Dal 25 maggio va in vigore il GDPR General Data Protection Regulation.

La sempre più imponente mole di dati immessa in Internet in questi ultimi anni ha reso necessaria una regolamentazione degli aspetti riguardanti l’osservanza della privacy e l’integrità dei sistemi di fronte ai crescenti e sempre più sofisticati attacchi informatici.

A seguito della pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del 04 Giugno 2016, è entrato formalmente in vigore il 24 maggio 2016 il Regolamento Europeo per la Protezione dei Dati Personali 2016/679 o nella sua accezione inglese General Data Protection Regulation (GDPR) con questi principali obiettivi:

a) Rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea.

b) Affrontare il tema dell’esportazione dei dati personali al di fuori dell’Unione Europea.

c) Ottimizzare il controllo dei dati personali dei cittadini residenti nell’Unione Europea, adattando la normativa in base al contesto che riguarda gli affari internazionali nella quale si trova il titolare del trattamento degli stessi.

Il GDPR è già stato adottato dall’Italia a partire dal 2016 e l’adozione diventa obbligatoria entro 25 Maggio 2018 per chiunque tratti dati ed in particolar modo, dati sensibili, come quelli sanitari.

Per quanto attiene alle prescrizioni previste per l’attività medica, viene introdotto il Principio di Accountability: Il titolare del trattamento dei dati deve essere,  in ogni tempo,  in grado di dimostrare di aver adottato, in modo proattivo, un sistema complessivo di misure di protezione dei dati personali nell'espletamento delle attività svolte dall'azienda. Lo Studio Medico deve quindi dimostrare di essere stato proattivo.

 I ruoli dei soggetti che possono trattare i dati dello Studio sono stati ampliati rispetto al passato:

• titolare del trattamento

• responsabile e incaricati

• co-titolare, sub-responsabile e soggetti autorizzati

Il titolare del trattamento deve obbligatoriamente redigere il Registro dei Trattamenti e tenerlo costantemente aggiornato con le informazioni riguardo:

• Operatori interni e/o esterni allo Studio con accesso ai dati

• Finalità dei trattamenti dei dati

• Categorie e tipologie di dati

• Modalità e tempi di cancellazione dei dati

• Misure tecniche ed organizzative di protezione adottate al fine di ridurre gli attacchi informatici che mirano al danneggiamento, di qualsivoglia natura, dei Dati personali dei cittadini 

Il GDPR è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno. Dal 25 maggio 2018, inizierà ad avere efficacia, andando a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, e abrogando le norme che risulteranno incompatibili con il Codice per la protezione dei dati personali (dlgs.n. 196/2003) attualmente in vigore.  È possibile visualizzare e scaricare il testo completo del GDPR in italiano e in formato PDF dal sito eur-lex.europa.eu, così come è stato pubblicato sulla Gazzetta Ufficiale Europea.

I punti principali del nuovo regolamento possono essere così riassunti:

Il Data Breach (violazione dei dati) - È previsto l'obbligo di dare comunicazione all'autorità di controllo competente (e in alcuni casi ai diretti interessati), di eventuali attacchi informatici con violazioni dei dati personali entro il tempo massimo di 72h dall’evento.

Privacy Impact Assessment - Nel caso di trattamenti con rischi elevati per i diritti e le libertà dell’individuo, il Titolare dei Dati deve procedere ad un Privacy Impact Assesment, cioè una valutazione dell’impatto dei trattamenti sulla privacy che effettuerà prima dell’inizio dei trattamenti con le figure più opportune del proprio organigramma Privacy. 

Le sanzioni - Il non rispetto della nuova normativa prevede un apparato sanzionatorio (non solo economico amministrativo) peggiorativo rispetto alla normativa precedente. Il Regolamento, quindi, prevede l’attribuzione di una tra le seguenti sanzioni economiche:

• una multa fino a 10 milioni di euro o fino al 2% del volume d’affari globale registrato dall’azienda nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 del Regolamento;

• fino a 20 milioni di euro o fino al 4% del volume d’affari registrato dall’azienda nei casi previsti dall’articolo 83,  Paragrafi 5 e 6 del Regolamento.

Lo scopo principale del GDPR è, quindi, quello di ridurre gli attacchi informatici conoscendo le specifiche vulnerabilità dell’azienda. Proprio per la sua versatilità, si impongono anche multe onerose in caso di mancato adempimento del Regolamento stesso.

I principi introdotti dal nuovo regolamento possono essere così riassunti. 

Il titolare del trattamento dei dati personali è colui che determina le finalità e i mezzi del trattamento, ed è il responsabile dei rischi inerenti ai diritti e alle libertà delle persone fisiche, il quale deve dimostrare di aver adottato le misure adeguate per garantire che il trattamento è effettivamente conforme al Regolamento. Queste misure, proprio per la versatilità del GDPR, si adattano al contesto aziendale.

La Privacy by Design pone l'utente al centro del sistema privacy (per definizione, quindi, è "user centric"), qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali. La Privacy by Design comprende una trilogia di aree di applicazioni :

1. sistemi IT; 

2. pratiche commerciali corrette; 

3. progettazione strutturale e infrastrutture di rete) 

e vengono individuati 7 principi definiti fondazionali che esprimono pienamente l'intero senso di questa prospettiva:

1. Proattivo non reattivo – prevenire non correggere; 

2. Privacy come impostazione di default; 

3. Privacy incorporata nella progettazione; 

4. Massima funzionalità − Valore positivo, non valore zero; 

5. Sicurezza fino alla fine − Piena protezione del ciclo vitale; 

6. Visibilità e trasparenza − Mantenere la trasparenza; 

7. Rispetto per la privacy dell'utente − Centralità dell'utente).

Le applicazioni pratiche della Privacy by Design sono molteplici e non soggette a limiti (dalla progettazione strutturale di edifici o di ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni soluzione progettuale in ambito IT).

La privacy by Default è sostanzialmente l’impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate, inquesto modo, solo i dati personali necessari alle finalità del trattamento potranno essere raccolti ed utilizzati dai sistemi informatici e dai responsabili del trattamento, in uno specifico periodo di conservazione.

Il diritto all’oblio di cui all’art. 17 del GDPR è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale. Per un verso esso conferma e adegua al mondo digitale punti fermi del diritto alla cancellazione dei dati quando essi non sono più necessari alle finalità per cui sono stati raccolti, o quando viene revocato il consenso e i dati non possono essere trattati dal titolare su una base giuridica diversa. Il  GDPR aggiunge anche il diritto di opposizione dell’interessato, a condizione che non sussista alcun interesse legittimo prevalente del titolare (art. 21, paragrafo1), oppure l’opposizione si basi sull’art. 21 paragrafo 2,  e cioè i dati siano trattati per finalità di marketing diretto.

Chiunque subisca un danno materiale o immateriale provocato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento – o dal responsabile del trattamento -, se e solo se, quest’ultimo non sia in grado di dimostrare che il danno in questione non gli sia in alcun modo imputabile.

Il Regolamento impone un elevato impegno da parte delle aziende, perché mette in discussione l’intero sistema di progettazione (a causa del privacy by design e by default). Inoltre, l’impegno economico richiesto non è trascurabile, perché si richiede di investire nell’adozione di adeguate misure di prevenzione. L’impegno morale ed economico richiesti, però, saranno sempre inferiori rispetto ad un eventuale attacco informatico con l’aggiunta delle sanzioni espresse dal Regolamento, infine le aziende si troveranno quindi ad affrontare l’adempimento normativo comunitario, con un’opportunità unica e irripetibile di rivedere completamente la propria strategia di trattamento dell’informazione, includendo politiche di data retention, conservazione digitale e ammodernamento in chiave digitale dei processi aziendali.

Per mettersi in regola Il Titolare del Trattamento dei Dati (lo Studio Medico) deve:

• Effettuare una Gap-Analysis (Assessment vs. GDPR), che evidenzi le discrepanze fra la propria situazione documentale/amministrativa ed operativa e le prescrizioni GDPR

• Definire ed adottare le misure prescritte

• Mantenere in maniera proattiva ed aggiornata la fotografia dello stato GPDR

• Definire i Ruoli (interni, ma soprattutto esterni) e le Deleghe

• Dare comunicazione agli organi preposti in caso di Data Breach

Sono già disponibili in Rete diverse soluzioni informatiche che gestiscono  l’analisi della propria posizione rispetto alle prescrizioni del GDPR, che aggiornano in maniera “guidata” il Registro dei Trattamenti e che, in caso di attacco informatico, indicano le procedure per  darne comunicazione agli organi preposti.  Come si è detto l’inosservanza del nuovo regolamento piò costare caro e la scadenza del 25 maggio si avvicina…..

Fonti: 

http://www.beantech.it/blog/articoli/gdpr/