17 Maggio 2018

---

---

Sembra la domanda più frequente di questi giorni: ma alla fine cosa cambia rispetto a quanto lo studio odontoiatrico aveva già attivato per rispettare quello che dalla data di entrata in vigore del regolamento europeo (25 maggio) sarà il vecchio regolamento sulla privacy? Noi l’abbiamo posta all’avvocato Silva Stefanelli (nella foto) che con Odontoiatria33 ha realizzato un video corso proprio per permettere di capire la normativa europea in tema di protezione dei dati. 

“Cambia l’approccio, molto meno burocratico e più di responsabilità”, dice. “Governa l’intero Regolamento il principio di Accountability, ovvero di responsabilizzazione di chi è titolare dei dati. Si tratta di prendersi del tempo per seguire con attenzione il percorso del dato e garantirgli la massima sicurezza possibile in tutto il suo percorso. 
Sembra facile forse scritto così, ma non lo è, non è standardizzabile, ognuno ha una struttura informatica diversa, ognuno ha relazioni gestite in modo diverso, la nuova Privacy è “un vestito su misura” da riprovare ogni anno per adattarlo ai cambiamenti fisiologici.Ovvio che ci sono dei punti in comune a tutti, tutti trattano dati di salute (anamnesi) e tutti trattano dati biometrici (dati ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca) in altri termini: radiografie digitali, immagini fotografiche intraorali ed extraorali. Tutti hanno un pc ma non tutti hanno un gestionale, eppure trattano dati digitali comunque, il problema non è sapere la nuova privacy bensì applicarla in modo corretto. 

Cosa deve fare il titolare dello studio, della struttura odontoiatrica? 

Dedicare un po’ di tempo a comprendere la rilevanza della privacy, a capire quali sono i meccanismi e i processi che non vuole alterare perché sono i processi cardine dello studio, cosa deve mettere in sicurezza e quanto deve spendere per adeguarsi alla nuova normativa. Perché a nessuno piace scriverlo ma la privacy sarà un nuovo costo, ma nulla in confronto alla sanzione che può essere applicata. Il GDPR prevede infatti intende usare la sanzione come leva di dissuasione da comportamenti di deresponsabilizzazione: fino al 4% sul fatturato. Si tratta di intervenire e di investire per garantire sicurezza al percorso del dato digitale, di investire in formazione principalmente perché come sempre, le persone formate e informate sono le prime che garantiscono la sicurezza nella gestione del dato.   

Che differenze ci sono dalla normativa precedentemente in vigore? 

Un organigramma, un codice di comportamento, un test periodico di verifica della tenuta del sistema di gestione del dato, una procedura annua, un aggiornamento costante, l’archiviazione dei dati per un tempo definito, non si pensi solo ai pazienti, anche i dipendenti hanno una sezione dedicata di adeguamento al GDPR., e questo a prescindere dall’attività.  

Come lo studio si deve organizzare? 

In questo periodo si parla tanto di privacy e si pretende di avere soluzioni rapide a portata di mano perché l’approccio è ancora di tipo burocratico, come è stato per il 196/2003.Ci sono mille soluzioni al momento sul mercato e questo dimostra la complessità del GDPR l’ampiezza del ragionamento da compiere, il livello di responsabilità connesso.   

Ma non funziona così, nessun prêt-à-porter, il GDPR è diverso: va compreso, implementato (anche con un piano di adeguamento se serve) integrato nella quotidianità dell’attività e monitorato costantemente.  Il consiglio è prima quello di “capire” la normativa e farsi aiutare. Sono mole le opportunità a comincia a quelle attivate dalle associazioni di categoria, da propri consulenti. Tra le soluzioni per fare una autovalutazione di cosa necessita il proprio studio segnalo anche questa, vedi link. Ma come dicevo prima la normativa va capita e bisogna abbandonare la ricerca del “documento” da fare firmare, per alcuni studi magari non ci sarà neppure quella necessità, ma valutare.   

Ci consoli il fatto che il GDPR si estende a tutte le attività sul territorio europeo, nessuno escluso: professionisti, ditte individuali, società, imprese, associazioni, sindacati, etc.