PRIVACY, GDPR E SCADENZA DEL 25 MAGGIO 2018
(A cura del Presidente Provinciale dott. Stefano Vignando)
Nel corrente
mese di maggio 2018, per l’esattezza il 25, entrerà in vigore il
Regolamento Ue 2016/679 sulla protezione dei dati personali (“Gdpr”:
General Data Protection Regulation), che determinerà significativi
obblighi e responsabilità per tutte le organizzazioni e le professioni.
Il 25 maggio pv.
non è (solo) un traguardo, ma soprattutto un inizio: non si rischia la fine del
mondo (digitale) come a noi noto. In realtà, il 25 maggio segna l’inizio di un
nuovo approccio alla protezione dei dati che riposa sul concetto di una maggiore
responsabilizzazione di tutte le parti in causa.
Il diritto alla
protezione dei dati personali è sancito dalla Carta dei diritti fondamentali
dell’Unione Europea, all’art. 8, ove è definito e individuato come diritto
diverso dal diritto alla riservatezza, cardine nel sistema dei diritti e delle
libertà fondamentali. Esso dunque è ormai da tempo parte del patrimonio
giuridico europeo e non soltanto italiano.
Il diritto alla
protezione dei dati personali è stato disciplinato in Europa dalla cosiddetta
“direttiva madre” in materia di trattamento dei dati personali, la direttiva
95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa
alla tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati.
Da questa
direttiva, a cui si sono aggiunte poi molte altre disposizioni normative,
storicamente proviene il Codice per la protezione dei dati personali italiano.
Il Regolamento
Ue 2016/679 prevede in estrema in sintesi:
•
Art. 13 – Informazioni da fornire qualora i dati personali siano raccolti presso
l’interessato,
•
Art. 17 – Diritto alla cancellazione («diritto all’oblio»),
•
Art. 30 – Registri delle attività di trattamento,
•
Art. 32 – Sicurezza del trattamento,
•
Art. 33 – Notifica di una violazione dei dati personali all’autorità di
controllo,
•
Art. 34 – Comunicazione di una violazione dei dati personali all’interessato,
•
Art. 35 – Valutazione d’impatto sulla protezione dei dati,
•
Art. 37 – Designazione del responsabile della protezione dei dati,
•
Accountability (Responsabilizzazione del Titolare del trattamento dei dati
personali),
•
Sicurezza dei dati personali,
•
Diritti dell'interessato,
•
Sanzioni pecuniarie/amministrative calcolate anche in misura percentuale sul
fatturato globale annuo mondiale.
Ma come spesso
accade purtroppo in Italia, la chiarezza e la semplificazione sono un optional …
infatti da noi avremo dal 25/5 pv. una privacy a tre vie … da
quella data, infatti, la normativa di riferimento diventerà il regolamento
europeo (il citato Gdpr), al quale si affiancherà l’attuale codice (il TU
vigente, decreto legislativo 196 del 2003), rivisitato e corretto, e il decreto
legislativo che deve coordinare il quadro Ue con quello italiano; tale Dlgs.
doveva essere emanato ai sensi dell’art. 13 della legge 163/2017
La versione di
quest’ultimo provvedimento, che iscritto all’esame delle commissioni speciali di
Camera e Senato dal 11/5 us., conferma infatti che l’attuale codice della
privacy (il decreto legislativo 196 del 2003) non andrà in pensione, ma
sopravviverà, seppure emendato delle parti inconciliabili con il regolamento
europeo.
Infatti è stata
abbandonata l’idea di abrogare l’attuale codice italiano della privacy e far
confluire nel decreto tutte le norme nazionali compatibili con il regolamento
Ue. Una soluzione questa che avrebbe consentito di avere un sistema a due vie:
regolamento e decreto, mentre ora si aggiungerà la terza, ovvero il codice dopo
il restyling.
Non proprio una
semplificazione. Fondamentale, a questo punto, è però che il quadro venga
chiarito prima del 25 maggio.
Ecco perché il
Parlamento e il Garante dovranno correre per dare il parere e consentire al
decreto di ritornare in tempo utile a alla Presidenza del Consiglio per
l’approvazione definitiva.
Si legifera,
insomma, con il fiatone. E questo crea preoccupazione negli operatori che tra
poco più di una settimana si troveranno a dover fare i conti con la nuova
privacy.
COSA CAMBIA PER
IL MMG ?
Il Gdpr
pone un espresso divieto a trattare le “categorie particolari di dati” (dati
genetici, biometrici e relativi alla salute) MA l’art. 9 comma 2 del Regolamento Ue individua alcune
deroghe: alle note condizioni di liceità basate su consenso, obbligo legale,
interesse
vitale, assenza
dl uno scopo di lucro e pubblicità del dati, Il Gdpr aggiunge l'esercizio di
diritti difensivi, motivi di interesse pubblico (in particolare in ambito di
sanità pubblica), finalità di medicina preventiva, diagnosi, assistenza e
terapia medica nonchè finalità di archiviazione, ricerca e statistica: se ci
sono queste, il trattamento può essere legittimamente effettuato.
Ai sottoindicati link potete prendere visione :
- della Circolare SNAMI 11/05/2018 sul Nuovo Regolamento Europeo della Privacy