Da domani entra in vigore il nuovo regolamento europeo sulla privacy. Come detto nell’articolo precedente, non è nulla di sconvolgente, non bisogna fare corsi costosi o pagare consulenti per mettersi a norma. Di fatto basta aggiornare l’informativa. Qui di seguito riportiamo il Codice di Condotta previsto dall’articolo 40 del GDPR come applicabile agli studi odontoiatrici. L’informativa può essere scaricata Qui.
CODICE DI CONDOTTA PER IL TRATTAMENTO DEI DATI PERSONALI
AI SENSI DEL REGOLAMENTO UE016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
DEL 27 APRILE 2016
AI SENSI DELL’ART.40
Il presente codice di condotta si propone lo scopo di delimitare la liceiità di trattamento dei dati raccolti presso gli studi dentistici degli aderenti al network SlowDentistry e di precisare l’applicazione del Regolamento UE016/679 per quanto riguarda il loro trattamento corretto e trasparente.
Liceità del trattamento:
I dati sono raccolti in modo lecito in quanto corrispondono ad obblighi di legge e contrattuali:
art.6 comma 1b: obblighi contrattuali. I dati sanitari sono raccolti per effettuare le prestazioni odontoiatriche richieste. I dati riguardano l’anamnesi generale e odontoiatrica, l’esame obiettivo e le registrazioni necessarie.
art.6 comma 1c: obblighi di legge. I dati anagrafici e fiscali sono necessari per la presentazione dei dati fiscali
Per la raccolta di tali dati NON è necessario il consenso dell’interessato.
I dati personali potrebbero essere raccolti anche a fini di ricerca clinica: in tal caso essi possono essere pubblicati in modo raggruppato senza consentire di risalire all’identità dell’interessato. Nell’eventualità che invece sia possibile risalire all’interessato, è necessario ottenerne il consenso esplicito.
I dati raccolti e trattati dagli studi odontoiatrici sono:
dati anagrafici e fiscali raccolti al fine di regolare il rapporto economico con il paziente. Sono un obbligo di legge. Non è necessario il consenso del paziente. Possono essere inviati ai consulenti fiscali dello studio e ai laboratori. Devono essere conservati almeno fino a quanto prescritto dalla normativa fiscale (10 anni).
Dati di salute generale. Possono essere utili nell’effettuazione della prestazione sanitaria. È preferibile che vengano conservati all’interno dello studio in luogo non accessibile al pubblico. Se vengono conservati su supporto informatico o online devono essere pseudonimizzati e l’accesso deve essere protetto.
Dati relativi al trattamento odontoiatrico. Il rischio connesso alla loro illecita diffusione è relativamente limitato. Possono essere conservati su archivi informatici anche on cloud. Vanno conservati almento dieci anni. Dopo tale termine il paziente può chiederne la cancellazione.
Correttezza del trattamento.
I dati vengono raccolti su supporti cartacei, informatici, fotografici, video, volumetrici etc.
La gestione di ogni specifico supporto deve consentire:
la conservazione dei dati
la riservatezza: i supporti devono essere custoditi in ambienti non accessibili al pubblico, se comunicati a terzi (laboratori, consulenti fiscali) questi si intendono contitolari del trattamento e sono soggetti ai medesimi obblighi di riservatezza. Se trattati su supporti informatici sono protetti mediante password.
Il ripristino: i supporti informatici sono trattati in modo da poter ripristinare i dati in caso di danneggiamento.
Trasparenza del trattamento.
L’interessato viene informato del trattamento, della conservazione e dell’accessibilità dei dati raccolti.
Titolare del trattamento.
I dati sanitari possono essere raccolti solo per finalità di diagnosi e assistenza o terapia sanitaria (art.9 comma 2h) da un professionista soggetto al segreto professionale (art.9 comma 3).
I dati sanitari raccolti dal titolare o da altro personale autorizato possono essere condivisi con altri titolari che assumono gli stessi obblighi del titolare (laboratori, consulenti fiscali, collaboratori interni ed esterni).
Nelle nostre realtà non è necessario nominare né un responsabile del trattamento né un responsabile della protezione dei dati. Non è neppure necessario tenere un registro delle attività.
Informazione al pubblico e all’interessato: l’interessato deve essere informato circa la finalità e le modalità del trattamento, nonché dei suoi diritti di accesso, rettifica e portabilità.
Deve essere altresì informato che:
il rifiuto di fornire i dati fiscali (o l’inesattezza degli stessi, in particolare del codice fiscale) comporta l’impossibilità di fornire la prestazione.
L’interessato è responsabile della correttezza dei dati sanitari forniti. Non è cioè compito del titolare verificare se l’interessato ha comunicato i propri dati in modo completo ed esatto, soprattutto per quel che riguarda patologie pregresse e in atto e terapie farmacologiche. L’incompleta o inesatta comunicazione degli stessi corrisponde in effetti ad un rifiuto del trattamento degli stessi dati.
L’interessato ha il diritto di accedere ai propri dati personali, di ottenere la rettifica dei dati errati e la comunicazione dell’avvenuta rettifica e la copia degli stessi. Ha altresì il diritto di chiedere la portabilità dei dati ovvero la loro comunicazione ad un altro titolare.
Tale informativa può essere adeguatamente effettuata con un avviso visibile in un ambiente aperto al pubblico.
L’autorizzazione al trattamento dei dati del minore viene fornita dai titolari della responsabilità genitoriale con le stesse modalità dell’adulto. Il rifiuto di fornire i dati implica l’impossibilità di effettuare la prestazione.
Autorizzati al trattamento: tutto il personale dello studio e i collaboratori sono autorizzati al trattamento dei dati personali.
La formazione degli autorizzati è compito del titolare del trattamento.
In sintesi
| INFORMATIVA | SI | ART.13 |
| CONSENSO SCRITTO | NO | ART.9 / 2H, ART.6 1B E 1C |
| NOMINA DEL RESPONSABILE DEL TRATTAMENTO | NO | |
| NOMINA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI | NO | |
| NOMINA DEI CONTITOLARI DEL TRATTAMENTO | NO | |
| NOMINA DEGLI INCARICATI DEL TRATTAMENTO | NO | |
| FORMAZIONE DEGLI INCARICATI DEL TRATTAMENTO | SI | ART.29 ART.32 / 4 |
| REGISTRO DEI TRATTAMENTI | NO | ART.30 |
| DATI DI SALUTE GENERALE | SCHEDA CARTACEA se su supporto informatico pseudonomizzati e protetti con password |
|
| DATI FISCALI | INFORMATICI | |
| DATI DEL TRATTAMENTO | INFORMATICI |
Per approfondire:
WP 248 – Linee-guida concernenti valutazione impatto sulla protezione dati
Regolamento UE 2016 679. Con riferimenti ai considerando-1
Guida all applicazione del Regolamento UE 2016 679
