PRIVACY, GDPR E SCADENZA DEL 25 MAGGIO 2018

 (A cura del Presidente Provinciale dott. Stefano Vignando)

 

Nel corrente mese di maggio 2018, per l’esattezza il 25,  entrerà in vigore il Regolamento Ue 2016/679 sulla protezione dei dati personali (“Gdpr”: General Data Protection Regulation), che determinerà significativi obblighi e responsabilità per tutte le organizzazioni e le professioni.

Il 25 maggio pv. non è (solo) un traguardo, ma soprattutto un inizio: non si rischia la fine del mondo (digitale) come a noi noto. In realtà, il 25 maggio segna l’inizio di un nuovo approccio alla protezione dei dati che riposa sul concetto di una maggiore responsabilizzazione di tutte le parti in causa.

Il diritto alla protezione dei dati personali è sancito dalla Carta dei diritti fondamentali dell’Unione Europea, all’art. 8, ove è definito e individuato come diritto diverso dal diritto alla riservatezza, cardine nel sistema dei diritti e delle libertà fondamentali. Esso dunque è ormai da tempo parte del patrimonio giuridico europeo e non soltanto italiano.

Il diritto alla protezione dei dati personali è stato disciplinato in Europa dalla cosiddetta “direttiva madre” in materia di trattamento dei dati personali, la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Da questa direttiva, a cui si sono aggiunte poi molte altre disposizioni normative, storicamente proviene il Codice per la protezione dei dati personali italiano.

Il Regolamento Ue 2016/679 prevede in estrema in sintesi:

•             Art. 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato,

•             Art. 17 – Diritto alla cancellazione («diritto all’oblio»),

•             Art. 30 – Registri delle attività di trattamento,

•             Art. 32 – Sicurezza del trattamento,

•             Art. 33 – Notifica di una violazione dei dati personali all’autorità di controllo,

•             Art. 34 – Comunicazione di una violazione dei dati personali all’interessato,

•             Art. 35 – Valutazione d’impatto sulla protezione dei dati,

•             Art. 37 – Designazione del responsabile della protezione dei dati,

•             Accountability (Responsabilizzazione del Titolare del trattamento dei dati personali),

•             Sicurezza dei dati personali,

•             Diritti dell'interessato,

•             Sanzioni pecuniarie/amministrative calcolate anche in misura percentuale sul fatturato globale annuo mondiale.

 

Ma come spesso accade purtroppo in Italia, la chiarezza e la semplificazione sono un optional … infatti da noi avremo dal 25/5 pv. una privacy a tre vie … da quella data, infatti, la normativa di riferimento diventerà il regolamento europeo (il citato Gdpr), al quale si affiancherà l’attuale codice (il TU vigente, decreto legislativo 196 del 2003), rivisitato e corretto, e il decreto legislativo che deve coordinare il quadro Ue con quello italiano; tale Dlgs. doveva essere emanato ai sensi dell’art. 13 della legge 163/2017 del 25/10/2017 entro 6 mesi …

La versione di quest’ultimo provvedimento, che iscritto all’esame delle commissioni speciali di Camera e Senato dal 11/5 us., conferma infatti che l’attuale codice della privacy (il decreto legislativo 196 del 2003) non andrà in pensione, ma sopravviverà, seppure emendato delle parti inconciliabili con il regolamento europeo.

Infatti è stata abbandonata l’idea di abrogare l’attuale codice italiano della privacy e far confluire nel decreto tutte le norme nazionali compatibili con il regolamento Ue. Una soluzione questa che avrebbe consentito di avere un sistema a due vie: regolamento e decreto, mentre ora si aggiungerà la terza, ovvero il codice dopo il restyling.

Non proprio una semplificazione. Fondamentale, a questo punto, è però che il quadro venga chiarito prima del 25 maggio.

Ecco perché il Parlamento e il Garante dovranno correre per dare il parere e consentire al decreto di ritornare in tempo utile a alla Presidenza del Consiglio per l’approvazione definitiva.

Si legifera, insomma, con il fiatone. E questo crea preoccupazione negli operatori che tra poco più di una settimana si troveranno a dover fare i conti con la nuova privacy.

COSA CAMBIA PER IL MMG ?

Il Gdpr pone un espresso divieto a trattare le “categorie particolari di dati” (dati genetici, biometrici e relativi alla salute) MA l’art. 9 comma 2 del Regolamento Ue individua alcune deroghe: alle note condizioni di liceità basate su consenso, obbligo legale, interesse vitale, assenza dl uno scopo di lucro e pubblicità del dati, Il Gdpr aggiunge l'esercizio di diritti difensivi, motivi di interesse pubblico (in particolare in ambito di sanità pubblica), finalità di medicina preventiva, diagnosi, assistenza e terapia medica nonchè finalità di archiviazione, ricerca e statistica: se ci sono queste, il trattamento può essere legittimamente effettuato.

Novità dirompente è proprio l'introduzione della previsione che permette di trattare dati per finalita’ sanitario-terapeutiche anche in assenza del consenso del paziente, ritenuto invece necessario sino ad oggi …

 

Ai sottoindicati link potete prendere visione :

- del Regolamento Ue 2016/679 sulla protezione dei dati personali (“Gdpr”: General Data Protection Regulation)

- della Circolare SNAMI 11/05/2018 sul Nuovo Regolamento Europeo della Privacy