05 Settembre 2018

---

---

Pubblicato in Gazzetta Ufficiale ieri 4 settembre il Decreto legislativo del 10 Agosto riguardante l’adeguamento del Codice della privacy italianoa quanto disposto dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”. 

Il decreto legislativo, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDRP, il Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. “Si tratta in sostanza del provvedimento – frutto peraltro un processo molto articolato – che traghetta l’ordinamento italiano dalla Dir 95/46/CEE e Codice Privacy al nuovo assetto disegnato dal GDPR, stabilendo cosa resta in vigore e cosa viene abrogato”, spiega ad Odontoiatria33 l’avvocato Silva Stefanelli (nella foto), esperto di diritto sanitario che ha curato una serie di video ed approfondimenti con spiegazioni e consigli presenti nell'area informativa dedicata alla normativa ed in un nuovo video illustra le "applicazioni" odontoiatriche proprio del nuovo decreto. 

L’obbiettivo del Governo, dopo l’esame di una commissione appositamente costituita -relatrice del provvedimento è stata l’On. Rossana Boldi (dentista)- è stato quello di semplificare l’applicazione della norma, di adeguare il codice della privacy esistente, visto che il Regolamento europeo, fa notare l’avv. Stefanelli “ha cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio dell’accountability”.  

Il provvedimento, continua l’esperta, sembra abbia voluto “garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti, ma introducendo discipline specifiche per gestire questo passaggio per gli altri atti normativi (autorizzazioni, provvedimenti, codice deontologici ecc.)”. 

Il quadro giuridico è quindi oggi composto da: la disciplina del GDPR, il “nuovo” Codice Privacy (come emendato) e gli articoli del nuovo Decreto che danno indicazioni su come gestire la restante disciplina.Confermato nel Decreto la volontà più volte espresso dal Garante di semplificare gli adempimenti e gli obblighi previsti per il titolare del trattamento per micro e piccole imprese ed i professionisti. 

In area sanitaria la grande novità è il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura.

“Il mondo della sanità –commenta l’avvocato Stefanelli- passa quindi da un sistema “consensocentrico”  (dove si chiedeva il consenso per tutto) ad un sistema in cui occorre prima chiedersi e capire quali sono le ragioni per cui i dati sono trattati”. Ovvero, spiega l’esperta, per le finalità di trattamento come la diagnosi e cura, la ricerca, il monitoraggio, l’accesso agli atti, la gestione banche dati, i controlli, l’attività amministrativa e certificatoria, si deve oggi valutare la finalità, ovvero se il fine è legato alla cura oppure alla promozione. Finalità che comanda, e che guida e declina le prescrizioni a valle.

“Un approccio meno burocratico in quanto non si deve chiedere il consenso, ma molto più complesso concettualmente, perché obbliga ad analizzare tutti i processi di trattamento per capire architettura e fondamento normativo”, commenta l’avv. Stefanelli. Sostanzialmente il novo approccio del quadro normativo sulla privacy è quello che il paziente deve essere messo nelle condizioni di sapere e capire, e quindi di decidere. Nei prossimi mesi il Governo dovrà emanare un successivo decreto in cui affronta alcune questioni sanitarie non ancora regolamentate. 

Con la pubblicazione in Gazzetta Ufficiale il testo del decreto che entrerà in vigore il prossimo 19 settembre. 

In sintesi le novità più rilevanti introdotte: 

• Non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura ( art. 2- septies del Codice Privacy emendato) – occorrerà però rispettare misure di garanzie stabilite dal Garante con cadenza biennale
• L’obbligo di informativa al paziente continua ad essere  reso in area sanitaria con modalità semplificate (art. 78 e 79 Codice Privacy emendato)
• Le autorizzazioni generali al trattamento di dati sensibili di cui al Codice Privacy verranno attualizzate dal Garante con provvedimento da sottoporre a consultazione pubblica (art 21 del Decreto di adeguamento)
• I provvedimenti del Garante continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del decreto (art. 22 comma 4 Decreto di adeguamento)
• Il Garante ha il potere di introdurre meccanismi di semplificazione per le micro, piccole e medie imprese, con riferimento agli obblighi del titolare del trattamento (art. 154-bis comma 4 del Codice Privacy emendato);
• L’applicazione delle sanzioni dovrà tenere conto, per  i primi otto mesi dalla data di entrata in vigore del decreto, della fase di prima applicazione delle sanzioni stesse (art 22 comma 13 Decreto di adeguamento)