Il 25 maggio 2018, termine entro il quale aziende e professionisti, studi medici e odontoiatrici inclusi, dovranno adeguarsi, entrerà in vigore il nuovo Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in altre parole le nuove norme sulla privacy.
Il nuovo Regolamento è molto articolato, indica dei principi da applicare alle singole realtà professionali e produttive ma non da’ indicazioni precise. La legge infatti impone di adottare “misure adeguate” senza indicare nel dettaglio quali siano
I titolari o i responsabili, con il nuovo Codice Europeo sulla Privacy, dovranno dimostrare l’adozione di tutte le misure di privacy scelte, nel pieno rispetto del Regolamento.
Il Regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
Il consenso deve essere esplicito per i dati “sensibili”, fra i quali vi sono i dati relativi allo stato di salute.
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
Il titolare deve sempre specificare la base giuridica del trattamento, cioè la motivazione alla base della raccolta dei dati.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e il diritto di presentare un reclamo all’autorità di controllo.
Il Regolamento Europeo prevede la nomina di un Responsabile della Protezione dei Dati (RPD)
Questo soggetto deve essere in possesso di adeguate capacità professionali, in particolare, della conoscenza specialistica della normativa e della prassi in materia di protezione dei dati personali e ha il compito di aiutare a mantenersi conformi alle nuove regole sulla protezione della privacy.
Il RPD funge anche da intermediario con le autorità di controllo, in particolare l’autorità giudiziaria ed il Garante della Privacy.
La nomina del RPD è obbligatoria per tutti gli Enti Pubblici, nonché per le attività il cui esercizio comporta la manipolazione di dati in “larga scala” per speciali categorie di dati, tra i quali i dati sanitari. Per gli studi medici tale nomina non è obbligatoria, anche se consigliato , per supportare il titolare dello studio nell’adempimento degli obblighi sulla privacy.
La funzione di RPD può essere svolta da un fornitore esterno di servizi purché sia esercitata sulla base di un contratto stipulato tra il titolare dello studio ed una persona fisica oppure giuridica in base ad un contratto di servizio .
In caso di violazioni, il titolare risponde personalmente delle violazioni commesse poiché spetta al titolare rispettare la normativa e controllare chi effettivamente ha accesso ai dati dei pazienti, chi modifica o inserisce dati fiscali e di salute su un documento digitale o cartaceo.
Il RPD risponde della mancata realizzazione dei suoi compiti, quindi di consulenze errate o non efficaci rispetto al contratto stipulato e soprattutto risponde delle proprie violazioni riguardo alla normativa europea sul trattamento dei dati personali.
L’Autorità Garante dovrebbe mettere a disposizione alcuni strumenti operativi di riferimento, come ad esempio il modello standard per l’informativa per gli studi medici e il modello standard per la raccolta del consenso esplicito, aggiornando quanto pubblicato nel 2006.
Si resta in attesa di tali determinazioni.
A breve la Federazione Nazionale degli Ordini dei Medici metterà a disposizione informazioni utili circa la concreta applicabilità della norma agli iscritti.
GUIDA AL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DATI