Dal 25 maggio 2018 trova diretta applicazione, sul territorio nazionale, il nuovo Regolamento Europeo sulla privacy, approvato il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 04 maggio 2016.
Il Regolamento disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati. Esso abroga la precedente Direttiva 95/46/CE.
La sua entrata in vigore è stabilita il 24 maggio 2016, quindi entro il 25 maggio 2018, tutti gli Stati membri dell’Unione si sono uniformati alle nuove regole comunitarie.
Introduzione e quadro normativo
Le disposizioni legislative di cui al vigente Codice della privacy, così come le norme regolamentari emanate negli anni dall’Autorità Garante per la protezione dei dati personali, sono da ritenersi superate, a far data dal 25/05/2018, da quelle del Regolamento UE, solo nella misura in cui tali norme siano contrastanti o incompatibili con quelle europee.
In tal senso il Legislatore italiano si è attivato pubblicando in Gazzetta Ufficiale (n.205 del 04-09-2018) il D.lgs. 10 agosto 2018, n. 101, – recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)” e, quindi, adeguando il D.lgs. 30 giugno 2003, n. 196.
La normativa contenuta nel Regolamento UE 2016/679 (GDPR) e nel D.lgs. n. 101/2018 si propone di tutelare la riservatezza dei dati personali, per evitare che un uso non corretto di essi possa danneggiare o ledere le libertà fondamentali e la dignità personale di ognuno.
Ciò è ancora più evidente nella realtà di un’Azienda sanitaria che tratta quotidianamente una pluralità di dati di estrema delicatezza, riguardanti il più delle volte la salute delle persone. In particolare i dati trattati da una Azienda sono sia le informazioni personali (es. dati anagrafici, recapito, tessera sanitaria, codice fiscale, ecc.) sia quelle sensibili (es. informazioni sullo stato di salute) indispensabili per l’erogazione e la gestione delle prestazioni e i servizi richieste.
I trattamenti necessari all’erogazione delle prestazioni devono essere utilizzati dal personale nel rispetto del segreto professionale, del segreto d’ufficio e dei diritti dell’interessato (articoli da 12 a 22 del GDPR) e pertanto improntato a principi di legittimità, correttezza, liceità, indispensabilità, pertinenza e non eccedenza rispetto agli scopi per i quali i dati medesimi sono stati raccolti.
Percorso metodologico e definizione di un Sistema di Gestione della Protezione Dati
Dall’analisi del quadro normativo sopra descritto, si deduce che le Aziende sanitarie hanno la necessità di adeguare la propria policy, le procedure e i regolamenti aziendali al fine di garantire la compliance alle indicazioni del Regolamento UE 679/2016 (GDPR).
In particolare è evidente che il Regolamento recepisce il principio di accountability, per cui nell’art. 24 prevede che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento.
In tal senso il Titolare del trattamento di una azienda sanitaria dovrebbe, con il supporto del Responsabile delle Protezione dei Dati aziendale, verificata la congruità agli obiettivi aziendali e alle disposizione legislative nazionali ed europee, identificare un percorso metodologico al fine di garantire, secondo un processo standardizzato, la tutela dei diritti dell’interessato e la applicazione del vigente D.Lgs. n. 196/03 (cosiddetto “Codice sulla privacy”) cosi come modificato dal D.Lgs. n. 101/18 e, in particolare, del Regolamento Europeo n. 2016/679.
Suddetto percorso dovrebbe definire tutti gli step previsti dall’azienda per adempiere ai dettami del Regolamento UE, individuando analiticamente lo stato e le azioni ancora da effettuare per il raggiungimento degli obiettivi prefissati, procedendo secondo le seguenti fasi:
1 – Definizione di una Strategia aziendale condivisa di trattamento dei dati personali;
2 – Assessment e mappatura dei trattamenti, dell’organizzazione e delle procedure esistenti;
3 – Design e definizione nuovo modello tecnico-organizzativo, con ridefinizione dei processi e delle metodologie di trattamento;
4 – Implementazione di un Sistema di Gestione della Protezione dei Dati strutturato, per garantire una gestione efficace ed efficiente dei requisiti normativi in ottica di continuo miglioramento
5 – Management e Controllo del Sistema.
Fasi del percorso metodologico per il raggiungimento della compliance al GDPR
Si ritiene, pertanto, che lo strumento metodologico più adeguato a garantire il raggiungimento della compliance ai dettami del GDPR, ed il rispetto del principio di accountability sia la definizione, l’adozione e implementazione di un Sistema di Gestione della Protezione Dati integrato con il Sistema di Gestione della Qualità e con il Sistema di Gestione della Sicurezza su Lavoro, già adottato nelle aziende sanitarie.
Il Sistema di Gestione della Protezione Dati proposto prevede l’applicazione di opportune modalità operative tali da garantire la gestione, in maniera standardizzata e nel rispetto di quanto previsto dal GDPR, attraverso l’implementazione, la gestione e il mantenimento di detto SGPD un descritto nel presente documento e che come di seguito sinteticamente viene rappresentato.
Modello del Sistema di Gestione della Protezione Dati implementato da una azienda sanitaria
Il Sistema di Gestione proposto è articolato nelle fasi descritte di seguito:
– Identificazione dei Principi applicabili al Trattamento Dei Dati – Il trattamento dei dati personali in ogni processo aziendale, deve essere improntato a principi di cui all’art. 5 del Regolamento UE 679/16 (GDPR). Pertanto tutto il personale designato ed incaricato, in base alla proprie mansioni, dovrà effettuare il trattamento dei dati personali nel rispetto di quanto determintato dal GDPR.
– Definizione del Modello Organizzativo della Protezione Dati e con individuazione dell’ Organigramma Aziendale della dei Protezione Dati – Il Titolare deve definire all’assetto organizzativo per la gestione del Sistema aziendale di Protezione Dati personali, al fine di rispettare gli obblighi organizzativi, documentali e tecnici, con l’obiettivo di attuare la piena e consapevole applicazione del nuovo quadro normativo. Pertanto il Titolare deve determinare l’organigramma aziendale della Protezione Dati, con identificazione dei ruoli e delle responsabilità aziendali all’interno del Sistema di Gestione, al fine di garantire la conformità alle indicazioni del Regolamento UE in coerenza con l’effettivo assetto organizzativo aziendale
– Mappatura dei Flussi Informativi e redazione del Registro delle attività di Trattamento dei Dati Personali – L’obiettivo principale è permettere al Titolare del trattamento e ai suoi designati di avere conoscenza e consapevolezza di “chi fa che cosa”. Tale analisi ed individuazione viene effettuata nella azienda attraverso un’attenta mappatura dei processi e quindi analisi dei flussi informativi ad esso sottesi, per arrivare ad avere un inventario, il Registro, delle attività in cui vengono trattati i dati personali.
– Predisposizione e diffusione della Informativa e Consenso al Trattamento dei Dati Personali.
– Gestione dei Diritti dell’interessato al Trattamento Dei Dati Personali – Al fine di garantire la gestione delle richieste di esercizio dei diritti dell’Interessato, in maniera standardizzata e nel rispetto di quanto previsto dal GDPR, è necessario identificare una specifica procedura in cui siano individuate le misure procedurali disposte dal Titolare del trattamento per mettere all’utente interessato di ottenere in qualsiasi momento informazioni sull’utilizzo dei suoi dati e nello specifico ai sensi degli artt.15-21 del Regolamento UE.
– Protezione dei Dati By Default e By Design – L’articolo n. 25 del Regolamento Europeo n. 2016/679 introduce il criterio sintetizzato dall’espressione inglese “data protection by default and by design”, ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
– Individuazione ed attuazione delle Misure di Protezione e Sicurezza dei Dati Personali – Le misure di sicurezza sono intese come quelle azioni individuate dal Titolare del trattamento, a seguito di analisi dei trattamenti e di valutazione del rischio ad essi connessi, previste dagli art. 32 del Regolamento UE 679/16 (GDPR), al fine di “garantire un livello di sicurezza adeguato al rischio” del trattamento. Per misure di sicurezza deve intendersi l’insieme delle prescrizioni di carattere tecnologico, procedurale ed organizzativo finalizzate all’implementazione di un adeguato livello di sicurezza nel trattamento dei dati, al fine di garantire la riservatezza, integrità e disponibilità dei dati e la resilienza dei sistemi informativi (analogici e digitali).
– Gestione delle Violazioni dei Dati Personali e Notifica al Garante – Nel rispetto di quanto previsto dall’art. 33 del Regolamento UE 2016/679 il titolare deve adottare una procedura al fine di garantire, secondo un processo standardizzato, le azioni da attuare nell’eventualità in cui si presentino violazioni concrete, potenziali o sospette di dati personali e per poter riscontrare nei tempi e nei modi previsti dalla normativa europea e senza ingiustificato ritardo al’Autorità Garante e/o agli interessati.
– Valutazione di Impatto sulla Protezione dei Dati (DPIA) – Il Titolare per dimostrare la conformità ai disposti del Regolamento secondo il principio di accountability, deve adottare le misure tecniche ed organizzative che siano il risultato di un processo di individuazione dei rischi connessi al trattamento e di valutazione in termini di natura, probabilità e gravità, con individuazione delle migliori prassi per attenuare detti rischi (DPIA).
– Gestione del Trasferimento di Dati Personali all’estero – Per trasferimento di dati personali si intende ogni spostamento anche temporaneo di informazioni sia all’interno che all’esterno dell’ambito di titolarità del trattamento. E’ considerato trasferimento di dati personali verso Paesi Terzi anche la momentanea allocazione degli stessi su server, collocati al di fuori del territorio nazionale, di proprietà di un fornitore di servizio in outsourcing.
– Formazione, Informazione e Sensibilizzazione – Il Titolare deve promuove, nella propria azienda, specifici strumenti di sensibilizzazione necessari a diffondere e consolidare la consapevolezza dei diritti degli interessati e la rilevanza della protezione dati a garanzia di una migliorare qualità del servizio erogato all’utenza.
– Monitoraggio del Sistema Protezione Dati ed Audit Interni – Il Titolare del trattamento dovrebbe individuare un processo di monitoraggio continuo al fine di verificare l’adeguatezza e l’efficacia del Sistema di Gestione per la Protezione Dati e definire le possibili azioni di miglioramento dello stesso.
Fonti Bibliografiche:
– Regolamento UE 2016/679 – General Data Protection Regulation
– Lgs n.196/2013 come modificato dal D.lgs. n. 101/18 – Gazzetta Ufficiale (n.205 del 04-09-2018)
– Manuale del Sistema di Gestione della Protezione Dati -ASL Benevento -Alberto Lombardi – 29/05/2019
– Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali – Diritti degli Interessati – Autorità Garante della Protezione Dati
– Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – Autorità Garante della Protezione Dati – 07/03/2019
– General Data Protection Regulation : da Obbligo ad Opportunità per le Regioni – Webinar Pro.M.I.S. – Alberto Lombardi – 15/02/2019
– Il sistema di gestione della Protezione Dati: dal Registro delle attività di trattamento alla gestione dei Data Breach Webinar Pro.M.I.S. – Alberto Lombardi – 29/05/2019
