FOCUS SUI PRINCIPALI ISTITUTI IN MATERIA DI TRATTAMENTO DEI DATI ALLA LUCE DEL GDPR REGOLAMENTO UE 2016/679

Transcript

1 FOCUS SUI UE 2016/679 1

2 25 MAGGIO 2018 QUADRO NORMATIVO Il 25 maggio 2018 diviene efficace il nuovo regolamento europeo in materia di trattamento dei dati personali General Data Protection Regulation (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016). La legge di delegazione europea 2016/2017 n. 163 del 25 ottobre 2017 ha stabilito l adeguamento della normativa nazionale alle disposizioni del Regolamento 2016/679 prevedendo fra l altro l abrogazione delle disposizioni in materia di trattamento dei dati di cui al d.lgs. 196 del 2003 non compatibili con il Regolamento 2016/679, l adeguamento/ coordinamento delle disposizioni interne vigenti in materia, nonché la possibilità che il Garante emetta provvedimenti attuativi e/o di integrazione in materia. Al momento le indicazioni previste nella legge di delegazione non sono state attuate dal Governo italiano, ma il Regolamento europeo sarà comunque operativo a partire dal 25/5/18. La norma comunitaria non ha declinato una specifica e separata disciplina per i dati in ambito sanitario, ma vi sono alcuni riferimenti e norme applicabili che devono essere presi in considerazione da tutti coloro che esercitano una professione sanitaria sia in campo pubblico FOCUS SUI che privato, anche se con diversi profili; pertanto, qui di seguito vi riportiamo le disposizioni di maggiore impatto. UE 2016/679 2

3 RESPONSABILE DELLA PROTEZIONE DEI DATI Nella Sezione 4 del Regolamento viene definita la figura del Responsabile della Protezione dei Dati (RPD) o anche Data Protection Officer (DPO). La nomina del RPD è obbligatoria: nei casi in cui il trattamento sia svolto da autorità o un organismo pubblico; quando il trattamento dei dati richieda il monitoraggio regolare e sistematico di interessati su larga scala; nei casi di trattamento su larga scala di categorie particolari di dati relativi all origine razziale, etnica, le opinioni politiche, le convinzioni filosofiche e religiose o l appartenenza sindacale; nonché al trattamento di dati genetici, dati biometrici al fine dell identificazione univoca di una persona fisica, di dati relativi alla salute, alla vita sessuale o all orientamento sessuale di una persona fisica o di dati personali relativi a condanne penali e reati. Nel Considerando 91 del Regolamento viene specificato il concetto di larga scala enunciato nell art. 37 e qualora si faccia riferimento al trattamento di dati personali di pazienti da parte di un singolo medico o operatore sanitario viene esclusa la necessità di nominare il RPD e in generale di fare delle valutazioni di impatto sulla protezione dei dati. Tuttavia nelle Linee guida sui responsabili della protezione dei dati pubblicate dal Garante il 5/4/17 si raccomanda, in termini di buone prassi, che gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un RPD. Pertanto, anche alcune categorie potenzialmente escluse come i medici di base convenzionati con il SSN in virtù di questa raccomandazione del Garante dovrebbero dotarsi di un RPD. Le attività del RPD nominato nei termini sopra indicati si estendono a tutti i trattamenti svolti, compresi quelli che non sono connessi all espletamento di funzioni pubbliche o all esercizio di pubblici poteri quali, per esempio, la gestione di un database del personale. In caso di nomina, sia essa obbligatoria o volontaria, le linee-guida guida di riferimento per l attività saranno le medesime. FOCUS SUI UE 2016/679 3

4 Le misure prese dal RPD sono connesse alla valutazione di rischio elaborata dallo stesso con specifico riferimento alla tutela dei dati personali gestiti ad esempio all interno di uno studio medico. Essenzialmente dovrà verificare che i dati raccolti rispettino gli standard di sicurezza imposti dalla normativa ed effettuare un monitoraggio sistematico delle attività. In caso di violazione sul trattamento dei dati personali da parte del titolare del trattamento il RPD non è penalizzato dal comportamento illecito del tutelato, in quanto figura autonoma di garanzia, ma risponde della mancata realizzazione dei suoi compiti, quindi di consulenze errate o non efficaci rispetto al contratto stipulato e soprattutto risponde delle proprie violazioni riguardo alla normativa europea sul trattamento dei dati personali. Identificare il soggetto che deve svolgere questo ruolo può non essere facile soprattutto per i privati che diversamente dagli enti pubblici non hanno una struttura che li supporti nell individuazione. Ciò posto non sono richiesti requisiti specifici per il ruolo, ma deve trattarsi di un soggetto che abbia la professionalità adeguata alle attività che deve svolgere e soprattutto come specificato nel Considerando 97 FOCUS SUI del Regolamento deve essere un soggetto indipendente e autonomo. UE 2016/679 4

5 Il ruolo può essere ricoperto da un dipendente dello studio medico o del professionista, ma anche da un soggetto esterno l importante è che possa assolvere i compiti indicati nel Regolamento. Tuttavia, recentemente il Garante ha precisato che questa figura dovrà avere un approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti. In virtù della funzione di rilievo svolta dal RPD è previsto che a seguito della nomina venga effettuata una comunicazione al Garante per la privacy che ha messo a disposizione sul proprio sito una specifica informativa e i moduli necessari ( RPD FOCUS SUI UE 2016/679 5

6 INFORMATIVA E CONSENSO Rispetto alla normativa precedente l informativa assume sempre una rilevanza fondamentale anche perché le informazioni da fornire sono state aumentate e maggiormente dettagliate e ciò assume particolare rilevanza in ambito sanitario. Elementi fondamentali introdotti dal Regolamento nell informativa sono: i dati di contatto del RPD ove esistente; la base giuridica del trattamento; il periodo di conservazione dei dati e i criteri seguiti per stabilire tale periodo di conservazione; il diritto di presentare un reclamo all autorità di controllo. L informativa deve avere forma concisa, trasparente, intelligibile per l interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori prevedere informative idonee. Nel Considerando 42 del Regolamento il legislatore europeo ha precisato che per i trattamenti basati sul consenso dell interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un altra questione dovrebbero esistere garanzie che assicurino che l interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità FOCUS SUI della direttiva 93/13/CEE del Consiglio è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. UE 2016/679 6

7 REGISTRI DELLE ATTIVITÀ Il Regolamento (art. 30) stabilisce che ogni titolare del trattamento tenga un registro delle attività e delle categorie di attività di trattamento svolte che deve contenere le seguenti informazioni: il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; ove applicabile, i trasferimenti di dati personali verso un paese terzo o un organizzazione internazionale, compresa l identificazione del paese terzo o dell organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell articolo 49, la documentazione delle garanzie adeguate; i termini ultimi previsti per la cancellazione delle diverse categorie di dati; una descrizione generale delle misure di sicurezza tecniche e organizzative. FOCUS SUI UE 2016/679 7

8 È opportuno precisare che questo registro non deve avere una funzione formale bensì deve essere considerato come parte integrante della corretta gestione dei dati. Il registro deve avere forma scritta, anche elettronica, e per esempio nel caso di uno studio medico conterrà le attività di trattamento svolte sui dati dei pazienti, l individuazione di chi ha interagito con i dati, in che data e con quale finalità. Tutti i titolari del trattamento e i responsabili del trattamento devono cooperare con l autorità di controllo e mettere, su richiesta, detti registri a disposizione. Il Regolamento ha previsto che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività di trattamento svolte sui dati e ad elaborare un report. Tuttavia, le linee guida della Commissione Europea sostengono che sarebbe una prassi preferibile affidare questo compito al RPD, ove presente, in quest ultimo caso il titolare dovrà comunque sempre poter disporre del registro per fornirlo alle autorità in caso di verifiche. Il presente documento è stato redatto in data 22/5/18 pertanto non prende in considerazione sviluppi normativi successivi; i contenuti sono stati verificati sul sito ufficiale del Garante per la privacy, ma non sono esaustivi della materia, dunque ai fini di una corretta FOCUS SUI applicazione delle norme di Legge è comunque consigliabile una consulenza specifica che tenga in considerazione le peculiarità di ogni professionista/ente. UE 2016/679 8