GDPR e odontoiatria: perché dovrebbe interessarvi?
  • 31 luglio 2018

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento europeo sul trattamento dei dati personali (GDPR), pubblicato come Regolamento EU 679/2016. In qualità di realtà mediche, anche gli studi dentistici hanno dovuto adeguarsi alla normativa, responsabile di molteplici novità in materia di privacy. In quest’articolo risponderemo ad alcune delle domande più frequenti sull’argomento, fornendovi tutte le risposte per non incorrere in banali errori di inadempienza.


 

Cos’è il GDPR? Quali sono le novità?

Come anticipato in apertura, il GDPR è il nuovo Regolamento europeo in materia di privacy e fornisce tutte le nuove norme sul trattamento, la gestione, l’archiviazione e la protezione dei dati personali ad opera di enti privati e pubblici.

 
 

Il GDPR interessa anche il mio studio dentistico?

Affermativo. In qualità di studio dentistico avete giornalmente a che fare con i dati personali dei vostri pazienti, che vanno trattati e conservati nel rispetto del Regolamento. L’obiettivo primario del GDPR è quello di verificare che il trattamento dei dati si svolga in totale sicurezza e trasparenza, oltre a cercare la garanzia di una gestione lecita dei dati. 

Per soddisfare l’obiettivo, sono stati introdotti nuovi diritti per l’utente, il paziente del vostro studio.

 
 

Quali nuovi diritti ha il paziente?

Per ovviare a problemi di trattamento illecito di dati personali, il Regolamento introduce nuove misure di protezione per il paziente. Vediamole insieme:

- Diritto all’oblio

È diritto del paziente richiedere di eliminare o oscurare i propri dati personali. Ricordiamo però che in ambito sanitario alcuni dati vanno conservati per questioni medico-legali per un certo numero di anni. È perciò consigliabile oscurare e non eliminare quei dati.

- Diritto alla portabilità del dato

È diritto ulteriore del paziente quello di chiedere e ottenere copia dei propri dati in un formato elettronico interscambiabile.

- Diritto di sapere dove vengono trattati i propri dati

È d’obbligo informare il paziente sul luogo fisico o digitale dove vengono conservati i suoi dati. 

 
 

Come proteggere questi diritti?

Il Regolamento punta anche ad inasprire le conseguenze nel caso in cui non si adempia a determinate e preesistenti procedure di tutela della privacy. Ci si riferisce, per esempio, alle manovre per la protezione dei dati da accessi non autorizzati, cui si aggiunge l’obbligo all’utilizzo di soluzioni informatiche di trattamento dei dati progettate sin dall’origine con l’obiettivo di proteggere la privacy dei pazienti.

D’ora in avanti i software che gestiscono i dati dei vostri pazienti dovranno essere regolati da un sistema di credenziali fatto di ID e password personalizzate per ciascun operatore. Ai vostri software di protezione dei dati verrà poi chiesto di possedere alcuni strumenti di protezione dei dati come la criptazione, capace di trasformare i dati rendendoli leggibili solo attraverso una manovra di decriptaggio. Dovrete poi dimostrare di avere una procedura attiva di backup dei dati, che ne prevenga la perdita.

Nel caso in cui i dati dei vostri pazienti debbano passare per le mani di terzi, come quelle di un tecnico di laboratorio esterno, ecco che la legge mette a disposizione più possibilità. Potete scegliere la pseudonimizzazione, che vi permette di fornire i dati personali in una forma che ne impedisca l’identificazione, oppure incaricare il laboratorio del trattamento dei dati, purché anche questi si attenga agli obblighi stabiliti dal GDPR. 

 
 

Chi è il Responsabile della Protezione dei Dati Personali (RDP)?

Tra gli obblighi previsti dal nuovo Regolamento c’è anche quello relativo alla nomina del Responsabile della Protezione dei Dati Personali. L’RDP è il principale responsabile del trattamento dei dati personali dei pazienti. Viene scelto dal titolare dello studio e può anche essere una persona fisica o giuridica esterna all’attività, purché tra le parti venga stipulato un contratto. È il garante del corretto funzionamento delle nuove procedure per la privacy nonché l’intermediario tra il vostro studio e le autorità di controllo. 

 

Con questo articolo, il nostro magazine vi saluta e vi augura buone vacanze! Ci rivedremo a settembre con contenuti sempre nuovi e aggiornati! 

 

Richiedi informazioni

* i campi contrassegnati sono obbligatori
Titolare del Trattamento

Serimedical S.r.l., con sede in via Locatelli, 2, 37122 Verona (VR), CF e P. Iva 04257860231 (in seguito, “Titolare” o “Serimedical”), in qualità di Titolare del Trattamento, informa ai sensi degli articoli 13 e 14 del Regolamento UE n. 2016/679 (in seguito, “GDPR”) che i Dati di persone fisiche residenti nell’Unione Europea (in seguito “Cliente” o “Interessato”), di cui l’azienda è venuta in possesso durante lo svolgimento della propria attività, saranno trattati con le modalità e per le finalità seguenti.

Oggetto del Trattamento

Il Titolare tratta i dati personali (ad esempio nome, cognome, codice fiscale, email, numero telefonico, ecc. in seguito, “dati personali” o anche “dati”) acquisiti anche verbalmente o comunicati dall’Interessato in fase di registrazione al sito web e/o all'atto dell’iscrizione al servizio di newsletter del Titolare o all’atto dell’esecuzione di un contratto in cui l’Interessato è parte.

Base giuridica e Finalità del Trattamento

I dati personali sono trattati:
  1. senza il consenso espresso dell’Interessato (art. 6 lett. B del GDPR), per realizzare l’oggetto sociale del Titolare, in particolare:
    1. adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti in essere con il Cliente;
    2. adempiere agli obblighi previsti dalla legge, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità;
    3. permettere l’iscrizione al servizio di newsletter fornito dal Titolare e degli ulteriori Servizi eventualmente richiesti;
    4. esercitare i diritti del Titolare.
  2. previo specifico consenso dell’Interessato (art. 6 lett. A del GDPR), mediante Informativa specifica e separata da questa, per le finalità in essa indicate.
Si segnala che ai clienti della Serimedical, potranno essere inviate comunicazioni commerciali relative a servizi e prodotti del Titolare analoghi a quelli di cui il Cliente ha già usufruito, salvo dissenso espresso dell’Interessato.

Modalità del Trattamento

Il trattamento dei dati personali del Cliente è realizzato per mezzo delle operazioni indicate all’art. 4 n. 2 del GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modifica, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. I dati personali sono sottoposti a trattamento sia cartaceo che elettronico.
Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui all’art. 3 della presente informativa e comunque per non oltre 10 anni dalla cessazione del rapporto con il Cliente. I dati raccolti e non soggetti a conservazione determinata dalla legge saranno conservati per non oltre 2 anni dalla cessazione del rapporto con l’Interessato.
I dati saranno inoltre trattati nel rispetto del principio di riservatezza e di sicurezza, in particolare, saranno adottate tutte le misure tecniche, informatiche, organizzative e procedurali di sicurezza in modo che sia garantito il livello adeguato di protezione dei dati indicati dall’art. 32 del GDPR.

Accesso ai Dati

I dati del Cliente potranno essere resi accessibili per le finalità di cui all’art. 3.A) e 3.B) della presente informativa:
  1. a dipendenti e collaboratori del Titolare, nella loro qualità di incaricati e/o responsabili interni del trattamento e/o amministratori di sistema;
  2. a terzi soggetti (ad esempio, provider per la gestione e manutenzione del sito web, fornitori, istituti di credito, studi professionali, etc.) che svolgono attività in outsourcing per conto del Titolare, nella loro qualità di responsabili esterni del trattamento.

  Comunicazione dei Dati

Senza espresso consenso del Cliente (art. 6 lett. b) e c) del GDPR), il Titolare potrà comunicare i dati per le finalità di cui all’art. 3.A) della presente informativa a Organismi di vigilanza, Autorità giudiziarie nonché a tutti gli altri soggetti ai quali la comunicazione sia obbligatoria per legge o necessaria per l’espletamento delle finalità dette.

Trasferimento dei Dati

La gestione e la conservazione dei dati personali avverranno su server del Titolare ubicati all’interno dell’Unione Europea e/o di società terze incaricate e debitamente nominate quali Responsabili del trattamento. Attualmente i server sono situati in Italia. I dati non saranno oggetto di trasferimento al di fuori dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione dei server in Italia e/o Unione Europea e/o Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.

Natura del conferimento dei Dati e conseguenze del rifiuto di rispondere

Il conferimento dei dati per le finalità di cui all’art. 3.A) della presente informativa è obbligatorio. Il mancato conferimento comporterà l’impossibilità per Serimedical di dare seguito al rapporto in essere con l’Interessato.

Diritti dell’interessato

Nella qualità di interessato, il Cliente ha i diritti di cui agli artt. 15 - 21 del GDPR e precisamente i diritti di:
  1. ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
  2. ottenere l'indicazione:
    1. dell'origine dei dati personali;
    2. delle finalità e modalità del trattamento;
    3. della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
    4. degli estremi identificativi del titolare, dei responsabili e del rappresentante designato;
    5. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
  3. ottenere:
    1. l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
    2. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
    3. l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
  4. opporsi, in tutto o in parte:
    1. per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    2. al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante email e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Si fa presente che il diritto di opposizione dell’interessato, esposto al precedente punto b), per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto, l’interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione.
Ove applicabili, il Cliente ha quindi i diritti di cui agli artt. 15-21 del GDPR, ovvero il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitazione di trattamento, il diritto alla portabilità dei dati, il diritto di opposizione, nonché il diritto di reclamo a un’Autorità di Controllo.

Modalità di esercizio dei diritti

Il Cliente potrà in qualsiasi momento esercitare i propri diritti inviando:
- una raccomandata A/R a Serimedical S.r.l., via Locatelli 2, 37122 Verona (VR);
- una e-mail all’indirizzo info@serimedical.it
- una PEC all’indirizzo serimedicalsrl@legalmail.it

Minori

I Servizi del Titolare non sono destinati a minori di 18 anni e il Titolare non raccoglie intenzionalmente informazioni personali riferite ai minori. Nel caso in cui informazioni su minori fossero involontariamente registrate, il Titolare le cancellerà in modo tempestivo, su richiesta dell’interessato.

Titolare, responsabile e incaricati

Il Titolare del trattamento è Serimedical S.r.l. in nome del proprio rappresentante legale.
L’elenco aggiornato dei responsabili e degli incaricati al trattamento è custodito presso la sede del Titolare del trattamento.

Modifiche alla presente Informativa

La presente Informativa può subire variazioni. Si consiglia, quindi, di controllare regolarmente questa Informativa anche sul nostro sito internet e di riferirsi alla versione più aggiornata.
 
Do il consenso

Serimedical - Newsletter

Iscriviti alla nostra newsletter e unisciti ai colleghi che hanno già scelto la formazione Serimedical!

Dichiaro di aver letto e compreso l'informativa privacy (leggi)
Hai domande? Fatti contattare da un nostro esperto