Cinquanta giorni all’applicazione integrale della nuova Privacy europea. Il Regolamento sulla protezione dei dati personali o GDPR (acronimo di “General Data Protection Regulation“, n. 679/2016) detta nuove e più stringenti regole per ciò che riguarda le informazioni che devono essere fornite all’interessato, da parte del soggetto titolare del trattamento dei dati personali. Esse devono essere riportate in un documento, comunemente denominato “informativa privacy”, preventivamente alla raccolta del Consenso “informato” per la presenza dei contenuti dell’informativa (e non solo). E’ sicuramente una delle scommesse da vincere in sanità.
Siamo agli albori di una “rivoluzione organizzativa” destinata ad incidere profondamente nelle attuali Aziende Sanitarie, ma allo stesso tempo è una iniziativa irrinunciabile a favore del cittadino, a cui non possiamo (dobbiamo) sottrarci. Alla base del significato di “informativa” c’è l’art. 12 (comma 1, GDPR), che prevede per le comunicazioni rese agli interessati che siano fornite:
(a) “in forma concisa, trasparente, intellegibile e facilmente accessibile”
(b) “con un linguaggio semplice e chiaro”.
Il GDPR (sempre art.12), prevede che le informazioni siano date “per iscritto” o con altri mezzi (preferibilmente in formato elettronico), per il rispetto del principio di trasparenza. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato. Il regolamento supporta chiaramente il concetto di informativa “stratificata”, più volte esplicitato dal Garante nei suoi provvedimenti, che delineano i contenuti “corretti”.
Le informazioni richieste dal GDPR sono più ampie rispetto a quelle finora necessarie ai sensi del Codice Privacy (196/2003): ciò comporta che le informative, a partire da fino al 25 maggio 2018, non saranno più valide e dovranno essere integrate con gli ulteriori elementi necessari.
La trasparenza è un obbligo trasversale del GDPR che si esplica, in particolare, in tre aspetti:
- l’informativa resa agli interessati circa il trattamento di dati,
- le informazioni date dai titolari agli interessati sui loro diritti;
- le modalità con cui viene consentito e facilitato l’esercizio dei diritti agli interessati.
La trasparenza va garantita sempre, indipendentemente dalle finalità per le quali viene effettuato il trattamento, in tutte le sue fasi (vale a dire: prima che vengono raccolti i dati personali, durante l’intero processo di elaborazione dei dati ed al verificarsi di circostanze particolari, come in caso di violazioni dei dati). Ciascun interessato deve avere la possibilità di conoscere sempre quali sono i propri dati personali oggetto di trattamento, da chi sono trattati, per quale finalità e per quanto tempo ed essere fornite con modalità ed espressioni chiare e facilmente comprensibili da chiunque.
La trasparenza è uno strumento indispensabile per garantire che i dati personali siano trattati nel rispetto dei diritti e delle libertà fondamentali degli interessati, dato che pone le basi per consentire la conoscenza ed il controllo effettivi da parte delle persone fisiche coinvolte nel trattamento. Il concetto di trasparenza va inteso con una portata molto ampia e va applicato anche alle modalità con cui vengono effettuate le operazioni di trattamento, alle tipologie ed alla quantità di dati trattati.
Termini entro i quali bisogna fornire l’informativa, ovvero quando queste informazioni devono essere comunicate agli interessati: ogni volta che le finalità cambiano, il regolamento impone di informarne l’interessato, prima di procedere al trattamento ulteriore.
Trova espressione nell’informativa il principio di trasparenza: per garantirne il rispetto, è fondamentale che le informazioni vengano fornite prima di effettuare la raccolta dei dati (art. 13) per far si che l’interessato possa capire in anticipo le finalità e l’ambito del trattamento e quali siano le conseguenze per i propri diritti, non opponendosi ad esso.
Nel caso in cui i dati personali siano ricevuti da terzi (art. 14), l’informativa dovrà essere resa non più all’atto della registrazione dei dati, ma entro un termine ragionevole, considerando le particolari circostanze e la tipologia di dati e del trattamento, dall’ottenimento dei dati stessi (che comunque non può essere superiore ad un mese) od al momento della prima comunicazione dei dati all’interessato o al terzo. Deve contenere le categorie di dati personali in questione (ad esempio, se sono raccolti dati sensibili) e la fonte da cui arrivano e l’eventualità che provengano da fonti accessibili al pubblico (ad esempio, elenchi pubblici a cui chiunque può avere accesso).
Obiettivo esplicito del GDPR è controllare il rispetto del diritto alla protezione dei dati (da parte di ogni interessato) ed intervenire per bloccare un utilizzo illecito delle informazioni, tramite il Garante.
BIBLIOWEB:
- Regolamento UE 2016/679 (testo italiano, in PDF allegato)
- Sito Gazzetta Europea http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
- Sito Garante Privacy http://www.garanteprivacy.it/web/guest/home
- Privacy Countdown http://newmicro.altervista.org/?p=3891
- Il medico interprete e l’obbligo informativo http://newmicro.altervista.org/?p=4108
“Privacy Europea: GDPR, Informativa e i nuovi diritti” (PPT-FlipBook)
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (PDF)
Articoli correlati:
APR
Per qualsiasi comunicazione tecnica riguardante il presente Sito Web, potete contattare il WEBMASTER inviando un messaggio di posta elettronica. Grazie.
About the Author
Email: [email protected]