Se fino al 2019 il mancato rispetto del Regolamento Europeo 2016/679 riguardo al tema del GDPR non comportava l’applicazione di sanzioni, oggi redigere le informative sul trattamento dei dati dei propri utenti e clienti è un aspetto fondamentale, multato se effettuato in modo scorretto o incompleto. Tutti gli studi odontoiatrici, con la raccolta di dati relativi allo stato di salute, biometrici, triage, questionari Covid, ecc., sono continuamente sottoposti al totale rispetto delle normative europee in materia di trattamento dei dati. Scopriamo come applicare al meglio il GDPR in tutti gli studi.

GDPR Compliance: cosa significa?

Con il termine Compliance si intende l’adesione e conformità dello studio in questione alle leggi in vigore.

L’acronimo GDPR – General Data Protection Regulation – corrisponde al Regolamento Generale sulla Protezione dei Dati, che raccoglie tutte le modalità e le regole secondo le quali i dati personali devono essere raccolti, trattati, protetti e condivisi. Il Regolamento Europeo 2016/679 ha l’obiettivo di rafforzare la proprietà dei dati personali da parte dei diretti interessati, quando questi vengono trattati da terzi.

Uno studio è GDPR Compliant quando adotta tutti i comportamenti previsti dal Regolamento sul GDPR, in modo tale da abbassare al minimo il rischio sui dati trattati. Per fare questo è necessario che il titolare del trattamento dei dati sappia:

• Quali dati tratta
• Come vengono archiviati e a chi appartengono i dati raccolti
• Come e perché questi dati vengono utilizzati

Il trattamento dei dati: requisiti e registro

Al fine di rispettare questi principi base, è necessario che il consenso al trattamento redatto dal titolare del trattamento e prestato dall’interessato sia:

• Inequivocabile: l’interessato deve acconsentire, in modo indubbio, al loro trattamento
• Informato: l’interessato deve ricevere tutte le informazioni necessarie a capire come i suoi dati verranno trattati
• Libero: non è ammesso alcun raggiro, minaccia, intimidazione né condizionamento
• Specifico: l’interessato deve dare il proprio consenso per ogni specifica finalità per cui i suoi dati vengono raccolti
• Verificabile: è necessario poter verificare l’avvenuto consenso al trattamento da parte del titolare dei dati
• Revocabile, in qualsiasi momento

Inoltre, chi tratta i dati personali di terzi deve redigere il Registro dei Consensi, registrandoli singolarmente e rimanendo loro responsabile per l’intera durata del trattamento. Tale Registro deve contenere:

• I dati di chi ha dato il consenso
• La modalità e l’indicazione temporale del momento in cui i dati vengono raccolti
• Il modulo di raccolta avanzato e compilato dal titolare dei dati
• I documenti legali necessari alla raccolta, contenenti le condizioni del “contratto”

Essere GDPR Compliance

Il titolare del trattamento dei dati deve adempiere ad alcuni obblighi formali:

• La nomina del responsabile del trattamento e delle altre figure interessate
• L’informativa del trattamento dei dati personali
• Il consenso al trattamento dei dati personali
• Il Registro del Trattamento: è il documento che fotografa tutte le attività di trattamento dei dati dello studio ed è obbligatorio per tutte le aziende, anche quelle con meno di 250 dipendenti, se effettuano un trattamento dei dati non occasionale
• Il Registro del Data Breach: il data breach fa riferimento a tutte quelle situazioni, eccezionali o accidentali, per le quali i dati raccolti vengono utilizzati in modo improprio, persi, modificati, divulgati (due esempi di data breach sono la perdita di una chiavetta USB o una calamità naturale). In queste situazioni, il titolare del trattamento è obbligato ad avanzare una comunicazione ufficiale entro 72 ore dal momento in cui ha scoperto la violazione
• La valutazione d’impatto, nei casi previsti

Secondo l’art.25 GDPR, a tutela del titolare dei dati, il titolare del trattamento deve inoltre adeguarsi al Regolamento Europeo 2016/679 rispettando due principi:

• Privacy by default: il trattamento dei dati dev’essere il meno invasivo possibile e i dati devono essere manipolati il meno possibile
• Privacy by design: il trattamento dei dati dev’essere definito prima del trattamento stesso

Inoltre, il titolare del trattamento dei dati deve garantire all’interessato la possibilità di:

• Ottenere informazioni sulle attività condotte con i suoi dati
• Accedere, modificare, limitare o cancellare i propri dati
• Opporsi ad alcune attività di trattamento dei dati
• Ottenere e trasferire i propri dati ad altro titolare

GDPR Compliance: cosa si rischia?

Raccogliere i dati personali nelle modalità corrette e fare altrettanto con la loro conservazione e il loro trattamento è fondamentale. Una scorretta gestione può comportare gravi rischi per l’azienda – o, nel nostro caso, per lo studio odontoiatrico – che li raccoglie.

Se il GDPR non viene rispettato, può capitare che i dati vengano distrutti, siano resi indisponibili, persi, alterati o divulgati. Può capitare che diventino accessibili a qualcuno che non ha il permesso di prenderne visione. Nel nostro specifico caso odontoiatrico, può capitare di non poter accedere a una radiografia, non lavorare correttamente e dover perdere tempo per eseguire nuovamente un esame, con conseguente danno per il paziente.

Oltre a questo, non bisogna sottovalutare le sanzioni pecuniarie e le conseguenze legali per chi non rispetta il GDPR. Economicamente, si può dover pagare fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione. I provvedimenti di carattere legale invece consistono in richiami ufficiali, danni da responsabilità e verifiche periodiche sulla protezione dei dati.

A questo punto, sei sicuro che il tuo studio odontoiatrico sia in linea con quanto previsto dal più recente Regolamento Europeo sul GDPR? Assicurati di restare sempre aggiornato in materia.