ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ... · Secondo il “considerando 91” gli studi...

ORDINE PROVINCIALE

DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI

RAVENNA

Le novità introdotte dal Regolamento UE

in materia di protezione dei dati personali n. 679/2016

Il 25 maggio 2018 è entrato in vigore il Regolamento Generale sulla Protezione dei Dati

(RGDP o, in inglese GDPR) che introduce molteplici novità in materia di tutela della riservatezza

(privacy); in particolare, viene stabilito il principio della responsabilizzazione (Accountability), che

prevede l’obbligo da parte del titolare del trattamento di dimostrare l’adeguatezza delle misure

adottate nel tutelare la riservatezza e la protezione dei dati personali degli interessati (i pazienti, i

cittadini, ogni persona fisica che di cui appunto si trattano i dati).

Il principio della responsabilizzazione, di conseguenza, impone un approccio basato sulla

valutazione dei rischi associati al trattamento dei dati personali con introduzione di nuovi adempimenti

in capo ai titolari e responsabili del trattamento, tra cui la valutazione di impatto (DPIA), la tenuta

del registro dei trattamenti nei campi previsti dalla normativa, l’adozione di misure di sicurezza

adeguate (invece che minime come era previsto in precedenza) eventuale nomina del responsabile

della protezione dati (RDP o DPO).

Il principio della responsabilizzazione impone quindi una valutazione caso per caso della

adeguatezza delle misure adottate dei singoli titolari del trattamento; questa circolare pertanto e le

informazioni che vengono di seguito riportate hanno valore esemplificativo e non esaustivo.

O.M.C.e O. – Ravenna

00- Circolare generale Privacy GDPR 679-2016 – Sintesi delle norme - Pag. 2 a 5

I soggetti e i ruoli del GDPR

La normativa europea ha modificato i ruoli e soggetti già previsti in precedenza dal Testo unico sulla privacy di

cui al Dlgs n. 196-2003, introducendone dei nuovi o aggiornando la normativa esistente. Descrivendo

sinteticamente il quadro attuale dei soggetti e delle relative responsabilità, si indica:

Titolare del trattamento. Tale ruolo è normalmente ricoperto dal titolare dello studio medico o

odontoiatrico, ma il GDPR disciplina anche la contitolarità del trattamento (all’art. 26) e impone ai

titolari di definire specificatamente, (con un atto giuridico) il rispettivo ambito di responsabilità e compiti

con particolare riguardo all’esercizio dei diritti degli interessati che hanno comunque la

possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;

Responsabile del trattamento. È colui che tratta di dati per conto del titolare. E’ da quest’ultimo

designato con atto giuridico (es. contratto) per lo svolgimento di specifici compiti nell’ambito del

trattamento dei dati (ad esempio il sostituto, la tenuta della contabilità, ecc…); il GDPR prevede

obblighi specifichi in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai

rispettivi titolari. Ciò riguarda in particolare la tenuta del registro dei trattamenti svolti, l’adozione di

idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti; la designazione

di un RDP o DPO nei casi previsti dal regolamento o dal diritto nazionale

Incaricati del trattamento. Pur non prevedendo più espressamente la figura dell’incaricato del

trattamento, il GDPR non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al

trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”; (ATTENZIONE:

chiunque – Responsabile o incaricato - abbia accesso a dati personali non può trattare tali dati se non

è istruito in tal senso dal titolare del trattamento; la legge quindi prevede un obbligo formativo ma

pragmatico, indicandolo come istruzione);

Responsabile protezione dati (RPD) o Data protection officer (DPO). È la nuova figura introdotta

dal GDPR; viene designata dal titolare del trattamento (titolare dello studio) e ha il compito di verificare

la conformità del trattamento dei dati alle regole previste dalla normativa sulla tutela della riservatezza;

il DPO funge da intermediario tra lo studio e l’autorità di controllo (Il Garante della Privacy) e le sue

attività consistono nel monitoraggio sistematico dell’adeguatezza del trattamento dei dati personali,

dei sistemi utilizzati per la loro protezione anche al fine di prevenire eventuali “Data breaches”

nonché le comunicazioni obbligatorie al Garante in caso del verificarsi dell’evento. ATTENZIONE:

malgrado venga impropriamente denominato come responsabile della protezione dati in realtà il DPO

assume una funzione consultiva, e gli unici reali responsabili per il trattamento delle norme di

legge rimangono il titolare del trattamento e il responsabile del trattamento;

Interessati al trattamento. Sono comunemente i cittadini (pazienti, minori ecc) ma possono anche

essere altre persone fisiche in relazione alle quali vengono raccolti e trattati i dati personali (fornitori,

consulenti, collaboratori, dipendenti, ecc …)



Data breach e notifiche al Garante

Per data breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati

vengono consultati, copiati, trasmessi, rubati, distrutti o utilizzati da un soggetto non autorizzato.

Al verificarsi dell’evento, il titolare del trattamento notifica la violazione al Garante senza

ingiustificato ritardo e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza.

Il GDPR, i medici e gli odontoiatri: principali adempimenti

- Informativa e Consenso.

Il GDPR si ispira al principio di trasparenza il quale impone che le informazioni destinate

all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio

semplice e chiaro; il GDPR, in linea con il passato, prevede che il consenso al trattamento sia

informato e specifico e che venga prestato liberamente dall’interessato. Fare attenzione in

particolare a:

la nuova informativa conforme al GDPR deve essere fornita all’interessato prima di effettuare

la raccolta dei dati e deve essere fornita in relazione ai diversi trattamenti posti in essere (non

è possibile quindi fornire una informativa generale);

il titolare deve sempre specificare i dati di contatto del DPO se nominato;

il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire

tale periodo di conservazione e il diritto di presentare un reclamo all’autorità di controllo;

Profilazione: si tratta di una forma di trattamento automatizzato di dati personali atto a creare il

profilo della persona interessata con lo scopo di conoscerne le abitudini, le preferenze, ecc…

L’interessato ha il diritto di non essere sottoposto a queste forme di trattamento;

l’informativa deve avere forma concisa, trasparente, intellegibile per l’interessato e

facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice; per i minori

occorre prevedere informative idonee;

l’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico,

anche se sono ammessi “altri mezzi”, quindi potrebbe essere fornita anche oralmente, ma per il

principio della responsabilizzazione il titolare deve dimostrare: 1) che è stata data; 2) che è

stata letta e compresa; quindi la forma scritta è raccomandata



Il consenso informato al trattamento dei dati è sempre necessario, trattandosi di dati

particolari (ex sensibili, secondo la precedente normativa). Mentre le informative sono

comunque da sostituire, se si ritiene che il consenso già raccolto precedentemente all’entrata

in vigore del GDPR sia conforme può essere mantenuto, altrimenti è necessario raccogliere

nuovamente anche il consenso.

- Tenuta del registro delle attività di trattamento

Il GDPR introduce l’obbligo di tenuta del registro delle attività a carico del titolare; si tratta di un

registro dove vengono rendicontate le attività svolte sui dati degli interessati.

La tenuta del registro delle attività è obbligatoria per i seguenti casi (art. 30 GDPR):

aziende o organizzazioni con più di 250 dipendenti;

in ogni caso qualora il trattamento possa presentare un rischio per i diritti e le libertà

dell’interessato, ovvero il trattamento non sia occasionale o abbia ad oggetto il trattamento di

categorie particolari di dati previste dall’art. 9 GDPR, quali dati genetici, dati biometrici, o

relativi alla salute (il medico e l’odontoiatra quindi rientrano nell’obbligatorietà);

- Nomina del responsabile protezione RDP o DPO

Tale nomina è obbligatoria per tutte le autorità pubbliche, comprese le aziende sanitarie locali,

nonché per le attività di cui esercizio comporta la manipolazione di dati in larga scala per speciali

categorie di dati, tra i quali i dati sanitari.

Secondo il “considerando 91” gli studi medici odontoiatri e professionali con un solo titolare del

trattamento dei dati personali dei cittadini non sono obbligati a nominare un DPO, tuttavia se lo studio

medico è convenzionato con il SSN, il Garante della privacy raccomanda fortemente di nominare il

DPO.

- La valutazione di impatto (DPIA)

Nel caso in cui un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà

delle persone fisiche, il titolare del trattamento effettua, preventivamente, una valutazione dell’impatto

dei trattamenti previsti sulla protezione dei dati personali.

Tale valutazione di impatto presuppone l’acquisizione di competenze specialistiche in ambito di

gestione dei rischi ed è pertanto opportuno che venga condotta da figure professionali specializzate.



Elenco modulistica allegata e istruzioni

Gli allegati che seguono riguardano i fac-simili e esempi degli adempimenti minimi da

rispettare ai sensi del GDPR; possono e devono essere integrati sulla base delle esigenze e realtà

operative del proprio studio medico o odontoiatrico:

1. INFORMATIVA AI SENSI DELL’ART. 13 DEL REGOLAMENTO UE GDPR N. 679/2016 – per i

cittadini/pazienti

2. CONSENSO INFORMATO AL TRATTAMENTO DEI DATI - - per i cittadini/pazienti

MAGGIORENNI

3. CONSENSO INFORMATO AL TRATTAMENTO DEI DATI - - per i cittadini/pazienti

MINORENNI

4. LETTERA DI NOMINA PER RESPONSABILE DEL TRATTAMENTO DATI – per sostituti e

medici di gruppo, collaboratori medici o odontoiatri

5. LETTERA DI NOMINA PER INCARICATO DEL TRATTAMENTO DATI – dipendenti,

segreteria, operatori sanitari ma non medici

6. RACCOMANDAZIONI (CHECK LIST) MISURE DI SICUREZZA DEL DATI TRATTATI – si tratta

di una lista pratica per predisporre un sommario controllo degli adempimenti fatti e da fare; è

utile per la predisposizione del registro dei trattamenti e della valutazione di impatto

7. REGISTRO DEI TRATTAMENTI TENUTO DAL TITOLARE

8. REGISTRO DEI TRATTAMENTI TENUTO DAL RESPONSABILE SE NOMINATO

N.B. = le pagine allegate dei registri dei trattamenti descrivono un esempio di compilazione. Il registro

dei trattamenti vero e proprio proposto è un file in formato EXCEL. Si tratta di una cartella unica

contenente più fogli di lavoro; il primo foglio è il frontespizio, i fogli successivi rappresentano ognuno il

tipo di archivio o data base in possesso del titolare (archivio dei pazienti, dei clienti, fornitori dipendenti,

familiari, rubrica ecc, in più sono stati aggiunti fogli generici che saranno da compilare se si trattano

altri tipi di dati)

01 - Modulistica Privacy GDPR 679/2016 – informativa ai pazienti – 05/2018 - OMCEO Ravenna - Pag. 1 a 1

INFORMATIVA AI SENSI DELL’ART. 13 DEL REGOLAMENTO UE GDPR N. 679/2016 (Protezione dati personali)

Io sottoscritto Dr.________________________________________________________________________________________________

in qualità di (medico di medicina generale, pediatra di libera scelta, Specialista in _________, Odontoiatra, Altro ecc..):

__________________________________________________________________________________________________________________

Indirizzo dello studio _________________________________________________________________________________________________

Mail professionale di contatto _____________________________________ telefono professionale di contatto __________________________

TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI, La informo che i suoi dati, personali e particolari relativi alla salute, che Lei, con il suo specifico consenso ha deciso liberamente di fornirmi dopo aver letto la presente informativa, sono utilizzati per svolgere attività necessarie per la prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni da Lei richieste, sia farmaceutiche che specialistiche, correlate ad esigenze di salute.

I dati possono anche essere stati acquisiti altrove, ma con il suo consenso, ad esempio in caso di ricovero o di risultati di esami clinici.

Quanto sopra, come previsto dal Codice di Deontologia medica ed eventualmente dagli accordi e contratti di categoria, in ottemperanza dei Livelli essenziali di Assistenza se la prestazione è resa nell’ambito del Servizio Sanitario pubblico, che costituiscono base giuridica per il trattamento medesimo.

I suoi dati saranno inoltre utilizzati per gli adempimenti tributari ai quali sono obbligato in base alle norme fiscali.

Anche nel caso di utilizzo di computer, adotto misure di protezione per garantire la conservazione e l’uso corretto dei dati.

I suoi dati personali potranno essere condivisi con i miei collaboratori, consulenti e professionisti (i sostituti, lo specialista, il commercialista) debitamente autorizzati, nel rispetto del segreto professionale, dietro suo espresso consenso; nei casi previsti dalla legge potranno essere comunicati ai seguenti enti: Agenzia delle Entrate, Aziende sanitarie, Servizio Sanitario Nazionale, INPS, INAIL.

La natura del conferimento dei dati è necessaria per poter svolgere le attività suindicate. Il mancato conferimento di tali dati non permetterà lo svolgimento dell’attività professionale richiesta.

I dati non sono comunicati all’estero o organizzazioni internazionali.

Si possono fornire informazioni sul suo stato di salute a familiari e conoscenti solo su sua espressa indicazione e consenso.

I suoi dati personali saranno custoditi e conservati per tutto il periodo di cura e trattamento che Lei sceglierà di porre in atto con il/la sottoscritto/a, e in osservanza dei limiti previsti per la conservazione dei dati clinici e cartelle cliniche.

I suoi dati personali utilizzati per gli adempimenti tributari saranno conservati nei limiti di tempo previsti dalle norme fiscali sull’accertamento e dalle norme del Codice civile.

In qualunque momento potrà conoscere i dati che La riguardano, sapere come sono stati acquisiti, verificare se sono esatti, completi, aggiornati e ben custoditi e fare valere i suoi diritti al riguardo, chiedere la cancellazione o la limitazione nell’utilizzo dei medesimi, opporsi al trattamento nonché il diritto alla portabilità e il reclamo al Garante. Lei ha altresì il diritto di revocare il suo consenso in qualsiasi momento senza pregiudicare la liceità del trattamento prima della revoca.

Per l’esercizio dei suoi diritti Lei potrà rivolgersi al sottoscritto in qualità di titolare del trattamento utilizzando gli estremi di contatto suindicati.

Per ogni ulteriore attività da svolgere nel suo interesse, o per finalità scientifiche o di ricerca sarò mia cura informarLa in modo più preciso.

Per presa visione: Cognome e nome in stampatello: ____________________________________________________________ Data _______________ Firma: ____________________________________________________________

intestazione/timbro

02 - Modulistica Privacy GDPR 679/2016 – Fac simile modulo di consenso dei pazienti maggiorenni – 05/2018 - OMCEO Ravenna - Pag. 1 a 1

CONSENSO INFORMATO AL TRATTAMENTO DEI DATI - DEL REGOLAMENTO UE GDPR N. 679/2016 (Protezione dati personali)

(Si avvisa che in genere tutti i software utilizzati per la raccolta dei dati clinici e l’elaborazione delle ricette dematerializzate elettroniche, sia privati che istituzionali, predispongono propri moduli di consenso. Il presente ha solo finalità esemplificative)

Il sottoscritto: _______________________________________________________________________________________________________ Nato a ________________________ il ______________________ indirizzo: _____________________________________________________ Dichiara di essere stato pienamente informato su:

1. Le finalità e le modalità del trattamento cui sono destinati i miei dati, connesse con le attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico a tutela della mia salute;

2. I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati (medici sostituti, laboratorio analisi, medici specialisti, aziende ospedaliere, case di cura provate, fiscalisti, Ministero delle Finanze, enti pubblici quali INPS, INAIL etc ..) o che possono venire a conoscenza in qualità di incaricati ;

3. Il diritto di accesso ai dati personali, la facoltà di chiedere l’aggiornamento, la rettifica, l’integrazione, la cancellazione, la limitazione nell’utilizzo, la portabilità, il diritto di reclamo all’Autorità Garante nonché la revoca del consenso;

4. Il nome del medico titolare del trattamento dei dati personali e i suoi dati di contatto; 5. La necessità di fornire dati richiesti per poter ottenere l’erogazione di prestazioni mediche adeguate e la fruizione dei servizi sanitari

secondo l’attuale disciplina (solo in caso di medico convenzionato con il SSN). Esprimo pertanto il mio libero consenso al trattamento dei dati personali e particolari ai fini delle predette finalità, modalità e comunicazione al Dottor ____________________________________________________________________________, titolare del trattamenti dei dati medesimi. Note: __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ Data ______________________________ Firma _______________________________________

03 - Modulistica Privacy GDPR 679/2016 – Fac simile modulo di consenso dei pazienti minnorenni – 05/2018 OMCEO Ravenna - Pag. 1 a 1

CONSENSO INFORMATO AL TRATTAMENTO DEI DATI - DEL REGOLAMENTO UE GDPR N. 679/2016 (Protezione dati personali)

(Si avvisa che in genere tutti i software utilizzati per la raccolta dei dati clinici e l’elaborazione delle ricette dematerializzate elettroniche, sia privati che istituzionali, predispongono propri moduli di consenso. Il presente ha solo finalità esemplificative)

I sottoscritti: 1 - ________________________________________________________________________________________________________________ 2 - ________________________________________________________________________________________________________________ Genitori/tutori/esercenti la patria potestà del minore: Cognome: ______________________________________________Nome: _____________________________________________________ Nato a ________________________ il ______________________ indirizzo: _____________________________________________________ Dichiarano di essere stati pienamente informati su:

1. Le finalità e le modalità del trattamento cui sono destinati i dati, connesse con le attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico a tutela della salute del minore;

2. I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati (medici sostituti, laboratorio analisi, medici specialisti, aziende ospedaliere, case di cura provate, fiscalisti, Ministero delle Finanze, enti pubblici quali INPS, INAIL etc ..) o che possono venire a conoscenza in qualità di incaricati ;

3. Il diritto di accesso ai dati personali, la facoltà di chiedere l’aggiornamento, la rettifica, l’integrazione, la cancellazione, la limitazione nell’utilizzo, la portabilità, il diritto di reclamo all’Autorità Garante nonché la revoca del consenso;

4. Il nome del medico titolare del trattamento dei dati personali e i suoi dati di contatto; 5. La necessità di fornire dati richiesti per poter ottenere l’erogazione di prestazioni mediche adeguate e la fruizione dei servizi sanitari

secondo l’attuale disciplina (solo in caso di medico convenzionato con il SSN). Esprimiamo pertanto il nostro libero consenso al trattamento dei dati personali e particolari ai fini delle predette finalità, modalità e comunicazione al: Dottor ____________________________________________________________________________, titolare del trattamenti dei dati medesimi. Note: __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ Data ______________________________ Firme 1) __________________________________________ 2) __________________________________________

04 - Modulistica Privacy GDPR 679/2016 – Fac simile lettera di nomina RESPONSABILE trattamento dati – 05/2018 - OMCEO Ravenna - Pag. 1 a 1

LETTERA DI NOMINA PER RESPONSABILE DEL TRATTAMENTO DATI

AI SENSI DEL REGOLAMENTO UE GDPR N. 679/2016 (Protezione dati personali) Il sottoscritto/a ______________________________________________________________________________________________________ In qualità di titolare del trattamento dei dati dello studio medico: (nome, indirizzo, sede, dati fiscali, telefono, e-mail, PEC…): __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ Nomina responsabile del trattamento dei dati personali e particolari: Dr./Dr.ssa __________________________________________________________________________________________________________ Nato/a a _______________________________________________________ il __________________________________________________ Codice Fiscale: _____________________________________________________________________________________________________ Residente in (città, indirizzo e CAP) _____________________________________________________________________________________ Telefono _____________________ Mail _____________________________________ PEC ________________________________________ Nella qualifica e per i doveri e obblighi derivanti dalla presente nomina, sulla base del contratto stipulato, di cui il presente atto costituisce parte integrante, o sull’accordo collettivo nazionale vigente dovrà:

a) Raccogliere, registrare, trattare e conservare i dati personali e particolari dei pazienti contenuti nelle cartelle cliniche, sia su supporto cartaceo che informatico, avendo cura che l’accesso agli stessi sia consentito solo ai soggetti autorizzati, e vigilare sulla corretta conservazione degli stessi;

b) Dovranno essere rispettate le misure idonee di sicurezza comunicate e predisposte dal titolare; c) Adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste dalla legge, dal consenso e dalla informativa solo previa

preventiva autorizzazione da parte del titolare; d) Le informazioni e i dati personali e di salute già archiviati e presenti in cartella non potranno essere modificate o cancellate senza

espressa dichiarazione del titolare; e) L’accesso ai dati ed alla registrazione dei dati deve essere limitato a quanto effettivamente previsto nei compiti correlati alle funzioni

contrattuali o di esercizio in essere; f) L’accesso ai dati è consentito o solo in orario di lavoro o per espressa deroga del titolare; g) L’accesso ai dati ed alla eventuale postazione informatica è consentito solo attraverso propria utenza e password che dovrà essere

diligentemente conservata e regolarmente sostituita; h) Il responsabile, in qualità di medico o sostituto del titolare, o associato o collaboratore in qualunque forma e natura (ad esempio

medicina di gruppo), potrà inserire diligentemente tutti i dati forniti liberamente dal paziente e necessari a completare ed aggiornare sia il diario clinico che la registrazione delle patologie o altri dati clinici utili e indispensabili alla continuità dell’assistenza e alla presa in carico del cittadino/paziente;

i) Il responsabile dovrà osservare il segreto su qualsiasi informazione, notizia, dato clinico e personale de quale può essere venuto a conoscenza nel corso del presente incarico, a anche a seguito di cessazione del medesimo;

j) Il responsabile dovrà tenere il registro delle attività di trattamento di cui all’art. 30 comma 2 GDPR e metterlo a disposizione del titolare o delle autorità preposte al controllo;

k) Il responsabile assiste il titolare del trattamento nel caso di richieste per l’esercizio dei diritti da parte degli interessati nonché per il rispetto degli obblighi di cui agli artt. Da 32 a 36 GDPR

Luogo e data _______________________________ Firma del Titolare del trattamento: _________________________________________ Firma del Responsabile nominato, per accettazione: _________________________________________

intestazione/timbro

05 - Modulistica Privacy GDPR 679/2016 – Fac simile lettera di nomina RESPONSABILE trattamento dati – 05/2018 - OMCEO Ravenna Pag. 1 a 1

LETTERA DI NOMINA PER INCARICATO DEL TRATTAMENTO DATI

AI SENSI DEL REGOLAMENTO UE GDPR N. 679/2016 (Protezione dati personali) Il sottoscritto/a ______________________________________________________________________________________________________ In qualità di titolare del trattamento dei dati dello studio medico: (nome, indirizzo, sede, dati fiscali, telefono, e-mail, PEC…): __________________________________________________________________________________________________________________ __________________________________________________________________________________________________________________ Nomina incaricato al trattamento dei dati personali e particolari: Sig./Sig.ra__________________________________________________________________________________________________________ Nato/a a _______________________________________________________ il __________________________________________________ Codice Fiscale: _____________________________________________________________________________________________________ Residente in (città, indirizzo e CAP) _____________________________________________________________________________________ Telefono _____________________ Mail _____________________________________ PEC ________________________________________ Nella qualifica e per i doveri e obblighi derivanti dalla presente nomina, sulla base del contratto stipulato e sul CCNL vigente dovrà:

a) Raccogliere, registrare, trattare e conservare i dati personali e particolari contenuti nelle cartelle cliniche, sia su supporto cartaceo che informatico, avendo cura che l’accesso agi stessi sia consentito solo ai soggetti autorizzati, e vigilare sulla corretta conservazione degli stesi;

b) Dovranno essere rispettate le misure minime di sicurezza comunicate e predisposte dal titolare; c) Adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste dalla legge, dal consenso e dalla informativa solo previa

preventiva autorizzazione da parte del titolare; d) Le informazioni e i dati personali e di salute già archiviati e presenti in cartella non potranno essere modificate o cancellate senza

espressa dichiarazione del titolare; e) L’accesso ai dati ed alla registrazione dei dati deve essere limitato a quanto effettivamente previsto nei compiti correlati alle funzioni

contrattuali o di esercizio in essere; f) L’accesso ai dati è consentito o solo in orario di lavoro o per espressa deroga del titolare; g) L’accesso ai dati ed alla eventuale postazione informatica è consentito solo attraverso propria utenza e password che dovrà essere

diligentemente conservata e regolarmente sostituita; h) l’incaricato dovrà osservare il segreto su qualsiasi informazione, notizia, dato clinico e personale de quale può essere venuto a

conoscenza nel corso del presente incarico, a anche a seguito di cessazione del medesimo; Luogo e data _______________________________ Firma del Titolare del trattamento: _________________________________________ Firma dell’incaricato nominato, per accettazione: _________________________________________

intestazione/timbro

06 - Modulistica Privacy GDPR 679/2016 – Fac simile raccomandaz. MISURE SICUREZZA trattamento dati – OMCEO Ravenna - 05/2018 - Pag. 1 a 1

RACCOMANDAZIONI (CHECK LIST) MISURE DI SICUREZZA DEL DATI TRATTATI AI SENSI DEL REGOLAMENTO UE GDPR N. 679/2016 (Protezione dati personali)

Queste raccomandazioni costituiscono un ausilio per la verifica dell’adeguamento ai requisiti di sicurezza dei dati trattati, previsti dal GDPR. Tali requisiti devono essere attentamente analizzati, pertanto questo elenco non è da considerarsi esaustivo in quanto deve essere integrato sulla base della propria organizzazione del lavoro e delle caratteristiche del proprio studio medico o odontoiatrico, forme associative, ambulatori etc.

1. E’ esposta l’informativa adeguata in sala d’attesa? (ATTENZIONE: l’adempimento è previsto solo dalla precedente normativa)

SI’ NO

2. Sono custoditi in armadi chiusi a chiave tutti i dati personali, particolari (ex sensibili), di salute ecc..?

SI’ NO

3. Sono state predisposte le lettere di nomina per i/il incaricato del trattamento? SI’ NO

4. Sono state predisposte le lettere di nomina per i/il responsabile del trattamento? SI’ NO

5. Tutti i componenti della forma associativa dello studio hanno la lettera di incarico come responsabili di trattamento?

SI’ NO

6. C’è stata la raccolta del consenso al trattamento dei dati? SI’ NO

7. Il consenso al trattamento è stato raccolto in forma scritta? (facoltativo ma raccomandato)

SI’ NO

8. Il consenso al trattamento è stato registrato sul gestionale/software dello studio? SI’ NO

9. Nel consenso c’è la specifica di chi può ricevere informazioni sullo stato di salute del cittadino o ritirare ricette o altre richieste (parenti, badanti, volontari, ecc..)

SI’ NO

10. In caso di FSE il cittadino/paziente ha registrato la sua adesione volontaria o il suo rifiuto?

SI’ NO

11. Nel consenso è stata esplicitata la possibilità per il paziente di oscurare alcuni dati e limitarne l’utilizzo?

SI’ NO

12. Ogni computer è protetto da password e nome utente per ogni soggetto che vi accede?

(verificare che all’accensione del pc vi siano più profili di accesso per tutti coloro responsabili o incaricati che possono utilizzarlo ed un profilo per gli accessi occasionali la cui password sia nota all’amministratore di sistema – titolare o tecnico informatico)

SI’ NO

13. Il gestionale (programma data base che si utilizza per raccogliere dati, fare ricette ecc..) è protetto da password e nome utente per ogni soggetto che vi accede?

SI’ NO

14. Esiste un amministratore di sistema? (Si può nominare se stessi oppure ci si affida ad un tecnico informatico)

SI’ NO

15. Si effettua il cambio password regolarmente? SI’ NO

16. Si effettua il back up dei dati regolarmente? SI’ NO

17. Le ricette pronte per la consegna sono conservate in maniera sicura? (no in sala d’attesa, solo in busta chiusa e non accessibili a chiunque)

SI’ NO

18. La postazione primaria informatica, cartacea o di segreteria garantisce distanze di sicurezza, per evitare assembramenti all’accoglienza, con appositi cartelli?

SI’ NO

19. I farmaci o i campioni sono custoditi in luoghi chiusi a chiave e oscurati? SI’ NO

20. Esiste l’utilizzo di un “cloud” (spazio virtuale di archiviazione dati utilizzando la rete internet) come sistema di archiviazione/consultazione dei dati (ad esempio nella medicina associativa)

SI’ NO

21. Esiste uno specifico contratto con il gestore del “cloud”? (controllare se il gestore è estero)

SI’ NO

22. Si è al corrente che i dati personali non devono essere utilizzati per finalità diverse da quelle per cui si è preposti per il trattamento?

SI’ NO

data redazione 24/05/2018

data aggiornamento

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

N° TELEFONO

DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO

DATI DI CONTATTO DELL'EVENTUALE CONTITOLARE DEL TRATTAMENTO

N° TELEFONO


N° TELEFONO

DATI DI CONTATTO DELL'EVENTUALE RAPPRESENTANTE

Dr. Pinco Pallo

Via dello studio n. XX Città CAP Provincia

N° TELEFONO

DATI DI CONTATTO DEL DPO

N° TELEFONO

REGISTRO DELLE ATTIVITA' DI TRATTAMENTO

COMPILARE SE ESISTENTE

TENUTO DAL TITOLARE DEL TRATTAMENTO

(Regolamento UE 2016/679 - art. 30, paragrafo 1)

Registro delle attività di trattamento

GDPRpagina 1

Titolare

rappresentante

Contitolari

DPO

1 - pazienti

Nome, Cognome, Indirizzo, Città, CAP. Prov., Teefono, Fax, Mail, PEC

archivio dati dei pazienti

Pazienti

dati personali di identificazione / dati particolari/ dati sanitari/

Nome, Cognome, Indirizzo, Città, CAP. Prov., Teefono, Fax, Mail, PEC - SE ESISTENTE



TERMINI DI CONSERVAZIONE

CATEGORIE INTERESSATI

CATEGORIA DEI DATI PERSONALI

MISURE DI SICUREZZA ADOTTATE

CATEGORIE DEI DESTINATARI

istituti di previdenza /amministrazione finanziaria / Azienda sanitaria locale- AUSL / organi giudiziari

non previsto

collegati al periodo di cura e trattamento, e in osservanza dei limiti previsti dalla legge per la conservazione dei dati clinici e cartelle cliniche

misure tecniche in grado di assicurare la riservatezza dei dati (autenticazione di accesso degli incaricati) - software antintrusione - sistemi di backup per il recupero e ripristino dei dati

SOFTWARE HOUSE/ sostituti medici

TRASFERIMENTO DEI DATI IN UN PAESE TERZO O UNA

ORGANIZZAZIONE INTERNAZIONALE

dipendenti e collaboratori


DATI DI CONTATTO

CODIFICA DEL TRATTAMENTO

DESCRIZIONE

FINALITA' DEL TRATTAMENTO

attività necessarie per la prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni richieste, sia farmaceutiche che specialistiche, correlate ad esigenze di

salute del paziente.

adempimento obblighi di legge

TENUTO DAL TITOLARE DEL TRATTAMENTO (Regolamento UE 2016/679 - art. 30, paragrafo 1)


GDPR pagina 2

Titolare

rappresentante

Contitolari

DPO

2 - clienti

Adempimento degli obblighi contrattuali

MISURE DI SICUREZZA ADOTTATE misure tecniche in grado di assicurare la riservatezza dei dati (autenticazione di accesso degli incaricati) - software antintrusione - sistemi di backup per il recupero e ripristino dei dati


ORGANIZZAZIONE INTERNAZIONALEnon previsto

TERMINI DI CONSERVAZIONEcollegati al periodo di cura e trattamento, e in osservanza dei limiti previsti dalla legge per la conservazione dei dati clinici e cartelle cliniche. Termini previsti

dalle norme fiscali e dal Codice Civile, di norma 10 anni


istituti di previdenza /amministrazione finanziaria/Azienda sanitaria locale- AUSL /Sistema Tessera sanitaria/organi giudiziari

SOFTWARE HOUSE/professionisti delle materie giuridiche e fiscali/sostituti medici


CATEGORIE INTERESSATI clienti

CATEGORIA DEI DATI PERSONALI dati personali di identificazione / dati particolari/ dati sanitari/dati contabili/dati reddituali/dati bancari


DESCRIZIONE archivio dati dei clienti


attività necessarie per la prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni richieste, sia farmaceutiche che specialistiche, correlate ad esigenze di

salute del paziente - cliente




DATI DI CONTATTO






GDPR pagina 3

Titolare

rappresentante

Contitolari

DPO

3 - fornitori

ampimento degli obblighi contrattuali

adempimento obblighi di legge (fiscale)



istituti bancari / istituti previdenziali / amministrazione finanziaria / organi giudiziari

SOFTWARE HOUSE/professionisti delle materie giuridiche e fiscali


CATEGORIE INTERESSATI fornitori e consulenti

CATEGORIA DEI DATI PERSONALI dati personali di identificazione / dati contabili / dati reddituali / dati bancari





TERMINI DI CONSERVAZIONE termini previsti dalle norme fiscali e dal Codice Civile, in genere 10 anni


DESCRIZIONE archivio dati dei fornitori


DATI DI CONTATTO






GDPR pagina 4

Titolare

rappresentante

Contitolari

DPO

4 - dipendenti e collaboratori

gestione del personale

gestione adempimenti per sicurezza nei luoghi di lavoro



istituti di previdenza / istituti bancari / istituti di assicurazione / amministrazione finanziaria / organi giudiziari / INL / ASL / sindacati

professionisti delle materie giuridico / fiscali

consulenti e altri professionisti per la sicurezza nei luoghi di lavoro

CATEGORIE INTERESSATI dipendenti / assimilati / collaboratori /loro familiari

CATEGORIA DEI DATI PERSONALI dati personali di identificazione / dati contabili / dati reddituali / dati bancari/dati particolari sullo stato di salute dei dipendenti / dati particolari (appartenenza sindacale)





TERMINI DI CONSERVAZIONE 10 anni dalla cessazione del rapporto


DESCRIZIONE archivio dati personale dipendente e collaboratori


DATI DI CONTATTO






GDPR pagina 5

Titolare

rappresentante

Contitolari

DPO

5 - familiari dei pazienti/clienti e terze persone autorizzate

terze persone autorizzate (tutori, badanti ecc .. )




DATI DI CONTATTO






DESCRIZIONE archivio dati personali dei familiari dei pazienti/clienti e terze persone autorizzate

attività necessarie per la prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni richieste, sia farmaceutiche che specialistiche, correlate ad

esigenze di salute del paziente minorenne

Gestione delle deleghe per ritiro prescrizioni farmaceutiche, esami


istituti di previdenza /amministrazione finanziaria / Azienda sanitaria locale- AUSL / organi giudiziari

SOFTWARE HOUSE/ sostituti medici



CATEGORIE INTERESSATI familiari dei pazienti/clienti

CATEGORIA DEI DATI PERSONALI dati personali di identificazione / dati personali particolari (dati sanitari dei familiari)

TERMINI DI CONSERVAZIONE collegati al periodo di cura e trattamento, e in osservanza dei limiti previsti dalla legge per la conservazione dei dati clinici e cartelle cliniche




GDPR pagina 6

Titolare

rappresentante

Contitolari

DPO

6 - rubrica dei contatti

termini previsti dalle norme fiscali e dal Codice Civile, in genere 10 anni - per clienti/fornitori


10 anni dalla cessazione del rapporto - per dipendenti / assimilati / collaboratori

dati personali di identificazione (nr. Telefono / fax / e-mail / pec / indirizzi IP)



DESCRIZIONE archivio dati di contatto personale dipendente / pazienti/clienti/ fornitori / terzi

attività necessarie per la prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni richieste, sia farmaceutiche che specialistiche, correlate ad

esigenze di salute del paziente.

gestione del personale

adempimento obblighi contrattuali


sostituti medici




DATI DI CONTATTO





CATEGORIE INTERESSATI dipendenti / assimilati / collaboratori / pazienti/ clienti / loro familiari / fornitori / terzi



collegati al periodo di cura e trattamento, e in osservanza dei limiti previsti dalla legge per la conservazione dei dati clinici e cartelle cliniche

non previsto




GDPR pagina 7

Titolare

rappresentante

Contitolari

DPO

0



CATEGORIE INTERESSATI








DESCRIZIONE


DATI DI CONTATTO






GDPR pagina 8

GDPR

data redazione 24/05/2018

data aggiornamento

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

NOME E COGNOME

INDIRIZZO

N° TELEFONO

MAIL PEC

DATI DI CONTATTO DEL DPO

N° TELEFONO

DATI DI CONTATTO DELL'EVENTUALE RAPPRESENTANTE


N° TELEFONO

TENUTO DAL RESPONSABILE DEL TRATTAMENTO (Regolamento UE 2016/679 - art. 30, paragrafo 2)

DATI DI CONTATTO DEL TITOLARE DEL RESPONSABILE DEL TRATTAMENTO

DR. Pinco Pallo (sostituto, medico med. di gruppo ecc )

N° TELEFONO

N° TELEFONO

REGISTRO DELLE CATEGORIE DI ATTIVITA' DEL TRATTAMENTO

DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO

Medico sostituito

N° TELEFONO

pagina 1

Titolare

rappresentante non presente

Contitolari non presente

DPO non presente

1 - pazienti



CATEGORIA DEI DATI PERSONALI dati personali di identificazione / dati particolari/ dati sanitari



DESCRIZIONEattività necessarie per la prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni richieste, sia farmaceutiche che specialistiche, correlate ad

esigenze di salute del paziente nell'ambito della sostituzione medica


DATI DI CONTATTO

Dati del medico sostituito




GDPR pagina 2

Titolare

rappresentante non presente

Contitolari non presente

DPO non presente

2 - rubrica dei contatti


CATEGORIA DEI DATI PERSONALI dati personali di identificazione (nr. Telefono / fax / e-mail / pec / indirizzi IP)



DESCRIZIONE gestione dati di contatto pazienti/terzi


DATI DI CONTATTO

Dati del medico sostituito




GDPR pagina 3

Titolare

rappresentante

Contitolari

DPO

DESCRIZIONE








DATI DI CONTATTO


GDPR pagina 4

ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ... · Secondo il “considerando 91” gli studi...

Documents

Transcript of ORDINE PROVINCIALE DEI MEDICI CHIRURGHI E DEGLI ... · Secondo il “considerando 91” gli studi...