<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1613530318929908&amp;ev=PageView&amp;noscript=1">

Registro attività GDPR nello studio medico e odontoiatrico: domande frequenti

In questa FAQ sul registro attività GDPR per gli studi medici e odontoiatrici abbiamo raccolto una serie di domande frequenti e risposte utili a chiarire un punto fondamentale del GDPR, mettendo a disposizione un FAC-SIMILE da scaricare per creare il proprio registro facilmente.

  1. Dove trovo un esempio di registro attività?
  2. Il registro delle attività è obbligatorio?
  3. Chi deve tenere il registro delle attività?
  4. Che formato deve avere il registro?
  5. Cosa sono le finalità di trattamento?
  6. Cosa va indicato nelle categorie degli interessati al trattamento?
  7. Cosa va indicato nelle categorie di dati?
  8. Chi è il responsabile del trattamento dei dati??
  9. Cosa s'intende per categorie dei destinatari?
  10. A cosa servono i termini di cancellazione delle categorie?

Dove trovo un esempio di registro attività?

Abbiamo messo a disposizione un esempio di registro delle attività in formato Excel comodo da compilare, ampliare ed aggiornare a norma di GDPR.

SCARICA IL FAC-SIMILE GRATUITO

Il registro delle attività è obbligatorio?

L’Art. 30 del GDPR prevede che ogni titolare del trattamento dei dati (ciascun titolare di studi medici, odontoiatrici o i professionisti sanitari) tenga un registro delle attività di trattamento dati di cui è responsabile.

Chi deve tenere il registro delle attività?

L’Art. 30 del GDPR prevede che il registro attività contenga il nome e i dati di contatto del titolare del trattamento, quindi il titolare dello studio, oppure il socio amministratore in caso di società o studi associati.

Il registro delle attività dovrà riportare anche i co-titolari del trattamento, per cui dovrà contenere i dati di contatto dei soci e di tutti i collaboratori che effettivamente si trovano a trattare i dati dei pazienti - un esempio pratico è un laboratorio di analisi esterno allo studio medico.

In caso sia stato nominato un responsabile del trattamento dei dati (RPD), inoltre, anch’esso dovrà essere iscritto al registro attività dello studio, malgrado sia proprio l’RPD ad indicare come compilare il registro delle attività al titolare dello studio.

Che formato deve avere il registro?

Il registro delle attività può avere forma scritta o elettronica, come indicato nell’Art. 30, Par. 3 del GDPR. A prescindere dal formato del registro è essenziale che gli studi abbiano la possibilità di esibire il registro immediatamente in caso di controlli da parte dell’autorità di vigilanza.

Consigliamo vivamente di mantenere un registro elettronico, perché occorre che esso venga aggiornato regolarmente in base ai processi di trattamento su trattamento di dati svolti (in fondo all’articolo è disponibile un fac-simile del registro).

Cosa sono le finalità di trattamento?

L’Art. 30 del GDPR prevede che vengano documentate le finalità del trattamento dati, che esse siano esplicite e legittime, nonché che siano compatibili e coerenti alla normativa.

Il principio sottostante è che qualsiasi trattamento dati è legittimo solo nell’ottica del fine che persegue, per cui, se il fine delle prestazioni di uno studio medico-odontoiatrico è un percorso di cura, tutti i dati dei pazienti trattati dovranno rispettare il medesimo fine.

Le finalità del trattamento trovano riscontro pratico nell’Informativa privacy e nel consenso al trattamento consegnati al paziente, che informano il paziente delle finalità del trattamento e assicurano allo studio l’accettazione delle suddette finalità.

In caso lo studio utilizzi i dati raccolti dai pazienti per effettuare campagne promozionali, infatti, il paziente dovrà accettare queste finalità di trattamento all’interno del consenso suddetto, altrimenti il trattamento di questi dati sarà illegittimo.

Per compilare l’informativa ed il consenso al trattamento a norma di GDPR esistono strumenti come il generatore d’informativa Privacy e consenso al trattamento.

Cosa va indicato nelle categorie degli interessati al trattamento?

Per interessato al trattamento s’intende la persona fisica cui sono riferiti i dati trattati, nel caso degli studi medico-odontoiatrici si tratta principalmente dei pazienti; malgrado i dati raccolti dallo studio siano anche riferiti a fornitori, collaboratori e laboratori esterni.

Di notevole interesse per lo studio è certamente il diritto di opposizione che l’interessato può esercitare in base all’Art. 21 del GDPR, poiché ogni paziente ha il diritto di opporsi al trattamento dei suoi dati in qualsiasi momento e lo studio dovrà necessariamente cancellare i suoi dati o interrompere le attività non accettate dal paziente.

Nel caso di uno studio medico, odontoiatrico o di un professionista sanitario, l’eventualità che il paziente si opponga totalmente al trattamento dei dati è molto remota, in quanto negare l’accesso ai propri dati significa anche bloccare il percorso di cura.

Tuttavia, l’opposizione al trattamento può essere manifestata per finalità specifiche, ad esempio per le attività di marketing: in questo caso lo studio potrà inviare offerte e promozioni solo ai pazienti che hanno dato il loro consenso a tale attività.

Cosa va indicato nelle categorie di dati?

Per categorie di dati sono compresi i dati identificativi della persona: ad esempio nome e cognome, numero di passaporto, impronte digitali, ma anche indirizzo IP, email e tutte le informazioni che possono identificare una persona fisica.

All’Art. 9, inoltre, il GDPR costituisce una categoria specifica di dati considerati a trattamento speciale, soggetta a maggiore attenzione rispetto ai precedenti dati in quanto legati alla sfera personale ed emotiva dei soggetti e perciò particolarmente sensibili. Tra essi si distinguono:

  • origine etnica;
  • opinioni politiche;
  • credo religioso;
  • appartenenza sindacale;
  • dati genetici;
  • dati biometrici;
  • dati relativi alla salute;
  • orientamento sessuale e vita sessuale;
  • precedenti giudiziari.

Appare chiaro come alcuni di questi dati siano particolarmente necessari ad uno studio medico-odontoiatrico o ad un professionista sanitario, ma altri nettamente fuori contesto e sicuramente lontani dalle finalità di trattamento tipiche di uno studio medico-odontoiatrico o un professionista sanitario.

Eppure, il processo di profilazione, che permette di effettuare campagne marketing molto efficaci, trae giovamento proprio dai dati sensibili legati alla sfera personale dell’individuo. Per questo motivo il GDPR pone delle condizioni necessarie al loro utilizzo, primo su tutti il consenso esplicito da parte dell’interessato.

Chi è il responsabile del trattamento dei dati?

Secondo l’Art. 37 del GDPR, il responsabile della protezione dati è la figura preposta alle funzioni di supporto e controllo, ma anche formative e consultive riguardo all’applicazione del regolamento stesso.

La nomina di un RPD è obbligatoria solo in casi specifici, ad esempio in caso di enti pubblici, oppure attività con più di 250 dipendenti. Tuttavia, il GDPR raccomanda fortemente la nomina di un RPD per tutte le attività di trattamento di dati sensibili come gli studi medici, odontoiatrici ed i professionisti sanitari.

Cosa s’intende per categorie dei destinatari?

Nel caso in cui i dati personali dei pazienti raccolti dallo studio vengano ceduti a soggetti esterni allo studio stesso, i pazienti devono essere informati chiaramente dei rischi che questo passaggio comporta e lo studio deve garantire un livello di sicurezza adeguato al trasferimento.

Per essere a norma di GDPR, Informativa Privacy e consenso al trattamento devono informare i pazienti che i dati trattati dallo studio possono essere ceduti ad altri (ad esempio a laboratori di analisi, oppure alla Pubblica Amministrazione per l’invio delle fattura tramite Sistema TS oppure con SDI) e soprattutto richiedere il consenso alla cessione in modo esplicito indicando i singoli soggetti riceventi.

A cosa servono i termini di cancellazione delle categorie?

L’Art. 17 del GDPR sancisce che ogni interessato al trattamento ha il diritto di ottenere la cancellazione dei dati raccolti dal titolare, per cui, nel caso in cui il paziente di uno studio medico-odontoiatrico chieda che i suoi dati siano cancellati, il titolare del trattamento è obbligato a procedere.

Il cosiddetto “diritto all’oblio” è un mezzo di protezione a tutti gli effetti e riguarda sia i pazienti che direttamente gli studi, poiché è legato alle finalità di trattamento, quindi agli scopi ultimi delle attività.

Il trattamento dei dati è legittimo solo nel contesto delle finalità di trattamento espresso, per cui, in caso di modifica delle finalità oppure di esaurimento delle stesse, il titolare del trattamento non potrà più utilizzare gli stessi dati, finché non richiederà di nuovo il consenso al trattamento dei dati per tale fine.

 

Dai un'occhiata anche a questi:

Commenti

0 Commenti