21 Set

Decreto attuativo privacy in vigore, ecco le nuove sanzioni e i codici di condotta

Dal 19 settembre è in vigore il decreto 10 agosto 2018 sulla privacy che attua il General Data Protection Regulation, regolamento europeo entrato in vigore il 25 maggio scorso e subito operativo con le sanzioni anche in Italia. Il decreto armonizza il Gdpr con la preesistente normativa italiana sulla privacy (testo unico dlgs 196/2003), abrogata solo in alcune parti. Che cosa cambia? Dopo le novità introdotte dal regolamento Ue -implementazione del registro dei trattamenti, nomina del data protection officer-DPO non obbligatoria per il singolo medico e i piccoli gruppi (ma sempre suggerita), revisione dell’informativa – chi tratta dati personali dovrà ora stare attento in particolare alle sanzioni penali e ai codici di condotta.

Le sanzioni – Arrivano 11 criteri per graduare l’importo delle sanzioni amministrative, che nel GDPR sono:

– da 10 milioni di euro al 2% del fatturato delle aziende per violazioni sulla comprensibilità delle cartelle cliniche, l’informativa a minori, le omissioni nelle informative,

– e fino a 20 milioni e al 4% del fatturato per violazioni gravi (tipo la diffusione dati sensibili).

Inoltre, arrivano sanzioni penali: fino a 2 anni di reclusione per chi non osservi provvedimenti chiesti dal Garante. Fino al 19 maggio 2019, il Garante nel sanzionare dovrà tenere conto della fase di prima applicazione. Ci sono interi modelli organizzativi da rivedere, specie in sanità, e ragionevolmente un’agenda lasciata in vista con le diagnosi potrebbe “pesare” di più dal 20 maggio (certo, ove non scoperta in una perquisizione già attivata da Nas o Fiamme Gialle a seguito di altra violazione).

I codici – Entro il 19 dicembre il Garante verifica la conformità al Gdpr dei codici deontologici relativi ai trattamenti di dati personali nell’attività del giornalista, dello storico, del sistema statistico nazionale Sistan, per scopi statistici e scientifici, per le investigazioni difensive degli avvocati, e pubblica in gazzetta le sole disposizioni compatibili. Intanto, associazioni e altri organismi di categoria come ordini e sindacati, preposti in genere a declinare i principi delle norme Ue a seconda dei diversi contesti (sanità, giustizia, editoria) potranno sottoporre al Garante dei codici di condotta sul trattamento dati degli iscritti. Di che si tratta? Rispetto alla legge italiana precedente, il regolamento Ue definisce principi più generali dai quali le aziende e i professionisti degli stati membri sono chiamati a trarre modelli di gestione dati, non solo informatici. Ma se ognuno fa da sé il lavoro è immane e il rischio di scostarsi è alto.

Nasce così l’idea di adottare regole che dettaglino la corretta applicazione del Gdpr in funzione delle specificità di una tipologia di organizzazione – appunto i codici che, una volta approvati dal Garante, consentiranno a chi li applica di essere automaticamente in regola con le norme europee. Scriverli non è facile: la Fnomceo lamenta che il decreto non dà “dritte”, non risolve “dubbi e incertezze interpretative sull’applicazione delle norme riferite agli studi medici e odontoiatrici”.

«In sanità in effetti ci sono esigenze diverse rispetto ad altri ambiti produttivi», spiega Fabrizio Massimo Ferrara direttore del laboratorio sistemi informativi dell’Alta scuola di management dei sistemi sanitari di Università Cattolica, nei giorni scorsi sede di un incontro con Francesco Modafferi dirigente del Dipartimento Libertà pubbliche del Garante Privacy. «Al contrario che in altri contesti dove meno i dati viaggiano e meglio è -spiega Ferrara- un paziente si giova della condivisione tra il numero più ampio possibile di figure che trattano la sua patologia, e in futuro sarà ancor più così, nella collaborazione ospedale-territorio. Altro esempio di differenza da declinare realisticamente: giusto escludere dalle formalità del consenso chi si reca dal medico di sua volontà, ma l’informativa sul trattamento appesa in sala d’attesa può non bastare. Al sanitario potrebbe servire traccia dell’iter del paziente, ad esempio se quello è stato ricoverato in stato di incoscienza, trattato, ristabilito e poi altre figure lo hanno preso in carico. Oltre ad aver creato un sito a guardia dell’evoluzione della normativa, gdpr-sanita.it, l’Altems – con Ministero della Salute, Istituto superiore di Sanità, Ordine dei Medici di Roma, Cittadinanzattiva, Assessorato Salute Emilia Romagna, Fiaso, Federanisap, ospedali Aris e Aiop- sta elaborando un modello di codice di condotta per la sanità da testare nelle Asl che ci supportano (Foggia, Roma1, Val Padana, Romagna, Toscana Sud-Est). Contiamo tra qualche mese di sottoporre al Garante gli esiti della nostra iniziativa, fin qui unica in Italia».

Lascia un commento

quindici + 7 =