L’Ing. Onorato risponde in prima persona alle domande dei medici sulla nuova normativa sulla privacy

data protection officer domande risposte medici

La figura del Data Protection Officer (DPO) è stata introdotta per adeguare la normativa sulla privacy italiana a quella degli altri stati europei. Il DPO è un tecnico di sicurezza informatica riconosciuto e autorizzato ad operare in nome e per conto del medico anche nei confronti del Garante sulla Privacy.

Il Data Protection Officer, oltre ad avere competenze di sicurezza informatica, deve avere anche nozioni e competenze giuridiche e legislative e deve mantenersi aggiornato quotidianamente sia sulle novità tecniche di cyber security, che su tutti gli aspetti riguardanti gli aggiornamenti normativi di settore.

La legge prevede obbligatoriamente la nomina di un Data Protection Officer per tutte le figure che trattino dati sensibili, dati legati alla salute, alla vita sessuale, dati genetici, dati giudiziari e dati biometrici. Il medico, dunque, rientra all’interno di queste categorie e, pertanto, deve nominare un proprio DPO.

La nostra società si occupa di sicurezza informatica dal 2006 ed è specializzata nella gestione della sicurezza dei dati e dei computer degli studi medici. Inoltre, la nostra società è riconosciuta e iscritta a Federprivacy, Clusit e Asso DPO, le tre autorevoli associazioni italiane in ambito privacy, sicurezza informatica e Data Protection Officer.

Grazie alla lunga esperienza della nostra società in ambito sicurezza informatica e alle nostre competenze specifiche per gli studi medici, abbiamo progettato e realizzato uno specifico servizio per i medici che devono ancora nominare il proprio Data Protection Officer.

Il nostro servizio prevede la fornitura di hardware, software e consulenza ed assistenza continua per adempiere agli obblighi di legge e tutelarla sia nel caso di controlli, sia nel caso di necessità di gestione dell’ambito sicurezza informatica della normativa sulla privacy.

Io uso un software di cartella clinica: sono a posto?

Le società informatiche che realizzano i programmi di gestione degli studi medici sono una cosa diversa dalla nomina del Data Protection Officer il quale è un esperto di sicurezza informatica e norme giuridiche. Chi utilizza una cartella clinica deve comunque nominare il proprio data protection officer.

Sono aderente al progetto SISS: cosa devo fare? Sono a posto?

Come per i software di cartella clinica, anche coloro che aderiscono al SISS devono nominare il proprio Data Protection Officer. Essere aderenti al SISS è una cosa diversa e indipendente dal nominare un esperto di sicurezza informatica che tuteli il medico dagli attacchi informatici e dagli obblighi normativi e dalle sanzioni previste.

Il mio sindacato/La mia associazione mi ha detto di non fare nulla: cosa faccio?

Gentile dottore, deve tenere bene in considerazione che chi rischia la sanzione amministrativa e la denuncia penale è lei e non il suo sindacato.

Le posso assicurare che non è previsto alcun cambio normativo per quanto riguarda i dati sensibili e sanitari, ma, anzi, è molto probabile che la norma si faccia ancora più stringente. Non ci sono in vista né abolizioni né proroghe. Probabilmente il suo sindacato non ha ben chiaro i rischi derivanti dal non adeguarsi alla normativa. Le ribadisco che chi rischia in prima persona è lei e non il sindacato. L’ultima decisione è solamente sua.

Io faccio tutti gli anni a marzo il DPS/DTP: sono già a posto?

Il DPS (documento programmatico sulla sicurezza) è stato abolito dal governo Monti e, pertanto, non c’è ragione per cui lei continui a redigere annualmente un documento dal carattere puramente burocratico e inutile ai fini di tutelare i dati sensibili e sanitari presenti nel suo computer e nei suoi software. Il DTP (documento tecnico programmatico) è stato sostituito dall’entrata in vigore della normativa del 24/05/2016, che prevede l’adozione di molte più misure di sicurezza di quelle previste dall’allegato B della precedente norma sulla privacy. Alla luce di ciò, ha poco senso che lei faccia il DTP. Deve, invece, adottare tutte le nuove misure di sicurezza previste.

Io ho l’antivirus sul mio computer: è sufficiente?

Assolutamente no, l’antivirus è uno dei componenti che servono a mettere in sicurezza il suo computer, ma non è l’unico. Pertanto, se lei protegge il suo computer esclusivamente con l’antivirus, è passibile di tutte le sanzioni previste dalla normativa.

Sono in pensione, ma visito ancora i pazienti e utilizzo i computer: sono esentato dall’adottare un Data Protection Officer?

Il Data Protection Officer deve essere nominato da tutti coloro che trattano dati sanitari e, pertanto, anche per i medici che svolgono la libera professione è obbligatorio nominare il proprio data protection officer e dotarsi di tutti gli elementi hardware e software necessari alla protezione dei dati sanitari dei pazienti seguiti.

Ho un tecnico informatico di fiducia che mi segue i computer: posso nominare lui come data protection officer?

La figura del Data Protection Officer è una figura esperta di sicurezza informatica (e non di riparazioni di computer, che sono un’altra cosa) e deve avere conoscenze e competenze ben precise nell’ambito legislativo. Se il suo tecnico di computer ha tutti i riconoscimenti previsti dalla legge e le relative certificazioni, allora può tranquillamente nominare lui come Data Protection Officer; nel caso in cui venga meno anche una sola delle condizioni previste per essere un DPO, allora dovrà necessariamente essere nominato un Data Protection Officer autorizzato.

Ho letto che qualcuno parla di un’entrata in vigore a maggio 2018: perché? Cosa significa?

La normativa è entrata in vigore il 24/05/2016 e prevede due momenti: le misure di sicurezza e la nomina del Data Protection Officer. La nomina del Data Protection Officer deve categoricamente avvenire entro maggio 2018 (“deve avvenire”, non “può avvenire”), mentre le misure di sicurezza previste sono da adottarsi immediatamente, senza deroghe, proroghe o ritardi. Le sanzioni per chi tratta in modo non corretto i dati sanitari e non adotta le opportune misure di sicurezza per proteggerli, sono applicabili fin da subito. Ma come fa un medico a dotarsi delle opportune misure di sicurezza previste dalla legge senza appoggiarsi a un Data Protection Officer? Il nostro suggerimento è quello di nominare immediatamente il proprio DPO e fargli adottare direttamente le misure di sicurezza previste. In questo modo i vantaggi saranno due: aver già nominato il proprio DPO e aver adottato le corrette misure di sicurezza previste dalla legge evitando sanzioni.

Ma lo devo proprio fare?

È inutile girarci tanto intorno: ciascun medico deve nominare il proprio Data Protection Officer affinché i pc e i dati contenuti vengano messi in sicurezza nella maniera corretta. Le sanzioni per chi non si adegua sono pesanti e, oltre a multe salate, possono arrivare fino alla sospensione dell’attività del medico.

Siamo più medici, posso aderire anche se gli altri miei colleghi non vogliono aderire?

Si, il servizio è licenziato per singolo medico e, pertanto, ciascun medico è libero di scegliere se aderire o non aderire alla nostra iniziativa. Nel caso in cui tutti i medici di uno studio aderiscano in blocco, è naturale che la gestione sarà semplificata sul fronte dello studio, in quanto tutti i medici avranno un’unica azienda di riferimento e, di conseguenza, le comunicazioni saranno molto più snelle e semplificate. Nel caso in cui, invece, solo una parte dello studio dovesse aderire, la messa in sicurezza verrà comunque effettuata per i medici aderenti al nostro servizio e ci dovrà essere comunicato il nome del Data Protection Officer della restante parte dello studio.

Il servizio è compatibile con la mia cartella clinica e il mio progetto regionale?

Si, tutte le nostre soluzioni sono state preventivamente installate e provate all’interno di studi medici che utilizzano differenti cartelle cliniche e che aderiscono a differenti progetti regionali.
In particolare, i prodotti sono già stati testati in studi medici che utilizzano i seguenti software: Millewin, Phronesis, Iatros, Fpf, Bracco, Medico 2000, Profim, K2, Perseo, MiraPico, Venere, Next MMG, Camilla, Infantia, JuniorBit. Inoltre, sono già stati installati in ambulatori che aderiscono ai progetti regionali: SISS, Sole, Ampere, Doge, Cse, Lumir, Medir, Mesir, Sal, Sau, Sist.

Se non faccio nulla, ci sono sanzioni?

Si, la mancata compliance normativa prevede sanzioni amministrative e penali. Sul fronte amministrativo le sanzioni possono arrivare fino a 20 milioni di euro o fino al 4% del reddito del medico che non si è adeguato la normativa. Sul fronte penale, invece, le sanzioni saranno proporzionali a reato commesso e possono arrivare, nei casi limite più gravi, alla sospensione dall’attività lavorativa del medico.

Avete qualche riferimento esterno dove posso approfondire l’argomento?