24 Giu

APPLICAZIONE DEL GDPR DA PARTE DEI PROFESSIONISTI SANITARI

PREMESSA

Il Regolamento (UE) n. 2016/679 sulla protezione dei dati personali (di seguito GDPR) è entrato in vigore il 24 maggio 2016 e dal 25 maggio 2018 è diventato direttamente applicabile in tutti i Paesi UE

Il GDPR si applica alle persone fisiche e giuridiche che trattano i dati personali dei cittadini dell’Unione Europea, anche se non residenti in Europa. Dunque aziende, privati e professionisti che svolgono attività commerciali e professionali, devono rispettare gli adempimenti previsti dal GDPR.

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Per trattamento invece si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il GDPR definisce alcuni soggetti chiave in funzione del ruolo:

  • Titolare del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

  • Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il professionista sanitario (colui il quale opera in regime di libera professione) può ricoprire il ruolo di Titolare del trattamento quando sostanzialmente emette fattura direttamente al paziente, riveste invece il ruolo di Responsabile del trattamento quando emette fattura alla struttura sanitaria per cui opera; infine potrebbe ricoprire il duplice ruolo di Responsabile e Titolare nel caso in cui possieda una struttura con dipendenti.

Il Responsabile del trattamento tratta, come detto, i dati personali per conto del Titolare e deve trattare i medesimi esclusivamente attenendosi alle istruzioni del titolare. Il Responsabile del trattamento assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura.

Il Titolare del trattamento nomina il Responsabile del trattamento mediante un contratto scritto, nel quale sono precisate dettagliatamente le modalità di esercizio del mandato ricevuto e le misure di sicurezza (tecniche e organizzative) adeguate al rischio valutato. Il Responsabile del trattamento dovrà, ovviamente, attenersi alle istruzioni di cui al contratto.

In caso di mancata conformità al GDPR sono previste sanzioni che possono raggiungere i 20 milioni di euro o fino al 4% del fatturato annuo (se superiore).

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO1

I registri delle attività di trattamento rappresentano uno degli elementi per la definizione del quadro generale di accountability previsto dal Regolamento. Per dimostrare di conformarsi a tale disciplina, infatti, il titolare/il responsabile devono tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità (cfr. Considerando n. 82). La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio.

Con riferimento a questo adempimento si rappresenta, in linea generale, la sussistenza di tale obbligo in ambito sanitario. Tale posizione tiene conto del fatto che, essendo le fattispecie di esenzione di cui all’art. 30, par. 5 del Regolamento tra loro alternative (cfr. Gruppo di lavoro Art. 29 per la protezione dei dati – Position paper related to article 30(5), fatte proprie dal Comitato europeo per la protezione dei dati-Endorsement n. 1/2018), la deroga alla tenuta del registro non opera in presenza anche di uno solo degli elementi indicati dal predetto par. 5 (trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati). Ciò, in coerenza con la circostanza che il registro delle attività del trattamento costituisce uno strumento di accountability e di gestione del rischio.

Per le suddette ragioni, il Garante ritiene, quindi, che non ricadono nelle ipotesi di esenzione dall’obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.

In merito alla tenuta del registro delle attività di trattamento, si precisa, infine, che lo stesso non deve essere trasmesso al Garante, ma messo a disposizione dell’Autorità in caso di controllo

OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO SENZA DIPENDENTI

Come detto Il Responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del Titolare del trattamento (art. 4, par. 1, n. 8 GDPR).

Si tratta quindi di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.

Il responsabile riceve, tramite l’atto di nomina, tutte le istruzioni in merito ai trattamenti operati per conto del titolare, alle quali dovrà attenersi. Inoltre il responsabile del trattamento dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (art. 30, paragrafo 2, GDPR).

Il professionista, nella sua veste di responsabile del trattamento, ha inoltre l’obbligo di:

  • Trattare i dati personali secondo le istruzioni impartire dal Titolare del trattamento.

  • Adottare le misure tecniche ed organizzative individuate dal Titolare del trattamento.

  • Essere disponibile ad audit di verifica da parte del Titolare del trattamento.

  • Assistere il Titolare del trattamento in tutte le attività correlate al trattamento assegnato.

  • Cancellare e restituire i dati personali al termine del trattamento su richiesta del Titolare.

  • Dimostrare al Titolare del trattamento di aver rispettato obblighi ed istruzioni impartite.

  • Nominare sub-responsabili del trattamento, nel caso si avvalga per il trattamento dei dati personali del Titolare, di altri soggetti esterni alla sua organizzazione.

  • Tenere un proprio registro dei trattamenti nel quale illustra i trattamenti effettuati per conto del Titolare.

  • Avvertire il Titolare del trattamento in caso di data breach (incidente di sicurezza).

  • Cooperare con l’Autorità di vigilanza (Garante per la protezione dei dati personali).

OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

Il professionista che ricopre il ruolo di Titolare del trattamento deve osservare le seguenti disposizioni normative:

  1. dotarsi di una politica sulla protezione dei dati personali

  2. fare l’elenco dei dati e la mappatura delle attività di trattamento

  3. fare l’analisi e la valutazione dei rischi

  4. tenere il registro delle attività di trattamento

  5. dotarsi di una procedura per evadere le richieste di accesso ai dati da parte dell’interessato

  6. dotarsi di una politica di sicurezza IT

  7. dotarsi di una procedura per la comunicazione di una violazione dei dati

Il professionista che possiede una propria struttura deve inoltre garantire che chiunque agisca sotto la propria autorità e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso.

Per ogni dipendente della propria organizzazione che tratta dati personali, il professionista deve pertanto formalizzare una lettera di incarico nella quale indicherà i trattamenti delegati insieme alle caratteristiche peculiari degli stessi quali la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali, le categorie di interessati e i permessi accordati (Lettura, Modifica, Inserimento, Cancellazione, Stampa, Manutenzione).

Per ogni operazione del trattamento dovrà inoltre chiedere che sia garantita la massima riservatezza.

RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD)2

La designazione del Responsabile della Protezione dei Dati (in inglese DPO Data Protection Officer) nella struttura del Regolamento costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati, che risulta obbligatoria per le autorità o organismi pubblici; per gli altri soggetti tale obbligo sussiste invece solo al ricorrere delle specifiche condizioni di cui all’art. 37.

Il Garante ritiene che i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.

Si ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala. (Linee guida sui Responsabili della protezione dei dati, WP243, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, punto 2.1.3, doc. web n. 612048, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n. 1/2018).

Quanto al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività. Secondo quanto indicato nel Considerando n. 91 del Regolamento, infatti, i trattamenti dallo stesso effettuati non rientrano tra quelli su larga scala. In tal senso, anche il Gruppo di lavoro Art. 29 per la protezione dei dati (ora Comitato europeo per la protezione dei dati-art. 68 del Regolamento) indica, tra gli esempi di trattamento da non considerare su larga scala, quelli svolti da un singolo professionista sanitario (Linee guida sui Responsabili della protezione dei dati, cit., punto 2.1.3.).

Analoghe considerazioni valgono anche per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie. Pertanto, i citati soggetti, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il DPO.

1 Fonte Garante Privacy: Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019 [9091942]

2 Fonte Garante Privacy: Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019 [9091942]

Condividi