Il nuovo regolamento generale dell'UE sulla protezione dei dati (GDPR) è entrato in vigore il 25 maggio 2018 e armonizza le norme per il trattamento dei dati personali da parte di imprese private ed enti pubblici in tutta l'UE.
Il nuovo GDPR si applica anche ai dentisti?
La risposta è sì: gli studi dentistici/odontoiatriche dispongono di dati personali sui pazienti, informazioni che registrano lo stato di salute della persona interessata e quindi devono essere trattati e conservati in conformità al regolamento.
La seconda domanda è: dobbiamo preoccuparci?
La risposta è no.
Tuttavia, dobbiamo essere informati e adottare una serie di misure per proteggere i dati personali, il loro trattamento e la loro conservazione. Lo scopo del nuovo regolamento è quello di verificare se il trattamento dei dati ha uno scopo legittimo, se è sicuro e se l'interessato è stato adeguatamente informato.
Per garantire ciò, il legislatore ha introdotto nuovi diritti per la persona interessata (il paziente). Il diritto di essere dimenticati: per rispondere agli eventi e alle notizie attuali, i pazienti possono richiedere che i dati che li riguardano siano cancellati o nasconderli. Ricordiamo che nel settore sanitario è necessario conservare alcuni dati per un certo numero di anni per questioni medico-legali. In questo caso è quindi meglio nascondere i dati piuttosto che cancellarli.
Diritto alla portabilità dei dati: Il paziente può richiedere una copia dei suoi dati in un formato elettronico scambiabile, ad esempio XML.
Il diritto di sapere dove vengono trattati i vostri dati: Se si utilizza una soluzione che memorizza i dati in Germania, ad esempio, si ha l'obbligo di informare i pazienti, in quanto non tutti possono essere favorevoli al fatto che i loro dati siano in una nuvola e/o inviati all'estero - in generale, devono essere adottate misure per rispettare i nuovi diritti dei pazienti.
Al fine di garantire la sicurezza del trattamento e della conservazione dei dati, il legislatore evidenzia ulteriori aspetti. La legge sulla protezione dei dati ha da tempo stabilito che i dati devono essere protetti da accessi non autorizzati e che vengono adottate tutte le misure necessarie per garantire la sicurezza e l'integrità, come l'obbligo di effettuare regolarmente copie di backup dei dati.
Il nuovo GDPR chiarisce ulteriormente questi aspetti e intensifica le conseguenze della non conformità.
Introduce il concetto di "Privacy By Design", un nuovo elemento chiave della legislazione sulla protezione dei dati personali, che prevede che le soluzioni informatiche utilizzate per il trattamento dei dati siano progettate e realizzate con l'obiettivo ultimo di proteggere la privacy degli interessati.
Non vogliamo affrontare qui gli aspetti più tecnici, ma è importante menzionare alcuni requisiti di base.
Se i dati dei pazienti vengono trasmessi a terzi (ad es. al laboratorio odontotecnico), si possono prendere due strade per conformarsi alla nuova legislazione:
Il risultato di tutte le condizioni e i controlli di cui sopra deve quindi essere iscritto in un "registro delle operazioni di trattamento". Ma chi è responsabile di tutte queste cose? La risposta è "il titolare del trattamento", che di solito è il professionista o il legale rappresentante della società.
Queste informazioni devono essere fornite quando si dà il consenso al trattamento dei dati che il paziente deve firmare prima di iniziare il trattamento. Il titolare del trattamento dei dati è sempre il primo responsabile nei confronti di terzi; non è quindi previsto che possa esonerarsi tramite "mandati" esterni.
Quest'ultimo aspetto merita un'attenzione particolare quando si utilizza un sistema nel cloud, in quanto il proprietario dei dati ha sempre la responsabilità principale. L'esternalizzazione dei dati non è sempre facile e veloce.
Una volta stabilite le misure di sicurezza adeguate, il GDPR richiede anche una valutazione preventiva dei rischi per la privacy delle persone e delle misure adottate per gestirli; questo è noto come "valutazione d'impatto".
Tutte queste funzioni esistono già in Dentina, ma saranno ulteriormente implementate e armonizzate nei prossimi mesi alla luce delle misure adottate dal PILR per l'adeguamento della normativa italiana. Tuttavia, queste misure non sono ancora state approvate dalle autorità competenti.
Per il momento, possiamo assicurarvi che CompuNet & Partners - come sempre - presterà particolare attenzione anche alla protezione dei dati, e dall'entrata in vigore del GDPR, i nostri prodotti e servizi continueranno a fornirvi gli strumenti per aiutarvi a rispettare la nuova legislazione. Vi forniremo anche la documentazione necessaria per soddisfare i requisiti del software gestionale.