25 maggio 2018

25 maggio 2018: da oggi cambiano le regole in materia di Privacy

Oggi è il 25 maggio e se ci leggi da un po’ sai già che sono cambiate le regole sulla privacy, perché è diventato direttamente applicabile il nuovo Regolamento europeo sul trattamento dei dati personali (GDPR). Ecco, in estrema sintesi, le novità per cittadini, aziende, strutture sanitarie ed altri enti.

Cos’è il GDPR e perché devi conoscerlo come professionista sanitario e come cittadino

Il GDPR (General Data Protection Regulation) è il Regolamento europeo 2016/679 sulla protezione dei dati personali entrato in vigore 2 anni fa e che da oggi diventa obbligatoriamente e automaticamente vincolante in tutti gli Stati membri dell’Unione Europea, sia per le aziende europee sia per quelle non europee che svolgono attività di monitoraggio del comportamento o vendono servizi e prodotti a persone fisiche che si trovano nel territorio UE. È una norma molto ampia con implicazioni non solo giuridiche, ma anche informatiche: la sua applicazione, infatti, ha come naturale conseguenza una riorganizzazione interna dell’azienda e l’acquisizione di nuove competenze.

In quanto cittadino UE sarai felice di sapere che il GDPR è nato per tutelarti e per proteggere i tuoi dati personali, uno dei beni più preziosi che hai, oggi che la tecnologia è così pervasiva. Il Datagate che ha coinvolto Facebook e Cambridge Analytica dimostra chiaramente quanto sia importante proteggere le informazioni personali da usi illeciti.

Se sei un professionista della salute o hai una struttura sanitaria, grande o piccola, il tuo codice dentologico ti obbliga già a proteggere le informazioni sanitarie e personali dei tuoi pazienti e il GDPR rafforza questa protezione.

Cos’è un dato personale secondo il GDPR?

Il GDPR protegge i dati personali delle persone fisiche, indipendentemente dalla loro nazionalità o residenza, e all’articolo 4 spiega anche cosa intende per dato.

Il dato è “qualsiasi informazione riguardante una persona fisica identificata o identificabile” anche con un nome, un numero di identificazione, dati sulla sua ubicazione, “un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".

A quali attività si applica ?

Si applica quando il trattamento dei dati personali è interamente o parzialmente automatizzato e quando sono previsti trattamenti manuali che riguardano dati personali archiviati o da archiviare. Sono esclusi i trattamenti relativi ad attività:

  • che non rientrano nell'ambito di applicazione del diritto europeo
  • di politica estera e sicurezza comune dell'UE
  • svolte dalle autorità pubbliche per prevenire, indagare e perseguire reati ed eseguire sanzioni penali
  • personali e domestiche delle persone fisiche, non legate ad attività commerciali o professionali

Prevenzione innanzitutto

Il GDPR impone un’attenta riflessione ai titolari e responsabili del trattamento e li obbliga a prevenire i rischi per i dati personali trattati.

Prima di qualsiasi trattamento dei dati, infatti, devono analizzare le singole operazioni che intendono mettere in atto, valutarne i rischi per la privacy, agire a norma di legge e adottare tutte le misure a tutela dei dati rispetto al rischio che corrono.

I princìpi cardine di GDPR e i diritti che questo riconosce alle persone fisiche

“Accountability”, in italiano “responsabilizzazione”, è il principio che impone a titolare e responsabile del trattamento di adottare concretamente tutte le misure necessarie alla protezione dei dati. Il primo passo per farlo è quello di proteggere il dato fin dalla progettazione di un prodotto, servizio o trattamento (privacy-by-design): dal momento in cui viene acquisito bisogna pensare immediatamente a come metterlo in sicurezza.

Inoltre il trattamento dev’essere trasparente, cioè la persone fisiche devono comprendere in modo chiaro e semplice come verranno usati i loro dati, infatti il GDPR riconosce loro molti diritti:

  1. il diritto di accedere ai propri dati personali e di rettificarli
  2. il diritto all’oblio, cioè il diritto ad ottenere la cancellazione dei propri dati personali
  3. il diritto di limitare il trattamento dei propri dati personali
  4. il diritto di opporsi all’utilizzo dei propri dati personali
  5. il diritto alla portabilità dei propri dati

Le sanzioni

I rischi per chi non si adegua, lo abbiamo ripetuto più volte in questo blog, sono molto consistenti: sanzioni pecuniarie fino a 20.000.000 di euro e pari al 4% del fatturato mondiale totale annuo dell'esercizio precedente. A comminarle è l’Autorità Garante della privacy di ciascuno Stato membro, che di volta in volta valuterà quale sanzione applicare (di tipo inibitorio, correttivo o pecuniario).

Approfondimenti:
Nuovo GDPR sulla privacy e sicurezza dei dati sanitari: ancora pochi mesi per adeguarsi!
Vuoi adeguare la tua struttura sanitaria al GDPR privacy? Ecco 10 cose da fare subito!
Quale sarà l’impatto del GDPR privacy sulle strutture sanitarie?
Chi è il Data Protection Officer e quando è obbligatorio?
Manca un mese al 25 maggio 2018: tutti pronti per il GDPR privacy?


GIPO ha scelto la sicurezza, ci affidiamo a Microsoft Azure, il miglior servizio Cloud attualmente disponibile sul mercato. Contatta un nostro esperto per sapere come teniamo al sicuro i dati dei nostri clienti e dei loro pazienti.