Privacy e protezione dei dati personali alla luce del Regolamento (UE) 2016/679 del 27/04/2016

Ultimo Aggiornamento 20 Maggio 2024

G.D.P.R. & Privacy nelle Strutture Sanitarie, nelle Farmacie e nelle Parafarmacie

Dopo 4 anni di preparazione e dibattito, il 27 aprile 2016 è stato finalmente approvato dal Parlamento Europeo il nuovo Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679, più conosciuto come “G.D.P.R.” (acronimo di “General Data Protection Regulation“). Il Regolamento è un insieme di norme relative alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché di norme relative alla libera circolazione di tali dati.

Composto da 99 articoli, ha riscritto la disciplina della privacy a livello europeo e, come previsto dall’ultima disposizione (l’art. 99), ha trovato piena applicazione a partire dal 25 maggio 2018. Scopriamo allora cosa prevede il G.D.P.R. per la tutela dei dati personali in generale e, specificamente, nell’attività svolta dalle strutture sanitarie, dalle farmacie e dalle parafarmacie.


INDICE SOMMARIO | La privacy per “Parafarmacia”


§ 1. Perché una nuova disciplina sulla protezione dei dati personali?

La necessità di emanare un Regolamento Europeo in materia di privacy nasce dalla continua evoluzione degli stessi concetti di privacy e protezione dei dati personali, e quindi della relativa tutela, dovuta principalmente alla diffusione del progresso tecnologico.

Come indicato nel Regolamento (si v. il considerando n. 6), “la portata della condivisione e della raccolta dei dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali […]”.

La nuova normativa indica una diversità dell’approccio con cui è necessario rapportarsi ai dati trattati. La protezione dei dati personali diventa il fulcro ed il fine ultimo del G.D.P.R.

Il considerando n. 1 del Regolamento esplicita l’importanza attribuita alla tutela dei dati personali: “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale […]. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Il diritto alla tutela dei dati personali viene quindi elevato a diritto fondamentale delle persone, come tale inviolabile.

§ 2. Perché un Regolamento?

Il Regolamento, a differenza della Direttiva, è direttamente applicabile negli Stati membri, non necessita di un atto di recepimento interno e, pertanto, è stato individuato come strumento idoneo ad assicurare un livello coerente, elevato ed uniforme di protezione delle persone fisiche in tutti gli Stati membri.

Gli Stati membri sono intervenuti con atti normativi interni al solo fine di abrogare le norme interne in contrasto con il nuovo testo, e ad integrare alcune parti che la disciplina europea lascia alla regolamentazione dei singoli Stati membri.

In Italia, il Governo – il 10 agosto 2018 – ha adottato il decreto legislativo n. 101/2018, entrato in vigore il 19 settembre 2018.

§ 3. Che fine fa il “vecchio” codice della privacy (d.lg. n. 196/2003)?

Il vigente codice della privacy (d.lg. n. 196/2003) non è stato completamente abrogato, ma rimane in vigore, seppure con le modifiche apportate dal d.lg. n. 101/2018, volte ad armonizzare la normativa nazionale alle disposizioni del Regolamento europeo.

Hai bisogno di assistenza in materia di privacy?

§ 4. Cosa si intende per “dato personale”?

Ai fini del Regolamento, per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”). Si considera identificabile la persona fisica che può essere individuata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on-line, ovvero uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Ecco, ad esempio, alcuni fra i dati personali che più di frequente vengono in rilievo:
– dati anagrafici di un cliente acquisiti quanto si sottoscrive un contratto;
– nome, cognome e indirizzo e-mail dell’utente che compila on-line un modulo di contatto per inviare una richiesta di informazione;
– indirizzo e-mail personale;
– codice fiscale;
– numero della carta di identità;
– numero di matricola di un dipendente;
– indirizzo IP riferito ad un utente.

Questi sono, invece, esempi di dati non personali:
– indirizzo e-mail generico di una azienda (del tipo “info@nomeazienda.com”);
– numero di iscrizione alla camera di commercio di una società;
– dati anonimizzati in maniera irreversibile.

§ 5. Come capire se le informazioni presenti all’interno dei propri archivi sono dati personali?

E’ quindi l’identificabilità l’elemento centrale per poter comprendere se le informazioni presenti all’interno dei propri archivi o data-base sono dati personali e quindi se, in quanto tali, devono essere trattate nel rispetto delle regole previste dalla normativa di settore.

Per “archivio” si intende “Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale e geografico”.

Per particolari categorie di dati sono previsti specifici limiti di utilizzo, obblighi e misure di garanzia. Si tratta, in particolare, delle categorie indicate dagli artt. 9 e 10 del G.D.P.R.:

  • è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9 G.D.P.R.);
  • il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’Autorità pubblica (art. 10 G.D.P.R.).

§ 6. Cos’è il trattamento di un dato?

Il trattamento di un dato è configurato da qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:

  • la raccolta;
  • la registrazione;
  • l’organizzazione e strutturazione;
  • la conservazione;
  • la modifica;
  • l’estrazione e la consultazione;
  • la comunicazione e la trasmissione;
  • la cancellazione o la distruzione,

su qualsiasi supporto informatico, cartaceo o analogico.

Cerchi informazioni sul trattamento dei dati personali in farmacia o parafarmacia?

§ 7. Quali sono i soggetti che rivestono un ruolo attivo nel trattamento dei dati personali?

Il Titolare del trattamento: è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
E’ il soggetto che decide autonomamente se e quali dati trattare, per quali scopi utilizzarli, chi coinvolgere nelle operazioni di trattamento, quali misure di sicurezza adottare e gli ulteriori profili relativi alla gestione dei dati.
Il Titolare sarà una persona fisica nel caso in cui ci si riferisca, ad esempio, ad un libero professionista; se invece il trattamento è svolto da una persona giuridica o da una pubblica amministrazione, il titolare sarà l’entità nel suo complesso e non il suo legale rappresentante o amministratore.

Il Responsabile del trattamento: è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare”.
Ad esempio, è il caso della società o del professionista che decidano di affidare a un consulente esterno la gestione della campagna di e-mail marketing, o di collegare il proprio sistema di videosorveglianza ad una società di vigilanza, o ancora di delegare ad una società esterna lo svolgimento di alcuni servizi informatici.
Il Responsabile del trattamento deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate; tratta i dati solo su istruzione documentata del Titolare, non avendo potere di iniziativa né autonomia decisionale; la sua nomina deve avvenire attraverso un contratto.

Le persone autorizzate al trattamento: sono tutti coloro che operano sotto l’autorità diretta del Titolare o del Responsabile del trattamento e devono essere appositamente autorizzati e istruiti (sotto la responsabilità del Titolare e del Responsabile).

Il Responsabile per la Protezione dei Dati (R.P.D.) o Data Protection Officer (D.P.O.): è un soggetto dotato di qualità professionali e di conoscenze specialistiche sulla normativa e sulla prassi in materia di protezione dei dati, che ha il compito di supervisionare e facilitare l’osservanza della normativa in materia di protezione dei dati e funge da interfaccia tra tutti i soggetti coinvolti.
E’ una figura nuova, in precedenza non prevista dal codice della privacy italiano, che ha il compito di:
– informare e consigliare il Titolare o il Responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento e da altre disposizioni relative alla protezione dei dati;
– verificare l’attuazione e l’applicazione del Regolamento nonché delle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali;
– fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
– fungere da punto di contatto per gli interessati;
– cooperare e fungere da punto di contatto per l’Autorità di controllo.

§ 8. I Registri delle attività di trattamento

I Registri, che rappresentano una delle maggiori novità introdotte dal Regolamento, devono racchiudere tutte le informazioni relative ai trattamenti dei dati personali svolti dai Titolari o, per loro conto, dai Responsabili del trattamento.

L’obbligo della relativa tenuta incombe sia sul Titolare che sul Responsabile del trattamento, e non si configura per le imprese o organizzazioni con meno di 250 dipendenti, a meno che:
– il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato;
– il trattamento non sia occasionale o
– includa il trattamento di categorie particolari di dati.

Nel Registro tenuto dal Titolare sono elencati i trattamenti svolti ed indicate le seguenti informazioni:
– il nome e i dati di contatto del titolare del Trattamento e del Responsabile del trattamento;
– le finalità del trattamento;
– una descrizione delle categorie di interessati e delle categorie di dati personali;
– le categorie dei soggetti destinatari dei dati;
– i trasferimenti di dati verso Paesi terzi;
– ove possibile, i termini ultimi per la cancellazione dei dati;
– ove possibile, una descrizione generale delle misura di sicurezza tecniche e organizzative.

Nel Registro tenuto dal Responsabile sono riportate le seguenti informazioni:
– i dati di contatto del Responsabile e del Titolare del trattamento per conto del quale è effettuato il trattamento;
– le categorie dei trattamenti effettuai per conto di ogni Titolare;
– l’eventuale trasferimento di dati verso paesi extra UE;
– la descrizione delle misure di sicurezza tecniche e organizzative.

Avv. Gabriele Chiarini per Italia Oggi - Privacy in Sanità & sicurezza delle cure
Scarica l’intervento dell’Avv. Chiarini su Italia Oggi e su AssiNews

§ 9. I chiarimenti dell’Autorità Garante della privacy sul trattamento dei dati in sanità

Il nuovo assetto normativo introdotto dal G.D.P.R. ha sollevato notevoli dubbi sulle regole da rispettare in materia di trattamento dei dati sanitari, tanto che all’Autorità Garante sono stati rivolti numerosi quesiti da parte degli operatori della salute.

Pertanto, sebbene il quadro regolatorio non sia ancora definitivo (si attendono, in particolare, i provvedimenti di cui all’art. 2-septies del codice, che stabiliranno le “misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”), nel marzo 2019 il Garante della privacy ha ritenuto opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati personali in ambito sanitario.

Eccoli in estrema sintesi:

A) Diversamente dal passato, il professionista sanitario – tenuto al segreto professionale – non deve più chiedere il consenso del paziente per i trattamenti necessari alla erogazione delle prestazioni sanitarie, purché si tratti di dati necessari alle “finalità di cura” previste dal G.D.P.R. (restano esclusi dalla dispensa i trattamenti effettuati per finalità diverse, come quelle promozionali, commerciali, di fidelizzazione della clientela, o magari elettorali).

B) Tra i nuovi elementi informativi da fornire all’interessato, merita di essere segnalato il tempo di conservazione dei dati sanitari, che ad esempio:
– per le cartelle cliniche, i referti e resoconti radiologici, è illimitato;
– per le immagini radiologiche è di dieci anni;
– per i certificati di idoneità sportiva, è pari a cinque anni.

C) La nomina del Responsabile per la protezione dei dati:
è obbligatoria per tutte le Aziende Sanitarie pubbliche appartenenti al S.S.N., nonché per le Strutture private che effettuino il trattamento di dati personali “su larga scala”;
non è obbligatoria per i singoli professionisti sanitari che operino in regime di libera professione a titolo individuale.

D) Devono tenere il Registro delle attività di trattamento, senza alcuna esclusione:
– i singoli professionisti sanitari che agiscano in libera professione,
– i medici di medicina generale e i pediatri di libera scelta,
– gli ospedali privati e le case di cura,
– le Residenze Sanitarie Assistenziali,
– le Aziende Sanitarie appartenenti al S.S.N., nonché
– le farmacie, le parafarmacie e le aziende ortopediche.