Privacy in Sanità e le novità con il DLgs 101/2018: come cambiano le regole

E’ stato pubblicato nei giorni scorsi, in Gazzetta Ufficiale, il Decreto Legislativo 10 agosto 2018 n. 101 (DLgs 101/2018) di adeguamento del nostro ordinamento al nuovo Reg. UE 2016/679. La materia del provvedimento, frutto di un processo molto articolato, conduce l’ordinamento privacy italiano (disciplinato sino ad ora dalla Dir 95/46/CEE e dal Codice Privacy) alla nuova architettura legislativa adesso vigente.

Il nuovo impianto stabilisce cosa resta in vigore e cosa viene abrogato, modificando tuttavia in maniera chirurgica il Codice Privacy ed introducendo inoltre articoli specifici per definire tempi e modi di modifica di tutti gli atti (autorizzazioni, codici deontologici, provvedimenti,…).

DLgs 101/2018 – Privacy: approvato il decreto di adeguamento al regolamento UE

In sostanza, in area sanitaria, la grande novità è il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura (art. 2-septies del Codice privacy emendato dal DLgs 101/2018 in combinata lettura con l’art. 9 GDPR).

Il mondo della sanità passa così da un sistema centrato fondamentalmente sul consenso (dove cioè si chiedeva il consenso per tutto) ad un sistema in cui occorre prima chiedersi e capire quali sono le ragioni per cui i dati sono trattati (cioè la finalità del trattamento come, ovviamente, la diagnosi e cura, la ricerca, il monitoraggio,..) per poi valutare, proprio alla luce della finalità identificata, quale sia il fondamento di liceità di tale trattamento: in altre parole è la finalità che comanda, che guida e declina le prescrizioni, in una mutata architettura centrata sullo scopo dell’acquisizione dati.

Cosa cambia con il DLgs 101/2018

E’ dunque una disciplina meno burocratica (non devo chiedere il consenso), ma molto più complessa concettualmente poiché obbliga ad analizzare tutti i processi di trattamento per capire impianto e fondamento normativo.

Le novità del DLgs 101/2018

Nel nuovo decreto legislativo vi sono infine altri aspetti che meritano di essere evidenziati per una prima, per quanto veloce, analisi:

  • Il trattamento di dati genetici, biometrici e relativi alla salute dovrà rispettare misure di garanzia che saranno stabilite ogni due anni dal Garante: il provvedimento che adotta tali misure sarà sottoposto a consultazione pubblica per non meno di 60 giorni permettendo quindi alle parti sociali di partecipare al processo (art. 2 septies comma 3 Codice Privacy come emendato).
  • le autorizzazioni generali del Garante al trattamento di dati sensibili emanate in vigenza del “vecchio” Codice Privacy verranno attualizzate dal Garante con provvedimento da sottoporre a consultazione pubblica (art 21 del DLgs 101/2018 – decreto di adeguamento).
  • i provvedimenti del Garante continuano ad applicarsi, ma solo in quanto compatibili (art. 22 comma 4 DLgs 101/2018), previsione questa piuttosto critica in quanto chiama il titolare a valutare in autonomia la compatibilità dei provvedimenti emanati negli anni dal Garante, assumendosi la responsabilità di valutarne o meno l’attuale prescrittibilità.
  • il Garante acquista poi il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento (art. 154-bis comma 4 del Codice Privacy emendato);

Il quadro normativo è, come si vede, di complessa applicazione e richiede a tutti i soggetti e gli attori un impegno efficace ed un discernimento consapevole per apprenderne gli strumenti di migliore applicazione.

fonte: Quotidiano Sanità

Martino Di Caudo

Scrivi un commento

Accedi per poter inserire un commento