Le implicazioni del RGPD per i professionisti della nutrizione

Il Regolamento Generale sulla Protezione dei Dati ha suscitato una certa preoccupazione tra i professionisti delle più diverse aree. La classe dei professionisti della nutrizione non fa eccezione. In questo contesto, il primo passo è essere consapevoli del fatto che esistono nuove regole sulla protezione dei dati e assicurarsi che tu e la tua organizzazione, se fosse il caso, siate a conoscenza dei principali obblighi. Se stai leggendo questo testo, allora, come minimo, hai appena fatto questo primo passo.

In questo articolo affronteremo alcune delle implicazioni del Regolamento Generale sulla Protezione dei Dati (d’ora in poi RGPD o Regolamento) per i professionisti della nutrizione. Per saperne di più sul RGPD e sui passi che Nutrium sta compiendo verso la conformità, leggi qui la nostra precedente pubblicazione.

Puoi anche consultare il Regolamento e visitare il sito web Garante per la Protezione dei Dati Personali per ulteriori informazioni.

Le parti in gioco

Non sarà possibile spiegare adeguatamente il RGPD senza aver prima chiarito alcuni concetti centrali dei suoi interlocutori. I rapporti previsti dal Regolamento si configurano approssimativamente come segue: il titolare dei dati (il tuo cliente) mette i suoi dati personali a disposizione del responsabile del trattamento (il professionista della nutrizione), il quale si assume la responsabilità del trattamento di tali dati secondo le modalità previste dal Regolamento.

In determinate occasioni, il titolare del trattamento potrà affidare a terzi l'esecuzione di parte di queste operazioni di trattamento dei dati personali. Tali terzi, nella nomenclatura del RGPD, sono denominati responsabili del trattamento.

Questo è il caso della nostra azienda. La Healthier è, soprattutto, responsabile del trattamento del professionista e può essa stessa contrattualizzare il trattamento dei dati con altri responsabili del trattamento. Questi responsabili del trattamento devono fornirgli ogni garanzia di conformità dei requisiti del RGPD.

Legalità del trattamento

In qualità di responsabile del trattamento, e al fine di evitare complicazioni legali e sanzioni, dovrai assicurarti che tutto il trattamento dei dati personali dei tuoi clienti sia lecito, vale a dire che si basino su almeno una giustificazione legale per la sua esecuzione. L'articolo 6.º del RGPD stabilisce sei motivi per ritenere legittimo il trattamento che fai dei dati. Guardiamo tre di loro:

  • Consenso: potrai scegliere di fare il trattamento sulla base del consenso. Sempre che il titolare ha dato il suo consenso esplicito e informato, il trattamento sarà lecito. Ad esempio, dovrai utilizzare il consenso ogni volta che vorrai utilizzare i dati dei tuoi clienti per scopi di marketing. Nulla ti impedisce di fare le tue visite basandoti sul consenso, ma ti preghiamo di notare che in queste situazioni il cliente potrà revocare il consenso in qualsiasi momento, impedendoti di continuare a trattare i suoi dati. Sarà inoltre necessario disporre dei mezzi organizzativi per dimostrare tale consenso e per dare al titolare dei dati la possibilità di revocare facilmente il consenso.

  • Esecuzione del contratto: il trattamento dei dati sarà lecito laddove necessario per la corretta esecuzione del contratto. Ad esempio, in un contratto di lavoro che stipuli con una segretaria, sarà lecito raccogliere tutti i dati personali necessari per l'identificazione delle parti di tale contratto e per il trattamento dei salari. Fanno parte dei dati personali il nome completo, l'indirizzo o il numero del conto bancario.

  • Interesse legittimo: è verificato qualora il trattamento sia necessario per il perseguimento degli interessi legittimi del responsabile del trattamento o di terzi. Ad esempio, il professionista della nutrizione ha un interesse legittimo a raccogliere dati relativi alla salute del suo cliente, poiché sono questi dati che gli permettono di effettuare con successo la visita.

In ultima analisi, spetta al professionista della nutrizione scegliere e analizzare le basi su cui si appellerà o a cui sarà soggetto. Ci potranno essere basi legali più adeguate rispetto ad altre, a seconda del trattamento in questione.

Ad esempio, basare il trattamento dei dati su "interessi legittimi" potrà sembrare il modo più semplice di procedere, ma richiederà comunque una "valutazione degli interessi legittimi" in modo che sia chiaro al titolare dei dati quali interessi concreti sono in gioco.

D'altro canto, il "consenso" conferisce al titolare dei dati il controllo quasi assoluto dei suoi dati. Questo è considerato un metodo più trasparente, ma può non essere pratico da attuare, in quanto richiederà la tenuta di un registro organizzato di tali consensi e ti imporrà la possibilità di garantire i diritti relativi al consenso.

I diritti dei tuoi clienti

Come abbiamo visto, oltre ad essere i tuoi clienti, sono anche titolari di dati personali. In quanto tale, il RGPD stabilisce una serie di diritti che dovrai rispettare. Nelle prossime righe cercheremo di spiegare e dimostrare brevemente come potrai rispettare alcuni di questi diritti:

  • Diritto di essere informati: ogni volta che vengono raccolti i dati personali dei clienti, sarà necessario che gli vengano fornite in modo chiaro, conciso e trasparente tutte le informazioni elencate all'articolo 13.º del Regolamento. Si tratta di un insieme molto ampio di informazioni che idealmente dovranno essere raccolte in un documento e messe a disposizione del cliente. Puoi farlo in diversi modi: comunicando oralmente queste informazioni al cliente; consegnandogli il documento stampato durante la visita; dedicando una pagina sul tuo sito web e invitando il cliente a leggerla ecc.

  • Diritto di accesso: il cliente ha il diritto di sapere se i suoi dati sono trattati e, in caso affermativo, ha il diritto di accedere ai suoi dati personali. In tali situazioni, il professionista della nutrizione deve fornire al cliente tutti i dettagli relativi ai dati personali oggetto del trattamento, nonché tutte le informazioni previste dall'articolo 15.º del Regolamento. Le informazioni dovranno, in linea di principio, essere fornite in un formato elettronico di uso comune, come ad esempio, in PDF.

  • Diritto di correzione e cancellazione: in caso di informazioni errate o incomplete, il cliente può richiedere la correzione delle sue informazioni. Egli può inoltre ottenere dal professionista della nutrizione la cancellazione dei suoi dati senza ritardo ingiustificato, avendo la certezza che spetta al professionista della nutrizione, in primo luogo, analizzare la pertinenza di tale richiesta, ai sensi dell'art. 17.º del Regolamento.

  • Diritto di portabilità: quando il trattamento è basato sul consenso o su un contratto ed è effettuato con mezzi automatici, il responsabile del trattamento, su richiesta del titolare dei dati, mette a sua disposizione tutte le informazioni in un file di lettura automatica e di uso corrente come, ad esempio, un documento in formato PDF, Word o anche Excel.

  • Diritto di opposizione e diritto di limitazione: il diritto di opposizione si applica soprattutto a quelle situazioni in cui la liceità del trattamento si basa sugli interessi legittimi del professionista della nutrizione. In tali casi, non essendoci una richiesta di consenso preliminare, è consentita un'opposizione successiva. La limitazione del trattamento, a sua volta, è destinata a situazioni in cui la cancellazione immediata dei dati personali non è desiderata e richiede quindi solo la sua limitazione.

Registrazione delle attività di trattamento

Se ci chiedessero di definire il RGPD in due parole potrebbero essere: metodo e organizzazione. Almeno queste parole definiscono al meglio il requisito dell'articolo 30.º del Regolamento: il professionista della nutrizione e soprattutto le cliniche nutrizionali sono, in linea di principio, obbligati a mappare i dati personali che trattano.

Quindi, dovrai compilare, in forma scritta e in un file elettronico (ad esempio su un foglio Excel), tutte le categorie di titolari di dati personali e i dati personali che raccogli, descrivendoli e associandoli alle finalità di trattamento a cui sono destinati. E poniamo l'accento su "tutti". Questa mappatura potrà dover coprire non solo i dati dei tuoi clienti, ma anche, ad esempio, i dati dei tuoi dipendenti, laddove applicabile.

Dovrai anche specificare quali responsabili del trattamento utilizzate e fornire il tuo nome e il tuo contatto, nonché i contatti del tuo Responsabile della Protezione dei Dati e del tuo rappresentante, laddove applicabile. L'elenco qui riportato non è tuttavia esaustivo. Potrai consultare l'elenco completo all'articolo 30.º del Regolamento.

Sottolineiamo che si tratta di un documento di enorme importanza in quanto dovrà essere messo a disposizione dell'organo di controllo ogni qualvolta richiesto. Non deve essere confuso con documenti come le Politiche sulla Privacy il cui scopo è quello di informare il pubblico e i suoi clienti.

Sicurezza e protezione dei dati

Una delle principali preoccupazioni del Regolamento è garantire che il trattamento dei dati personali avvenga nel modo più sicuro possibile. In quanto tali, i professionisti della nutrizione si impegnano a implementare nei loro studi tutte le misure di sicurezza necessarie per proteggere i dati personali dei loro clienti.

Queste misure potranno includere, ad esempio, la scelta di fornitori di servizi Cloud conformi al RGPD; la crittografia dei dispositivi elettronici che contengano dati personali, come ad esempio i computer; il rinnovo periodico delle password ecc.

Tuttavia, poiché il Regolamento non si applica solo al contesto digitale, è necessario adottare comunque delle precauzioni per quanto riguarda lo spazio fisico dello studio. Gli armadietti con le cartelle dei clienti dovranno essere chiusi a chiave e l'accesso a tali cartelle dovrà essere limitato a gruppi di persone strettamente necessari.

Inoltre, tutti i documenti cartacei, in particolare quelli contenenti dati di categorie considerate sensibili, dovranno essere smaltiti in modo adeguato, in particolare tramite i distruggidocumenti.

Infine, dovrai essere preparato alla possibilità di violazioni dei dati. In tali casi, quando tutte le misure di sicurezza falliscono e si constata che la violazione dei dati ha messo in pericolo i diritti e le libertà delle singole persone, in particolare a causa di perdita o furto, dovrai informare senza indugio il Garante per la Protezione dei Dati Personali e il titolare dei dati.

Conclusione

Queste sono solo alcune delle misure che dovrai adottare nei prossimi tempi e richiedono un'attenta pianificazione e uno studio del Regolamento. Il team di Nutrium sarà sempre disponibile ad aiutarti, stiamo implementando tutte le misure necessarie affinché tu possa rispondere alle richieste dei tuoi clienti nel modo più efficiente possibile. Ci auguriamo che questa breve presentazione ti sia stata utile.

Una nota finale solo per dire che questo articolo è stato scritto avendo in mente un pubblico mondiale di professionisti della nutrizione. Anche se può essere un buon punto di partenza, questo articolo non è, per la necessità di adattarsi al mezzo in cui viene pubblicato, esaustivo. Le informazioni qui fornite devono essere tradotte da paese a paese e da professionista a professionista. Si prega di informati in anticipo con il tuo avvocato o con gli enti e le associazioni locali.