FONTE: megahellas.it
Pubblicato il testo del decreto attuativo che recepisce la nuova regolamentazione in materia di tutela dei dati personali (General Data Protection Regulation 679/2016) stabilite dal regolamento europeo e già in vigore in Italia, con relative sanzioni, dal 25 maggio scorso per cui gli studi medici devono aver già adeguato le misure di sicurezza dei dati (gestionale, armadi, distanze, ecc.), rivisto le informative e il registro dei consensi completando con i dati di titolare e incaricati.
Il decreto attuativo, in Gazzetta Ufficiale dal 4 settembre ed in vigore dal 19 settembre 2018, concilia, come stabilito da un’apposita commissione individuata a margine del Consiglio dei Ministri dell’8 agosto scorso, le norme stabilite in ambito europeo con il preesistente codice della privacy del 2003 garantendone la continuità e “facendo salvi, per un periodo transitorio, i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti”. Il Garante è individuato come l’Autorità di controllo per le questioni di privacy incaricata, eventualmente, di promuovere ulteriori regole deontologiche per il trattamento di dati sanitari e biometrici.
Molte le semplificazioni in attesa di misure che dovranno ancora essere attuate dal Garante per la Privacy.
Nessun obbligo di consenso
In ambito sanitario la novità consiste nella possibilità, rispetto al vecchio Dpr 196/2003, di trattare senza bisogno di consenso dell’interessato tutti i casi di diagnosi e cura (cioè non deve più essere necessariamente documentato per iscritto, anche se rimane consigliabile, per superare, ad esempio divieti di raccolta di dati particolarmente sensibili come la razza, l’etnia, le abitudini sessuali ecc. di cui potrebbe essere necessario tener conto per motivi epidemiologici e di cura).
Sono dunque confermate (articolo 2-sexies) come esenti da obbligo di consenso al trattamento, le attività sanitarie inclusi trapianti d’organo e tessuti e trasfusioni di sangue umano; le funzioni del SSN; le attività di igiene e sicurezza sul lavoro; quelle di protezione civile, programmazione, gestione, controllo e valutazione sanitaria (inclusa la sorveglianza sulla spesa); la vigilanza su sperimentazioni; la farmacovigilanza, l’autorizzazione all’immissione in commercio e all’importazione di medicinali e dispositivi medici; la tutela sociale della maternità ed IVG, dipendenze, assistenza e integrazione sociale, diritti dei disabili.
Ciò che non è consentito
Non è consentito l’utilizzo ed il trattamento dei dati genetici e di spesa senza consenso al di fuori delle motivazioni sopra citate e comunque se non in conformità a misure di garanzia disposte dal Garante con cadenza biennale.
Le garanzie
Tali garanzie, adottate su parere del Ministero della salute e del Consiglio superiore di Sanità, includono cifratura, “pseudonimizzazione” dei dati e accesso selettivo e riguardano anche i gestionali in ambito sanitario, le modalità di comunicazione ai pazienti dei dati di diagnosi e di salute e le prescrizioni di farmaci. In caso di trattamenti ad alto rischio può essere previsto il ripristino della richiesta di consenso.
Nessuna pratica specifica
Non esistono attività specifiche o comportamenti da mettere assolutamente in pratica. Il GDPR, infatti, pone particolarmente in evidenza il concetto di “responsabilizzazione” (accountability) e definisce i risultati da raggiungere per quanto riguarda la sicurezza, non i mezzi per raggiungerli. Altro aspetto importante da considerare è accertarsi che le informazioni da proteggere siano state acquisite legittimamente e siano utilizzate in modo appropriato.
Non necessita, dunque, l’acquisto di particolari prodotti o consulenze che soddisfino formalismi non richiesti: è richiesto invece un approccio attivo alla privacy e l’applicazione di comportamenti per il rispetto della sicurezza dei dati ovunque siano presenti informazioni personali. Bisogna creare il giusto equilibrio tra processi, formazione e dotazioni tecnologiche e “rendicontare” quanto fatto in materia di sicurezza (capacità di dimostrare il percorso fatto).
Il titolare ed i contitolari
Qualora più medici (titolari) o più studi professionali siano accomunati nel trattamento dei dati riguardanti la salute del paziente, anche se specializzati in ambiti diversi (ad es. medici di medicina di gruppo, AFT, UCCP o anche medici che semplicemente occupano gli stessi spazi, lo studio o gli ambulatori con altri colleghi, magari con segreteria e servizi condivisi e un unico gestionale, PC, cartelle o archivi), questi medici sono “contitolari” ed il loro rapporto deve, opportunamente e non obbligatoriamente, essere normato da un contratto che individui le specifiche responsabilità.
Le misure
Le misure pratiche da avviare sono in sostanza di tipo informatico (firewall, proxy, sistemi operativi aggiornati, antivirus, backup), di tipo fisico (studio medico, stanza del server e archivio chiuso a chiave) e di tipo organizzativo (documento programmatico sulle modalità di custodia delle password, sulle modalità e sulle sedi di raccolta dei dati, sulle procedure per rispondere alle richieste d’accesso; esposizione al pubblico di un’INFORMATIVA chiara, semplice e comprensibile, dove siano indicate le finalità, i riferimenti giuridici del trattamento, il periodo di conservazione dei dati – indeterminato nel rapporto di cura – e i diritti dell’interessato).
Diffusione e Comunicazione
Per quanto riguarda i divieti in sanità, il decreto distingue tra “diffusione” di dati a terzi generici, vietata in sanità e “comunicazione” di dati rivolta a terzi diversi dall’interessato, possibile con le dovute cautele e accorgimenti, sono infatti individuati i presupposti e i procedimenti per i trattamenti effettuati per fini statistici o di ricerca scientifica, biomedica o sanitaria (non è necessario il consenso quando la ricerca è effettuata in base a disposizioni di legge e rientra in un programma previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502 ed attuando specifiche misure di sicurezza e garanzia).
Il documento sulla valutazione di impatto (DPIA)
Qualora si decida di avviare un’attività del tutto nuova in studio (videosorveglianza, profilazione della clientela per motivi non destinati a percorsi di diagnosi e cura, ad es. promozionali) o si scelga un nuovo gestionale, si deve stilare il documento sulla valutazione di impatto (DPIA, non obbligatorio) che parte da una valutazione del rischio per questo singolo progetto e ripercorre le misure di sicurezza che si ritiene idoneo adottare. In alcuni casi di rischio elevato si può chiedere anche una consultazione al Garante.
I pazienti deceduti
I dati riguardanti i pazienti deceduti (Articolo 2 terdecies – Diritti riguardanti le persone decedute) possono essere utilizzati, qualora l’interessato non lo abbia vietato con dichiarazione scritta, da chi ha un interesse proprio o a tutela dell’interessato, o per ragioni familiari meritevoli di protezione. In quest’ultimo caso, il divieto non può pregiudicare i diritti degli eredi o di titolari di interessi da difendere in un eventuale giudizio.
Informatizzazione dei dati
Nel trattamento dei dati informatizzati, ad alto rischio di hackeraggio, il Garante può imporre d’ufficio, al titolare, misure specifiche a garanzia dell’interessato.
Trattamento dei dati dei minori
Il trattamento dei dati personali del minore di età inferiore a quattordici anni (art. 6, 1a) è lecito a condizione che sia prestato dai genitori.
Non c’è alcuna differenza se i genitori sono sposati, separati, divorziati o non coniugati ma riconosciuti legalmente.
Entrambi i genitori, indipendentemente dal loro status giuridico, hanno il dovere di tutelare la salute dei propri figli, per cui hanno il diritto-dovere di essere informati sullo stato di salute dei figli e il medico deve portare a loro conoscenza i dati sanitari di cui dispone, o disgiuntamente o congiuntamente. E’ responsabilità dei genitori (e non del medico) relazionarsi fra loro.
Le sanzioni:
Il tipo di sanzione e l’importo pecuniario, è stabilito dall’Autorità (Garante) avendo considerato vari criteri:
– la natura, la gravità (più violazioni in un singolo contesto, o separate violazioni) e la durata della violazione (quindi se il titolare si è attivato tempestivamente) tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno (in relazione agli abitanti del paese) e il livello del danno da essi subito (in caso di violazioni minori, con rischio non significativo per gli interessati, l’autorità può procedere con un semplice avvertimento); ;
– il carattere doloso o colposo della violazione (una violazione intenzionale verrà considerata più grave);
– se la violazione ha portato un profitto al titolare;
– le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
– il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative (obbligo di riservatezza, integrità e disponibilità dei dati)da essi messe in atto;
– eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
– il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
– le categorie di dati personali interessate dalla violazione;
– la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
– qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
– l’adesione ai codici di condotta o ai meccanismi di certificazione.
Sanzioni amministrative
In base all’articolo 83, le autorità di controllo nazionali (Garante) provvedono al comminare le sanzioni amministrative in maniera che siano effettive, proporzionate e dissuasive. In base al principio di coerenza (indicato dal Comitato europeo per la protezione dei dati che uniforma l’interpretazione e applicazione del Regolamento in tutti i Paesi dell’Unione, e fa si che un titolare del trattamento non debba negoziare con tutte le autorità di controllo dell’Unione), ed equivalenza tra i vari Stati. Nella peggiore delle ipotesi possono arrivare al 4% del fatturato globale in caso di violazioni gravi.
Sanzioni penali
Il legislatore italiano, col decreto di adeguamento del Codice Privacy, ha sostanzialmente confermato le fattispecie penali previste dal Codice, introducendo la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Quindi non si terrà contro del solo profitto economico dell’autore dell’illecito ma anche del danno arrecato agli interessati, compreso il danno d’immagine e reputazionale della vittima, in tal modo coprendo le fattispecie di revenge porn o, in sanità, l’integrità dell’immagine di salute.
I resti previsti dal Codice sono:
• il trattamento illecito dei dati,
• la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala,
• l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala,
• la falsità nelle dichiarazioni al garante,
• l’interruzione dell’esecuzione di compiti e poteri del garante,
• l’inosservanza dei provvedimenti del garante.
L’art. 167 del Codice stabilisce che: “Quando per lo stesso fatto è applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita”. La norma, però, appare del tutto indeterminata rispetto ai criteri per stabilire la diminuzione.
Inoltre, i reati previsti dall’art. 167 bis e 167 ter del Codice hanno come elemento caratterizzate il trattamento su larga scala, concetto già introdotto dal regolamento e sostanziato dai pareri del Working Party art. 29 (oggi European Data Protection Board). L’attuazione della norma penale potrebbe creare problemi di tassatività essendo il concetto estraneo alla normativa criminale.
Figure significative diverse dal titolare del trattamento sono poi: il data processor, cioè il responsabile del trattamento, ed il Data Protection Officer (DPO), figura indipendente con competenze specifiche.
Il data processor è un responsabile esterno autorizzato all’elaborazione ed al trattamento dei dati per conto del titolare. Il ruolo deve essere ufficializzato attraverso un atto di nomina che stabilisca I compiti, le possibilità di manovra, i limiti di applicazione. Tale figura potrebbe essere ad esempio il commercialista, l’avvocato o il consulente informatico o una cooperativa che gestisca per il medico la segreteria.
Il Data Protection officer (DPO) è, invece, una figura professionale completamente nuova per l’Italia, ma già consolidata in Germania e in USA. Si tratta di un professionista con un’elevata conoscenza del diritto, competenze in ambito procedurale dell’azienda (risk e project manager) e conoscenze informatiche. La sua attività deve essere svolta in piena indipendenza e in assenza di conflitto di interessi ed il suo compito è quello di verificare e controllare i buoni comportamenti e le procedure idonee al rispetto della privacy, informare e consigliare il titolare del trattamento sugli obblighi di legge, formare il personale, e fornire pareri sulla valutazione dei rischi. Non può coincidere, in sostanza, con quella del consulente privacy (colui che elabora ed attua le procedure insieme al titolare) altrimenti sarebbe controllato e controllore allo stesso tempo.
Gli studi medici singoli o i piccoli gruppi non sono obbligati ad assumere un DPO ma la sua presenza in ambito sanitario è consigliata, specialmente quando il numero di professionisti che lavorano nella stessa struttura o rete è elevato (AFT, UCCP, Medicine di gruppo integrate). Uno stesso DPO potrebbe gestire un vasto territorio omogeneo o categoria (distretto sanitario, Cooperativa, ecc.).
Per approfondimenti specifici:
LA GAZZETTA UFFICIALE CON IL DECRETO ATTUATIVO
IL DECRETO ATTUATIVO (FILE UNICO)