L'odontoiatria 2.0 e la tutela dei dati sensibili. Queste le cose da sapere e da fare

Come spesso capita, le nuove tecnologie si portano dietro adempimenti e problematiche nuove. Quelle legate alla privacy ed al trattamento dei dati sanitari sono spesso vissuti dal dentista, ma anche da laboratorio odontotecnico, come un impiccio, un "giro di carte" considerate inutili.

In questi giorni è stato approvato il nuovo regolamento europeo sulla Privacy che dovrebbe entrare in vigore nel 2018.

Già oggi il titolare di uno studio odontoiatrico e del laboratorio odontotecnico devono sottostare a tutta una serie di norme ed accorgimenti legati alla tutela della privacy del paziente trattato.
"Con l'avvento delle nuove tecnologie in odontoiatria -dice ad Odontoaitria33 l'avv. Alessandra Delli Ponti (nella foto) dello studio legale Stefanelli in Bologna - sono aumentati i rischi e le questioni da tenere sotto controllo, spesso non considerate. Con il nuovo regolamento europeo il titolare dello studio sarà ancora più responsabile e deve sapere dove finiscono i dati sensibili dei propri pazienti ed avere il controllo di tutti i dati che tratta".

E l'avv. Delli Ponti ci elenca i casi più comuni: si va dall'invio delle foto del paziente al laboratorio odontotecnico per segnalare una incongruenza estetica in una mail non protetta, all'utilizzo di un servizio cloud come Dropbox, per citare uno dei più conosciuti, per la condivisione delle foto e documenti passando dall'invio delle impronte digitali ad un centro che realizza apparecchi ortodontici invisibili o dispositivi protesici fino all'utilizzo di un software gestionale per lo studio che prevede un archivio web delle proprie fattura, ma non si sa dove.

"Tra le problematiche più diffuse -spiega - quella dell'utilizzo delle tecnologia, attraverso ad esempio un trasferimento via web su di una piattaforma del fornitore nel paese, appunto, del fornitore. Per esempio l'affidamento ad un fornitore statunitense, per la realizzazione di un manufatto o dispositivo medico su misura. Il dispositivo viene in effetti realizzato in un Paese extra UE, ma la struttura sanitaria committente come trasferisce i dati del paziente necessari per la sua costruzione? Ha regolato i rapporti non solo sotto il profilo della realizzazione del manufatto ma anche sotto il profilo del trasferimento dei dati?"

Il trasferimento di dati personali da paesi appartenenti all'UE verso Paesi "terzi" (non appartenenti all'UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein), precisa l'avvocato, è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione "adeguato".

L'adeguatezza del livello di protezione può essere fatto a "livello centrare" attraverso le decisioni della Commissione UE (articolo 25, comma 6, della Direttiva 95/46/CE). I Paesi per i quali è stata decretata l'adeguatezza è riportato sul sito del Garante. Anche per gli USA era stato emesso un decreto di adeguatezza il cosiddetto "Safe Harbor", valido sino al mese di ottobre 2015 dopo la sentenza della Corte di Giustizia UE del 6 ottobre 2015 relativa alla causa C-362/14 e del Provvedimento del Garante 22 ottobre 2015.

In assenza di una decisione "centrale" sull'adeguatezza del livello di protezione dei dati del paese in cui s'intendono inviare i dati il trasferimento è consentito secondo una serie di opzioni.

I problemi legati al non rispetto della gestione dei dati sensibili dei pazienti possono arrivare non solo in caso di contenzioso, quando il paziente tenta tutte le strade per provare che il dentista è in difetto, ma anche in caso di controllo dell'Asl per rilasciare le autorizzazioni sanitarie oppure in caso di verifiche fiscali o di verifiche mirate da parte del Garante. "Ma i problemi possono derivare anche dal fornitore stesso del servizio che può, in caso di mancato pagamento del canone di abbonamento, rifiutarsi di rendere disponibili cartelle cliniche e fatture archiviate sul suo cloud. Se il professionista non si tutela prima rischia, poi, di non poter più utilizzare i dati", sottolinea l'avv. Delli Ponti che consiglia:

Queste le cose da fare e non fare consigliate:

1. Identificare i fornitori di servizi che comportano un trattamento di dati.

2. Verificare l'attendibilità del fornitore e del servizio che propone anche sotto il profilo della sicurezza del dato.

3. Verificare i contenuti del contratto che si sottoscrive e di eventuali clausole relativa alla "titolarità o proprietà" dei dati e alle responsabilità conseguenti.

4. Ove non esiste un contratto o nel contratto non ci sono disciplinati questi aspetti predisporre e sottoscrivere un apposito documento in cui si definiscano: ruolo del fornitore (Responsabile del trattamento dati, anche Amministratore di Sistema, mero incaricato, etc.), compiti e responsabilità delle parti anche in merito al rapporto con il paziente, descrizione di come il fornitore si impegna a trattare il dato, in particolare indicazione dei livelli e misure di sicurezza che il titolare del trattamento impone al fornitore, eventuale presenza di sub-fornitori o terzi e garanzie sul loro operato, conseguenze sui trattamenti di dati in casi di risoluzione del rapporto contrattuale.

5. Non firmare senza leggere le clausole inserite negli accordi.

6. Non lasciare a terzi la gestione dei propri dati, ma mantenere un controllo dei soggetti a cui delego dei trattamenti.

Norberto Maccagno