Privacy. Approvato decreto di adeguamento al regolamento UE. (Quotidiano Sanità)
Quali le strade per la migliore applicazione?
mercoledì 05 settembre 2018
Testo decreto di adeguamento al regolamento UE su privacy
In area sanitaria la grande novità è il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura: si passa da un sistema “consensocentrico” ad un sistema in cui occorre prima chiedersi e capire quali sono le ragioni per cui i dati sono trattati per poi valutare, proprio alla luce della finalità identificata, quale è il fondamento di liceità di tale trattamento: in sostanza è la finalità che comanda, e che guida e declina le prescrizioni a valle. IL TESTO
In area sanitaria la grande novità è il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura: si passa da un sistema “consensocentrico” ad un sistema in cui occorre prima chiedersi e capire quali sono le ragioni per cui i dati sono trattati per poi valutare, proprio alla luce della finalità identificata, quale è il fondamento di liceità di tale trattamento: in sostanza è la finalità che comanda, e che guida e declina le prescrizioni a valle. IL TESTO
05 SET - Finalmente pubblicato in GU di ieri il Decreto Legislativo 10 agosto 2018 n. 101 di adeguamento del nostro ordinamento al nuovo Reg. UE 2016/679 (c.d. GDPR). Si tratta del provvedimento – frutto un processo molto articolato – che traghetta l’ordinamento privacy italiano disciplinato sino ad ora dalla Dir 95/46/CEE e dal Codice Privacy alla nuova architettura disegnate dal GDPR, stabilendo quindi cosa resta in vigore e cosa viene abrogato.
E per far ciò il D.Lgs 101/2018 interviene a modificare in maniera chirurgica il Codice Privacy (creando un testo un po’ zoppicante, di difficile lettura e che “codice” non ha più nulla) ed altresì introduce articolo specifici per definire tempi e modo di modifica di tutti i gli atti (autorizzazioni, provvedimenti, codice deontologici ecc.) emanati in attuazione del Codice privacy .
Il quadro giuridico è quindi composto oggi da: la disciplina del GDPR, il “nuovo” Codice Privacy (come emendato), gli articoli del D.Lgs 101/2018 che danno indicazioni su come gestire la restante disciplina.
In area sanitaria la grande novità è il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura (art. 2-septies del Codice privacy emendato dal DLgs 101/2018 in combinata lettura con l’art. 9 GDPR): così il mondo della sanità passa da un sistema “consensocentrico” (dove si chiedeva il consenso per tutto) ad un sistema in cui occorre prima chiedersi e capire quali sono le ragioni per cui i dati sono trattati (cioè la finalità del trattamento come – ad esempio - diagnosi e cura, ricerca, monitoraggio, accesso agli atti, gestione banche dati, controlli, attività amministrativa e certificatoria ecc.. ) per poi valutare, proprio alla luce della finalità identificata, quale è il fondamento di liceità di tale trattamento: in sostanza è la finalità che comanda, e che guida e declina le prescrizioni a valle.
Quindi un disciplina meno burocratica (non devo chiedere il consenso), ma molto più complessa concettualmente, perché obbliga ad analizzare tutti i processi di trattamento per capire architettura e fondamento normativo.
La svolta è poi il frutto di un radicale cambio prospettico introdotto del GDPR.: la nuova disciplina comunitaria infatti passa da un sistema burocratico (acquisire carta senza neanche capire bene cosa si stia facendo) all’obbligo molto più sostanziale di scegliere quali misure tecniche ed organizzative implementare dimostrando altresì la loro efficacia (la c.d. accountability di cui all’art. 5 GDPR)); dall’altra parte mette l’interessato (il paziente in sanità) al centro del sistema privacy, amplificando il principio di trasparenza (art. 12 GDPR) in maniera tale da mettere l’interessato stesso nella condizione di sapere e quindi di poter eventualmente decidere ed intervenire. Esattamente come avviene per l’informativa ed il consenso alle cure.
Vi sono poi altri aspetti che meritano di essere evidenziati per una prima veloce analisi (e che saranno senza dubbio oggetto di numerosi approfondimenti nei prossimi mesi).
• Il trattamento di dati genetici, biometrici e relativi alla salute dovrà rispettare misure di garanzia che saranno stabilite ogni due anni dal Garante: il provvedimento che adotta tali misure sarà sottoposto a consultazione pubblica per non meno di 60 giorni permettendo quindi alle parti sociali di partecipare al processo (art. 2 septies comma 3 Codice Privacy come emendato)
• le autorizzazioni generali del Garante al trattamento di dati sensibili emanate in vigenza del “vecchio” Codice Privacy verranno attualizzate dal Garante con provvedimento da sottoporre a consultazione pubblica (art 21 del DLgs 101/2018 - decreto di adeguamento)
• i provvedimenti del Garante continuano ad applicarsi, ma solo in quanto compatibili (art. 22 comma 4 DLgs 101/2018), previsione questa piuttosto critica in quanto chiama il titolare a valutare in autonomia la compatibilità dei provvedimenti emanati negli anni dal Garante, assumendosi la responsabilità di valutarne o meno l’attuale prescrittibilità
• il Garante acquista poi il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento (art. 154-bis comma 4 del Codice Privacy emendato);
Sul tema – molto sentito - della applicazione delle sanzioni (economicamente molto rilevanti) non è prevista (né poteva essere) una proroga, ma si sancisce che tale applicazione dovrà tenere conto, per i primi otto mesi dalla data di entrata in vigore del decreto (quindi fino a maggio 2019) della fase di prima applicazione delle sanzioni stesse (art 22 comma 13 DLgs. 101/2018).
Il quadro normativo è ora completo. E di complessa applicazione. Occorre mettersi, tutti, a studiare e a capire quali sono le strade per la migliore applicazione.
Avv. Silvia Stefanelli
Studio Legale Stefanelli&Stefanelli - Bologna