salute24.ilsole24ore.com
Privacy nel mondo sanitario, ecco cosa accade dopo il 25 maggio
Si parla molto degli effetti innovativi della nuova direttiva europea sulla privacy. Dottor Gian Luca Bucciarelli, esperto di compliance e attento osservatore di questioni sanitarie, quali sono gli elementi di maggiore cambiamento?
Un elemento cardine del nuovo regolamento è il principio di accountability. Si tratta di un forte riconoscimento a livello normativo di un principio riconosciuto a livello di compliance aziendale, presente a livello contrattuale e nei modelli analoghi a quelli utilizzati nell’applicazione del D.Lgs 231/01 in materia di responsabilità amministrativa delle società: il Titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi. Deve dimostrare in modo positivo e proattivo che i trattamenti dei dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.
Altri due principi fondamentali sono la privacy by default e la privacy by design. Il principio di privacy by default stabilisce che, per impostazione predefinita, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.
Per privacy by design si intende, in breve, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo. Il tema del data protection “by design” rafforza questo approccio costituendone di fatto il futuro. Secondo il regolamento europeo qualsiasi progetto (sia esso strutturale o concettuale) è necessario che sia realizzato considerando sin dal project design, sin dalla fase di progettazione, la riservatezza e la protezione dei dati personali.
La distinzione definitiva che viene fatta tra privacy by design e privacy by default è che con il concetto di privacy by design si intende “la necessità di tutelare il dato sin dalla progettazione dei sistemi informatici che ne prevedono l’utilizzo”. Con la locuzione privacy by default si intende invece “la tutela della vita privata per impostazione predefinita”.
Quali sono le principali azioni da compiere per adeguarsi alla nuova direttiva?
Intanto è importante sottolineare che il nuovo regolamento europeo 679/2016 entrato definitivamente in vigore il 25 maggio di quest’anno, quindi pochi giorni fa, non stravolge in toto la precedente normativa del D. Lgs. 196/2003 ma, partendo da questa, introduce alcune novità in parte viste precedentemente.
I passaggi pratici per adeguarsi alla nuova normativa che le aziende devono fare sono i seguenti:
1. Valutazione della compliance (raccolta e analisi delle informazioni sull’organizzazione aziendale);
2. Creazione del Registro dei Trattamenti (un registro delle attività di trattamento svolte sotto la responsabilità del Titolare del trattamento);
3. Stesura/modifica della documentazione (tutta la documentazione, esistente relativa alla precedente normativa e nuova, deve necessariamente essere aggiornata e completata);
4. Individuazione dei ruoli e delle responsabilità (in particolare la nomina del Titolare del Trattamento dei Dati);
5. Definizione delle Politiche di Sicurezza e Valutazione dei Rischi (espressione del concetto di accountability);
6. Processo di Data Breach (al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni);
7. Valutazione d’Impatto sulla Protezione dei Dati Personali (consente di valutare gli aspetti relativi alla protezione dei dati prima che questi vengano trattati);
8. Individuazione e nomina di un Data Protection Officer (DPO), quando obbligatoria (la responsabilità principale del DPO è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali).
Quali sono i tempi per mettersi in regola con i nuovi parametri?
Il regolamento europeo in materia di protezione dei dati personali è in vigore da due anni in tutti gli Stati membri dell'Unione europea e, come già detto, dal 25 maggio il provvedimento è diventato applicabile definitivamente anche in Italia. Pertanto da questa data, senza alcuna possibilità di proroga, i soggetti interessati devono rispettare le nuove disposizioni. Il governo italiano si è dato tempo fino al 21 agosto per emanare i decreti attuativi.
Quali sono i rischi, a livello sanzionatorio, per i soggetti che non si adeguano alla nuova normativa?
Il regolamento prevede sanzioni pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato globale annuo dell’esercizio precedente, se superiore; e fino a 20 milioni o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
L'Autorità Garante dovrà valutare il tipo e durata della violazione, le misure di sicurezza adottate dal titolare e la natura dolosa o colposa della condotta.
In caso di accertamento della violazione il Garante opera ai sensi della legge n. 689/1981 per cui la notifica del verbale viene effettuata al contravventore e al responsabile in solido. Così la notificazione del verbale viene non di rado contestata al Titolare del trattamento e al Responsabile del trattamento.
Foto: Pixabay
di red.
Pubblicato il 05/06/2018