Kruzer ha diversi clienti nell’ambito dei servizi sanitari: medici generici, specialisti, una casa di riposo, etc., ma abbiamo scelto l’esperienza vissuta in una città dell’Emilia Romagna: un poliambulatorio che svolge attività di medicina generale di gruppo, oltre che alcune specialità ed esami, effettuati anche con l’ausilio di elettromedicali dedicati.
Kruzer ha realizzato tutta la documentazione e ha fornito la consulenza per l’adeguamento iniziale al GDPR e continua a fornire consulenza continuativa nel ruolo di Privacy Officer, mantenendo gli aggiornamenti e fornendo le consulenze necessarie nel corso del tempo.
Si parte dalla formazione
L’ambulatorio ha una dimensione media, ma diremmo rilevante se inserita nel contesto di una città di poco più di 100 mila abitanti.
La sensibilità del nostro cliente al tema della privacy si è rivelata quando è stato lui stesso, nella persona del direttore e titolare dello studio, a richiederci una sessione di formazione per tutto lo staff.
Staff notevole, dato che contava una decina di persone tra assistenti, medici generici e specialisti. I temi trattati sono stati quelli relativi al regolamento europeo e alla sua applicazione specifica nell’ambito del trattamento dei dati sanitari.
Uno studio medico, specialmente se di discrete dimensioni, come quello considerato nella nostra esperienza, si distingue per la grande dinamicità in termini di trattamenti di dati e situazioni particolari: dalla gestione dei sostituti dei medici, quando assenti, all’inquadramento di figure, a volte fugaci, come i praticanti stagisti, provenienti dall’università locale. Non dobbiamo poi dimenticare le assistenti e le segretarie, figure che, pur non appartenendo alla classe delle professioni sanitarie, necessitano dell’autorizzazione e della formazione al trattamento di dati particolari (quelli definiti in passato come “sensibili”).
Ricordiamo che i medici, in quanto professionisti sanitari sottoposti a regole deontologiche anche sulla riservatezza dei dati, si possono configurare in taluni casi come titolari dei trattamenti e in altri come responsabili. In ogni caso, devono essere ben informati sulle basi giuridiche e sulle regole basiche relative alla tutela e alla protezione di quel prezioso bagaglio informativo riguardante i pazienti.
Naturalmente, non esistono solo i pazienti, ma vanno considerati anche i dipendenti e i collaboratori di studio. La formazione era incentrata anche sui trattamenti di dati personali effettuati su tali soggetti.
L’adeguamento passa non solo dalla documentazione.
La documentazione redatta è stata quella standard, come l’analisi dei rischi, il registro dei trattamenti, le nomine e le informative specifiche, ma abbiamo dovuto tener conto di un modulo di consenso specifico per l’accesso all’ FSE, il fascicolo sanitario elettronico, struttura informativa regionale che consente la consultazione della situazione sanitaria dei pazienti. Inoltre, uno studio medico di quelle dimensioni, tratta una moltitudine di dati particolari, anche di minori. Ciò rende indispensabile una DPIA (data protection impact assessment), cioè, un’analisi di impatto, come previsto dalla normativa (art. 35 del GDPR).
Particolare attenzione è stata prestata alla definizione corretta delle nomine di responsabilità (responsabilità esterna; autorizzazione al trattamento; titolarità autonoma e contitolarità) al fine di ripartire correttamente le responsabilità e applicare nel modo giusto il concetto di “accountability”.
Ma come dice il titolo “non solo documentazione”, infatti siamo intervenuti, insieme al cliente, per ridefinire una serie di procedure interne e riorganizzare alcuni processi determinanti per una corretta gestione dei dati personali.
Abbiamo anche consigliato alcune modifiche strutturali dello studio che non garantivano la più completa riservatezza dei pazienti quando erano in fase di anamnesi o in generale di colloquio con lo specialista.