Magazine

Le novità sul regolamento europeo in materia di privacy

Il 25 maggio del 2018 diventa definitiva l’applicazione del nuovo quadro regolatorio sulla privacy e il trattamento dei dati personali disposto dal Regolamento europeo 2016/679. Le norme sono rivolte ai soggetti pubblici e alle aziende private

che raccolgono, elaborano e conservano i dati dei singoli utenti e consumatori. Le norme vanno a integrare il Codice in materia di protezione dei dati personali (decreto legislativo n. 196 del 2003).

 

Il regolamento sottolinea l’importanza del principio di responsabilizzazione (accountability) dei titolari e responsabili del trattamento dei dati personali. Queste figure dovranno dimostrare l’adozione delle misure prese per l’applicazione del regolamento. Un criterio relativo a questo principio è il “data protection by default and by design”: il trattamento viene configurato con le necessarie garanzie allo scopo di soddisfare i requisiti della normativa e tutelare i diritti delle persone fisiche. Questa dimostrazione avviene prima di procedere al trattamento vero e proprio dei dati.

 

Sempre nell’ottica del principio di responsabilizzazione, il bilanciamento fra il legittimo interesse del titolare del trattamento, ovvero il motivo che rende lecito il trattamento, e i diritti della persona fisica non spetta al Garante ma al titolare stesso.

 

Il regolamento introduce poi la figura del Responsabile della protezione dei dati (Data Protection Officer-DPO). È una figura nominata all’interno delle autorità pubbliche e degli organismi pubblici, nonché dalle aziende di rilevanti dimensioni che dovrà assicurare che la normativa sia rispettata facilitando l’attuazione del regolamento da parte del titolare/responsabile e fornendo consulenza circa gli obblighi che ne derivano.

 

Le novità del regolamento europeo riguardano anche il tema del consenso. Per i dati sensibili, come quelli sanitari che riguardano le condizioni di salute degli interessati, questo dovrà essere esplicito; per i minori è valido a partire dai 16 anni di età mentre fino a questa soglia anagrafica è necessario quello dei genitori o di chi ne fa le veci. Il titolare del trattamento deve essere sempre in grado di dimostrare e documentare che il consenso sia stato fornito.

 

A tutela della persona fisica detentrice dei dati è previsto che l’informativa, redatta con un linguaggio chiaro e semplice, facilmente comprensibile e trasparente, debba indicare sempre i dati di contatto del Responsabile della protezione dei dati; il motivo che rende lecito il trattamento; il periodo di conservazione dei dati, ovvero la “scadenza” del trattamento; se i dati vengono trasferiti in un Paese terzo.

 

Ogni persona fisica ha diritto ad accedere e a ricevere una copia dei dati personali oggetto del trattamento e anche alla loro cancellazione (“diritto all’oblio”) quando, ad esempio, i dati personali non sono più necessari rispetto alle finalità per cui erano stati raccolti o se sono trattati in modo illecito. Se i titolari hanno reso pubblici i dati devono informare della richiesta di cancellazione anche i terzi titolari che li stiano trattando. Questa richiesta può arrivare dall’utente anche se ha revocato il consenso stesso.

 

“Nell’ambito sanitario la normativa sulla privacy svolge un ruolo rilevante, soprattutto per la sensibilità dei dati legati alla persona. Il consenso riguardante i dati sanitari, genetici e biometrici nella loro qualità di dati sensibili deve avvenire per il tramite di una dichiarazione inequivocabilmente esplicita e deve riferirsi all’intero trattamento.

 

Ci sono poi da considerare tutta una serie di passaggi focali, tipici del mondo sanitario e di grande importanza nella normativa privacy:

- Fascicolo Sanitario Elettronico (FSE). Questo rappresenta lo strumento più idoneo e completo a raccogliere tutti i dati personali, sanitari, genetici e biometrici del paziente;

- Dossier sanitario. Nell’ambito della sanità elettronica questo documento assume un ruolo fondamentale, in quanto costituisce l’insieme dei dati personali generati da eventi clinici, presenti e trascorsi riguardanti l’interessato messi in condivisione tra i professionisti che lo assistono;

- Cartella clinica. Nell’era digitale questa ha mutato la sua caratteristica redazionale, passando dal supporto cartaceo all’apparato elettronico. Di conseguenza le principali attività di compilazione, redazione e gestione rientra a pieno titolo nel trattamento dei dati personali.

 

“Va infine ricordato un elemento di grande interesse: il nuovo GDPR (General Data Protection Regulation) ha adottato una linea profondamente diversa rispetto al passato. L’art.9 stabilisce, ad esempio, che i dati sensibili possono essere trattati non solo se vi è il consenso informato dell’interessato ma, al di là di questo, anche quando ricorrono altre condizioni, quali la necessità del trattamento “per motivi di interesse pubblico nel settore della sanità pubblica o la protezione da gravi minacce per la salute a carattere transfrontaliero oppure la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali. Lo stesso vale quando il trattamento è necessario per fini di ricerca scientifica. Come si può facilmente comprendere, è un cambio di paradigma. Al quale aziende sanitarie e cittadini devono abituarsi velocemente”.