Gdpr per Fisioterapia | Come adeguarsi, la guida completa

Il 25 maggio 2018, è una data fatidica per la maggior parte delle attività commerciali in Italia, in quanto entrerà in vigore il nuovo regolamento europeo chiamato GDPR (General Data Protection Regulation), un insieme di regole che in linea teorica dovrebbero mettere ordine nell’oceano di dati personali che girano, e che sono diventati uno spauracchio per grandi aziende,che ne hanno tratto grandi vantaggi economici proponendo pubblicità personalizzata.

Questo il testo della normativa gdpr

Prima di parlare di regolamento Gdpr per fisioterapia, e come adeguare uno studio fisioterapico alla nuova normativa ed essere conformi, vorrei discutere del fatto che probabilmente si è esagerato, e il nuovo regolamento europeo è figlio dell’esasperazione attuata e perpetrata per anni, ma in realtà la profilazione del cliente/paziente, non è proprio un male per l’utente finale. Tramite lo studio e l’analisi dei dati personali, grandi aziende come Facebook o Google sono riuscite a conoscerci meglio, sapendo perfettamente i nostri bisogni, e aiutandoci con pubblicità mirate, molto interessanti, che ci aiutano ogni giorno ad accorciare le distanze tra aziende e consumatori, e permettono appunto alle aziende di investire il denaro di campagne pubblicitarie, ottenendo un ritorno economico molto preciso e poco dispersivo. Di certo però molti utenti spesso si lamentano di tale gestione dei propri dati personali e vorrebbero una migliore gestione della propria identità digitale, volendo decidere autonomamente se vogliono o non vogliono concedere il privilegio di dare i propri dati.

Probabilmente, come sempre chi deve legiferare, non ha molta dimestichezza con la realtà quotidiana, e le problematiche che può generare, per cui ne è scaturito un gran caos, con una normativa che obbliga tutti gli studi fisioterapici ad adeguarsi entro tale data. Va detto, che il garante della privacy che deve vigilare su questa normativa, una volta accertata la violazione comunicherà con un avviso il non perfetto adeguamento e solo al secondo avviso scatteranno le sanzioni.

Cosa succede se non ci si adegua?

Secondo la legge il prezzo da pagare se non si è perfettamente in linea con la normativa è del 4% del fatturato annuo (sanzione massima), somma davvero elevata, che giustamente sta mettendo in ansia un pò tutti, e forse vista la gran confusione speriamo non sia così applicata, ma visto che la legge è ormai scritta in gazzetta ufficiale, direi che chi non vuole adeguarsi farebbe bene a cambiare idea, o comunque provare a cambiare i propri modus operandi in gestione

Questa la Sanzione:

https://eugdprcompliant.com/it/multe-per-la-violazione-del-regolamento/

Nomina di un rappresentante e responsabile dei dati personali

Secondo l’articolo 26, che può essere meglio indicato a Questa pagina sul sito del garante della privacy, è fondamentale nominare un titolare della custodia, e conservazione del materiale acquisito, e sopratutto nella gestione della procedura.
Tale Rappresentante deve essere nominato mediante un atto giuridico (non ho ben capito quale..sinceramente), sempre disponibile presso lo studio fisioterapico.

Conservazione dei dati (Cartella clinica)

Esistono vari modi per conservare e ricordare la Storia clinica del paziente. Bene, anzi male, perchè da oggi sarà vietato conservare in via cartacea, anche la sola scheda valutativa del paziente, una volta terminato il percorso riabilitativo. Certamente dotarsi di un software con chiavi criptate, che mantenga al sicuro i dati del paziente è buona cosa, e permette quindi di aggirare questa problematica.

Deve essere garantito il diritto all’oblio, ovvero la possibilità da parte dell’interessato di revocare in qualunque momento l’autorizzazione al trattamento dei dati personali.

Accesso ai dati

Il pc dello studio deve essere protetto da malintenzionati, e grazie ad una password di accesso già si fa una scrematura. Tale chiave deve essere nota solo al responsabile della privacy dello studio (generalmente il titolare). 

Creazione di una cartella criptata sul pc

I moduli privacy e consenso informato dovranno essere conservati nel computer, preservandone il contenuto mediante un software di criptazione. Sarà quindi necessario creare una cartella criptata in cui tenere il materiale sensibile.

Questa guida del sempre utile Salvatore Aranzulla, fa perfettamente al caso nostro:
Segui la guida per criptare una cartella

Moduli di consenso informato e Privacy

I moduli che abitualmente facciamo firmare al nostro paziente devono essere conservati nella cartella suddetta. Una volta firmati e compilati devono essere acquisiti e conservati, mentre la versione cartacea va distrutta. Teoricamente si dovrebbe mandare anche al paziente il modulo firmato via mail.

Attenzione a non salvarlo e tenerlo al di fuori della cartella.

Il modulo per il consenso informato e al trattamento dei dati è questo:

MODULO DI CONSENSO INFORMATO AL TRATTAMENTO FISIOTERAPICO

AUTORIZZAZIONE AL TRATTAMENTO DEI DATI RELATIVI ALLA SALUTE INFORMATIVA

Ringrazio Enea Maru Maraia per aver condiviso la suo bozza di moduli con tutti noi, scritta grazie alla moglie esperta in questo campo.

Come acquisire i dati

Certamente è fondamentale acquisire i dati mediante una stampante con scanner, o in alternativa esistono dell app per cellulare che possono fare tale servizio. Ricordando che una volta acquisite sul vostro cellulare, andranno immediatamente distrutti tutti i dati, si possono usare queste app:

Queste le app consigliate:

Backup della cartella

Naturalmente siamo responsabili della conservazione della cartella, per cui almeno 1 volta a settimana va eseguito un backup su una memoria esterna. Ricordiamo che l’hard disk di un pc può rompersi in maniera improvvisa, per cui è fondamentale salvarne una copia. Anche la pennetta così come la cartella deve essere criptata, per cui, va eseguita questa procedura per renderla adatta.

Anche questa volta ringraziamo il buon Salvatore Aranzulla per la mano che ci da:

Come criptare una pennetta usb

Tale pennetta va conservata in un cassetto, un armadietto, quello che volete, basta che sia chiuso a chiave e protetto., enon accessibile ai pazienti, o a malintenzionati

Sicuri di aver cancellato i file?

NO, quando li lasciate nel cestino ancora meno ma anche se lo svuotate, i vostri file sono fisicamente ancora presenti nel vostro disco. In pratica ogni disco fisso (HDD o SSD) ha quella che si chiama Tabella di Partizione, un “elenco telefonico” che dice al PC, gli indirizzi fisici, la posizione spaziale di un file, nel piatto del disco per poterli andare a leggere (si, il vostro disco fisso è fatto di piatti sovrapposti). Quando cancellate i file, ripulite solo l’indirizzo dal MBR (Master Boot Record), rendendo di nuovo disponibile la posizione del file a nuova scrittura, ma il file è ancora lì che minaccia la privacy di qualcuno o il lancio di qualche missile nucleare. Con la sola Deframmentazione a volte questi settori (cluster) senza indirizzo, vengono per caso sovrascritti, cancellando o corrompendone il file contenuto…ma non è detto. Un metodo sarebbe quello di cancellare tanti file…e tanti altri inserirne, pregando che vadano a sovrascrivere i cluster dei vecchi file, ma è poco pratico.

Ma è davvero un problema che mi riguarda?

“The Night is dark and full of terror” dice una maniaca vestita di rosso che ama il fuoco in una famosa serie tv, ma l’informatica è peggio. Con programmi di recupero dati free, in poche ore è possibile recuperare anche file vecchi di mesi o anni, specie se nel vostro disco non girano grosse moli di dati… Inoltre esistono virus e trojan che criptano il vostro disco, ne rendono il contenuto disponibile a mal intenzionati i quali poi vi ricattano in bitcoin non solo per ridarvi l’accesso ai vostri dati, ma anche per non consegnare alla finanza ad esempio alcuni file fiscali che l’hacker potrebbe aver recuperato e identificato come vitali. Questo genere di estorsioni sono in aumento vertiginoso e spesso avvengono anche in seguito al FURTO FISICO DEL COMPUTER. La lettura diretta (RAW) dei vostri dati può avvenire anche su pc con password.

Come cancellare definitivamente i file?

“Bonifica del Drive” o “Bonifica dello spazio libero” sono le parole chiave, il mantra che dovreste imparare e ripetere periodicamente per vivere sereni. Programmi di pulizia e gestione del pc come CCleaner, gratuito e sicuro, hanno tali strumenti.
https://www.ccleaner.com/

Installato ed avviato il programma vedete questa finestra.

Cliccate su “strumenti” a sinistra e vedrete

1. BONIFICA DRIVE.
2. Selezionate “SPAZIO LIBERO”
3. Selezionate “Sovrascrittura semplice 1 passaggio”
4. Selezionate il Disco Fisso interessato (qual’ora ne abbiate più di uno come il sottoscritto).
5. Avviate
6. Andate a dormire 😀

ATTENZIONE:

• In pratica il pc andrà a colmare tutto lo spazio non assegnato (“vuoto” ma ancora ricco di file) con 1 e 0 casuali. Poi sarà “impossibile” recuperare i dati, magari anche quelli importanti.
• Il procedimento è LENTO. Con vecchi dischi HDD da 150GB, se avete anche 100GB liberi, con “1 passaggio” potreste impiegarci anche 12-15h. Più spazio libero avete, più passaggi impostate più ci mette ore o giorni. Se avete un solo disco fisso da 1TB con dentro tutto e troppo spazio vuoto, vi consiglio vivamente di PARTIZIONARE il disco in 2 o 3 dischi ed usare una sola partizione per i dati dei pz, in questo modo la bonifica diventa molto più veloce. Su cosa sia una partizione e come fare, il buon salvatore aranzulla ci salva sempre la vita.
• Tale processo teoricamente potrebbe accorciare la vita del vostro disco solido SSD (se lo avete, il programma ve lo marca come SSD, vedi immagine), pertanto consiglio di eseguirla molto più di rado, tipo ogni 3-4 settimane o dopo cancellazioni di massa dei dati.

IN PRATICA, ogni venerdì o sabato, prima di chiudere lo studio, lanciate CCleaner…e fate partire la bonfica… purtroppo a fine bonifica non si spegne da solo, salvo ve la giocate bene con le impostazioni di risparmio energetico del pc. Altrimenti per questo potreste usare programmi esterni di TIMER SPEGNIMENTO PC (Googla e ti sarà dato).

Può sembrar tutto complicato, assurdo (lo è) ma vi assicuro che sono 6 click che fatti periodicamente in 30sec, vi possono solo proteggere e farvi dormire sogni più tranquilli, anche perché “EHhhh non succederà mai, esagerati” … ma quando accade, preferireste non esser mai nati.

IMPLEMENTO SULL’ACCESSO AI DATI

Se siete titolari o associati di grossi centri con un enorme giro di dati, oltre che la semplice password è possibile tramite aziende specializzata o guide “casalinghe”, vincolare l’accensione del pc alla presenza fisica di una penna USB: in pratica senza chiavetta, il pc non si accende nemmeno e volendo si possono far criptare tutti i dati, che se rubati fisicamente, senza chiave, sono illeggibili. Cercate “Security Lock Key USB” o “Chiave di sicurezza USB”. Altri sistemi all’avanguardia sono i lettori di impronte digitali dei portatili o sistemi di lettura esterni via porta USB.

Per questa parte Tanks to Niki Giada

Conclusioni

Siamo alla fine di questa “Follia” che di fatto invece che snellire le procedure, le appesantisce, creando i presupposti per un lavoro più ampio e complesso.

Tale guida, vuole essere un piccolo vademecum, volto a mettere ordine al caos del Gdpr 2018, ma non può essere considerata come unica fonte. Sono aperto ad ogni revisione per migliorarla e renderla sempre più completa. Tale procedura deve essere comunque validata da un esperto legale, o dal commercialista, che deve magari adattare la procedura alla realtà dello studio in questione, che può avere esigenze particolari (sopratutto se parliamo di grandi ambulatori che hanno procedure più complesse.
Vi prego non chiedete consulenze via mail, perchè appunto non possiamo e non siamo in grado di darle.