LE PRIME APPLICAZIONI DEL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IN AMBITO SANITARIO-DOTT.SSA STELLA CHIAVAROLI
Redazione-Il 27 giugno 2018, presso l’ospedale di Teramo, si è svolto un eccellente seminario organizzato dall’ufficio formazione e qualità della ASL di Teramo dal titolo: “Le prime applicazioni del nuovo regolamento europeo sulla privacy in ambito sanitario” . La sala gremita di professionisti multidisciplinari, hanno ascoltato attentamente l’egregio relatore: Avv. Mario Mazzeo. Il docente della Capitale, ha catturato un ascolto attivo e partecipativo dei discenti che hanno espresso vivo interesse e concentrazione. L’Avvocato ha messo in risalto il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46CE (regolamento generale sulla protezione dei dati). Ha puntualizzato come il 4 maggio 2016, siano stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea dell’Unione Europea (GUUE) i testi del regolamento Europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che deve essere recepita dagli Stati membri entro 2 anni.
Il 25 maggio 2016 è entrato ufficialmente in vigore il Regolamento.
Il testo è diventato definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
L’Avvocato Mario Mazzei, ha puntualizzato come il consenso dell’interessato al trattamento dei dati personali, debba essere, come oggi, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un’apposita casella in un sito web).
Per trattare i dati sensibili, il Regolamento prevede che il consenso debba essere anche “esplicito”. Viene esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso) oppure ottenuto proponendo a un interessato una serie di opzioni già selezionale.
Il consenso potrà essere revocato in oggi momento. I trattamenti effettuati fino a quel momento dal titolare sulla base del consenso rimarranno comunque legittimi.
Il docente, ha evidenziato come le definizioni che oggi si conoscono bengano aggiornate e come ai fini del regolamento s’intenda ‘dato personale’ e ‘ trattamento’. Il dato personale, fa riferimento a qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente con particolare riferimento a un identificativo come il nome di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elmenti caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il trattamento, invece, riguarda qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o le distruzioni.
Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46 CE( e quindi al codice italiano), pur non provvedendo espressamente la figura dell’ “incaricato” del trattamento ( ex art. 30 Codice) Il regolamento non ne esclude la presenza, in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”, come si può approfondire begli articoli n. 4 e n. 10 del regolamento.
E’ essenziale che il RPD sia coinvolto quanto prima possibile in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il regolamento prevede espressamente che il RPD vi sia coinvolto fin dalle fasi inziali e specifica che il titolare ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni. E’ importante che il RPD sia annoverato fra gli interlocutori all’interno della struttura e che partecipi ai gruppi di lavoro che volta per volta di occupano delle attività di trattamento. Ove opportuno, il titolare o il responsabile potrebbero mettere appunto linee-guida ovvero programmazioni in materia di protezione dei dati che indichino i casi di consultazione obbligatoria del RPD.
I RPD non rispondono personalmente in caso di inosservanza del RGPD. Quest’ultimo chiarisce che spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso ( articolo 24, primo paragrafo). L’onere di assicurare il rispetto della normativa in materia di protezione dei dati ricade sul titolare o sul responsabile.
Il personale sanitario deve evitare che le informazioni sulla salute possano essere conosciute da soggetti non autorizzati a causa di situazioni di promisquità derivanti dall’organizzazione dello spazio dei locali o dalle modalità utilizzate.
Il Garante ha prescritto a questo scopo specifici accorgimenti per garantire la riservatezza dei pazienti sia durante l’orario di visita, sia all’atto della prescrizione di ricette mediche o del rilascio di certificati. Tra questi accorgimenti va ricordato, ad esempio, l’uso di paraventi o simili nei reparti di rianimazione, volti a limitare la
visibilità del malato ai soli familiari o conoscenti.