Politica e Sanità

apr52016

Il Regolamento Europeo Privacy, come cambia la disciplina in ambito sanitario

Conoscere il Regolamento Europeo Privacy - approvato il dicembre scorso e reso in bozza semi-definitiva il 29 gennaio 2016 - sarà indispensabile sia per gli utenti di Internet sia per le imprese e in particolare per quelle sanitarie che operano "su" o "con" il digitale (cioè tutte).

Certamente saranno avvantaggiate da una buona conformità al Regolamento Europeo Privacy tutti quei Titolari che hanno un rapporto diretto con l'utente/consumatore come i soggetti che operano nel settore sanitario e farmaceutico.

Il nuovo testo che sarà pubblicato a breve e che entrerà in vigore subito, ma che imporrà nuovi e diversi adempimenti entro il 2018, aggiorna le discipline europee vigenti, che risalgono a 20 anni fa (Direttiva 46/95 e leggi degli Stati membri conseguenti) e che non tenevano conto della grande mole di dati riversata ora in rete spesso volontariamente dagli utenti - mediante social network ma anche grazie alle numerose applicazioni contenute nei dispositivi mobili e i tanti strumenti fisici con tecnologia Iot (internet delle cose) per scopi di telemedicina. L'enorme quantità di informazioni ora presenti in Rete hanno in modo imprevedibile accelerato le necessità di sicurezza per il settore sanitario e non solo.

Il Regolamento presenta notevoli novità. Innanzitutto i dati sulla salute non sono più definiti sensibili ma particolari e continuano a godere di tutti gli accorgimenti e le misure di sicurezza di cui godevano prima, tra i quali la crittografia per il loro trasferimento digitale (con il quale si intende anche l'uso di tecnologia cloud). Le sicurezze sono quindi aumentate ma non tanto e non solo nella singola misura, quanto nell'alto livello di riservatezza e consapevolezza sull'importanza delle informazioni che la normativa in generale impone.

Nel Regolamento ci sono poi alcune novità che a mio parere hanno il pregio di innalzare il livello di fiducia degli utenti che sono:

  • l'introduzione della figura del Privacy Officer per tutte le PA (e quindi tutte le Asl, gli ospedali e le strutture sanitarie) e per tutti coloro che trattino dati sensibili o che svolgano profilazione (e quindi anche il sanitario privato e il farmaceutico);
  • l'introduzione di una dichiarazione di responsabilità per tutti i Titolari;
  • la parte sui diritti dell'interessato, con tutte le novità concernenti la portabilità dei dati, il diritto all'oblio, la notifica delle violazioni;
  • la semplificazione di informative e consensi;
  • le nuove regole per la profilazione (intendendosi con questa l'incrocio dei dati particolari e sensibili che porti alla creazione della personalità dell'interessato) e la regolamentazione per quanto possibile dei big data;

Il Privacy Officer (o il Data Protection Officer) sarà una figura obbligatoria per tutte le PA e tutte le imprese che trattino grandi moli di dati o che svolgano importanti attività di profilazione o anche che trattino dati giudiziari o sensibili (e quindi tutte le strutture sanitarie pubbliche e private, le farmacie e le case farmaceutiche). I Privacy Officer saranno in contatto diretto con l'Autorità Garante per la Protezione dei Dati Personali, essendo il punto di riferimento designato per legge. Ciò significherà che ogniqualvolta l'Autorità lo riterrà opportuno potrà verificare il procedere dei trattamenti di quel Titolare, Asl o struttura sanitaria che sia, semplicemente interloquendo con il Privacy Officer.

Per quel che concerne l'ampliamento dei diritti dell'interessato si osservano interessanti modifiche sia in quelli di INFORMAZIONE che in quelli di PARTECIPAZIONE mediante:

  • un accesso più semplice ai propri dati: le persone avranno maggiori informazioni sul modo in cui i loro dati sono trattati, soprattutto quelli sulla salute. Le aziende dovranno essere in grado di mettere in atto delle procedure per rispondere più celermente, magari proprio grazie al prezioso aiuto del Privacy Officer [DIRITTO DI INFORMAZIONE];
  • il diritto alla portabilità dei dati: sarà più facile trasferire i dati personali da un fornitore di servizio a un altro o all'interessato stesso (si pensi ad esempio ai trasferimenti necessari non solo nel mondo delle telecomunicazioni ma anche all'internet delle cose). Occorre quindi conoscere come ottenere i propri dati in modo completo e semplice [DIRITTO DI PARTECIPAZIONE];
  • il diritto di essere informati in caso di violazione dei dati (il cd data breach): ad esempio, le imprese e le organizzazioni dovranno comunicare quanto prima all'Autorità di controllo le violazioni dei dati affinché gli utenti possano prendere le misure opportune. In casi gravi e quando si tratta di dati sulla salute lo sono sempre, si dovranno comunicare anche all'interessato. Si dovrà fare in termini brevi dalle 48 alle 72 ore [DIRITTO DI INFORMAZIONE]. 


Passando alle regole per le informative e i consensi si deve anche aggiungere che l'imminente semplificazione aiuterà ad alimentare il clima di fiducia degli utenti. Ora infatti le Informative all'interessato dovranno essere più dettagliate, ma soprattutto più efficaci delle precedenti, usando anche moduli, schemi e disegni. Un sistema perfetto potrà essere ad esempio quello di utilizzare delle infografiche per favorire la comprensione del cliente.

Il consenso invece dovrà essere sempre espresso in modo inequivocabile e non dovrà essere un alibi per tentare di effettuare trattamenti illeciti. Le Notifiche al Garante per comunicare i trattamenti più delicati saranno abolite. La consapevolezza dell'interessato dovrà essere perseguita soprattutto con altre vie come la formazione, la diffusione delle notizie sulla correttezza dei trattamenti da parte dei Titolari ecc.

Il Regolamento si occupa di profilazione che può avvenire solo in base ad un consenso specifico, a maggior ragione se riguardi dati sulla salute. Finalmente il testo dedica un intero articolo a tale speciale tipologia di trattamento, specificando che l'interessato si può sempre opporre ad un trattamento eccessivamente profilante, come può impedire che il trattamento produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona.

Avv. Monica Gobbato


@MonicaGobbato
avv.monicagobbato@gmail.com


Non sei ancora iscritto?     REGISTRATI!   >>
Ultime notifiche dalla community