La privacy nello studio odontoiatrico: attenzione ai controlli. I consigli per essere in regola e garantirla ai propri pazienti 

L’occhio, attendo, del Garante della Privacy si è rivolto verso ospedali, cliniche, studi medici, studi dentistici e gli altri professionisti della salute. Nel primo semestre del 2014 sono state 196 le ispezioni svolte dalla Guardia di Finanza allo scopo di verificare come sono gestiti e archiviati i dati sensibili relativi a salute degli assistiti. Oltre 2 milioni e mezzo di euro l’ammontare delle sanzioni elevate e 24 segnalazioni all’autorità giudiziaria il primo bilancio dei controlli effettuati.

Come indicato nella Newsletter del Garante di settembre, le infrazioni più frequenti sono state:

• trattamento di dati senza tutela o senza richiesta di consenso: reclusione 6-18 mesi ma se il fatto integra la comunicazione/diffusione del dato si sale a 24 mesi
• omessa o inidonea informativa all”interessato (art 161, sanzione fino a 36.000 euro),
• mancata adozione delle misure minime di sicurezza per mancato rispetto delle norme all’allegato B del Codice della Privacy.

“La gestione della privacy nello studio odontoiatrico è meno complicata, ovviamente, che quella di una grossa struttura pur rimanendo uno dei tanti impicci burocratici che complicano la gestione della nostra attività”, ricorda ad Odontoaitria33 Alberto Libero, segretario sindacale nazionale ANDI.
“Il Decreto-Legge 9 febbraio 2012 (Disposizioni urgenti in materia di semplificazione e di sviluppo) ha abolito l’obbligo di redigere il Documento Programmatico sulla Sicurezza (DPS) e le relative sanzioni ma tuttavia rimangono in vigore alcuni obblighi (definite nell’allegato B del Codice della Privacy NdR)”.

Questi quelli elencati dal segretario sindacale ANDI, associazione che da tempo ha creato un gruppo di esperti che formano in dentisti italiani in merito alla normativa 81/08 (sicurezza lavoro) ed alla gestione della privacy.

• Nomina eventuale Responsabile del trattamento dei dati.
• Designazione scritta degli incaricati del trattamento dei dati.
• Password di accesso al sistema informatico e variazione periodica delle password , software antivirus e firewall (quest’ultimo nel caso di trattamento di dati sensibili) e aggiornamento del software antivirus.
• Salvataggio (backup) dei dati ed aggiornamento delle patches del software
• Adozione di misure per il ripristino dei dati entro 7 giorni
• Acquisizione di documentazione nel caso di affidamento a soggetti esterni di realizzazione di misure di sicurezza.

“Anche se il DPS è stato abolito – continua Alberto Libero- occorre compilare il documento di Gestione della Privacy che riassume ed ordina quanto la nuova normativa prevede. I soci ANDI possono crearlo gratuitamente e direttamente nella loro area personale sul sito dell’asociaizone. La compilazione porta via pochi minuti e dimostra l’osservanza delle norme nel momento che si è sottoposti ad un controllo”. 

Oltre gli adempimenti burocratici vanno poi ricordate le norme “comportamentali” contenute nel Codice della Privacy (dlgs 196/2003).

Evitare di chiamare il paziente con il proprio cognome in sala d’attesa se ci sono altri pazienti in attesa e soprattutto non rivelare il suo stato di salute, durante la seduta in studio non devono esserci estranei, la compilazione del consenso informato, se fatto dall’assistente o dalla segretaria dello studio deve essere fatta in un luogo protetto (meglio quindi che sia compilato direttamente dal paziente), assicurarsi che i dati dell’assistito presenti sul monitor del computer non siano visibili da persone estranee.
Per la gestione informatica, poi, il Garante della Privacy raccomanda che il salvataggio di dati sensibili e personali dei pazienti andrebbe attivato ogni settimana, la password (che deve essere sicura, quindi composta da lettere e numeri in almeno otto caratteri) cambiata ogni tre mesi, i programmi di protezione antivirus aggiornati ogni sei mesi mentre ogni anno andrebbero verificate le funzioni attribuite agli incaricati, con regole scritte (ad esempio sulla conservazione dei supporti, dischetti etc e su cosa fare in assenza del collaboratore).