Blog

GDPR Now

Posted by:

GDPR Now

Approvato Il decreto legislativo  di adeguamento al regolamento UE 

Crolla l’ultimo alibi per le aziende: non è più possibile temporeggiare, per adeguarsi alle nuove regole a tutela della privacy dei cittadini italiani. Il decreto è il modo scelto dall’Italia per adeguare la propria normativa alla ”rivoluzione privacy”, voluta dall’Europa e nota appunto con l’acronimo GDPR (General data protection regulation).

Pubblicato in GU il 4 settembre, il Decreto Legislativo 10 agosto 2018 n. 101, di adeguamento del nostro ordinamento al nuovo Regolamento UE 2016/679 (GDPR), interviene e modifica  il “vecchio“ Codice della Privacy (196/2003). Entra in vigore il 19 settembre 2018. Il testo “combinato” risulta di difficile lettura ed introduce articoli specifici, per definire tempi e modalità di modifica di tutti i gli atti emanati.

Traghetta l’ordinamento italiano privacy (disciplinato sino ad ora dalla Dir 95/46/CEE, abrogata dal GDPR) verso la nuova architettura disegnata dal GDPR, stabilendo cosa resta in vigore e cosa viene abrogato. Il quadro giuridico è quindi composto oggi dalla disciplina del GDPR e da un “nuovo” Codice Privacy, emendato dagli articoli del D..Lgs 101/2018, che danno indicazioni su come gestire la restante disciplina.

Le regole sono già scattate il 25 maggio (entrata in vigore del regolamento UE 679/2016, GDPR), ma si aspettava il decreto italiano, per adeguare la normativa nazionale alle forti novità. “Ora il quadro normativo è completo e non ci sono più alibi per le aziende”; a dirlo è Francesco Modafferi (dirigente del Garante Privacy), che sta seguendo l’adeguamento alla nuova normativa “molto da vicino”.

Sul tema “caldo” delle sanzioni (economicamente molto rilevanti), non è prevista (né poteva essere) una proroga, ma si sancisce che tale applicazione dovrà tenere conto, per  i primi otto mesi dalla data di entrata in vigore del decreto (quindi fino a maggio 2019), della fase di prima applicazione delle sanzioni stesse (art 22 comma 13, DLgs. 101/2018). Il Garante in questi primi otto mesi, nell’erogare le sanzioni, “tiene conto del fatto che siamo in una fase iniziale di attuazione”. Per ora si eviterà di essere troppo punitivi verso le aziende ritardatarie, si eserciterà una certa gradualità. Si prova comunque a dare un po’ di respiro alle aziende. Il legislatore va incontro così a quanto richiesto dal Parlamento.

La svolta è il frutto di un radicale cambio prospettico, introdotto del GDPR: si  passa infatti da un sistema burocratico (acquisire carta, senza neanche capire bene cosa si stia facendo) all’obbligo molto più sostanziale di scegliere quali misure tecniche ed organizzative implementare, dimostrandone l’efficacia (l’accountability, dell’art. 5 GDPR). Al centro del sistema privacy, viene posto ed amplificato il principio di trasparenza (art. 12), in maniera che lo stesso  interessato si trovi nella condizione di sapere e, quindi, di poter eventualmente decidere ed intervenire.

In area sanitaria, la grande novità è il venir meno dell’obbligo di consenso, quando i dati sono trattati per finalità di diagnosi e cura (art. 2-septies del Codice privacy, emendato dal D. Lgs.101/2018, in combinata lettura con l’art. 9 GDPR). Risulta quindi una disciplina meno burocratica (non devo chiedere il consenso), ma molto più complessa concettualmente, perché obbliga ad analizzare tutti i processi di trattamento, per capire architettura e fondamento normativo. In sostanza è la finalità (dati) che comanda e che guida e declina le prescrizioni a valle.

Si passa da un sistema “consenso-centrico” (dove si chiedeva il consenso per tutto), ad un sistema in cui occorre prima chiedersi e capire quali siano le ragioni per cui i dati sono trattati (cioè la finalità del trattamento, come, ad esempio, diagnosi e cura, ricerca, monitoraggio, accesso agli atti, gestione banche dati, controlli, attività amministrativa e certificatoria), per poi valutare, proprio alla luce della finalità identificata, quale possa essere il fondamento di liceità di tale trattamento.

Tra le regole in arrivo, ce ne sono alcune che faranno la differenza per la ricerca ed il mercato nell’ambito sanitario. Introdurranno infatti modalità innovative per l’uso di big data sanitari, genetici e biometrici dei cittadini, nel rispetto della loro privacy. La premessa di fondo, è la possibilità di usare grandi masse di dati per migliorare l’attività di prevenzione e cura, grazie alle tecnologie di intelligenza artificiale. Alcuni aspetti  meritano di essere evidenziati (saranno senza dubbio oggetto di numerosi approfondimenti nei prossimi mesi):

• sarà sottoposto a consultazione pubblica, per non meno di 60 giorni, il trattamento di dati genetici, biometrici e relativi alla salute, nel rispetto di misure di garanzia, che saranno stabilite ogni due anni dal Garante. Il provvedimento adottando tali misure permetterà quindi alle parti sociali di partecipare al processo (art. 2 septies, comma 3 Codice Privacy, come emendato);

• le autorizzazioni generali del Garante al trattamento di dati sensibili, emanate in vigenza del “vecchio” Codice Privacy, verranno attualizzate dal Garante stesso, con provvedimento da sottoporre a consultazione pubblica (art 21 del DLgs 101/2018 – decreto di adeguamento);

• i provvedimenti del Garante continuano ad applicarsi, ma solo in quanto compatibili (art. 22 comma 4 DLgs 101/2018). Previsione questa piuttosto critica, in quanto chiama il titolare a valutare in autonomia la compatibilità dei provvedimenti emanati negli anni dal Garante, assumendosi la responsabilità di valutarne o meno l’attuale prescrittibilità;

• il Garante acquista poi il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese (PMI), con riferimento agli obblighi del titolare del trattamento (art. 154-bis comma 4 del Codice Privacy, emendato).

“Restano da stabilire ancora alcune regole di secondo livello, da parte del Garante Privacy, come previsto dal decreto”. Il quadro normativo è ora comunque completo, anche se di complessa applicazione, dato che si tratta di un processo molto articolato. Occorre mettersi (tutti), a studiare e a capire quali siano le strade per la migliore applicazione. L’arbitro sarà il Garante Privacy, che in questi giorni farà ispezioni e sanzioni. Forse vale la pena pensarci !

BIBLIOWEB:

Decreto Legislativo 10 agosto 2018, n. 101 – Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129) – GU Serie Generale n.205 del 04-09-2018 – Entrata in vigore del provvedimento: 19/09/2018. (vedi allegato PDF-FlipBook)
Privacy Countdown http://newmicro.altervista.org/?p=3891
Privacy europea:GDPR. Informativa e i nuovi diritti http://newmicro.altervista.org/?p=4122
Privacy, un parere legale  http://newmicro.altervista.org/?p=4317
@ Citizen, @ Health  http://newmicro.altervista.org/?p=4479
Privacy e Rischio http://newmicro.altervista.org/?p=4187
Cibersecurity e Blockchain in sanità  http://newmicro.altervista.org/?p=4646
Medical Smart Toys http://newmicro.altervista.org/?p=4594
L’e-Health è la nuova frontiera della sanità http://newmicro.altervista.org/?p=4372

 PRIVACY: Decreto Legislativo 10 agosto 2018, n. 101  (PDF-FlipBook)

Un Click per Leggere



Articoli correlati:

0
Giovanni Casiraghi

About the Author

Email: [email protected]
Go To Top
AVVERTENZA: Questo sito web utilizza i Cookies al fine di offrire un servizio migliore agli Utenti Maggiori informazioni