18 Settembre 2018

---

---

Da domani 19 settembre entra in vigore il decreto 10 agosto 2018 sulla privacy e con esso scattano le sanzioni per professionisti ed imprese inadempienti. 

Ma cosa si rischia? 

“Identificare le sanzioni per gli inadempienti è meno semplice di quanto si possa pensare, spiega ad Odontoiatria33 l’avvocato Silvia Stefanelli protagonista dei contributi video nella nostra pagina dedicata al Regolamento europeo. 

“Le sanzioni disposte dal GDPR si intersecano con quelle disposte nuovo Codice privacy (D.Lgs 196/2003 come modificato dal D.Lgs 101/2018): quindi occorre fare un lavoro di coordinamento delle norme piuttosto complesso. Inoltre, avendo il GDPR una architettura giuridica completamente diversa da quella del precedente Codice Privacy, le fattispecie sono quasi tutte nuove, e non sappiamo ancora come il Garante interpreterà il regolamento ed i relativi adempimenti dalla cui violazione potranno scaturire le sanzioni” 

Semplificando, “e di molto”, - dice l’avvocato- vi sono due tipologie di sanzioni, la prima per le mancanze “meno gravi” che prevedono una sanzione fino a 10 milioni euro ed il 2% del fatturato per le grandi imprese. La seconda tipologia di sanzione prevede fino a 20 milioni di euro ed il 4% del fatturato 8art. 83 GDPR). Molto rilevante mettere in luce che il quantum delle sanzioni rispecchia la filosofia del GDPR, ovvero la tutela del soggetto e non la burocratizzazione della norma, ricorda l’avvocato Stefanelli che spiega. “Risulta più grave infatti non rispettare i diritti degli interessati (per esempio inviare informative o campagne di pubblicità a non clienti o cedere a terzi i dati dei propri pazienti) piuttosto che non redigere una dichiarazione o un documento. In sostanza non dare ottemperanza al diritto dell’interessato diventa più rilevante di non aver attuato una misura di sicurezza”. 

Chi effettua i controlli? 

Il Garante per la protezione dei dati personali è l’organo competente ad irrogare le sanzioni, NAS e Guardia di Finanza possono effettuare i controlli che potranno anche nascere da segnalazioni o denunce dei singoli utenti. “Per esempio un paziente potrebbe imputare al suo dentista di aver usato i suoi dati personali in maniera non corretta, ad esempio utilizzando le foto in pubblicazioni senza aver inserito la finalità nell’informativa oppure usando il dato a fini marketing senza avere il consenso”, spiega il legale. Garante poi sul proprio sito internet ogni sei mesi indica le categorie su cui svolgerà i controlli programmati. 

FNOMCeO: ancora presto per parlare di sanzioni

E’ ancora presto per parlare di sanzioni, chiarisce la FNOMCeO in una nota inviata ai presidenti OMCeO e CAO. “Il decreto del 10 agosto prevede che entro sei mesi dalla data di entrata in vigore del decreto le associazioni e gli altri organismi rappresentanti le categorie interessate dovranno sottoporre all'approvazione del Garante per la protezione dei dati personali i codici di condotta”, spiega il presidente CAO Raffaele Iandolo ricordando come FNOMCeO e CAO stiano lavorando sia sul Garante che sul Parlamento per fornire indicazioni praticabili.Ma non solo, da FONCOMeO ricordano come la stessa norma indichi che per i primi otto mesi dalla data di entrata in vigore del decreto in esame, il Garante per la protezione dei dati personali dovrà tenere conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.  

“Occorre considerare –continua la nota FNOMCeO- viste le difficoltà e le esigenze di semplificazione delle micro, piccole e medie imprese, nonché dei liberi professionisti, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento. L'emanazione del decreto non ha risolto, purtroppo, i dubbi e le incertezze interpretative in merito all'applicazione delle norme riferite agli studi medici e odontoiatrici”. La Federazione, come noto, ha rappresentato al Garante per la protezione dei dati personali le criticità comportate dall'applicazione delle nuove disposizioni e chiesto un confronto in materia per chiarire il campo di applicazione del Regolamento UE 2016/679.  

I consigli per essere in regola 

“Chi pensa che per essere in regola basta predisporre moduli e fogli si sbaglia”, sentenzia l’avvocato Stefanelli. “L’intero Regolamento si basa sul principio di Accountability, ovvero di responsabilizzazione di chi è titolare dei dati. Si tratta di prendersi del tempo per seguire con attenzione il percorso del dato e garantirgli la massima sicurezza possibile in tutto il suo percorso. Sembra facile forse scritto così, ma non lo è, non è standardizzabile, ognuno ha una struttura informatica diversa, ognuno ha relazioni gestite in modo diverso, la nuova Privacy è “un vestito su misura” da riprovare ogni anno per adattarlo ai cambiamenti fisiologici”. 

Quindi il primo consiglio dell’Avvocato, è quello di mappare il flusso dei dati, per esempio a chi inviamo i dati dei nostri pazienti (al laboratorio, al commercialista, al service che costruisce l’apparecchio ortodontico trasparente etc) e quali sicurezze abbiamo o dobbiamo adottare per evitare che questi dati finiscano in mani “ignote”. Una volta mappato il flusso dei dati, ci si deve preoccupare di indicare per quali finalità li raccogliamo, per esempio diagnosi, cura, ricerca, monitoraggio, dispositivo vigilanza ecc. In base a questo si potrà capire, per esempio, quale è il fondamento giuridico del trattamento (il consenso, il contratto oppure la legge). 

“Pur non essendo obbligatoria tutta questa analisi di flusso e finalità dovrà essere sintetizzata in un documento in modo da poter dare informazioni precise e dettagliate in caso di controlli”. Lo studio dovrà poi rivedere le proprie informative in modo che rispettino quanto indicato dal GDPR . Nella sezione dedicata al Regolamento europeo su Odontoaitria33 presenti anche fac-simile dei principali documenti utili da approntare.Per quanto attiene alla figura del DPO “non è obbligatorio per gli studi di piccole dimensioni –chiarisce l’avvocato Stefanelli- ma è comunque consigliato nominare un interno che in qualche modo sia il referente privacy. Suggerisco che sia un collaboratore attendo alla materia e appositamente formato e non il titolare dello studio: è la figura in qualche modo deputata a seguire la normativa a verificare periodicamente le informative e le documentazioni dello studio a portare modifiche quando necessario”.