GDPR, le novità per i poliambulatori ad 8 mesi dall’attuazione

Il 19 maggio sono scaduti i termini per adeguarsi al nuovo GDPR. Il periodo cosiddetto di tolleranza di 8 mesi aveva l’obiettivo di dare tempo alle aziende di dotarsi di un DPO (Data Protection Officer, trad. responsabile protezione dati) e di verificare i propri processi nell’acquisizione e nel trattamento dati. Dal 20 maggio quindi chi non è in regola potrà essere sanzionato se non ha provveduto all’adeguamento.

Per conoscere nel dettaglio il ruolo del DPO leggi il nostro articolo.

Il caso della sanità privata: registro dei trattamenti e consenso

Nell’ambito della Sanità privata, il GDPR ha chiarito che non è necessario domandare una seconda volta il consenso al trattamento dati ai propri pazienti né impone, in una piccola realtà, la nomina di un DPO (Data Protection Officer) che curi tutti i passaggi dell’applicazione della normativa. Ad oggi i medici devono aver implementato il registro dei trattamenti e rivisto le implicazioni dell’informativa per i pazienti.

É richiesto il consenso quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità. Ne sono un esempio i trattamenti dati sulla salute connessi all’uso di App mediche (ad eccezione di quelle per la telemedicina), quelli effettuati per la fidelizzazione della clientela (come quelli praticati da alcune farmacie o para farmacie), per finalità promozionali, commerciali o elettorali.

Cosa deve fare il poliambulatorio

Per un poliambulatorio è quindi necessario aggiornare i propri consensi e le informative da sottomettere ai pazienti con le finalità di trattamento dati e le loro modalità di conservazione.

Rispettare tutti gli adempimenti in un poliambulatorio ed evitare le sanzioni può essere complicato e dispendioso senza un software sicuro e affidabile progettato per soddisfare tutti i requisiti di privacy by default imposti dal GDPR.

JMed è il software gestionale per poliambulatori che gestisce i dati dei tuoi pazienti in completa sicurezza assicurando la massima privacy e consentendo di conservare in digitale tutti i documenti. Per maggiori informazioni clicca qui.

Come verranno effettuati i controlli

I controlli, esercitati dal Nucleo Speciale Privacy della Guardia di Finanza, partiranno in primo luogo dal settore finanziario e assicurativo e riguarderanno i trattamenti dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti; i trattamenti di dati effettuati dalle Asl, la gestione delle carte di fidelizzazione da parte delle aziende; il rilascio dell´identità digitale ai cittadini italiani (Spid); il Sistema Integrato di Microdati (Sim) dell´ISTAT.

I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, sul rispetto delle norme sull’informativa e il consenso, e sulla durata della conservazione dei dati da parte di soggetti pubblici e privati.

Le sanzioni previste dal GDPR

Sono ben 90 gli adempimenti che le aziende sono tenute a rispettare e le sanzioni possono raggiungere il 4% del fatturato con un importo anche di 200 milioni di euro. Tuttavia se la violazione è minore e la sanzione pecuniaria dovesse rappresentare un onere sproporzionato per una persona fisica, si potrà applicare un ammonimento.

L’ammontare delle sanzioni terrà conto di più fattori:

• la natura, la gravità e la durata della violazione
• il carattere doloso
• le misure adottate per attenuare il danno subito (leggi qui l’articolo sul Data Breach)
• il grado di responsabilità
• eventuali precedenti violazioni
• modalità con cui l’autorità di controllo è venuta a conoscenza della violazione
• il rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento
• l’adesione a un codice di condotta
• eventuali altri fattori aggravanti o attenuanti.

Scopri senza impegno come JMed può semplificare la gestione della privacy nel tuo poliambulatorio.