1. Home
  2. News e approfondimenti
  3. Professioni Sanitarie
  4. Privacy nel settore odontoiatrico: come proteggere i dati del paziente
Guida
05 dicembre 2023

Privacy nel settore odontoiatrico: come proteggere i dati del paziente

05 dicembre 2023
Lo studio odontoiatrico, oltre a dover curare la salute dei denti dei suoi pazienti, deve gestirne con cura e cautela anche i dati personali, adottando alcune piccole cautele che possono essere utili anche nella vita di tutti i giorni, nel rispetto delle norme del Regolamento Europeo sulla protezione dei dati personali.

Sommario

  1. L'Informativa privacy all'interno dello studio odontoiatrico
  2. Il consenso informato
  3. La sicurezza dei dati custoditi all'interno dello studio odontoiatrico
  4. Cosa fare se lo studio odontoiatrico subisce un data breach

L'odontoiatra, come ogni altro professionista sanitario, deve curare al meglio la gestione del proprio studio medico in modo da fornire ai propri pazienti una prestazione performante e di qualità; per fare ciò, oltre al costante aggiornamento professionale e delle attrezzature, l'odontoiatra deve anche curare la tutela di qualcosa che è immateriale, ma molto importante: i dati personali dei suoi pazienti.

Lo studio odontoiatrico, infatti, gestisce una miriade di dati, sia personali che sanitari, e spesso li scambia con altre strutture o singoli professionisti medici.

Il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) definisce il dato personale come qualsiasi informazione relativa a una persona fisica identificata o identificabile: il nome, il codice fiscale, l'indirizzo e anche l'indirizzo IP, poiché tali dati possono essere utilizzati per identificare una persona. Accanto ai dati personali, il GDPR identifica alcuni dati speciali, che per la loro importanza devono essere protetti con ulteriore cautela e nel rispetto di regole particolari, tra cui:

  • i dati relativi alla salute, che hanno ad oggetto la salute fisica o mentale di una persona, inclusi i servizi di assistenza sanitaria e le informazioni sullo stato di salute.
  • i dati genetici, cioè quelli che si riferiscono alle caratteristiche genetiche di una persona ottenute da analisi di campioni biologici.
  • i dati biometrici, ottenuti da caratteristiche fisiche, fisiologiche o comportamentali che consentono l'identificazione univoca, come l'immagine del volto o l'impronta digitale.

L'odontoiatra può trattare dati sanitari, genetici o biometrici solo con il consenso esplicito del paziente o per motivi di interesse pubblico rilevante.

Il professionista sanitario, nel trattare i dati dei propri pazienti, deve attenersi scrupolosamente ai principi generali stabiliti dal GDPR:

  • Liceità, correttezza e trasparenza - i dati devono essere trattati in modo legale, corretto e trasparente nei confronti del paziente;
  • limitazione della finalità - i dati devono essere raccolti solo per scopi specifici, legittimi e successivamente trattati in modo coerente con tali scopi;
  • minimizzazione dei dati - i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto agli scopi del trattamento;
  • esattezza - dati devono essere accurati e aggiornati o modificati quando necessario, al verificarsi un loro cambiamento;
  • limitazione della conservazione - i dati devono essere conservati solo per un periodo limitato, non oltre quanto necessario per gli scopi del trattamento;
  • integrità e riservatezza - deve essere garantita la sicurezza dei dati con misure tecniche e organizzative adeguate a prevenire accessi non autorizzati o perdite;
  • responsabilizzazione - il titolare del trattamento deve essere in grado di dimostrare la conformità ai suddetti principi.

Visualizza e scarica la guida

Lo studio odontoiatrico, oltre a dover curare la salute dei denti dei suoi pazienti, deve gestirne con cura e cautela anche i dati personali, adottando alcune piccole cautele. Scopri a cosa prestare attenzione nella Guida Consulcesi Club.

L'Informativa privacy all'interno dello studio odontoiatrico

Il paziente dello studio odontoiatrico deve essere adeguatamente informato su quali dati personali e sanitari vengono trattati in studio, sul motivo per cui vengono raccolti, sulle modalità di conservazione dei dati e su quelle di esercizio dei suoi diritti. Ciò avviene tramite la cosiddetta informativa privacy, un documento che deve contenere le seguenti informazioni obbligatorie:

- identità e contatti del titolare del trattamento dei dati e del responsabile della protezione dei dati (se presente);

- scopi del trattamento, base giuridica e, se applicabile, legittimi interessi;

- destinatari dei dati personali;

- informazioni sulla trasmissione dei dati a paesi terzi o organizzazioni internazionali;

- periodo di conservazione dei dati;

- diritti dell'interessato, inclusi il diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso e il diritto di proporre reclamo all'autorità di controllo;

- esistenza di un processo decisionale automatizzato, inclusa la profilazione.

La normativa richiede che l'informativa sia:

  • accessibile, 
  • comprensibile,
  • redatta utilizzando un linguaggio chiaro.

Affinché l'informativa sia accessibile, è consigliabile affiggerla ai muri della sala d'aspetto e della segreteria dello studio, oltre che predisporre dei veri e propri dépliant informativi da rendere disponibili per la consultazione da parte dei pazienti.

La chiarezza del linguaggio si può ottenere tramite redigendo l'informativa in doppia modalità: testuale e grafica. Il classico muro di testo contenente tutte le informazioni sui diritti dell'interessato difficilmente viene letto dai pazienti, specie se stanno attendendo il proprio turno per farsi estrarre un dente. Affiancando all'informativa testuale una grafica, redatta tramite icone e schemi esplicativi, il paziente sarà molto più attratto dalla lettura, che risulterà estremamente più facile rispetto all'informativa testuale, e contribuirà ad implementare la fiducia del paziente nel medico, oltre che a intrattenerlo nell'attesa dell'intervento estrattivo.

Il consenso informato

L'odontoiatra prima di poter raccogliere, utilizzare o divulgare qualunque dato personale o sanitario riferito a un proprio paziente, deve ottenere il suo consenso, che deve essere:

  • libero, cioè acquisito liberamente e non estorto,
  • specifico, vale a dire riferito a quei determinati dati sanitari per le specifiche finalità indicate nell'informativa dall'odontoiatra,
  • informato, cioè preceduto dalla messa a disposizione, lettura e consegna dell'informativa sul trattamento dei dati personali,
  • inequivocabile, vale a dire chiaro e indubbio.

L'odontoiatra necessita del consenso per tutte le attività diverse da quelle connesse alle finalità di cura, come la consegna di referti odontoiatrici online, l'uso di app mediche che consentano di monitorare la terapia per i denti, la trasmissione di referti e ricette a terzi o la consultazione del fascicolo sanitario elettronico.

Il consenso deve essere acquisito possibilmente per iscritto, in modo da consentire all’odontoiatra, nell’ipotesi di contestazioni o di controlli, di darne prova dell’esistenza.

La sicurezza dei dati custoditi all'interno dello studio odontoiatrico

I dati custoditi – digitalmente o in archivio cartaceo – all'interno dello studio odontoiatrico devono essere protetti da idonee misure preventive, che riguardino:

  • la protezione tecnologica,
  • la sicurezza fisica,
  • l'aggiornamento costante dell'odontoiatra e del personale eventualmente preposto al trattamento dei dati personali e sanitari dei pazienti.

L'odontoiatra, nella sua qualità di titolare del trattamento dei dati personali dei suoi pazienti, ha il dovere di proteggere questi dati in maniera adeguata, ed ha inoltre l'obbligo di dimostrare – nel caso di data breach – di aver preso tutte le misure di sicurezza esistenti in quel determinato momento per tutelarli.

Le misure di sicurezza fisica consigliabili all’odontoiatra sono:

  • custodia dell’archivio contenente i dati personali e sanitari dei pazienti all’interno di armadietti con la chiave, da rendere disponibile solo a personale autorizzato,
  • installazione di sistema d’allarme e/o telecamere di videosorveglianza,
  • installazione dispositivo antincendio ovvero predisposizione della postazione di estintore in prossimità degli archivi contenenti i dati sanitari;
  • adottare, ove possibile, misure antiallagamento.

Per quanto concerne la gestione e conservazione digitale dei dati, è invece fortemente raccomandato per lo studio odontoiatrico:

  • prevedere l’accesso a ogni computer tramite password forte (combinazione di numeri, lettere e caratteri speciali), da modificare periodicamente, almeno ogni tre mesi;
  • dotarsi di un software antivirus per ciascuna postazione del PC,
  • predisporre un sistema protezione di rete,
  • aggiornare costantemente il sistema operativo e i programmi o le app utilizzate su ciascun device,
  • curare la formazione periodica in materia privacy, sia per il titolare dello studio che per il personale dipendente,
  • stipulare una polizza assicurativa contro i rischi informatici, per avere un “ombrello” in caso di perdita di dati.

Ulteriori misure di sicurezza aggiuntive possono includere la cifratura dei dati (ad esempio inserendo password ai file .word o .pdf), oppure l'anonimizzazione e la protezione con specifici software. 

Cosa fare se lo studio odontoiatrico subisce un data breach

Per sapere come comportarsi in caso di data breach, bisogna prima capire cosa significa questa espressione: si tratta di una violazione di sicurezza dalla quale deriva – in modo illecito o accidentale - la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati da un soggetto. Ad esempio è un data breach la perdita dei dati dovuta a un incendio che distrugga l’archivio cartaceo, oppure l’attacco ransomware con conseguente divulgazione dei dati personali e sanitari dei pazienti sul dark web in caso di mancato pagamento del riscatto ai criminali informatici. Il data breach, sotto il profilo della privacy, è la violazione più grave che i dati personali/sanitari dei pazienti di uno studio odontoiatrico possano subire.

Nell’ipotesi di data breach, l’odontoiatra, quale titolare del trattamento dei dati personali, ha l’onere di effettuare la relativa comunicazione al Garante Privacy attraverso la pagina appositamente dedicata sul sito web del Garante. La comunicazione deve avvenire senza ritardo dall’evento, comunque entro 72 ore dal momento in cui l’odontoiatra è venuto a conoscenza del data breach. Se la comunicazione avviene oltre questo termine, l’odontoiatra dovrà essere in grado di giustificare al Garante i motivi che hanno causato il ritardo. Non è richiesta la comunicazione al Garante solo se è improbabile che i diritti o le libertà dei pazienti vengano messi a rischio da quel determinato data breach.

Il Garante, dopo aver ricevuto la notifica del data breach, procederà alle verifiche del caso: qualora venisse accertato che l’odontoiatra ha violato la normativa a tutela della privacy dei dati personali e sanitari dei pazienti, il Garante potrà notificargli una sanzione pecuniaria molto elevata, fino a un massimo di 10 milioni di euro o - nel caso di imprese (ad esempio una società odontoiatrica) fino al 2% del fatturato totale annuo mondiale. 

Questa piccola guida dovrebbe aiutare l’odontoiatra a tutelare i dati sanitari dei suoi pazienti – e anche il suo fatturato – così come cura e protegge i denti dei suoi pazienti.

Di: Manuela Calautti, avvocato

Argomenti correlati

TelemedicinaPrivacyAggiornamento ECMMedici

News e approfondimenti che potrebbero interessarti

Vedi i contenuti
Vedi i contenuti

La soluzione digitale per i Professionisti Sanitari

Consulcesi Club

    Contatti

    Via G.Motta 6, Balerna CH
    PEC: consulcesisa@legalmail.it

    Social media

    Termini e condizioni

    • Consulcesi SA
    • Via G.Motta 6, Balerna CH
    • 259458377
    • +41 916952060
    • PEC: consulcesisa@legalmail.it