Entrerà in vigore il 25 maggio 2018 il nuovo Regolamento Europeo per la protezione dei dati personali (Regolamento Ue 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016). (1)
Attualmente la normativa italiana è ancora contenuta nel codice della privacy (Decreto legislativo 30 giugno 2003, n. 196) (2), che è tuttavia destinato ad essere superato dal nuovo assetto disciplinare contenuto nel regolamento.
Restano invariati, ad ogni modo, rispetto alla normativa nazionale le definizioni e l'ambito di applicazione delle norme (3); ciò che cambia è una maggiore attenzione, da parte del titolare del trattamento dati, alla gestione dei dati personali, dal momento della raccolta al momento della definitiva eliminazione o del trasferimento al proprietario degli stessi. (4)
Le novità di cui si dirà a breve saranno attuate sia attraverso interventi di natura strutturale che di organico, tramite l'inserimento di nuove figure specializzate nel trattamento dei dati.
Gli intenti perseguiti dalla nuova normativa sono specificamente indicati nell'articolo (5) del Regolamento, cui per completezza si rimanda. Alla luce del nuovo quadro normativo, dunque, il trattamento dei dati deve essere improntato non solo ai tradizionali principi di lealtà , correttezza, trasparenza ed esattezza, ma anche ai criteri di minimizzazione dei dati, di limitazione del loro utilizzo e, soprattutto, di responsabilizzazione del titolare del trattamento, che è competente per il rispetto dei suddetti principi e deve essere in grado di fornirne prova.
Il più rilevante elemento di novità del nuovo Regolamento riguarda la cosiddetta privacy by design (5), ovvero la progettazione di sistemi informatici che tengano conto ab origine delle esigenze di tutela della privacy e che siano ideati per una gestione minima (minimizzazione del dato) e altamente pseudonimizzato del dato personale. A tal fine è opportuno sottolineare che lo stesso regolamento, nel Considerando n. 78, incentiva le strutture pubbliche e private ad adottare, anche in sede di appalto pubblico, questi specifici criteri per la scelta del fornitore dei servizi necessari per il trattamento dei dati, dovendo preferire, laddove possibile, il sistema tecnologicamente più conforme alle esigenze di tutela della privacy.
Una disciplina molto dettagliata è prevista, inoltre, per la figura del Responsabile del trattamento dei dati (Privacy Data Officer). (6)
Ad un'attenta disamina del regolamento, ivi compresi i Considerando iniziali, non sembra che il legislatore europeo abbia inteso porre come obbligatoria la nomina del Responsabile, la quale, tuttavia, risulta indispensabile nei fatti quando il titolare del trattamento non possa gestire direttamente le procedure relative ai dati personali. Pertanto la figura di un Responsabile risulta quantomeno opportuna e la sua scelta deve ricadere su soggetti "che presentino garanzie sufficienti, in particolare in termini di conoscenza specifica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento"(Considerando n. 81).
Il titolare del trattamento dei dati deve, peraltro, dare prova di aver attuato forme di organizzazione e scelte tali da osservare le disposizioni del regolamento per la tutela dei diritti dell'interessato; la prova, a tal fine, può essere rappresentata dall'adesione a codici di condotta (che si auspica siano realizzati dalle associazioni di categoria cui appartiene il titolare del trattamento dei dati, articolo 40) o dal possesso di una certificazione che attesti la conformità di quel trattamento alle regole di cui alla normativa europea (secondo il Considerato n. 100 è consigliabile l'elaborazione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati).
Si sottolinea infine l'importanza delle procedure da attivare nei casi di c.d. data breach. (7)
Fatta eccezione per le ipotesi in cui non vi sia rischio per i diritti e le libertà delle persone, il titolare del trattamento dei dati è tenuto a comunicare l'avvenuta violazione del dato personale, entro 72 ore, all'autorità competente. In caso di ritardo nella comunicazione, il titolare del trattamento dovrà renderne note le ragioni.
Le novità in ambito sanitario
In tema di protezione dei dati personali il settore sanitario risulta tra i più delicati, considerato il carattere "sensibile" ed "ultrasensibile" dei dati trattati (quelli che possono rivelare, tra l'altro, lo stato di salute e la vita sessuale del proprietario del dato). (8)
La particolare attenzione del legislatore è dettata anche dall'utilizzo, in ambito sanitario, di molteplici strumenti informatici, quali fascicolo elettronico, sistemi di diagnostica, telemedicina, dispositivi medici, ecc.). (9)
I sistemi informatici ospedalieri sono spesso oggetto di attacchi ransomware, da ricondurre a tre diverse tipologie di situazioni (perdita o sottrazione fisica, uso improprio di privilegi, errori vari). (10)
A questo proposito l'Agenzia digitale italiana ha diffuso le Misure minime di sicurezza ICT per le pubbliche amministrazioni, "per contrastare le minacce più comuni [...] e consolidare lo stato di sicurezza informatica nazionale". (11)
Circa l'utilizzo del dato personale, la normativa dettata dal regolamento prevede delle specifiche disposizioni per l'ambito medico, a partire dall'articolo 6.
Si sottolinea in proposito che il trattamento è considerato lecito, anche qualora l'interessato non abbia prestato il proprio consenso, quando è finalizzato alla salvaguardia degli interessi vitali dell'interessato o di altra persona fisica come, a titolo meramente esemplificativo, la necessità di tenere sotto controllo l'evoluzione di epidemie e la loro diffusione (Considerato n. 46).
In ambito sanitario il trattamento dei dati genetici e di salute è consentito per finalità connesse alla salute dell'interessato, per finalità di controllo del livello di qualità del sistema di assistenza sanitaria nazionale e per garantire la continuità dell'assistenza sanitaria ed assistenziale transfrontaliera, nonchè per motivi di interesse pubblico. (12)
http://eur-lex.europa.eu/legal-content/IT/ALL/?uri=celex%3A32016R0679
http://www.altalex.com/documents/codici-altalex/2014/02/10/codice-della-privacy
Cfr art. 4 Regolamento 679/2016 ed art. 4 D. Lgs. 196/2003
Per trattamento si intende, ai sensi del Regolamento 679/2016, articolo 4, comma 1, n. 2: "qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione"
Articolo 25, comma 1, Regolamento 679/2016
Articolo 28 Regolamento 679/2016
Articolo 33 Regolamento 679/2016 e considerato 85, 87, 88
Il regolamento fornisce anche un importante chiarimento su quali siano i dati sensibili ed ultrasensibili in materia genetica e sanitaria, sul punto cfr. Considerato n. 34 e 35
Fonte: Verizon Data Breach Investigation Report
Cfr.: considerato n. 53 e 54
A cura di: Alessia Russo