Vuoi adeguare la tua struttura sanitaria al GDPR privacy? Ecco 10 cose da fare subito!
Mancano ancora poche settimane al 25 maggio 2018, da questa data diventerà applicabile in tutti gli Stati membri dell’Unione Europea il nuovo regolamento comunitario in materia di dati personali: il GDPR privacy (General Data Protection Regulation- Regolamento UE 2016/679).
La nuova norma comunitaria serve ad armonizzare leggi nazionali molto diverse fra loro e ad avere una base giuridica aggiornata rispetto ai cambiamenti tecnologici degli ultimi anni.
La tua struttura sanitaria è pronta ad accogliere la nuova legge sulla privacy?
Ecco 10 cose da fare subito per metterti in regola!
1) Quali dati tratti e a cosa ti servono? Identificali e conserva solo quelli necessari
Il primo passo da fare è capire quali dati personali tratti nella tua struttura sanitaria: da dove vengono, perché li hai raccolti e a cosa ti servono. E’ davvero necessario conservarli?
Forse non tutti i dati che hai raccolto sono effettivamente utili per le tue finalità.
Verifica sempre che il periodo di tempo in cui conservi questi dati corrisponda effettivamente a quello necessario per le finalità che ti eri posto.
2) La tua struttura sanitaria ha già dei responsabili per il trattamento dei dati? Forse devi adottare un nuovo modello organizzativo per adeguarti al GDPR privacy
Identifica i responsabili interni ed esterni alla tua struttura che ti aiutino a conformarti con il regolamento comunitario.
In alcuni casi la legge impone la nomina del Data Protection Officer (DPO): un professionista con conoscenze specialistiche sia della normativa che delle prassi in materia di protezione dei dati. E’ una nuova figura introdotta dal GDPR privacy che deve informare e consigliare il titolare del trattamento dei dati, controllare che il regolamento sia applicato correttamente, fare da collegamento tra la struttura e l’Autorità di controllo.
3) La tua privacy policy è aggiornata? Verifica che i documenti per la privacy non siano obsoleti e che siano facilmente accessibili
La privacy policy della tua struttura dovrà essere aggiornata, ma questo non basta, se ancora non lo hai fatto, dovrai anche prevedere delle procedure interne per gestire in modo sicuro i dati che tratti: individuare e documentare i responsabili del trattamento, le modalità operative e le procedure organizzative adottate per conservare i dati.
4) Il tuo sistema informativo è in regola con il GDPR privacy? La tua infrastruttura informatica deve “proteggere” il dato fin dal momento in cui viene acquisito
Tra i princìpi introdotti dal GDPR privacy c’è anche quello della “privacy by design”: dal momento in cui viene acquisito il dato, questo deve essere immediatamente messo in sicurezza.
Significa, per esempio, che se la tua struttura decide di offrire un nuovo servizio, questo va progettato tenendo presente fin da subito la protezione del dato. Perciò organizzazione, processi interni e struttura IT devono essere predisposti per mettere in sicurezza, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Per approfondire: Nuovo GDPR sulla privacy e sicurezza dei dati sanitari: ancora pochi mesi per adeguarsi!
5) Sei pronto per tutelare i diritti degli interessati? Devi poterlo dimostrare
Il GDPR riconosce alle persone che lasciano i loro dati diversi diritti; alcuni sono già noti (diritto di accedere ai propri dati, correggerli, integrarli, modificarli, chiederne la cancellazione e opporsi al loro trattamento), in più, introduce due novità:
- il diritto all’oblio, per cui l’interessato può chiedere di essere “dimenticato” dalla struttura che ha trattato in precedenza i suoi dati, con la loro cancellazione “fisica”, ma entro i limiti previsti dall’ordinamento, per cui, se il titolare del trattamento ha l’obbligo di conservare alcuni dati per legge, il diritto all’oblio non può essere completamente esercitato
- diritto alla portabilità dei dati, per cui l’interessato può chiedere al titolare che ha raccolto i suoi dati di trasferirli “fisicamente” ad un nuovo titolare (indicato dall’interessato)
Per poter tutelare questi diritti, la struttura deve adottare misure tecniche e organizzative, ma non solo, deve anche dimostrare per quale motivo il dato viene conservato e trattato.
6) Sei pronto ad affrontare violazioni nei dati che conservi? Hai tempo 72 ore per comunicarlo all’Autorità di controllo
Il GDPR obbliga i titolari del trattamento a notificare violazioni nei dati personali (data breach) entro 72 ore dal momento in cui ne vengono a conoscenza, se ritengono che da tale violazione derivino dei rischi. Se poi questa violazione può determinare un rischio elevato per i diritti e le libertà degli interessati che hanno lasciato i propri dati, deve notificare la violazione anche a loro.
Quindi è fondamentale che la tua struttura si doti di tutte le misure tecniche e organizzative in grado di rilevare data breach.
7) Sei titolare del trattamento? Puoi decidere come trattare i dati, ma le tue responsabilità aumentano
Il GDPR riconosce ai titolari del trattamento più autonomia nel definire modalità e finalità del trattamento, ma attribuisce loro anche più responsabilità.
Sei il titolare del trattamento? Assicurati che la tua struttura abbia adottato processi e politiche che
tengano conto dei rischi per i dati raccolti.
Le sanzioni per chi trasgredisce sono molto pesanti: fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale totale annuo del trasgressore.
8) Hai fatto una valutazione di impatto sulla protezione dei dati? Serve a valutare i rischi che corrono i dati che hai raccolto
In alcuni casi previsti dalla legge, il titolare del trattamento deve fare una valutazione d’impatto sulla protezione dei dati. E’ un documento che nasce da un’analisi del rischio per i dati trattati e delinea un programma per risolvere le eventuali criticità per la loro sicurezza.
9) Hai predisposto il Registro del trattamento? In alcuni casi è obbligatorio
Il GDPR obbliga alcune aziende a tenere e aggiornare un Registro delle attività di trattamento che deve riportare: tipi di banche dati raccolti dalla struttura, soggetti autorizzati a trattare i dati, tempo di conservazione.
10) Gli interessati conoscono tutte le finalità del trattamento che hai scelto di adottare? Il GDPR impone la massima trasparenza nella gestione dei dati
Dovrai quindi trattare i dati in modo trasparente, fare in modo che per gli interessati sia semplice e facile da comprendere come tratterai le informazioni che li riguardano, per quanto tempo e per quali finalità.
Oggi è il 19 gennaio, mancano ancora poche settimane all’applicazione del GDPR privacy: la tua struttura è pronta?
GIPO ha scelto la sicurezza, ci affidiamo a Microsoft Azure, il miglior servizio Cloud attualmente disponibile sul mercato. Contatta un nostro esperto per sapere come teniamo al sicuro i dati dei nostri clienti e dei loro pazienti.