Dopo venti anni dal 25 maggio 2018 entrerà in vigore un nuovo regolamento europeo sulla privacy e protezione dati personali, acronimo GDPR (General Data Protection Regulation) per garantire maggiormente i cittadini sulla gestione dei propri dati, dopo che le tecnologie cloud e l'esagerata espansione di internet ci ha portato ad un'eccessiva facilità di condivisione. Le aziende sanitarie, i liberi professionisti e tutte le aziende (anche estere) che lavorano nell'UE, sia come rapporti commerciali o che analizzeranno i dati dei cittadini, dovranno sottostare alla nuova normativa.

Amministrazione della giustizia, diritto penale, amministrativo, civile, sistema fiscale, finanziario e della difesa, sorpassano i limiti territoriali degli stati membri e vengono "allargati" all'intera UE. 

L'entità della multa che può arrivare per il trasgressore può arrivare fino al 4% del fatturato mondiale annuo, ciò spiega l'attenzione suscitata in tutto il mondo dalle aziende che si trovano per diversi motivi ad operare nella CE. 

L'esplosione di internet ha reso necessario superare la differenza normativa nei diversi stati europei. 

Per essere a norma caselle preselezionate, consenso tacito non basteranno più e dovremmo:

  1. analizzare dove i dati dei pazienti verranno archiviati;

  2. sapere chi avrà accesso a questi;

  3. un consenso specifico per usarli, non è ben chiaro se ogni volta che citiamo i dati in luoghi diversi abbiamo bisogno di nuova autorizzazione aspettiamo i decreti attuativi del Garante;

  4. saranno incaricati controllori per verificare che i dati in possesso del personale medico (e di tutti gli altri settori commerciali) siano usati in maniera trasparente e per una finalità specifica.

AUTOVALUTAZIONE

È consigliabile nominare una persona responsabile per valutare se l'attività svolta è conforme alle nuove direttive. Questo servirà ad evitare nuovi problemi o sorprese.

DUE REGISTRI DI ATTIVITA'

  1. un registro documenterà le procedure di controllo per essere certi che tutti i passaggi siano monitorati.

  2. un registro illustrerà quali sono i piani d'azione per controllare eventuali violazioni, che vanno segnalati alle autorità competenti entro 72 ore.

Solo la mancata compilazione dei registri comporta una multa fino al 2% del fatturato annuo. Possono essere utili periodici corsi di formazione per dipendenti allo scopo di acquisire le procedure corrette per renderli consapevoli del rischio e gestire i problemi.

È necessario sapere in maniera chiara cosa richiede la nuova normativa e cosa fare per adeguarsi, sia che si tratti di dati digitali che dati conservati in cartaceo

L'utente ha il diritto di oblio ad avere cioé cancellati i propri dati quando non più rilevanti o vecchi. Servirà riflettere con attenzione e vedere se i decreti attuativi in corso saranno "ritarati" per adattarsi ai problemi innumerevoli che si presenteranno. Le persone potranno accedere, entro un mese, alle informazioni che le aziende e i liberi professionisti possiedono su di loro dopo averne fatto richiesta.

Anche registrare consensi informati e piani di trattamento in modalità elettronica, richiederanno particolare attenzione, es. regolamenti sulla password e registrazione con firma elettronica.

I dati saranno dunque modulati in maniera diversa all'interno della CEE secondo direttive nazionali, ma il senso della legge è quello di uniformare l'intera UE a norme simili. Questa legge non riguarderà solo la tutela del trattamento dei dati dei pazienti ma tutto il nostro modo di relazionarsi in ogni settore (soprattutto online) es. industria. 

Attenzione alle direttive che saranno varate dai Garanti Nazionali...... in questo momento è meglio essere prudenti.

L’art.9 del GDPR prevede al comma 4 che gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo ai trattamenti di dati genetici, dati biometrici o dati relativi alla salute”.

A chi si applica?

Secondo gli articoli 2 e 3, come nel passato, a tutti i dati personali riguardanti l'acquisto/offerta di beni o di servizi, anche gratuiti, a persone fisiche (i cosidetti interessati) all’interno dell’Unione Europea.

MORALE. In caso di furto di computer con i nostri archivi la prima denuncia da fare è quella del furto dei dati personali insieme ai registri obbligatori da tenere in studio. Se abbiamo perso anche i dati elettronici delle fatture dei pazienti è molto meno importante.