18 Ottobre 2018

Nuovo Codice della Privacy ed i dati sanitari

GIUSEPPE DE MARCO

Immagine dell'articolo: <span>Nuovo Codice della Privacy ed i dati sanitari</span>

Abstract

Il D.Lgs. n. 101/2018 - di seguito ‘Decreto’ - (recante le disposizioni di adeguamento alla normativa nazionale in tema di privacy al Regolamento Europeo n. 679/2016) è stato pubblicato in Gazzetta Ufficiale il 4 settembre ed entrato in vigore il 19 settembre.

* * *

La tecnica utilizzata è stata quella di novellare il D.Lgs. n. 196/2003 (c.d. Codice della Privacy) attraverso integrazioni ed abrogazioni.

 Il Decreto, all’ art. 1, ha riconosciuto la centralità in materia di protezione dei dati del GDPR, ne poteva fare diversamente.

Per cui, al momento attuale, la disciplina del trattamento e della protezione dei dati è affidata sia al GDPR che al Codice privacy corretto dal Decreto 101/18 (art. 2).

Analizziamo adesso, sia pur in maniera sommaria, quali parti del Decreto interessano, tra gli altri, i dati sanitari.

In virtù dell’art. 2 quater il Garante promuove l’adozione di regole deontologiche (da riportare nell’allegato A del Codice privacy), ne verifica la conformità alle norme vigenti in materia e, dopo una pubblica consultazione di almeno 60 giorni, le approva. Il rispetto di tali regole costituisce una condizione essenziale per la liceità e la correttezza del trattamento dei dati.

In attuazione di quanto disposto dall’art. 9 par. 4 GDPR (il quale prevede che gli Stati in cui si applica il Regolamento possano mantenere o introdurre ulteriori condizioni per il trattamento di dati sanitari) il trattamento dei dati inerenti alla salute può legittimamente svolgersi, oltre che in presenza di una delle condizioni di cui all’art. 9 par. 2 GDPR, anche in conformità di misure di garanzia disposte dal Garante mediante un provvedimento – adottato con cadenza almeno biennale – tenuto conto degli elementi di cui all’ art. 2 septies comma 2 lett. da A a C. ; lo schema del provvedimento è sottoposto a consultazione pubblica per almeno 60 giorni.

Le misure di garanzia sono adottate sentito il Ministero della Salute che, all’uopo, acquisisce il parere del Consiglio Superiore di Sanità.

Tali misure riguardano le cautele da adottare riguardo a profili organizzativi e gestionali in ambito sanitario e le modalità per la comunicazione diretta all’interessato di diagnosi e dati relativi alla sua salute. Esse, ancora, individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, le misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati medesimi.

Infine, in caso di trattamento dei dati soggetti a valutazione di impatto (come per i dati sanitari), l’art. 2 quinquiesdecies prevede che il Garante - con provvedimenti di carattere generale adottati di ufficio – possa prescrivere ulteriori misure ed accorgimenti a garanzia degli interessati che il titolare del trattamento è tenuto ad adottare.

Ad una prima analisi, l’adozione di regole deontologiche, misure di garanzia e provvedimenti di carattere generale potrà fissare delle linee guida più precise per il trattamento del dato sanitario. Sempre che regole, misure e provvedimenti adottati non contengano elementi che possano entrare in contrasto tra loro e creare quindi una situazione che dia adito a gravi divergenze interpretative.

L’art. 6 ha poi apportato delle modifiche al Titolo V, Parte II del Codice privacy (‘trattamento di dati personali in ambito sanitario’) modifiche, si ritiene, di non particolare rilievo rispetto al testo vigente.

Si segnala, tuttavia, che il novellato art. 75 del Codice privacy prevede ora che il trattamento di dati sanitari debba essere effettuato in conformità all’ art. 9 parr. 2 (lett. H ed I) e 3 del GDPR, all’art. 2 septies del Decreto, nonché nel rispetto delle specifiche disposizioni di settore.   

Interessanti alcuni aspetti dell’art. 13 che modifica il Titolo I Parte III del Codice privacy inerenti la tutela amministrativa a giurisdizionale.

Esso prevede una tutela alternativa consistente nel reclamo al Garante o nel ricorso alla A.G..

Il reclamo può essere sottoscritto non solo dall’interessato, ma pure, su suo mandato, da un ente del terzo settore soggetto alla disciplina del D.Lgs. n. 117/2017 ed attivo nel campo della tutela dei diritti e delle libertà degli interessati.

(Peraltro, ai sensi dell’art. 17, l’interessato può dare mandato a tali enti di esercitare per suo conto anche l’azione giudiziaria).

Il Garante – esaurita l’attività istruttoria e se il reclamo non è manifestamente infondato e sussistono i presupposti per l’adozione di un provvedimento – può emanare prima delle definizioni del procedimento tutti i provvedimenti di cui all’art. 58 del GDPR, compresa quindi l’inflizione di una misura amministrativa pecuniaria (art. 58, par. 2 lett. I), a differenza di quanto previsto dall’art. 143 Codice privacy.

I su indicati provvedimenti possono inoltre essere adottati dal Garante anche a seguito di una semplice segnalazione o di ufficio.

Ai sensi dell’art. 14 (che introduce nel Codice privacy l’art. 154 bis) il Garante, riguardo alle micro, piccole e medie imprese, promuove, nelle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione del GDPR che ha il potere di adottare, modalità semplificate di adempimento degli obblighi da parte del titolare del trattamento.  

Il Decreto (art. 15) ha poi riformato la materia degli illeciti penali, non prevista dal GDPR ed invece trattata dal Codice Privacy negli artt. da 167 a 172.

Sono stati riformulati gli artt. 167 (‘trattamento illecito di dati’), 168 (ora ‘falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante’) 170 (‘inosservanza dei provvedimenti del Garante’), 171 (ora ‘violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori’) e 172 (‘pene accessorie’).

Sono inoltre state introdotte altre due norme: l’art. 167 bis (‘comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala’) e l’art. 167 ter (‘acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala’) ed è stato abrogato (art. 27) l’art. 169 (‘misure di sicurezza’).

Tale ultima norma, che configurava una contravvenzione penale (con arresto sino a 2 anni) a carico del titolare del trattamento che non adottava le misure minime di sicurezza per il trattamento dei dati di cui agli artt. 33 e segg. del Codice della privacy, non è stata replicata nel Decreto nei confronti dei Titolari che non abbiano adottato le adeguate misure tecniche ed organizzative di cui all’art. 32 del GDPR. 

Si segnala, infine, come l’art. 22 comma 13 disponga che il Garante, per i primi otto mesi dalla data di entrata in vigore del Decreto, tenga conto - ai fini dell’applicazione delle sanzioni amministrative e nei limiti di compatibilità con le disposizioni del GDPR – della fase di prima applicazione delle disposizioni sanzionatorie.

Tale norma appare a chi scrive del tutto indeterminata.

Ed infatti non è chiaramente disposto che il Garante – nei limiti del ‘periodo di grazia’ di otto mesi – non possa iniziare procedimenti a carico dei Titolari o, quantomeno, infliggere sanzioni, limitandosi all’applicazione degli altri suoi poteri correttivi di cui all’art. 58 par. 2 GDPR, ovvero, ancora, applicare sanzioni solo in misura percentualmente ridotta.

Sembra più un appello alla ‘clemenza’ del Garante (affinché esso diminuisca l’infliggenda pena) che una norma inserita in un contesto legislativo.

Senza contare che l’indicazione di detto ‘periodo di grazia’ – facendosi riferimento solo al Garante – non esclude, durante il suo trascorrere, l’esperibilità di un ricorso avanti l’A.G..

Altri Talks