Privacy, in gazzetta Ufficiale il decreto attuativo al GDPR 679/2016

Pubblicato il testo del decreto attuativo che recepisce la nuova regolamentazione in materia di tutela dei dati personali (General Data Protection Regulation 679/2016) stabilite dal regolamento europeo e già in vigore in Italia, con relative sanzioni, dal 25 maggio scorso per cui gli studi medici devono aver già adeguato le misure di sicurezza dei dati (gestionale, armadi, distanze, ecc.), rivisto le informative e il registro dei consensi completando con i dati di titolare e incaricati.

Il decreto attuativo, in Gazzetta Ufficiale dal 4 settembre ed in vigore dal 19 settembre 2018, concilia, come stabilito da un’apposita commissione individuata a margine del Consiglio dei Ministri dell’8 agosto scorso, le norme stabilite in ambito europeo con il preesistente codice della privacy del 2003 garantendone la continuità e “facendo salvi, per un periodo transitorio, i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti”.

Molte le semplificazioni in attesa di misure che dovranno ancora essere attuate dal Garante per la Privacy.

In ambito sanitario la novità consiste nella possibilità, rispetto al vecchio Dpr 196/2003, di trattare senza bisogno di consenso dell’interessato tutti i casi di diagnosi e cura. Il Garante è l’Autorità di controllo per le questioni di privacy incaricata, eventualmente, di promuovere ulteriori regole deontologiche per il trattamento di dati sanitari e biometrici.

Il decreto distingue tra “comunicazione” di dati rivolta a terzi diversi dall’interessato e “diffusione” di dati a terzi generici, quest’ultima in sanità è vietata. Contemporaneamente sono individuati i presupposti e i procedimenti per i trattamenti effettuati per fini statistici o di ricerca scientifica, biomedica o sanitaria (non è necessario il consenso quando la ricerca è effettuata in base a disposizioni di legge e rientra in un programma previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502 ed attuando specifiche misure di sicurezza e garanzia).

Sono dunque confermate (articolo 2-sexies) come esenti da obbligo di consenso al trattamento, le attività sanitarie inclusi trapianti d’organo e tessuti e trasfusioni di sangue umano; le funzioni del SSN; le attività di igiene e sicurezza sul lavoro; quelle di protezione civile, programmazione, gestione, controllo e valutazione sanitaria (inclusa la sorveglianza sulla spesa); la vigilanza su sperimentazioni; la farmacovigilanza, l’autorizzazione all’immissione in commercio e all’importazione di medicinali e dispositivi medici; la tutela sociale della maternità ed IVG, dipendenze, assistenza e integrazione sociale, diritti dei disabili.

Non è consentito l’utilizzo ed il trattamento dei dati genetici e di spesa senza consenso al di fuori delle motivazioni sopra citate e comunque in conformità a misure di garanzia disposte dal Garante con cadenza biennale. Tali garanzie, adottate su parere del Ministero della salute e del Consiglio superiore di Sanità, includono cifratura, pseudonimizzazione dei dati e accesso selettivo e riguardano anche i gestionali in ambito sanitario, le modalità di comunicazione ai pazienti dei dati di diagnosi e di salute e le prescrizioni di farmaci. In caso di trattamenti ad alto rischio può essere previsto il ripristino della richiesta di consenso.

I dati riguardanti i pazienti deceduti (Articolo 2 terdecies – Diritti riguardanti le persone decedute) possono essere utilizzati, qualora l’interessato non lo abbia vietato con dichiarazione scritta, da chi ha un interesse proprio o a tutela dell’interessato, o per ragioni familiari meritevoli di protezione. In quest’ultimo caso, il divieto non può pregiudicare i diritti degli eredi o di titolari di interessi da difendere in un eventuale giudizio.

Nel trattamento dei dati informatizzati, ad alto rischio di hackeraggio, il Garante può imporre d’ufficio, al titolare, misure specifiche a garanzia dell’interessato.

Il trattamento dei dati personali del minore di età inferiore a quattordici anni (art. 6, 1a) è lecito a condizione che sia prestato dai genitori.

LA GAZZETTA UFFICIALE CON IL DECRETO ATTUATIVO

IL DECRETO ATTUATIVO (FILE UNICO)

Comments are closed.