COMUNICATO AI SOCI - LA NUOVA NORMATIVA EUROPEA SULLA PRIVACY
COMUNICATO AI SOCI
La nuova normativa europea sulla privacy diventa operativa a partire dal 25 maggio 2018.
La scadenza è nota da alcuni anni e in questo contesto, pur essendo una legge generale che si applica a tutte le attività espletate in Italia, numerosi sono stati gli avvisi ai Medici da parte di Ordine dei Medici e altre organizzazioni operanti nel settore.
Nonostante questo molte Persone non si sono informate e non hanno attivato nessuna iniziativa per adempiere alle indicazioni obbligatorie scritte nella legge.
In questa breve sintesi, organizzata dall’avvocato Giorgio Muccio, vengono ribaditi i principali obblighi a cui devono attenersi anche i Medici Oculisti.
Matteo Piovella
Presidente SOI
************
Cosa si deve fare per arrivare pronti al 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione europea?
Oltre ad adeguare la modulistica ai nuovi diritti previsti dal GDPR per:
- “Consenso alla Privacy” ed “Informativa” in merito a modalità con cui il Suo Studio ovvero Struttura opera;
- “incarichi al personale collaboratore” del Suo Studio o Struttura e dei liberi professionisti che trattano i dati dei vostri clienti (es. commercialista), con istruzioni ai quali gli stessi debbono attenersi per garantire la privacy dei Vostri pazienti;
deve essere istituito un Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati, le procedure di sicurezza adottate contro i rischi di perdita, danneggiamento o sottrazione dei dati, il registro delle violazioni dei dati personali, con eventuale notifica al Garante nei casi più gravi, quando tali rischi si verifichino.
Il GDPR prevede alcune nuove istituzioni.
Si parla, ad esempio, di privacy by design, in riferimento all’obbligo di adottare fin dall’inizio del processo produttivo, comportamenti in grado di assicurare la correttezza, l’integrità, la riservatezza e la sicurezza dei dati.
Viene poi introdotto il principio della privacy by default, che impone di adottare strumenti e modalità di trattamento dei dati in grado di ridurre i rischi di perdita, danneggiamento e sottrazione di dati .
Si prevede la cosiddetta pseudo-anonimizzazione, cioè l’obbligo di tenere separato il dato dal suo identificativo, principio quasi ovvio, che pone però il problema di dotarsi di un sistema organizzativo per abbinarli.
Inoltre il regolamento introduce il principio di accountability, cioè l’obbligo, da parte del titolare del trattamenti dei dati (medico o struttura), non solo di rispettare le norme del Regolamento, ma anche di mettere in pratica quanto stabilito in fase di analisi dei rischi.
Sarà il titolare del trattamento a dover dimostrare, in caso di controversie, di aver adottato tutte le precauzioni previste per ridurre al minimo i rischi.
Enti pubblici e imprese saranno dunque maggiormente responsabilizzati, anche attraverso sanzioni penali dove quelle amministrative sono piuttosto elevate: fino al 4% del fatturato, dove l’attività di verifica del rispetto del Regolamento Europeo è rimessa a NAS e Guardia di Finanza nell’ambito delle verifiche che gli sono proprie.
Un’importante novità riguarda i Paesi situati al di fuori dell’Ue, verso i quali è vietato il trasferimento dei dati, se non a determinate condizioni (consenso esplicito del diretto interessato o sussistenza di standard di sicurezza adeguati). Discorso a parte invece per i rapporti tra Unione Europea e Stati Uniti, tra cui è entrato in vigore il Privacy Shield, un accordo che si propone di tutelare i diritti alla privacy di ogni persona residente in EU, i cui dati vengano conservati o trasferiti negli USA. In parallelo, l’accordo offre un quadro legislativo più chiaro alle aziende che si occupano della conservazione dei dati di cittadini europei negli Stati Uniti.
Quindi si raccomanda di scegliere operatori “cloud” con server in UE ovvero USA nell’ipotesi in cui dati, o applicazioni che trattano dati, siano accessibili via cloud.
A breve seguiranno ulteriori approfondimenti.
