Primi passi del nuovo regolamento europeo privacy e riuso dei dati per la ricerca scientifica e la statistica ARTICOLO AGGIORNATOa cura di Grazia Bertiglia, Dors - Elisa Valesio, Regione PiemontePubblicato il 18 Dicembre 2017Aggiornato il 21 Novembre 2018Testi normativiAGGIORNAMENTO A SEGUITO DEL GDPR 2016/679Breve storia Verso l’applicazione piena del Regolamento europeo Riuso dei dati per la ricerca scientifica e statisticaAGGIORNAMENTO A SEGUITO DEL GDPR 2016/679Il 24 maggio 2018 è diventato pienamente operativo il Regolamento europeo 2016/679 sulla protezione dei dati e l'Italia, con il D.Lgs. 101 del 10 agosto 2018 ha adeguato il proprio Codice. Il disposto previsto dall'art. 28 della legge 167/2017 citato è stato recepito all'art 110 bis del D.Lgs.196/2003, come modificato dal D.Lgs. 101 di cui sopra. Si suggerisce la lettura dell'articolo Sanità pubblica e modifiche al codice per il trattamento dei dati sanitari in Italia pubblicato su questo sito a Settembre 2018, riportato a fianco. Breve storia Ancor prima delle norme sulla privacy il segreto professionale del medico era un vincolo deontologico e ci si rivolgeva con fiducia ai professionisti sanitari, sapendo che il segreto sarebbe stato ben custodito. L’evoluzione tecnologica e scientifica ha condotto a definire regole giuridiche per evitare utilizzi impropri o dannosi dei dati personali che via via diventavano sempre più minuziosi e al contempo facilmente disponibili. E’ del 1995 la prima Direttiva Europea in tema di protezione dei dati; l’anno successivo la prima legge italiana (n. 675/96) ed ora siamo nella fase finale per l’applicazione del Regolamento Europeo che diverrà pienamente operativo il 25 maggio 2018. Abbiamo pubblicato un anno fa il testo del Regolamento insieme ad un breve sunto dei punti salienti della normativa (vai all'articolo) che, a distanza di 22 anni dalla Direttiva, riconosce il diritto alla protezione dei dati come fondamentale diritto di libertà degli individui e al contempo, definisce gli ambiti in cui il trattamento dei dati è indispensabile per garantire altri diritti fondamentali, quali la sicurezza, la salute, la protezione sociale e specifica le regole che si applicano sull’intero territorio dell’Unione e per tutti i cittadini europei. Una norma transnazionale, un pilastro del diritto pubblico europeo, che tiene conto del nuovo mondo digitalizzato, in cui i confini perdono il loro significato, il potere regolatore degli Stati diminuisce e sempre più contano invece reti invisibili e rapporti di potere non istituzionale. REGOLAMENTO EUROPEO 2016/679Verso l’applicazione piena del Regolamento europeo Nell’ultimo anno il Garante italiano ha pubblicato sul sito una prima guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali e calendarizzato una serie di incontri a supporto della pubblica amministrazione. Il 4 dicembre a Milano il Garante ha incontrato le Regioni del nord. Sono stati sottolineate le principali priorità per la pubblica amministrazione in vista del maggio 2018. La nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un'intensa attività di adeguamento. L’Italia oggi si colloca fra i Paesi europei con una normativa – vigente fino a maggio 2018- che prevede un alto livello di protezione per i dati personali e le prassi correnti già applicate in sanità e negli enti pubblici non subiranno eccessivi giri di vite. Principio fondamentale introdotto dal Regolamento europeo è il concetto di "responsabilizzazione" (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5). Il Garante per la protezione dei dati personali suggerisce alle Amministrazioni pubbliche di avviare, con assoluta priorità, tre processi: la designazione del Responsabile della protezione dei dati (RPD) (artt. 37-39) Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di "responsabilizzazione". Il diretto coinvolgimento del RPD (o DPO, Data protection officer) in tutte le questioni che riguardano la protezione dei dati personali dell’Ente, sin da questa fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l'esecuzione dei compiti) e autonomia (dispone di risorse umane e finanziarie adeguate). Il ruolo, precisa il Garante, potrà essere svolto da professionalità esperte in materia, non necessariamente da figure dirigenziali. l'istituzione del Registro delle attività di trattamento (art. 30 e cons. 171) Effettuare la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e di interessati, delle categorie di destinatari cui è prevista la comunicazione; misure di sicurezza; tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) è funzionale all'istituzione del registro. La ricognizione è necessaria al fine di verificare il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell'idoneità della base giuridica, artt. 6, 9 e 10) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171). la notifica delle violazioni di dati personali (c.d data breach, art. 33 e 34) Ultimo, ma non meno importante aspetto, nell'attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, è la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni. Il Garante italiano peraltro aveva già definito a luglio 2015 l’obbligo di segnalazione entro 48 ore delle violazioni di dati o gli incidenti informatici occorsi nell’ambito delle pubbliche amministrazioni (vedi il provvedimento 392/2015 del Garante) Dors si appresta a seguire questi prossimi sei mesi prima della piena entrata in vigore del Regolamento e a fare eco in particolare a quanto l’autorità Garante italiana e il legislatore faranno per rendere pienamente operativo il Regolamento nel nostro contesto. Sul sito del Garante italiano è allestita una sezione che raccoglie man mano tutti i documenti utili per avviare questa nuova fase (vai al sito del Garante) I precedenti provvedimenti e documenti del Garante saranno comunque importanti linee guida e le norme integrative nazionali che dovranno essere emanate nei prossimi mesi, come prevede la Legge di delegazione europea (legge 25 ottobre 2017, n. 163), completeranno il Regolamento per le parti relativa anche al trattamento dei dati in sanità ( vedi Art.13 legge 25 ottobre 2017, n. 163).Riuso dei dati per la ricerca scientifica e statisticaUna prima regola è stata posta con la legge europea (legge 20 novembre 2017, n. 167) e riguarda in particolare chi si occupa di ricerca scientifica e statistica, anche in ambito sanitario: l’art. 28 della legge (vedi in calce il testo) introduce una modifica al Codice privacy prevedendo che sia possibile riutilizzare i dati personali raccolti per altri scopi, senza chiedere il consenso agli interessati ma con una specifica autorizzazione del Garante. A fronte di un allarme rimbalzato a inizio dicembre sulla stampa il Presidente dell’Autorità Garante Antonello Soro ha chiarito in due comunicati e un’intervista (vai all'intervista) quale sia lo spirito della norma: il bilanciamento dell’interesse pubblico per la ricerca scientifica e del diritto dei singoli alla protezione dei loro dati sarà valutato dal Garante che concederà l’autorizzazione a trattare i dati soltanto in presenza di garanzie adeguate a protezione dei singoli. In caso contrario il trattamento non potrà avvenire. Art 28 legge 167/2017: Modifiche al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 Comunicato del Garante 5 dicembre 2017 Comunicato del Garante 7 dicembre 2017 TAG ARTICOLOPRIVACY; PROTEZIONE DEI DATI PERSONALI; REGOLAMENTO EUROPEO; RICERCA EPIDEMIOLOGICA;
