regolamento-privacy-paola-ferrariCosa cambia con il nuovo regolamento sulla privacy? A fornire una guida su come occorre comportarsi per conformarsi alla normativa europea è l’avvocato Paola Ferrari, esperta di diritto sanitario, che ricorda come lo stesso regolamento ponga «con forza l’accento sulla “responsabilizzazione” (accountability) di titolari e responsabili. Ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento». In altre parole, «il titolare del trattamento (persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali) dovrà dimostrare di avere messo in pratica ogni opportuna iniziativa di formazione e ogni attività di protezione ed informatica per proteggere i dati e le informazioni». E, nel caso di danno, allo stesso titolare «spetterà dimostrare l’esistenza delle misure di sicurezza e che il danno si è verificato per cause fortuite». Una delle principali novità è rappresentata dalla nuova figura prevista del Responsabile della protezione dei dati. Tuttavia, essa non è prevista, come confermato dal Garante della privacy, per le farmacie. L’authority ha infatti spiegato che «rappresentando le peculiarità delle farmacie è possibile affermare con certezza che esse non effettuano trattamenti su larga scala e pertanto non devono designare il DPO. Inoltre, per i trattamenti di dati personali effettuati più comunemente dalle farmacie per conto del Servizio sanitario nazionale o regionale, stabiliti e disciplinati a monte da un legge, da un atto amministrativo o da un accordo, non ci sarà bisogno di redigere la DPIA», acronimo di “Data Protection Impact Assessment” ovvero la Valutazione d’impatto sulla protezione dei dati.
Per quanto riguarda poi i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale, il regolamento Ue prevede che essi possano essere trattati se l’interessato ha prestato il consenso o se il trattamento è obbligatorio per legge: ad esempio per ragioni di «interesse pubblico nel settore della sanità». E il caso – specifica l’avvocato Ferrari – della «protezione da gravi minacce per la salute a carattere transfrontaliero» o della «garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Ue o degli Stati membri». La legale consiglia inoltre a chi tratti dati sensibili di attrezzarsi con una serie di misure di sicurezza: «Analisi del rischio, formazione del personale, adozione di programmi privacy designer, password di accesso, sistemi antintrusione per la protezione dei dati (antivirus, separazione dati sensibili dai comuni, ecc.), backup, disaster recovery, prove di ripristino e verifica della conformità ed informative sistemi videosorveglianza e controllo a distanza».

© Riproduzione riservata