GDPR. Parola d’ordine ‘blindare’ i dati sanitari

Il mondo giuridico e quello della sanità si sono confrontati su novità e criticità del Gdpr al convegno organizzato dall’Ordine degli avvocati di Roma con il contributo scientifico di Scudomed presso la Corte di Cassazione.

Il countdown è agli sgoccioli. Poco più di 100 giorni per assistere alla piena applicazione delle nuove norme che modificano il modo di pensare e trattare i dati sensibili, e in particolare quelli sanitari delle persone. Una vera e propria rivoluzione culturale scandita dal Regolamento UE 679/2016 che, per la prima volta nel nostro ordinamento, vede l’entrata in scena del “dato sanitario”, summa di tutte le informazioni sullo stato di salute fisica o mentale, passata, presente e futura della persona.

Un insieme di dati ultrasensibili ad alto rischio privacy che strutture sanitarie e socio sanitarie pubbliche e private, chiamate a diverso titolo a gestire database e dati personali, dovranno maneggiare con cura: dal fascicolo sanitario elettronico alla cartella clinica elettronica, dal dossier sanitario ai referti on line fino ai siti web dedicati, tutto richiederà la massima sorveglianza. Anche perché chi sbaglia paga: per quanti non rispetteranno gli obblighi imposti dal Regolamento Privacy sono previste sanzioni fino a 20 milioni di euro o fino al 4% del volume d’affari totale annuo.


A mettere sotto i riflettori il nuovo Regolamento UE 679/2016 che, il prossimo 25 maggio entrerà definitivamente a regime in Italia, è stato il convegno “Il regolamento europeo privacy: impatto sul sistema sanitario” organizzato dall’Ordine degli avvocati di Roma con il contributo scientifico di Scudomed, presso la Corte di Cassazione. Un’occasione di confronto sia sulle novità e le opportunità offerte dalla nuova normativa europea, illustrate dal Garante europeo della privacy, sia sull’immanente e urgente esigenza di adeguamento agli standard previsti dal provvedimento europeo da parte di Organizzazioni e Aziende sanitarie.

“La diretta applicabilità del nuovo regolamento generale – ha spiegato Giovanni Buttarelli, Garante europeo della protezione dei dati intervenuto all’incontro –  rappresenterà un momento culminante per il legislatore, impegnato nell’esercizio di rivedere la relativa normativa ormai dal 2010. Nello stesso tempo costituirà uno snodo cruciale anche e soprattutto per gli operatori chiamati a dare una piena applicazione e senza alcuno sconto. Sarà inoltre un momento decisivo per le autorità nazionali di controllo, incaricate di assicurare e monitorare la piena implementazione di un quadro normativo denso e con una pretesa di esaustività. Lo sforzo applicativo di questa regolamentazione che interessa il settore privato come quello pubblico – ha aggiunto – è quindi indiscusso. E la sanità, proprio per la particolare sensibilità dei dati personali strutturalmente coinvolti, sarà necessariamente chiamata in causa”.
Insomma, un cambio di passo verso una nuova “cultura privacy” e un sistema che garantisca la tutela dei diritti delle persone alla riservatezza dei dati personali; soprattutto in ambito sanitario dove le esigenze di protezione sono indiscutibilmente elevate.

Ma l’Europa e l’Italia sono pronte ad implementare il regolamento per il prossimo 25 maggio? Come ha spiegato il Garante europeo, alcuni Paesi sono ancora “straordinariamente in ritardo”. “Avremo qualche incertezza operativa dalla mezzanotte del 24 maggio – ha sottolineato –, ma speriamo che sia colmata il più presto possibile. Solo Germania e Austria ad oggi sono già riuscite a completare il percorso di adozione di norme che permettono di far vivere il Regolamento. Altri Paesi sono in grande fermento e grosso modo circa dieci riusciranno a recepire le norme entro la data prevista, compreso il Regno Unito che pensa in termini di Brexit”.

Per quanto riguarda l’Italia, ha ricordato Buttarelli (vedi Video) “sta crescendo la consapevolezza di questo cambiamento. Non tutti gli operatori sono al corrente dei dettagli e delle scelte da effettuare. Fortunatamente il codice sulla Privacy adottato nel 2013 nel nostro Paese è quello che più si avvicina al nuovo Regolamento. Non sarà quindi uno shock da un punto di vista dei principi – ha aggiunto – ma una rivoluzione effettiva nel modo in cui in concreto questi sono esercitati. Anche perché le sanzioni sono più elevate rispetto all’attuale”.

Di certo sono molti i “compiti a casa” per il legislatore nazionale e per chi gestisce le informazioni. E tante le novità principali del Regolamento Ue. Oltre al debutto del “dato sanitario” – nel quale vengono annoverati oltre ai dati personali, ossia informazione riguardante la persona fisica identificata o identificabile, quelli genetici, quindi quelli ereditati o acquisiti e i dati biometrici relativi a caratteristiche fisiche fisiologiche o comportamentali – si affaccia anche una nuova figura professionale, il Data protection officer (Dpo), anello di congiunzione tra la struttura e il Garante, soggetto autonomo e super partes che svolgerà da un lato attività di consulenza e formazione e dall’altra un’attività di controllo sul trattamento dei dati. Spetterà al Dpo, un ingegnere o un avvocato ma anche una figura interna alla struttura, denunciare senza ritardo e non oltre entro le 48 ore le eventuali violazioni. Ma la stella polare sarà l’accountability…..

 

© 2017 Associazione Privacy Italia - C.F. 91039930192 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL