Privacy, da oggi in vigore le nuove norme: cosa cambia per i medici

Un regolamento che trasforma i dati personali da oggetti di libero mercato a "proiezione delle persone sulla dimensione digitale" la cui tutela è un diritto fondamentale. Regole che si applicano non solo a cittadini, imprese e amministrazioni europee, ma anche a tutti coloro che anche fuori dal vecchio continente operano sui dati dei cittadini comunitari perché "nella società digitale proteggere i dati vuol dire proteggere le nostre persone quindi è un cambiamento di paradigma forte che impegna tutti".

Sono solo alcune delle novità contenute nel nuovo Regolamento europeo (clicca qui per scaricare il testo completo) sulla protezione dei dati personali che da oggi entra in vigore. A presentarle il Garante per la protezione dei dati personali, Antonello Soro, che a Bologna ha incontrato i responsabili della protezione dati, una nuova figura nata propria come effetto del regolamento.

"Il nuovo responsabile - ha detto Soro - è una figura professionale nuova voluta esplicitamente dalla norma europea che sarà l'interfaccia principale tra i padroni dei dati che siamo noi e le autorità di garanzia. I datori di lavoro dovranno scegliere un professionista competente che sia in grado di assicurare con grande indipendenza che i processi organizzativi interni siano adeguati a rispettare le nuove norme". Come è ormai ben noto, l’entrata in vigore del Nuovo Regolamento Europeo sulla Privacy, il　 GDPR　 coinvolge anche i medici

In occasione del Forum Privacy, promosso dalla Fondazione Studi e dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro, la Vicepresidente dell’Autorità Garante della Privacy　 Augusta Iannini, ha chiarito alcuni punti chiave che riguardano proprio i liberi professionisti, sottolineando come sia fondamentale effettuare una attenta　 valutazione　 di impatto　 sulla privacy e sulla quantità di dati personali trattati.

In caso di　 singoli professionisti　 e　 piccoli　 studi　 le conseguenze del GDPR saranno minime, come conferma anche il Direttore Generale della Fnomceo Enrico De Pascale: se un singolo professionista è inserito in una forma complessa di aggregazione, "soprattutto di natura contrattuale, come reti o gruppi, vedrà i dati dei colleghi, altrimenti non avrebbe avuto motivo di entrare a far parte di una struttura di questo genere. In questo caso, quindi, si potrebbe parlare di dato in larga scala". Diversamente, gli studi di grandi dimensioni devono valutare la possibilità di dotarsi di un Responsabile della protezione dati　 (DPO – Data Protection Officer), soprattutto se l’attività svolta prevede relazioni internazionali.

Per Omceo Milano, però, "difficilmente medicine in rete e di gruppo possono raggiungere i valori reddituali di cui alla tabella (fatturato sotto 2 milioni di euro annui) ". Questo significa che　 difficilmente una medicina di gruppo potrà avere "confini territoriali vasti e un numero così elevato di pazienti da richiedere la nomina di un DPO". Quanto al "monitoraggio regolare e sistematico", nelle Faq sul regolamento il Garante cita trattamenti che richiedano geolocalizzazione di gestione di dati trasmessi da dispositivi indossabili per il monitoraggio dello stato di salute.

A questo punto, in particolare, è estraneo il gruppo o la rete di medicina. Al contrario vengono citati sia i laboratori di analisi mediche che i centri di riabilitazione.

In definitiva sono obbligati a designare DPO: gli enti pubblici tranne le autorità giudiziarie; tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Gli Mmg, come detto, non rientrano anche se resta qualche dubbio per i gruppi con tanti medici

Per la nomina del Data Protection Officer, è suggerita dal Garante a ogni medico convenzionato con il SSN.

E laddove si designi un RPD su base volontaria, "si applicano gli identici requisiti validi per i RPD designati in via obbligatoria". Principio base del GDPR, infatti, è fare in modo che i titolari del trattamento dei dati siano responsabilizzati e in grado di adottare misure di tutela e di garanzia rispettando la normativa vigente.

Si consiglia quindi di redigere un　 registro　 delle　 attività di trattamento, dalla semplice raccolta della "rubrica" clienti alle operazioni di backup del database, che magari implica un passaggio su server esterni. In questo senso è fondamentale valutare la propria compliance in tema di　 consenso informato　 e trasparente al trattamento dei propri dati. Le　 informative　 devono essere personalizzare a seconda del tipo di utenti (clienti, fornitori, committenti…). Se infine si gestiscono dati personali esterni (es. per attività di payroll) è allora consigliabile la nomina di un　 DPO, ed è necessario quindi individuare　 titolaree　 responsabile del trattamento.