere un RPD o meno. Ecco cosa dice l’ Art. 37 del GDPR:

La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari.

Il testo lascia un vuoto interpretativo poiché non è  specificata la misura o la quantità di dati definita “larga scala” e al momento la stessa Commissione Europea, ha cercato di chiarire come si devono comportare gli studi medici o odontoiatrici con  il Considerando 91 (i considerandi sono dei consigli su come attuare il GDPR):

Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato.

Questo lascia intendere che gli studi medici, odontoiatrici e professionali con il solo titolare ad operare nello studio e anche del trattamento dei dati personali dei pazienti non sono obbligati a nominare un RPD. Tuttavia, se lo studio medico è convenzionato con il SSN, il Garante della Privacy raccomanda fortemente di nominare un RPD.

Tuttavia, essere eventualmente esentati dalla nomina di un RPD non solleva il titolare dello studio da tutte le responsabilità e dalle attività sancite dal GDPR,  come i requisiti minimi di protezione dei dati dei pazienti sopra elencati.  Per soddisfare questi requisiti, lo studio medico-odontoiatrico può comunque decidere di nominare un RPD, anche qualora non ne fosse obbligato.

GDPR: Sanzioni

Come indicato nelle linee guida del Garante della Privacy, non recepire le nuove norme in materia di privacy significa andare incontro a sanzioni che, saranno proporzionate alla gravità delle violazioni e dissuasive di altri comportamenti scorretti.

Un esempio della sanzioni a cui si può andare incontro è se un Dottore omette di ottemperare al consenso informato, oppure cede i dati dei propri pazienti a soggetti terzi per attività non legati allo studio medico, può andare incontro ad una sanzione che varia da 10 mila a 60 mila euro!

GDPR e OpenStudio

OpenStudio è un software gestionale su cloud per studi medici e odontoiatrici che ottempera a tutti i requisiti definiti con la nuova normativa sulla privacy:

• back up dei dati
• accesso al sistema con credenziali univoche
• dati sensibili crittografati
• diritto all’oblio del paziente
• esportazione dati del paziente

Gli studi professionali che utilizzano un software in cloud, infatti, interagiscono con dati contenuti in un server remoto e non sul  proprio pc locale. Per questo motivo, la società fornitrice del software gestionale in cloud ha la responsabilità di attenersi a tutte le normative del GDPR, sgravando lo studio medico sui compiti del GDPR.

In altre parole, con OpenStudio oltre ad avere un software che ti gestisce in modo ottimale le varie attività del tuo studio (gestione clienti, preventivi, fatturazione elettronica ecc) e che sia i regola con le linee guida del GDPR, potrai nominarci come DPO poiché tratteremo i dati per tuo conto.