Nuovo GDPR sulla privacy e sicurezza dei dati sanitari: ancora pochi mesi per adeguarsi!
Il 25 maggio 2018 diventa applicabile il GDPR sulla privacy, il regolamento comunitario che detta le nuove regole sul trattamento dei dati personali. Il 25 maggio è anche il termine ultimo per le aziende affinché adottino tutte le misure per adeguarsi alla nuova disciplina. Infatti, il GDPR non è una direttiva, che richiede una norma nazionale di recepimento, ma un regolamento, cioè un atto comunitario obbligatorio e legalmente valido dal momento in cui viene applicato.
Le sanzioni per chi non si adegua sono molto pesanti: fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale totale annuo del trasgressore.
Nei prossimi paragrafi vedremo quali sono le novità introdotte dal GDPR e quali azioni mettere in pista fin da ora per adeguarsi a questa normativa così importante.
”Data protection by design”: pensare alla protezione del dato fin dal momento in cui viene progettato un servizio
Il “General Data Protection Regulation” ( GDPR 2016/679) adottato dall’Unione Europea abroga la direttiva 95/46/CE in materia di protezione dei dati personali, per armonizzare tutte le attuali normative sulla privacy degli Stati Membri che fanno parte dell’Unione.
Il GDPR sostituisce una normativa ormai obsoleta, che risale al 1995, quando solo una piccolissima percentuale di persone in Europa usava Internet. All’epoca non esistevano i Social, i dispositivi mobili, le App, l’Internet of Things e i Big Data.
Oggi la situazione è radicalmente cambiata e per tutelare i dati personali di tutti noi, le aziende devono pensare alla “protezione del dato” fin dal momento in cui progettano un servizio, a maggior ragione se si tratta di informazioni particolarmente delicate, come i dati sanitari: cartelle cliniche, referti, immagini diagnostiche…
E’ il concetto di “data Protection by design” che investe anche i processi e i sistemi informativi dell’azienda. Per adeguarsi al GDPR sulla privacy, quindi, è necessario adottare misure organizzative e tecniche che garantiscano la protezione dei dati fin dal momento in cui sono stati acquisiti.
Cosa prevede il GDPR sulla privacy
Il Regolamento Generale sulla Protezione dei Dati stabilisce i doveri delle aziende, i diritti di chi lascia i propri dati e indica gli adempimenti per mettere in sicurezza le informazioni sensibili. Prevede inoltre pesanti sanzioni per chi non si adegua.
Ecco i principali punti del regolamento.
1) Il regolamento introduce il principio di “accountability”, in italiano “responsabilizzazione”
Il GDPR ha introdotto questo principio per fare in modo che il titolare ed il responsabile del trattamento adottino concretamente tutte le misure necessarie alla protezione dei dati. Quindi si chiede loro di rendere ogni trattamento dei dati conforme al GDPR (compliance), garantire che vi sia questa conformità, dopo aver analizzato i rischi e fare in modo che la conformità sia facilmente dimostrabile.
L’accountability si realizza attraverso:
- la protezione del dato fin dalla progettazione (privacy by design): dal momento in cui viene acquisito il dato, l’azienda deve pensare immediatamente a come metterlo in sicurezza
- la nomina dei Responsabili del Trattamento
- la predisposizione del Registro dei trattamenti dei dati personali, che può essere messo a disposizione dell'autorità in caso di controlli
- la nomina del Data Protection Officer (DPO): è una figura professionale con competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi, che ha il compito di osservare, valutare e gestire il trattamento dei dati personali per garantire il rispetto della normativa sulla privacy
- i contenuti dell’informativa, che sono elencati in modo tassativo nel regolamento, fra questi vanno riportati i dati di contatto del Data Protection Officer, la base giuridica del trattamento, qual è il suo interesse legittimo e, se il titolare trasferisce i dati personali in Paesi terzi, attraverso quali strumenti lo fa
- il fondamento della liceità del trattamento (consenso): per i dati “sensibili” il consenso deve essere esplicito, e questo vale anche per il consenso a decisioni basate su trattamenti automatizzati, come la profilazione
- la conservazione dei dati: il titolare deve specificare per quanto tempo verranno conservati i dati oppure i criteri seguiti per stabilire tale periodo di conservazione
- la formazione del personale aziendale in materia di privacy
2) Il GDPR elenca quali sono i diritti dell’interessato, cioè della persona che ha lasciato i suoi dati all’azienda
L’azienda deve garantire agli interessati:
- il diritto di accedere ai propri dati personali e di rettificarli
- il diritto all’oblio, cioè il diritto ad ottenere la cancellazione dei propri dati personali
- il diritto di limitare il trattamento dei propri dati personali
- il diritto alla portabilità dei propri dati, cioè consente agli interessati di ricevere dal titolare del trattamento, "i dati personali che lo riguardano forniti ad un titolare del trattamento" in modo che possa trasmetterli ad un altro titolare del trattamento (per esempio, un'altra azienda); serve a garantire il trasferimento dei propri dati da un servizio online ad un altro
- il diritto di opporsi all’utilizzo dei propri dati personali
3) La nuova norma comunitaria spiega come mettere in sicurezza i dati personali
Le misure di sicurezza adottate devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Quindi l’azienda deve:
- classificare i dati personali ed i sistemi usati per il loro trattamento
- adottare sistemi informativi conformi al GDPR
- definire requisiti di sicurezza informatica adeguati
- notificare le violazioni
Rispetto a quest’ultimo punto, a partire dal 25 maggio 2018, tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma solo se ritengono probabile che da questa violazione derivino rischi per i diritti e le libertà degli interessati.
Quindi la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, ma dipende dalla valutazione del singolo titolare.
Però, se la probabilità che la violazione metta a rischio i diritti e le libertà degli interessati è alta, il titolare deve informare anche loro senza ingiustificato ritardo.
4) Il GDPR prevede pesanti sanzioni per chi trasgredisce
Le sanzioni pecuniarie/amministrative previste dal GDPR sulla privacy per chi trasgredisce sono molto pesanti: fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale totale annuo del trasgressore.
GDPR sulla privacy: come adeguarsi al più presto?
Il percorso di adeguamento al GDPR prevede tre fasi:
- identificare eventuali discrepanze tra quanto fatto finora dall’azienda e quanto previsto dal GDPR e poi valutare le azioni necessarie per essere conformi alla normativa: questa analisi deve riguardare sia gli aspetti legali e organizzativi, che la sicurezza informatica
- mettere in atto le azioni necessarie ad ottenere la conformità, e quindi: aumentare i controlli, mettere in atto misure per prevenire danni e gestire le eventuali violazioni
- mantenere la conformità nel tempo con la formazione periodica e la costante verifica delle misure di protezione adottate
Mancano solo poche settimane per adeguarsi al nuovo regolamento europeo!
Tra poche settimane la vecchia direttiva sulla privacy andrà in pensione e sarà sostituita dal nuovo Regolamento Generale sulla Protezione dei Dati. Adeguare la propria struttura sanitaria al GDPR sulla privacy richiederà molto lavoro, perché sono i processi organizzativi e informativi a risentire maggiormente di queste novità.
Se è vero che da tempo i poliambulatori sono in prima linea sul fronte della protezione dei dati sensibili, e quindi molto più attrezzati a fronteggiare le novità introdotte dal GDPR, è anche vero, però, che non tutti i sistemi informativi sono adeguati ad assicurare la protezione dei dati.
Il tuo software gestionale è conforme al regolamento comunitario sulla privacy?
Chi ha scelto i software GIPO è in mani sicure: ecco come conserviamo i tuoi dati .