salute24.ilsole24ore.com
Regolamento europeo in materia di privacy: le novità
Il 25 maggio del 2018 diventa definitiva l’applicazione del nuovo quadro regolatorio sulla privacy e il trattamento dei dati personali disposto dal Regolamento europeo 2016/679. Le norme sono rivolte ai soggetti pubblici e alle aziende private che raccolgono, elaborano e conservano i dati dei singoli utenti e consumatori. Le norme vanno a integrare il Codice in materia di protezione dei dati personali (decreto legislativo n. 196 del 2003).
Il regolamento sottolinea l’importanza del principio di responsabilizzazione(accountability) dei titolari e responsabili del trattamento dei dati personali. Queste figure dovranno dimostrare l’adozione delle misure prese per l’applicazione del regolamento. Un criterio relativo a questo principio è il “data protection by default and by design”: il trattamento viene configurato con le necessarie garanzie allo scopo di soddisfare i requisiti della normativa e tutelare i diritti delle persone fisiche. Questa dimostrazione avviene prima di procedere al trattamento vero e proprio dei dati.
Sempre nell’ottica del principio di responsabilizzazione, il bilanciamento fra il legittimo interesse del titolare del trattamento, ovvero il motivo che rende lecito il trattamento, e i diritti della persona fisica non spetta al Garante ma al titolare stesso.
Il regolamento introduce poi la figura del Responsabile della protezione dei dati(Data Protection Officer-DPO). È una figura nominata all’interno delle autorità pubbliche e degli organismi pubblici, nonché dalle aziende di rilevanti dimensioni che dovrà assicurare che la normativa sia rispettata facilitando l’attuazione del regolamento da parte del titolare/responsabile e fornendo consulenza circa gli obblighi che ne derivano.
Le novità del regolamento europeo riguardano anche il tema del consenso. Per i dati sensibili, come quelli sanitari che riguardano le condizioni di salute degli interessati, questo dovrà essere esplicito; per i minori è valido a partire dai 16 anni di età mentre fino a questa soglia anagrafica è necessario quello dei genitori o di chi ne fa le veci. Il titolare del trattamento deve essere sempre in grado di dimostrare e documentare che il consenso sia stato fornito.
A tutela della persona fisica detentrice dei dati è previsto che l’informativa, redatta con un linguaggio chiaro e semplice, facilmente comprensibile e trasparente, debba indicare sempre i dati di contatto del Responsabile della protezione dei dati; il motivo che rende lecito il trattamento; il periodo di conservazione dei dati, ovvero la “scadenza” del trattamento; se i dati vengono trasferiti in un Paese terzo.
Ogni persona fisica ha diritto ad accedere e a ricevere una copia dei dati personali oggetto del trattamento e anche alla loro cancellazione (“diritto all’oblio”) quando, ad esempio, i dati personali non sono più necessari rispetto alle finalità per cui erano stati raccolti o se sono trattati in modo illecito. Se i titolari hanno reso pubblici i dati devono informare della richiesta di cancellazione anche i terzi titolari che li stiano trattando. Questa richiesta può arrivare dall’utente anche se ha revocato il consenso stesso.
“Nell’ambito sanitario – evidenzia Gian Luca Bucciarelli, commercialista ed esperto di organizzazione aziendale – la normativa sulla privacy svolge un ruolo rilevante, soprattutto per la sensibilità dei dati legati alla persona. Il consenso riguardante i dati sanitari, genetici e biometrici nella loro qualità di dati sensibili deve avvenire per il tramite di una dichiarazione inequivocabilmente esplicita e deve riferirsi all’intero trattamento”.
Ci sono poi da considerare tutta una serie di passaggi focali, tipici del mondo sanitario e di grande importanza nella normativa privacy:
- Fascicolo Sanitario Elettronico (FSE). Questo rappresenta lo strumento più idoneo e completo a raccogliere tutti i dati personali, sanitari, genetici e biometrici del paziente;
- Dossier sanitario. Nell’ambito della sanità elettronica questo documento assume un ruolo fondamentale, in quanto costituisce l’insieme dei dati personali generati da eventi clinici, presenti e trascorsi riguardanti l’interessato messi in condivisione tra i professionisti che lo assistono;
- Cartella clinica. Nell’era digitale questa ha mutato la sua caratteristica redazionale, passando dal supporto cartaceo all’apparato elettronico. Di conseguenza le principali attività di compilazione, redazione e gestione rientra a pieno titolo nel trattamento dei dati personali.
“Va infine ricordato – conclude Bucciarelli - un elemento di grande interesse: il nuovo GDPR (General Data Protection Regulation) ha adottato una linea profondamente diversa rispetto al passato. L’art.9 stabilisce, ad esempio, che i dati sensibili possono essere trattati non solo se vi è il consenso informato dell’interessato ma, al di là di questo, anche quando ricorrono altre condizioni, quali la necessità del trattamento “per motivi di interesse pubblico nel settore della sanità pubblica o la protezione da gravi minacce per la salute a carattere transfrontaliero oppure la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali. Lo stesso vale quando il trattamento è necessario per fini di ricerca scientifica. Come si può facilmente comprendere, è un cambio di paradigma. Al quale aziende sanitarie e cittadini devono abituarsi velocemente”.
di s.p.
Pubblicato il 19/03/2018