Per garantire la privacy dei pazienti, ogni osteopata è tenuto a tenere un registro detto Registro delle Attività di Trattamento. leggi l'articolo per saperne di più.
Dal 25 maggio 2018 è entrato in vigore in Italia il Regolamento Unione Europea 679/2016 che con l’articolo 30 istituisce il Registro delle Attività di Trattamento nel quale devono essere presenti i seguenti punti:
- Dati personali del titolare del trattamento:
- Nome
- Cognome
- Indirizzo
- Codice fiscale
- Partita IVA
- Finalità del trattamento: Perché sto raccogliendo quei dati? Per monitoraggio dello stato di salute ma anche per ricerca scientifica o altre motivazioni che dovessero essere ritenute idonee.
- Descrizione delle categorie di interessati e dei dati personali: Quali sono gli “interessati” i cui dati sto raccogliendo? Normalmente le persone che si recano presso il mio studio per i trattamenti osteopatici.
- Eventuali destinatari cui i dati saranno comunicati. Qui andranno indicate le persone alle quali i dati saranno eventualmente comunicati: sicuramente si potranno indicare i dati del commercialista, specificando che vengono comunicati esclusivamente i dati relativi agli adempimenti fiscali e burocratici. Se i dati relativi alla salute non sono comunicati a nessuno sarà importante specificarlo.
- Eventuali misure di sicurezza tecniche ed organizzative.Questo è il punto più elaborato da redigere: La SICUREZZA DEL TRATTAMENTO, secondo l’articolo 32, va valutata seguendo i seguenti quattro punti:
-
- Pseudonimizzazione e cifratura:
I dati sensibili non devono mai presentare direttamente il nome e il cognome, ma essere sostituiti da uno pseudonimo o da numeri che ci permettano di identificare quella determinata persona. Ovviamente qualsiasi elenco esplicativo di quegli pseudonimi o di quelle cifre numeriche sarà custodito in luogo diverso rispetto a quello in cui si trovano i dati sensibili. È importante indicare nel regolamento quale di questi due strumenti sto utilizzando. - Assicurare permanentemente riservatezza, integrità, disponibilità, resilienza:
In quale modo? Descrivo nel registro i seguenti punti, se applicabili:- ACCESSO AI LOCALI DELLO STUDIO: indicare l’eventuale distanza da tenere dalla reception, se è stata predisposta;
- ACCESSO AGLI ARCHIVI CARTACEI: sistemarli in appositi locali con porta chiusa a chiave e cartello “accesso consentito solo a personale autorizzato” o quanto meno in armadi chiusi
- SALA DEI TRATTAMENTI: nessuna scheda osteopatica sulla scrivania, nessuna cartellina visibile
- COLLOCAZIONE DEI SERVIZI INFORMATICI: rialzati da terra, per evitare danni da dispersioni di acqua o altre sostanze
- SCHERMI DEGLI STRUMENTI INFORMATICI: orientati in modo che non siano visibili dal cliente
- ACCESSO AGLI STRUMENTI INFORMATICI: utilizzare sempre modalità di accesso a username e password – almeno otto caratteri e preferibilmente alfanumerici – da variare frequentemente
- AGGIORNAMENTI DI WINDOWS: per impostazione automatica
- PROGRAMMA ANTIVIRUS: con aggiornamento automatico
- FIREWALL
- SALVATAGGIO E BACKUP: su cloud o altre memorie, preferibilmente in modo automatico.
- Ripristinare la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico. Descrivere quali siano le procedure che utilizzerò per il recupero dei dati sensibili se è successo qualcosa che li ha cancellati, quali siano le procedure per il “ripristino” dei dati. Grazie alle copie su cloud, per esempio.
- Procedura per testare l’efficacia delle misure tecniche [descrivo come faccio a verificare che le misure tecniche che ho indicato nei punti a) b) e c) siano effettivamente valide].
- Pseudonimizzazione e cifratura:
Nel Registro delle Attività di Trattamento si suggerisce di riportare questa dicitura: tali misure sono ri-esaminate ed aggiornate qualora necessario.
Il Registro delle Attività di Trattamento rappresenta la realizzazione del principio di responsabilizzazione (o accountability) del titolare del trattamento dei dati sensibili. L’altra novità fondamentale è il diritto alla portabilità dei dati: il titolare deve dare copia dei dati di un suo paziente nel momento in cui questi lo richiede, in un formato facilmente leggibile in modo da trasmetterli agevolmente ad altro professionista, nuovo titolare del trattamento.