Privacy e data protection. Cosa fare in sanità per il countdown europeo del 25 maggio 2018

di Silvia Stefanelli

Entro quella data dovrà essere attuata la nuova disciplina UE che introduce un nuovo modo di pensare e gestire il trattamento dei dati. Il Regolamento richiede di effettuare una analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte. Richiede quindi anche il coinvolgimento di competenze trasversali (legali, di sistema ed informatiche). Ecco i 10 step che da seguire per l'implementazione

29 GEN - Il 25 maggio 2018 dovrà essere pienamente implementato il Reg.Ue 679/2016 in materia di privacy e data protection (c.d GDPR). La disciplina – che trova piena applicazione anche per la PA, e quindi ASL e ospedali – è fortemente impattante sull’intero assetto organizzativo interno: introduce infatti un nuovo modo di pensare e gestire il trattamento dei dati.
 
Lungi dall’essere dunque un mero o aggiornamento della disciplina precedente, il Regolamento richiede di effettuare una analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte (c.d. principio dell’accountability): richiede quindi anche il coinvolgimento di competenze trasversali (legali, di sistema ed informatiche).

Da dove cominciare allora?
Abbiamo identificato 10 step che possono essere seguiti per l’implementazione:
 
1) conoscenza del nuovo Regolamento
Il Reg. 679/2016 sostituirà in toto la dir 95/46/CE: si tratta di un provvedimento più complesso rispetto alla Direttiva e che arriva (dopo oltre 20 anni) a regolare una realtà sostanzialmente diversa da quella del ’95 e sempre più digitale. Occorre capirne i punti cardine e la ratio di fondo, nonché costituire un team di soggetti che opera in sinergia per l’implementazione.
2) mappatura dei dati trattati e Registro dei Trattamenti
Occorre mappare con esattezza quali dati si trattano, perché si trattano e come si trattano.
Il Regolamento infatti richiede, in sostanza, di effettuare una analisi del rischio dei dati trattati, per definire quali misure adottare al fine di tutelare i diritti degli interessanti, proteggendo i loro dati e gestendo i rischi ineliminabili. Occorre poi redigere il Registro del Trattamenti (art. 30 Reg.).

3) revisione della Informativa
Il nuovo Regolamento si incardina su un principio (in parte) nuovo: l’interessato deve avere il controllo dei propri dati (considerando n. 6). Sotto questo profilo appare chiaro come l’informativa deve essere chiara, completa ed esaustiva: con la nuova disciplina potranno essere usate anche le icone. L’informativa privacy deve diventare come l’informazione alle cure, consentendo all’interessato di sapere e, quindi, di decidere se e come permettere il trattamento dei dati. 
 
4) verifica dell’impatto dei nuovo diritti del soggetto interessato
La nuova disciplina non solo ribadisce ed amplia la tutela dei diritti dell’interessato già esistenti, ma ne crea dei nuovi. Oltre infatti ai diritti conoscitivi dell’informativa ed accesso, sono disciplinati i c.d. diritti di controllo, quali la limitazione al trattamento, la revoca del consenso, il diritto all’oblio, ed altresì il diritto alla portabilità dei dati.
E’ necessario quindi verificare le procedure interne atte a dare risposta ove l’interessato azioni i suoi diritti e, per quanto riguarda in particolare, il (nuovo) diritto alla portabilità valutare una eventuale riorganizzazione interna, atta a consentire all’interessato di poter ricevere i propri dati in formato strutturato, di uso comune e leggibile.

5) l’acquisizione del consenso
Il consenso non è più scritto o verbale, ma per tutti libero (non condizionato), specifico (uno per ogni finalità), inequivocabile (certo) ed espresso. Per chi tratta poi dati sensibili deve essere anche “esplicito”. Poiché, poi, è in capo al titolare la prova di aver acquisito correttamente il consenso, occorre verificare con precisione il rapporto tra chiarezza della informativa e modalità di acquisizione dei diversi consensi a seconda delle diverse finalità.
 
6) il rispetto dell’accountability
L’accountability è principio cardine del nuovo sistema: il titolare non è chiamato infatti al mero adempimento di un elenco di obblighi, ma è tenuto oggi a valutare i suoi trattamenti sotto il profilo del rischio, ad implementare le misure idonee e necessarie, a gestire il rischio residuo e, soprattutto, a dimostrare perché ha scelto quello misure (piuttosto che altre).
Cambia quindi totalmente la prospettiva: da una logica meramente reattiva ad un atteggiamento assolutamente pro-attivo.
Occorre quindi rivedere il processo interno di gestione del dato della ASL o dell’Ospedale sotto questa nuovo lente.
 
7) la privacy by design e by default e la valutazione di impatto
il Regolamento introduce poi l’obbligo in capo al Titolare di implementare un sistema organizzativo coerente con la privacy by design e by default (vale a dire che il rispetto dei principi privacy è insito nella organizzazione del servizio o del prodotto ad origine ed in via predefinita). Ove poi l’erogazione del servizio (es. servizio sanitario) possa impattare fortemente sulla tutela dei dati va effettuata una valutazione di impatto che mira ad effettuare un bilanciamento tra benefici raggiungibili e rischio al quali di dati sono esposti.

8) Data Protection Officer
E' una figura nuova, che svolge in parte attività di consulenza e formazione ed in parte attività di controllo. E’ tenuto ad avere conoscenza sul nuovo Regolamento e sugli atti interpretativi (corte di giustizia e WP 29) nonché competenza di natura tecnologia. Inoltre, proprio in ragione
dei suoi compiti di controllo, non può essere in posizione di conflitto di interessi.

9) il trasferimento di dati
Occorre accertarsi dove sono i propri dati e come vengono trattati, specie nel caso di cloud, di manutenzione da remoto o di uso di app. E’ poi necessario verificare se il paese dove eventualmente i dati risiedono o sono trasferiti ha un accordo con la UE, e quali sono i termini.

10) Data breach
Già presente nel provvedimento del Garante sul Dossier sanitario, viene esteso dal Regolamento a tutti i trattamenti, prevedendo l’obbligo di comunicare eventuali violazione dei dati o del sistema.
Le sanzioni sono poi altissime e possono arrivare fino a fino a 20 milioni di euro e/o 4% del fatturato mondiale annuo dell’azienda (art. 83 co 4 e 5).
 
Avv. Silvia Stefanelli
Studio Legale Stefanelli&Stefanelli

29 gennaio 2018
© Riproduzione riservata