HOME - Normative
 
 
18 Settembre 2018

Privacy da domani scattano le sanzioni, la FNOMCeO frena

Ecco cosa si rischia e cosa serve dimostrare


Da domani 19 settembre entra in vigore il decreto 10 agosto 2018 sulla privacy e con esso scattano le sanzioni per professionisti ed imprese inadempienti. 

Ma cosa si rischia? 

“Identificare le sanzioni per gli inadempienti è meno semplice di quanto si possa pensare, spiega ad Odontoiatria33 l’avvocato Silvia Stefanelli protagonista dei contributi video nella nostra pagina dedicata al Regolamento europeo. 

“Le sanzioni disposte dal GDPR si intersecano con quelle disposte nuovo Codice privacy (D.Lgs 196/2003 come modificato dal D.Lgs 101/2018): quindi occorre fare un lavoro di coordinamento delle norme piuttosto complesso. Inoltre, avendo il GDPR una architettura giuridica completamente diversa da quella del precedente Codice Privacy, le fattispecie sono quasi tutte nuove, e non sappiamo ancora come il Garante interpreterà il regolamento ed i relativi adempimenti dalla cui violazione potranno scaturire le sanzioni” 

Semplificando, “e di molto”, - dice l’avvocato- vi sono due tipologie di sanzioni, la prima per le mancanze “meno gravi” che prevedono una sanzione fino a 10 milioni euro ed il 2% del fatturato per le grandi imprese. La seconda tipologia di sanzione prevede fino a 20 milioni di euro ed il 4% del fatturato 8art. 83 GDPR). Molto rilevante mettere in luce che il quantum delle sanzioni rispecchia la filosofia del GDPR, ovvero la tutela del soggetto e non la burocratizzazione della norma, ricorda l’avvocato Stefanelli che spiega. “Risulta più grave infatti non rispettare i diritti degli interessati (per esempio inviare informative o campagne di pubblicità a non clienti o cedere a terzi i dati dei propri pazienti) piuttosto che non redigere una dichiarazione o un documento. In sostanza non dare ottemperanza al diritto dell’interessato diventa più rilevante di non aver attuato una misura di sicurezza”. 


Chi effettua i controlli? 

Il Garante per la protezione dei dati personali è l’organo competente ad irrogare le sanzioni, NAS e Guardia di Finanza possono effettuare i controlli che potranno anche nascere da segnalazioni o denunce dei singoli utenti. “Per esempio un paziente potrebbe imputare al suo dentista di aver usato i suoi dati personali in maniera non corretta, ad esempio utilizzando le foto in pubblicazioni senza aver inserito la finalità nell’informativa oppure usando il dato a fini marketing senza avere il consenso”, spiega il legale. Garante poi sul proprio sito internet ogni sei mesi indica le categorie su cui svolgerà i controlli programmati. 


FNOMCeO: ancora presto per parlare di sanzioni

E’ ancora presto per parlare di sanzioni, chiarisce la FNOMCeO in una nota inviata ai presidenti OMCeO e CAO. “Il decreto del 10 agosto prevede che entro sei mesi dalla data di entrata in vigore del decreto le associazioni e gli altri organismi rappresentanti le categorie interessate dovranno sottoporre all'approvazione del Garante per la protezione dei dati personali i codici di condotta”, spiega il presidente CAO Raffaele Iandolo ricordando come FNOMCeO e CAO stiano lavorando sia sul Garante che sul Parlamento per fornire indicazioni praticabili.Ma non solo, da FONCOMeO ricordano come la stessa norma indichi che per i primi otto mesi dalla data di entrata in vigore del decreto in esame, il Garante per la protezione dei dati personali dovrà tenere conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.  

“Occorre considerare –continua la nota FNOMCeO- viste le difficoltà e le esigenze di semplificazione delle micro, piccole e medie imprese, nonché dei liberi professionisti, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento. L'emanazione del decreto non ha risolto, purtroppo, i dubbi e le incertezze interpretative in merito all'applicazione delle norme riferite agli studi medici e odontoiatrici”. La Federazione, come noto, ha rappresentato al Garante per la protezione dei dati personali le criticità comportate dall'applicazione delle nuove disposizioni e chiesto un confronto in materia per chiarire il campo di applicazione del Regolamento UE 2016/679.  


I consigli per essere in regola 

“Chi pensa che per essere in regola basta predisporre moduli e fogli si sbaglia”, sentenzia l’avvocato Stefanelli. “L’intero Regolamento si basa sul principio di Accountability, ovvero di responsabilizzazione di chi è titolare dei dati. Si tratta di prendersi del tempo per seguire con attenzione il percorso del dato e garantirgli la massima sicurezza possibile in tutto il suo percorso. Sembra facile forse scritto così, ma non lo è, non è standardizzabile, ognuno ha una struttura informatica diversa, ognuno ha relazioni gestite in modo diverso, la nuova Privacy è “un vestito su misura” da riprovare ogni anno per adattarlo ai cambiamenti fisiologici”. 

Quindi il primo consiglio dell’Avvocato, è quello di mappare il flusso dei dati, per esempio a chi inviamo i dati dei nostri pazienti (al laboratorio, al commercialista, al service che costruisce l’apparecchio ortodontico trasparente etc) e quali sicurezze abbiamo o dobbiamo adottare per evitare che questi dati finiscano in mani “ignote”. Una volta mappato il flusso dei dati, ci si deve preoccupare di indicare per quali finalità li raccogliamo, per esempio diagnosi, cura, ricerca, monitoraggio, dispositivo vigilanza ecc. In base a questo si potrà capire, per esempio, quale è il fondamento giuridico del trattamento (il consenso, il contratto oppure la legge). 

“Pur non essendo obbligatoria tutta questa analisi di flusso e finalità dovrà essere sintetizzata in un documento in modo da poter dare informazioni precise e dettagliate in caso di controlli”. Lo studio dovrà poi rivedere le proprie informative in modo che rispettino quanto indicato dal GDPR . Nella sezione dedicata al Regolamento europeo su Odontoaitria33 presenti anche fac-simile dei principali documenti utili da approntare.Per quanto attiene alla figura del DPO “non è obbligatorio per gli studi di piccole dimensioni –chiarisce l’avvocato Stefanelli- ma è comunque consigliato nominare un interno che in qualche modo sia il referente privacy. Suggerisco che sia un collaboratore attendo alla materia e appositamente formato e non il titolare dello studio: è la figura in qualche modo deputata a seguire la normativa a verificare periodicamente le informative e le documentazioni dello studio a portare modifiche quando necessario”.

Articoli correlati

L’obbligo violerebbe la privacy dei pazienti che hanno già effettuato i pagamenti. Uno studio di consulenza fiscale evidenza la criticità e presenta un reclamo


Il Garante della Privacy Antonello Soro interviene sui rischi della sanità digitale e sottolineato la necessità di più garanzie


Attenzione ai messaggi ricevuti attraverso PEC, possono contenere programmi malware, a rischio anche quelli che sembrano provenire dall’Agenzia delle Entrate o dall’Ordine


Gli otto mesi di tolleranza previsti dopo l’approvazione del Decreto legislativo di armonizzazione al nuovo regolamento europeo sulla Privacy, sono scaduti ieri 20 maggio. Da oggi potrebbe...


Il medico deve stare tranquillo in tema di privacy, il 2019 - anno di applicazione "a regime" del regolamento europeo "GDPR" - inizia sotto il segno di sindacati che stanno lavorando per metterlo in...


Altri Articoli

Il racconto di un caso di odontoiatria legale consente alla dott.ssa Maria Sofia Rini di portare alcune considerazioni sul rapporto fiduciario medico paziente


Per il presidente CAO Cuneo la questione è il diritto del paziente ad affrontare il pagamento come crede  e senza discriminare il privato verso il pubblico


Organizzato per giovedì 23 gennaio 2020 da ANOMEC a Milano, un evento dal titolo: “Costi di gestione dello studio e convenzioni sanitarie: due realtà incompatibili?”


Circolare FNOMCeO su novità dalla finanziaria. La Federazione mettere in guardia medici e dentisti sui rischi di non avere in studio il Pos


L’imprenditrice Canegrati condannata a 12 anni, pene minori per gli altri imputati. Il sen. Rizzi e l’odontoiatra Longo avevano già patteggiato


 
 
 
 
 
 
 
 
 
 
 
 
 
 

Corsi ECM

 
 
 
 
 
 

I più letti

 
 

Corsi, Convegni, Eventi

 
 
 
 
 
 
 
 

Guarda i nostri video

Guarda i nostri video

Nuove norme su Direttore sanitario e Autorizzazioni