L’ATTUAZIONE DEL GDPR IN AMBITO SANITARIO
Avv. Pierluigi Piselli – Avv. Francesco Anastasi
Con il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 inizia una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Il regolamento costituisce un prezioso tentativo di armonizzazione della normativa in materia di privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.
Il regolamento costituisce con la direttiva Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati il c.d. “pacchetto protezione dati personali”.
Il testo del regolamento abroga la direttiva la Direttiva 95/46/CE in materia di protezione dei dati personali /privacy, concepita in un periodo nel quale solo una minima parte della popolazione europea (nella percentuale del 1%) utilizzava internet e non esistevano social media, tablet, app e gli scenari e gli effetti della moderna e l’attuale società della sorveglianza elettronica nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente i propri dati personali sulle piattaforme on line e social media.
Tra le principali novità introdotte dal regolamento va segnalato il principio di "responsabilizzazione" (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).
In quest’ottica, la nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.
Le principali novità da seguire sono: la portabilità dei dati; l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171); l’individuazione del Responsabile del trattamento (artt. 37-39); le certificazioni; lo Sportello Unico; la gestione del data breach; l’istituzione di Codici di condotta.
In particolare, uno dei nuovi diritti degli interessati previsti dal GDPR, è il cosiddetto diritto alla portabilità. Si tratta di un nuovo e innovativo diritto, previsto dall’articolo 20 del GDPR, che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato.
Essenziale avviare quanto prima la ricognizione dei trattamenti svolti (nell’ambito del Registro delle attività di trattamento) e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione consente di verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171);
Il regolamento Europeo introduce la figura del responsabile del trattamento (nel nuovo regolamento europeo) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Il titolare del trattamento, quindi, nomina uno o più responsabili.
In base all’art. 28 del nuovo regolamento generale europeo, la nomina deve avvenire tramite contratto o altro “atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
In ambito di certificazioni, il Regolamento stabilisce all’art. 42 UE 2016/679 che queste sono uno strumento volontario, che si affiancano a tutti quelli obbligatori e a quelli consigliati indicati nel regolamento.
L’applicazione di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento (tra i tanti e non il solo) per dimostrare la conformità e il rispetto degli obblighi da parte del titolare del trattamento.
La certificazione ai sensi del GDPR non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.
Per risolvere eventuali difficoltà è stato introdotto lo Sportello unico (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme.
Le imprese che operano in più Stati UE potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.
Altro profilo di rilevo introdotto dal regolamento europeo è rappresentato dall’obbligo di comunicazione delle violazioni di dati personali (data breach), (non previsto nella precedente direttiva 95/46/CE a tutti i trattamenti di dati personali effettuati dalle pubbliche amministrazioni e imprese, obbligo previsto attualmente previsto in alcuni ordinamenti.
Il regolamento distingue due modalità di data breach: la comunicazione delle violazioni di dati all’autorità nazionale di protezione dei dati personali (prevista dall’art. 33 del regolamento) e la comunicazione ai soggetti a cui si riferiscono i dati, nei casi più gravi (c.d. soggetti interessati), prevista dall’art. 34 del regolamento.
Il Regolamento europeo dedica alla tematica dei codici di condotta solo un paio di articoli, il 40 (Codici di condotta) ed il 41 (Monitoraggio dei codici di condotta), ma l’importanza degli stessi è fondamentale come strumento per contribuire alla corretta applicazione del regolamento medesimo, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese e sinora un po’ troppo sottovalutato nell’attuale assetto normativo.
In particolare, questi dovrebbero essere redatti dalle associazioni e dalle organizzazioni che rappresentano categorie di titolari del trattamento o di responsabili del trattamento e dovrebbero tenere conto delle caratteristiche specifiche dei settori di riferimento e delle diverse esigenze connesse alle dimensioni aziendali.
Il progetto di codice deve essere sottoposto all’Autorità garante nazionale e questa esprime un parere sul progetto. Se il parere è positivo e l’applicazione del codice riguarda solamente lo Stato membro in cui è presentato, l’Autorità registrerà e pubblicherà il codice realizzato.
Inoltre, potranno aderire ai codici di condotta anche i titolari del trattamento che non sono soggetti al Regolamento Europeo perché stabiliti al di fuori dell’ambito di applicazione territoriale, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni, fattispecie molto interessante per rendere quanto più uniforme possibile il trattamento dei dati delle app m-health a livello globale.
Infatti, aderendo a tali codici di condotta, i titolari del trattamento di app mediche assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
Proprio in tale contesto si colloca la lettera, datata 10 aprile 2017, del Working Party 29 (l’organismo indipendente che raggruppa i Garanti Privacy europei) come risposta “critica” alla richiesta di esame di una bozza di “Codice di Condotta sulla privacy per mobile health applications”.
Anche se tale lettera si colloca temporalmente nel solco della “vecchia” Direttiva Privacy (95/46 di prossima abrogazione), la prospettiva che ci offre è quella del Regolamento, dando l’occasione di segnalare proprio che il paragrafo 5 dell’art. 40 del Regolamento, a tal proposito, prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all’autorità di controllo competente territorialmente.
L’autorità di controllo esprime un parere sulla conformità al Regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.
Ai sensi del successivo paragrafo 6, qualora il progetto di codice, la modifica o la proroga siano approvati, l’autorità di controllo registra e pubblica il codice, ma solo se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri.
Altrimenti, qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri (come sarebbe normale nell’ambito delle app m-health ed in considerazione dell’importanza sempre più grande che il Digital Single Market è destinato ad assumere nella UE), prima di approvare il progetto, la modifica o la proroga, l’autorità di controllo competente territorialmente lo sottopone al comitato europeo per la protezione dei dati, il quale formula un parere sulla conformità al Regolamento Privacy del progetto di codice, della modifica o della proroga o sulla previsione di adeguate garanzie.
Molto rilevante è anche la previsione del paragrafo 9, sempre dell’art. 40, secondo la quale la Commissione Europea può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti, abbiano validità generale all’interno dell’Unione. A tali codici la Commissione provvede a dare un’adeguata pubblicità, come pure il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati, rendendoli pubblici mediante mezzi appropriati.
In conclusione, l’obiettivo cui dovrebbe tendere l’applicazione di un codice siffatto dovrebbe essere quello di assicurare che gli utenti delle app mediche si sentano particolarmente sicuri circa l’uso appropriato dei loro dati, potendo conoscere in maniera trasparente le regole più stringenti ed i superiori livelli di tutela che un codice di condotta può permettere di raggiungere ai soggetti che si impegnano a rispettarlo, rafforzando, così, il quadro normativo armonizzato di un settore che necessita di un livello sovranazionale.
PUBBLICATO SU AMBIENTEDIRITTO.IT – 05 APRILE 2018 – ANNO XVIII
AmbienteDiritto.it – Rivista Giuridica Telematica – Electronic Law Review – Via Filangeri, 19 – 98078 Tortorici ME -Tel +39 0941 421391 – Fax digitale +39 1782724258 Mob. +39 3383702058 – info@ambientediritto.it – Testata registrata presso il Tribunale di Patti Reg. n. 197 del 19/07/2006 – ISSN 1974-9562
www.ambientediritto.it
La rivista Giuridica AMBIENTEDIRITTO.IT 1974-9562 è riconosciuta ed inserita nell’Area 12 – Riviste Scientifiche Giuridiche. ANVUR: Agenzia Nazionale di Valutazione del Sistema Universitario e della Ricerca (D.P.R. n.76/2010). Valutazione della Qualità della Ricerca (VQR); Autovalutazione, Valutazione periodica, Accreditamento (AVA); Abilitazione Scientifica Nazionale (ASN). Repertorio del Foro Italiano Abbr. n.271 www.ambientediritto.it
AMBIENTEDIRITTO.IT EDITORE