CIRCOLARE N. 143 – Regolamento (UE) 2016/679 – Regolamento generale sulla protezione dei dati personali
Gentile Cliente,
in data 4 maggio 2016 sulla Gazzetta Ufficiale Europea (GUUE) è stato pubblicato il Reg.(UE) 2016/679 (detto RGPD– Regolamento generale sulla protezione dei dati personali), il testo dovrà essere recepito in Italia con entrata in vigore entro il 25 maggio 2018.
La norma europea porterà delle modifiche all’attuale assetto, diventando il nuovo testo vigente in materia di privacy, da maggio 2018.
Con la presente vogliamo effettuare un approfondimento ed affrontare due tematiche calde come:
- Dati sanitari come trattarli alla luce del GDPR
- Il trasferimento dei dati all’ Estero
DATI SANITARI COME TRATTARLI ALLA LUCE DEL GDPR
Una definizione estremamente completa e dettagliata sintetizzata in qualche modo dall’art. 4, n. 15 del GDPR che per dati relativi alla salute intende: I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
In ragione della loro natura, i dati sanitari sono qualificati dal GDPR, in linea con quanto già previsto dalla Direttiva madre, come dati sensibili e, quindi, come meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Tuttavia, a differenza della Direttiva madre, il Regolamento ricomprende nella definizione dei dati sensibili anche i dati genetici e quelli biometrici, il cui Trattamento, come quello dei dati sanitari, può esser soggetto a condizioni e/o limitazioni ulteriori, liberamente mantenute o introdotte dai singoli Stati membri.
In verità secondo la nostra Cassazione, tutte le volte che si parla di dati riguardanti la salute ed il sesso degli interessati, detti dati sono “supersensibili” in quanto sono involgenti la parte più intima della persona nella sua corporeità e nelle sue convinzioni psicologiche più riservate. Pertanto, essi beneficiano di una protezione rafforzata (Cass. civ., sez. VI, sent. del 11 gennaio 2016, n. 222; sez. I, sent. del 7 ottobre 2014, n. 21107; sez. I, sent. 1 agosto 2013, n. 18443; sent. 8 luglio 2005, n. 14390).
In questo caso l’ informative ed il consenso risultano essere essenziali. Come è noto il GDPR si ispira al principio di trasparenza il quale impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro.
Rispetto alla normativa precedente l’informativa assume sempre una rilevanza fondamentale ed anzi le informazioni da fornire sono anche maggiori e più dettagliate e ciò assume particolare rilevanza in ambito sanitario.
Naturalmente viene previsto anche il consenso all’art. 7 del Regolamento. La stessa disposizione prevede che qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali.
Il GDPR, quindi, non obbliga il Titolare del trattamento a documentare per iscritto il rilascio, da parte dell’interessato, del consenso al trattamento dei dati sanitari, né impone l’uso della “forma scritta”, anche se questa, a detta del Garante è una modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”.
E’ evidente, comunque, come il GDPR, in linea con il passato, preveda che il consenso sia informato e specifico e che venga prestato liberamente dall’interessato. Inoltre, il Regolamento richiede che il consenso venga prestato attraverso un atto ‘affermativo’ e chiaro dell’interessato (cioè, idoneo a manifestare in modo inequivoco e non ambiguo l’intenzione dell’interessato affinché i suoi dati sanitari vengano fatti oggetto di un Trattamento).
Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Il consenso riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura.
Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha diritto ad ottenere copia di tutti i dati che lo riguardano.
TRASFERIMENTO DATI ALL’ ESTERO
I vantaggi vanno infatti dall’avere un’unica serie di norme in tutto il continente per garantire la certezza giuridica per le imprese e lo stesso livello di protezione dei dati in tutta l’UE per i cittadini, un’unica autorità per la protezione dei dati, anche per attività svolte all’estero e norme che troveranno applicazione anche ai soggetti extra-europei che operano nell’Unione europea, fino all’applicazione delle stesse norme a tutte le imprese che offrono servizi nell’UE, anche se aventi la propria sede al di fuori dell’UE.
Cosa cambia? Innanzitutto, secondo gli articoli 45 e 46 del Regolamento, viene meno il requisito dell’autorizzazione nazionale, il trasferimento verso un Paese terzo “adeguato” potrà avere inizio infatti senza attendere l’autorizzazione nazionale del Garante, a differenza di quanto avviene attualmente, quanto cioè previsto dall’art. 44 del Codice della privacy. Vengono così semplificate le procedure sulla base, cioè, di clausole contrattuali modello debitamente adottate, o sulla base di norme vincolanti di impresa approvate attraverso la specifica procedura (art. 47). L’autorizzazione sarà ancora necessaria solo se il titolare intende inserire delle clausole contrattuali ad-hoc o se il titolare vuole utilizzare accordi amministrativi tra autorità pubbliche (novità del Regolamento).
Ma quando un Paese può essere considerato adeguato? La decisione di adeguatezza sul livello di protezione di un Paese e che consente quindi il trasferimento dei dati verso l’estero, viene presa dalla Commissione europea e deve tener conto di precisi elementi previsti dall’art. 45, tale decisione verrà poi sottoposta a un riesame periodico ogni 4 anni per mantenere un livello di protezione adeguato (decisioni sempre pubblicate e ufficializzate nella G.U. europea). Come anticipato, una volta riconosciuto adeguato un determinato paese,
tutti i trasferimenti verso quello Stato non devono più ottenere autorizzazioni specifiche di alcun tipo.
La Framinia S.r.l. è a Vostra disposizione sia per chiarimenti in merito a quanto indicato nella presente circolare.
Roma, 25/05/2018
FRAMINIA SRL