Privacy, ecco il decreto attuativo. Le novità e le misure cui adeguarsi

(da Doctor33)   È arrivato l’atteso decreto attuativo del General Data Protection Regulation 679/2016 in vigore in Italia dal 25 maggio scorso e anziché abrogare il codice della privacy del 2003 lo armonizza al nuovo regolamento europeo. Il decreto del governo, che di fatto ha prolungato l’esordio del GDPR al 21 agosto, è in Gazzetta Ufficiale dal 4 settembre ma già da fine maggio medici, dentisti, farmacisti devono aver adeguato le misure di sicurezza dei dati, rivisto le informative e il registro dei trattamenti completando con i dati di titolare e incaricati. Le strutture che gestiscono dati su larga scala dovevano inoltre dotarsi di data protection officer, figura delegata a controllare il buon andamento dei trattamenti e a riferire eventuali irregolarità al Garante.
Sanzioni –  Sempre da maggio sono in vigore le sanzioni. Per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante della privacy dovrà tener conto, nell’applicare le sanzioni amministrative e compatibilmente con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie.

Il consenso – Il Gdpr, rispetto al vecchio decreto 196/2003, consente di trattare senza consenso dell’interessato tutti i casi di diagnosi e cura. E dà un ruolo centrale al Garante, designandolo Autorità di controllo per le questioni di privacy in Italia. In casi specifici l’Authority guidata da Antonello Soro potrà promuovere regole deontologiche ulteriori per i trattamenti di dati sanitari e biometrici; lo schema regolatorio sarà sottoposto a consultazione pubblica di 60 giorni. Il decreto specifica anche la differenza tra “comunicazione”, rivolta a terzi determinati diversi dall’interessato, e “diffusione” di dati a terzi generici di dati: quest’ultima in sanità è vietata. L’articolo 2-sexies conferma tra i temi per i quali non c’è obbligo di consenso al trattamento: le attività sanitarie inclusi trapianti d’organo e tessuti e trasfusioni di sangue umano; i compiti del Ssn; igiene e sicurezza sul lavoro; protezione civile; programmazione, gestione, controllo e valutazione sanitaria (inclusa la sorveglianza sulla spesa); vigilanza su sperimentazioni; farmacovigilanza, autorizzazione in commercio e importazione di medicinali e dispositivi medici; tutela sociale della maternità ed Ivg, dipendenze, assistenza, integrazione sociale e diritti dei disabili.

Le eccezioni – Il trattamento dei dati genetici e di spesa senza consenso è possibile solo sullo sfondo degli atti sopra citati e in conformità a misure di garanzia periodicamente disposte dal Garante, con consultazioni di cadenza almeno biennale, che tengano conto di linee guida-raccomandazioni e migliori prassi UE, dell’evoluzione tecnologica e dell’interesse alla libera circolazione dei dati personali nel territorio europeo. Tali garanzie -che includono cifratura e pseudonimizzazione dei dati personali, nonché specifiche modalità di accesso selettivo- riguardano pure le cautele da adottare relativamente ai “pass” dei veicoli (ad esempio per disabili), ai profili organizzativi e gestionali in ambito sanitario, alle modalità per comunicare ai pazienti diagnosi e dati di salute, alle prescrizioni di farmaci e sono adottate sentiti Ministero della salute e Consiglio superiore di Sanità. Si può arrivare al ripristino della richiesta di consenso in caso di trattamenti ad alto rischio “Grande Fratello”.

Privacy dei deceduti – I dati di pazienti deceduti (articolo 2 terdecies) possono essere attinti da chi ha un interesse proprio o a tutela dell’interessato, o per ragioni familiari da proteggere, ma non se l’interessato lo ha vietato con dichiarazione scritta all’ospedale. In quest’ultimo caso, il divieto non può pregiudicare i diritti degli eredi o di titolari di interessi da difendere in giudizio.

Altri aspetti – Nei trattamenti ad alto rischio di hackeraggio il Garante può imporre d’ufficio misure specifiche a garanzia dell’interessato, che il titolare dovrà adottare. In caso di inadempimenti da parte dell’Ente unico di accreditamento titolato a certificare che un dato dispositivo tuteli i dati personali, il Garante (articolo 2-septiesdecies) può assumerne direttamente i compiti. Altri capitoli sono dedicati ad ambiti specifici, come il penale.