Privacy, entra in vigore la normativa europea e la Legge vaccini giunge al capolinea.

Entra in vigore oggi la normativa europea sulla protezione dati, in sigla GDPR [General Data Protection Regulation]. Riguarda tutta la filiera che accompagna i dati personali di ciascuno, coinvolgendo quindi aziende, pubblica amministrazione, e professionisti. Il GDPR si basa, infatti, sul “principio di responsabilizzazione” di chiunque effettui operazioni di trattamento nell’ambito della propria attività [il cosiddetto “titolare del trattamento“]. Significa, quindi, che ciascuno dovrà fare le valutazioni e le scelte adatte alla propria specifica realtà. E le sanzioni per l’inosservanza delle norme possono arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale.

Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato l’Italia all’adozione dell’attuale Codice Privacy [il Decreto Legislativo n. 196/2003], norme che sono state adottate però in un contesto tecnologico completamente diverso, prima cioè che internet, social media, cloud e servizi in rete cambiassero definitivamente il modo di vivere e lavorare. Ora, le nuove norme mirano proprio ad adeguare il livello di protezione dei dati all’evoluzione degli strumenti che si utilizzano quotidianamente e con cui si registrano, trasmettono e archiviano i dati di utenti e dipendenti.

L’Italia sta lavorando a un decreto legislativo con l’obiettivo di adeguare le norme italiane al Gdpr che troverà comunque applicazione a prescindere dall’adozione del decreto entro due giorni. Pertanto niente proroghe o differimenti. Ecco una guida, con le novità principali che il Gdpr introduce.

Data Protection Officer

Il Regolamento prevede l’obbligo per alcuni soggetti di nominare un DPOData Protection Officer [ovvero il responsabile della protezione dei dati personali]. Si tratta di una figura, interna o esterna alla struttura del titolare, che deve possedere dei requisiti specifici [ad esempio in termini di esperienza e competenza] e deve occuparsi della corretta applicazione della normativa, curando con particolare attenzione la formazione del personale. Il DPO è obbligatorio quando il trattamento è effettuato da una pubblica amministrazione [eccezion fatta per le autorità giurisdizionali] e quando le attività di trattamento consistano nel monitoraggio su larga scala degli interessati oppure determinino il trattamento su larga scala di dati sensibili [dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona]. Il Garante Privacy ha chiarito che, anche quando non obbligatoria, la nomina del DPO è comunque sempre consigliata in quanto può rappresentare un valido supporto.

Valutazione d’impatto e registro dei trattamenti

Nel caso in cui i trattamenti posti in essere siano particolarmente rischiosi per i diritti e le libertà degli interessati [ad esempio, la videosorveglianza], il titolare è obbligato a una valutazione preliminare di impatto sulla tutela dei dati [cosiddetta “privacy impact assessment“], con una precisa analisi dei rischi e delle contromisure poste in essere. Inoltre, tutte le organizzazioni con più di 250 dipendenti oppure che – indipendentemente dal numero dei dipendenti – pongano in essere trattamenti potenzialmente pericolosi sono tenute all’adozione di un “registro delle attività di trattamento” che contenga, tra le altre informazioni, la descrizione delle misure di sicurezza adottate.

Consenso informato: differenze tra trattamento sanitario e dati personali


Gli utenti devono essere informati in modo semplice e chiaro sulle finalità, modalità e ambito del trattamento. Le informative richieste agli utenti [dal form per una newsletter ai moduli per richiedere una fidelity card] devono quindi essere aggiornate, prevedendo alcune informazioni nuove [come la base giuridica del trattamento e il tempo di conservazione dei dati] e semplificando il testo in modo da renderle realmente comprensibili. Particolare attenzione è dedicata alla tutela dei minori che – per accedere ai servizi della società dell’informazione [come i social network] – devono avere almeno 16 anni per poter prestare autonomamente il consenso al trattamento.

In ambito sanitario, vi sono due figure distinte di consenso informato che si sovrappongono, ma che non si possono confondere tra loro, infatti, un consenso è riconducibile direttamente al trattamento sanitario, mentre l’altro consenso è riconducibile al trattamento dei dati personali del paziente.

Il principio del consenso informato è, senza dubbio, uno dei temi più spinosi in tema di responsabilità professionale dell’esercente la professione sanitaria, in quanto si è affermato come fondamento dell’attività medica. Per raccogliere un valido consenso è indispensabile che il medico abbia fornito un’esaustiva informativa. In effetti, non si dovrebbe parlare di “consenso informato” ma più propriamente di “informazione alla quale segue il consenso“, ma a parte la terminologia, è chiaro che il medico ha come suo primo e principale DOVERE quello di esplicitare al paziente una serie di informazioni per consentirgli una SCELTA LIBERA e CONSAPEVOLE.

Tutte queste informazioni devono essere rese al paziente in modo chiaro e commisurato alla sua capacità di comprensione da intendersi in senso medico e, cioè, non solo avendo riguardo al livello intellettuale del paziente, ma anche tenendo conto del suo stato emotivo e psicologico. È necessario, quindi, calibrare il tenore dell’informazione in modo che sia efficace al fine di far maturare nel paziente un convincimento libero, maturo e consapevole, senza inutili iper-tecnicismi e senza superficiali generalizzazioni.

È importante che l’informativa e il conseguente consenso sia prossimo, dal punto di vista temporale, all’atto medico, perché uno dei requisiti del consenso è l’attualità. Un’informativa resa [e un consenso raccolto] troppo tempo prima dell’intervento rischia di non essere sufficiente perché nel frattempo il quadro clinico potrebbe essere evoluto o le alternative terapeutiche potrebbero essere variate o ancora il paziente potrebbe aver maturato un diverso convincimento.

Così il CONSENSO INFORMATO si configura, nella sostanza, un vero e proprio diritto della persona, che trova fondamento nei principi costituzionali espressi nell’articolo 2 che ne tutela e promuove i diritti fondamentali, e negli articoli 13 e 32, i quali stabiliscono che la libertà personale è inviolabile e che nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge. Tuttavia, la legge è vincolata in questo senso perché in nessun caso possono essere violati i limiti imposti dal rispetto della persona umana.

Il TRATTAMENTO DEI DATI PERSONALI in ambito sanitario, e concernenti il dato sanitario, genetico e biometrico nella loro qualità di dati sensibili, invece, deve essere oggetto di una distinta informativa con conseguente consenso da parte dell’interessato.

Ne discende che si possono prevedere entrambi i tipi di consenso anche in un unico atto da fornire al paziente, purché includa tutte le informazioni che soddisfino le differenti finalità perseguite.

L’innovativo Regolamento UE 679/2016 stabilisce al considerando 32 la reale natura del consenso prescrivendo che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile“, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e senza equivoci di accettare il trattamento dei dati personali che lo riguardano.

Il regolamento prevede anche l’obbligo da parte dell’azienda di informazione preventiva circa la revocabilità del consenso.

Sicurezza

Ogni titolare del trattamento è tenuto ad adottare misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati. Non esiste un elenco di misure di sicurezza “minime” uguali per tutti. Spetta a ciascuno decidere e assumersi le responsabilità di quali siano le contromisure adeguate alla propria realtà [crittografia, controllo degli accessi, sorveglianza degli archivi, ecc.].

Data Breach

Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali [“data breach“]. Questo significa che – nel caso di incidenti di sicurezza relativi ai sistemi utilizzati per il trattamento [come lo smarrimento di una chiavetta Usb, il furto di un fascicolo oppure un attacco informatico] – il titolare del trattamento dovrà organizzarsi per procedere alla notificazione al Garante Privacy senza ritardo [e, comunque entro le 72 ore]. Inoltre, la comunicazione dovrà essere data a tutti gli interessati, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche [ipotesi assai probabile, ad esempio, nel caso dei dati sanitari o dei servizi di posta elettronica o messaggistica].

Sanzioni

Il sistema sanzionatorio previsto del GDPR è molto più severo rispetto a quello del Codice Privacy. Le sanzioni amministrative – che saranno inflitte dal Garante Privacy – possono arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale. In attesa di vedere se e quali saranno gli illeciti penalmente rilevanti previsti dal Decreto che il governo italiano si appresta ad adottare, è importante tenere a mente che chiunque subisca un danno da una violazione del Gdpr ha il diritto di ottenerne il risarcimento dal titolare, a meno che quest’ultimo non dimostri che il danno non gli è alcun modo imputabile.

Morale

Richiedere il rispetto di tutti gli aspetti appena elencati garantirà la lenta agonia ed inesorabile morte della legge criminale sui vaccini a firma Lorenzin, oltre che di tutti i soprusi e gli atti discriminatori messi in atto successivamente dagli enti scolastici a danno dei bambini.

 

Riproduzione riservata ©

Annunci