Privacy, ecco il decreto attuativo. (Doctor News)

È arrivato l'atteso decreto attuativo del General Data Protection Regulation 679/2016 in vigore in Italia dal 25 maggio scorso e anziché abrogare il codice della privacy del 2003 lo armonizza al nuovo regolamento europeo. Il decreto del governo, che di fatto ha prolungato l'esordio del GDPR al 21 agosto, è in Gazzetta Ufficiale dal 4 settembre ma già da fine maggio medici, dentisti, farmacisti devono aver adeguato le misure di sicurezza dei dati, rivisto le informative e il registro dei trattamenti completando con i dati di titolare e incaricati. Le strutture che gestiscono dati su larga scala dovevano inoltre dotarsi di data protection officer, figura delegata a controllare il buon andamento dei trattamenti e a riferire eventuali irregolarità al Garante. 

Dove non serve consenso - Sempre da maggio sono in vigore le sanzioni. Si pensava all'inizio che il decreto le avrebbe armonizzate alla realtà italiana. Invece coordina la nostra preesistente normativa con quella di Bruxelles. Che propone in campo sanitario una novità chiave, consentendo rispetto al vecchio Dpr 196/2003 di trattare senza bisogno di consenso dell'interessato tutti i casi di diagnosi e cura. E dà un ruolo centrale al Garante, designandolo Autorità di controllo per le questioni di privacy in Italia. In casi specifici l'Authority guidata da Antonello Soro potrà promuovere regole deontologiche ulteriori per i trattamenti di dati sanitari e biometrici; lo schema regolatorio sarà sottoposto a consultazione pubblica di 60 giorni. Il decreto specifica anche la differenza tra "comunicazione", rivolta a terzi determinati diversi dall'interessato, e "diffusione" di dati a terzi generici di dati, quest'ultima in sanità è vietata. L'articolo 2-sexies conferma tra i temi per i quali non c'è obbligo di consenso al trattamento: le attività sanitarie inclusi trapianti d'organo e tessuti e trasfusioni di sangue umano; i compiti del SSN; igiene e sicurezza sul lavoro; protezione civile; programmazione, gestione, controllo e valutazione sanitaria (inclusa la sorveglianza sulla spesa); vigilanza su sperimentazioni; farmacovigilanza, autorizzazione in commercio e importazione di medicinali e dispositivi medici; tutela sociale della maternità ed IVG, dipendenze, assistenza, integrazione sociale e diritti dei disabili. 

Le eccezioni - Il trattamento dei dati genetici e di spesa senza consenso è possibile solo sullo sfondo degli atti sopra citati e in conformità a misure di garanzia periodicamente disposte dal Garante, con consultazioni di cadenza almeno biennale, che tengano conto di linee guida-raccomandazioni e migliori prassi UE, dell'evoluzione tecnologica e dell'interesse alla libera circolazione dei dati personali nel territorio europeo. Tali garanzie -che includono cifratura e pseudonimizzazione dei dati personali, nonché specifiche modalità di accesso selettivo- riguardano pure le cautele da adottare relativamente ai "pass" dei veicoli (ad esempio per disabili), ai profili organizzativi e gestionali in ambito sanitario, alle modalità per comunicare ai pazienti diagnosi e dati di salute, alle prescrizioni di farmaci e sono adottate sentiti Ministero della salute e Consiglio superiore di Sanità. Si può arrivare al ripristino della richiesta di consenso in caso di trattamenti ad alto rischio "Grande Fratello".

Privacy dei deceduti - I dati di pazienti deceduti (articolo 2 terdecies) possono essere attinti da chi ha un interesse proprio o a tutela dell'interessato, o per ragioni familiari da proteggere, ma non se l'interessato lo ha vietato con dichiarazione scritta all'ospedale. In quest'ultimo caso, il divieto non può pregiudicare i diritti degli eredi o di titolari di interessi da difendere in giudizio. 

Altri aspetti - Nei trattamenti ad alto rischio -hackeraggio il Garante può imporre d'ufficio misure specifiche a garanzia dell'interessato, che il titolare dovrà adottare. In caso di inadempimenti da parte dell'Ente unico di accreditamento titolato a certificare che un dato dispositivo tuteli i dati personali, il Garante (articolo 2-septiesdecies) può assumerne direttamente i compiti. Altri capitoli sono dedicati ad ambiti specifici, come il penale. Chiosa sul rapporto ragazzi-social: all'articolo 2-quinquies si consente agli over 14 anni di dare l'ok al trattamento dei loro dati da parte di società informatiche, purché la richiesta sia chiara semplice concisa esaustiva accessibile e comprensibile; sotto i 13 anni serve il consenso dei genitori. Mauro Miserendino