A partire dal 25 maggio 2018 è divenuto pienamente efficace in tutti i Paesi membri dell’Unione Europea il GDPR, acronimo di General Data Protection Regulation, ovvero il Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali, già in vigore dal 24 maggio 2016, con il quale vengono apportate importanti modifiche alla disciplina del trattamento dei dati personali. Inoltre, il 19 settembre 2017 è entrato in vigore il Decreto legislativo 101/2018, il quale si prefigge l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo privacy. A seguito di tale decreto, molti articoli del vecchio Codice della privacy sono stati abrogati o modificati. Il Decreto legislativo 101/2018 prevede l’adozione di Linee guida da parte dell’Autorità garante al fine di risolvere eventuali dubbi legislativi, difficoltà interpretative, e, per quanto possibile, al fine di ovviare a vuoti disciplinari. A questo link il testo del Codice della privacy come modificato dal Regolamento europeo e dal decreto legislativo di adeguamento.
LA PRIVACY NEGLI STUDI MEDICI E ODONTOIATRICI – Anche gli studi medici ed odontoiatrici sono tenuti all’attuazione del citato quadro normativo. Al fine di fornire un supporto utile all’applicazione della disciplina in materia di trattamento dei dati personali e di chiarimento dei principali adempimenti, si forniscono alcune indicazioni di base. Si precisa che quanto segue non ha pretese di esaustività e né vuole sostituirsi ad apposite consulenze da parte degli esperti del settore.
1- Quando si applica il Regolamento europeo sulla privacy
Il Regolamento europeo sulla privacy si deve applicare in tutti i casi di trattamento di dati personali. Non si applica nel caso del trattamento di dati anonimi, per esempio nel caso di studi scientifici che coinvolgano dati anonimi. Non si applica nel caso di trattamento di dati che non si riferiscono a persone fisiche, quindi per esempio in tutti i casi in cui si trattano i dati di società, imprese, soggetti pubblici. Il concetto di trattamento è molto vasto, non riguarda solo il caso in cui si redigano e si conservino dei documenti cartacei o informatici che si riferiscono a pazienti. Infatti, per trattamento si intende: “ogni operazione di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati”.
Il trattamento è tale sia se effettuato in cartaceo che in modalità digitale. Ne discende che sono trattamenti, esemplificativamente: tenere un’agenda degli appuntamenti con i nominativi dei pazienti, emettere fattura al paziente e consegnare le fatture al proprio commercialista. Anche la semplice annotazione su post-it o una comunicazione verbale ad altra persona, se relative ad un paziente, sono un trattamento.
2- Chi sono gli interessati?
Il Regolamento privacy si prefigge la tutela degli interessati. Chi sono gli “interessati”? Gli interessati sono le persone fisiche a cui i dati si riferiscono. In ambito medico, gli interessati sono innanzitutto i pazienti. Può verificarsi, inoltre, che vengano trattati dati di altre persone fisiche, quali: dipendenti, collaboratori, consulenti, fornitori. Anch’essi sono soggetti interessati e, dunque, anche il trattamento dei loro dati va tutelato.
3- Chi sono i titolari?
La tutela dei dati degli interessati è affidata al soggetto che, per motivi legali o contrattuali, li tratta. Tale soggetto può essere un soggetto giuridico o una persona fisica ed è denominato “titolare”. Il titolare, al fine di tutelare adeguatamente gli interessati di cui tratta i dati, è chiamato a prendere tutte le necessarie decisioni sulle modalità di trattamento e ne ha la responsabilità giuridica. In ambito medico, possono essere titolari soggetti giuridici quali: studi medici, ospedali, ASL, cliniche private, ovvero persone fisiche, quali il medico e l’odontoiatra che svolgono attività professionale autonoma.
4- Informativa e consenso
Al fine di tutelare gli interessati, il Regolamento europeo prevede che i loro dati personali possano essere trattati solo a seguito del loro consenso e che tale consenso, affinché esso possa avere valore giuridico, sia dato con consapevolezza. A questo fine, gli interessati devono essere informati su come avviene il trattamento dei loro dati personali mediante un apposito documento, denominato “informativa”. Tale documento, secondo il Regolamento, deve essere redatto con linguaggio semplice e chiaro, il testo deve essere conciso, intellegibile e facilmente accessibile all’interessato.
Il contenuto dell’informativa deve essere obbligatoriamente quello indicato nell’art. 13 del Regolamento europeo e, in particolare, deve rendere noti nell’ordine:
– i dati di contatto del Titolare;
– i dati di contatto del Responsabile della protezione dei dati (RDP, in inglese DPO) – se necessario nominarlo (si veda in merito il punto 10) -;
– le finalità del trattamento dei dati e la base giuridica di tale trattamento;
– i soggetti a cui i dati vengono comunicati;
– l’eventuale trasferimento all’estero dei dati;
– il periodo di conservazione dei dati o, se non è possibile indicarlo, i criteri utilizzati per determinare tale periodo;
– i diritti dell’interessato (artt. 15-21 Regolamento).
In particolare, l’interessato ha diritto di richiedere al Titolare l’accesso ai dati, la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; con riferimento all’eventuale consenso prestato, il diritto di revocare, in ogni momento, tale consenso; il diritto di proporre reclamo all’Autorità Garante; il diritto alla portabilità dei dati. Il consenso deve essere reso in modalità esplicita, non semplicemente deducibile. Mediante il consenso, l’interessato deve manifestare l’intenzione libera, specifica, informata e inequivocabile di accettare i trattamenti di dati personali che lo riguardano. Il consenso può essere anche raccolto in forma orale, ma poiché il titolare deve essere in grado di provare di averlo raccolto legittimamente, è opportuno che esso sia raccolto in forma scritta, con la sottoscrizione di un apposito modulo, redatto in calce all’informativa. Qualora il trattamento abbia più finalità, deve essere richiesto un consenso per ciascuna di queste, per esempio è necessario un apposito consenso nel caso in cui i dati del paziente vengano trattati anche a scopo di studio scientifico, oltre che di cura dello stesso.
5 – Consenso al trattamento dei dati sanitari e consenso al trattamento sanitario
Il consenso ai sensi del Regolamento europeo riguarda esclusivamente il trattamento dei dati personali. Non va assolutamente confuso con il consenso al trattamento sanitario, che tutela il diritto alla salute di cui all’art. 32 della Costituzione.
6 – Nel caso in cui l’interessato sia un paziente, chi può esprimere il consenso in luogo dell’interessato?
Se l’interessato è minorenne, il consenso può essere espresso dai genitori (anche disgiuntamente) o da chi esercita la potestà genitoriale, in luogo dei genitori. Se l’interessato è maggiorenne, ma non è in grado di esprimere il consenso per impossibilità fisica, incapacità di agire o incapacità di intendere o di volere, il consenso può essere espresso da chi esercita legalmente la rappresentanza, ovvero da un prossimo congiunto, da un familiare, da un convivente o unito civilmente ovvero da un fiduciario ai sensi dell’articolo 4 della legge 22 dicembre 2017, n. 219 o, in loro assenza, al responsabile della struttura presso cui dimora l’interessato. Salvo poi raccogliere il consenso direttamente presso l’interessato nel caso in cui questi abbia recuperato le facoltà necessarie a ricevere l’informativa e fornire il consenso.
7 – Il Registro dei trattamenti
Nel caso in cui tratti categorie particolari di dati, tra cui i dati relativi alla salute, il titolare è tenuto a predisporre il cosiddetto “Registro dei trattamenti”, il cui contenuto è descritto dall’art. 30.
In particolare vi devono essere indicati:
- il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale,
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il registro deve essere tenuto in forma scritta, in modalità cartacea o digitale.
8 – I Responsabili del trattamento
Il Titolare può nominare dei cosiddetti “Responsabili del trattamento”. Essi possono essere sia persone fisiche (es. il commercialista), sia soggetti giuridici (es. una società di informatica) che, a seguito delle funzioni loro attribuite dal titolare, trattano dati personali per conto del titolare stesso. Per questo motivo, ciascun responsabile va nominato con atto scritto. In particolare, i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico, che vincoli il responsabile del trattamento al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contenuto che deve avere l’atto di nomina è indicato nell’art. 28 comma 3 del Regolamento.
9 – Le persone autorizzate al trattamento
Il Titolare e il Responsabile del trattamento frequentemente si valgono di persone fisiche che trattano i dati per lo svolgimento di funzioni per loro conto (es. dipendenti, collaboratori, tra cui: personale di segreteria, personale amministrativo, personale infermieristico e assistenziale). Tali persone sono denominate “autorizzati” al trattamento (precedentemente “incaricati”) e devono essere nominati con apposito atto scritto che indichi i trattamenti a cui sono autorizzati, le modalità con cui devono trattare i dati, le finalità per cui li trattano e le misure di sicurezza e procedurali cui devono attenersi.
10 – Il Responsabile per la Protezione dei Dati (RPD), detto anche Data Protection Officer (DPO)
Il Responsabile della Protezione dei Dati personali (in inglese Data Protection Officer – DPO) è una figura prevista dall’art. 37 del Regolamento. Si tratta di un soggetto designato dal titolare del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento stesso. Il RPD coopera con l’Autorità Garante per la Privacy di ciascun paese e il suo nominativo va comunicato a tale Autorità Garante con le modalità indicate dalla stessa. Il Responsabile della Protezione dei Dati, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Sono tenuti alla sua nomina tutti i soggetti pubblici e i soggetti privati che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali, tra cui i dati relativi alla salute. Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a un soggetto esterno, a condizione che garantisca l’effettivo assolvimento dei compiti che il Regolamento assegna a tale figura.
Secondo quanto indicato dal Garante italiano (Nuove Faq sul Responsabile della Protezione dei Dati (RPD) del 23 marzo 2018), la designazione del responsabile del trattamento non è obbligatoria in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale. In ogni caso, la designazione di tale figura è raccomandata dall’Autorità Garante, anche alla luce del principio di “accountability” (responsabilità e affidabilità del titolare) che permea il Regolamento.
11 – Misure di sicurezza e policy
Il titolare dovrà provvedere all’adozione di misure di sicurezza adeguate, in ragione della natura dei dati, delle finalità del trattamento, del contesto in cui il trattamento avviene. Il Regolamento, a differenza della precedente disciplina, non prevede da un lato misure minime, la cui mancata adozione era penalmente sanzionata, e dall’altro misure idonee e preventive da adottarsi in rapporto alla natura dei dati, al tipo di trattamento e allo stato della tecnica. Il Regolamento attuale stabilisce, invece, la necessità della adozione di misure adeguate: viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali. Data la complessità e l’elevato livello scientifico e tecnico dei sistemi informativi sanitari, i titolari (e di conseguenza i responsabili) dovranno essere particolarmente accurati e prudenti nella scelta delle misure di sicurezza tecniche che riterranno adeguate alla tutela dei dati, anche valendosi del supporto di consulenti tecnici e ovviamente sentito il DPO, se nominato.
Un dato molto importante da prendere in considerazione è il fatto che nel novero delle misure di sicurezza, oltre a quelle più strettamente tecniche, dovranno essere considerate anche quelle procedurali, che garantiscano un corretto, lecito e controllato utilizzo del sistema che tratta i dati. Le procedure, espresse in policy e comportamenti virtuosi cui vincolare l’utente, eventualmente certificate, diverranno quindi fondamentali per valutare la correttezza della gestione dei trattamenti da parte del titolare. Si consideri, infatti, che una progettazione corretta del sistema informatico-telematico può essere vanificata da un suo utilizzo improprio da parte dell’utente e che, inoltre, non tutti gli abusi e le illiceità sono limitabili tecnicamente.
E’ importante non sono che il sistema sia impostato correttamente, ma anche che esso sia usato correttamente. Ciò vale in particolare per i sistemi informatici in ambito medico, data la delicatezza e quantità dei dati trattati, data la situazione di vulnerabilità dell’interessato/paziente, il contesto di cura in cui il trattamento si colloca e la complessità e lo spessore scientifico e tecnico del trattamento effettuato mediante il sistema.
- – Privacy by design e privacy by default
La configurazione dei sistemi informatico-telematici deve fondarsi fin dalla loro concezione e nel corso del loro impiego sul principio di privacy by design. Si tratta di un requisito elaborato negli Anni Novanta del secolo scorso in ambito canadese, in seno alla Commissione per la protezione dei dati dell’Ontario e adottato poi nella cultura giuridica di protezione dei dati in tutto il Canada e negli Stati Uniti. Nel 2010 il principio di privacy by design è stato accolto come essenziale dalla 32’ Conferenza mondiale dei Garanti privacy. L’applicazione di tale principio comporta che fin dalla sua progettazione (e per tutto il corso del suo funzionamento) un sistema informatico-telematico debba tenere conto della necessità di effettuare trattamenti dati personali in modo lecito e corretto.
Ne discende che la realizzazione di un tale sistema (ivi compresi i sistemi informatici in ambito sanitario) dovrà ab origine valutare la correttezza dei trattamenti di dati personali quale requisito di progettazione e di evoluzione. La privacy non potrà essere considerata un elemento di contorno o un accessorio, da aggiungere a sistema finito e collaudato. Declinazione ampia del requisito di privacy by design è il criterio di privacy by default, che concretamente attua il principio di necessità: il trattamento del dato personale dovrà avvenire solo se necessario. In ogni caso dubbio, il comportamento corretto sarà quello prudenziale e garantista; laddove si pongano delle scelte, ci si dovrà indirizzare verso la massima tutela e i dati personali dovranno essere trattati solo in caso di stretta necessità.
LA GUIDA – Il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento, che traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa. Il testo della Guida è articolato in sei sezioni tematiche ed è soggetto a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo.
Il sito ufficiale del Garante per la protezione dei dati personali
CONTATTI – OMCeO Piacenza – Data Protection Officer: Via San Marco, 27 – 29121 Piacenza (PC). Posta elettronica: