Privacy, via a regolamento. registro trattamenti e valutazione d’impatto primi “must”, e il data officer serve.

25 Maggio 2018

Il regolamento europeo sulla privacy è in vigore dal 25 maggio in tutta l’Unione Europea. Ma se le norme approvate a Bruxelles hanno ora il valore di una legge italiana, il testo unico 196/2003 resta in parte in piedi. E la revisione delle sanzioni non si accompagna a nuove ipotesi di violazione. È punibile penalmente, civilmente e amministrativamente (fino al 4% del fatturato e a 20 milioni di euro) chi tratta dati sensibili– di salute– senza consenso, li divulga senza informare gli interessati, li vende, non li protegge. Gli stati membri possono rivedere le sanzioni. È atteso, ormai ad agosto, un decreto attuativo “italiano” per nuovi dettagli.

Il consenso - Il regolamento assoggetta anche le multinazionali del web alle regole degli operatori europei: chi tratta dati dev’essere sempre “accountable”, sapere cosa sta facendo. Il medico non ha bisogno volta per volta di un’autorizzazione del garante nazionale per ogni trattamento, né di provare un consenso scritto da parte del paziente. Ma deve provare, in caso di controllo o se finisce davanti al giudice, che il consenso c’è e che al paziente è stata offerta un’informativa dettagliata su ciò che avviene nello studio dei dati sensibili conferiti, chi li tratta, dove finiscono (ad esempio al Fisco per il 730 precompilato!)

 

L’informativa - L’assistito ha diritto di opporsi al trattamento ma in tal caso non fruirà del trasferimento di conoscenze dal suo medico ai sanitari che lo avranno magari in cura; ha diritto di chiedere in qualsiasi momento l’accesso ai suoi dati, la rettifica o la cancellazione, o la limitazione di essi, o di vietare il trattamento, o di promuovere reclamo al garante. A lui va data una informazione chiara, leggibile, comprensibile e recuperabile, scritta su carta o su pc o anche a voce ma documentata. Bene le informative esposte in sala d’attesa o i pieghevoli. Vanno inoltre inseriti i dati di contatto del medico e del DPO. 

Il registro dei trattamenti - Nel registro che sostituisce il documento programmatico per la sicurezza usato fino al 2012, il medico deve indicare chi in studio accede ai dati dei pazienti, a quali e per quali motivi; per ogni trattamento potrà nominare un responsabile diverso (per dire, un assistente per le ricette, un altro per l’invio delle fatture al commercialista). Nel registro, e al paziente, il titolare deve esplicitare per quanto conserva i dati, se tace il termine è 5 anni dopo cui scatta il diritto all’oblìo.

 

La DPIA - Se un hacker ruba i dati, il medico deve denunciare e, chiamato in causa, deve dimostrare di aver fatto il possibile per proteggerli, e di aver previsto l’impatto di un “data breach” nel suo studio. Nella legge del 2003 un allegato B riportava azioni e previsioni. Ora molti suoi contenuti entrano in una valutazione dell’impatto dei trattamenti, la dichiarazione DPIA. Il modello si scarica con quelli per il registro. I sindacati – Federfarma per i farmacisti e Fimmg per i medici di famiglia – mettono a disposizione piattaforme ad hoc.

Il DPO – Dunque, tanti adempimenti: il Regolamento raccomanda anche a chi non tratta dati su larga scala, e dunque non è obbligato, di dotarsi di un Data Protection Officer, responsabile della protezione dei dati che si può assumere o ingaggiare dall’esterno tra esperti di privacy iscritti ad apposito elenco del Garante. Il DPO sorveglia che in studio sia tutto a posto ma deve avvisare le autorità in caso di violazioni!

 

 

BIBLIOGRAFIA