GDPR privacy, si ampliano le definizioni.
Il GDPR (General Data Protection Regulation) è il nuovo regolamento europeo sulla privacy. Il 24 maggio 2016 è entrato in vigore a livello di Comunità Europea e le relative norme diverranno applicative a partire dal 25 maggio 2018.
L’obiettivo principale consiste nel rendere la norma più trasparente a livello europeo, semplificando la gestione “del dato”, nonché norme relative alla libera circolazione di tali dati, per ogni cittadino. Il regolamento porta con sé alcuni aspetti vitali per la compagine sanitaria, primo fra tutti l’uso più efficiente delle risorse disponibili, nonché una maggiore protezione dei dati personali dei pazienti, il tutto per permettere una corretta gestione delle informazioni personali a livello sovranazionale. Ma, in sostanza, che cosa cambia?
Con il nuovo regolamento europeo sulla privacy, le cui norme sono applicative dal 25 maggio 2018, innanzitutto si ampliano le definizioni:
- Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a una o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
- Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rilevano informazioni relative al suo stato di salute.
- Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.
- Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta dati, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
- Consenso: espresso mediante atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Inoltre il consenso che in passato poteva anche essere tacito, diventa obbligatoriamente esplicito e l’utente mantiene il diritto di verificare in ogni istante come esso viene applicato ed, eventualmente, revocarlo in modo semplice.
Il GDPR privacy sulla gestione delle informazioni sanitarie
La gestione delle informazioni sanitarie viene ricompresa nell’articolo 9 – Trattamento di categorie particolari di dati personali – all’interno del quale il trattamento dei dati diviene necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.
Il concetto che più di tutti emerge sul versante sanitario riguarda le prime 2 definizioni su indicate. Nei dati personali relativi alla salute rientrano, d’ora in poi, tutte le notizie riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse al suo stato fisico o mentale passato, presente o futuro dello stesso:
- Dati genetici
- Campioni biologici
- Malattie
- Disabilità
- Trattamenti clinici
- Stato fisiologico o biomedico.
Diviene più stringente anche la normativa inerente la “violazione dei dati”, visto che le aziende saranno obbligate, entro 72 ore dal momento in cui ne vengono a conoscenza, a notificare all’autorità di controllo la violazione dei dati personali, salvo i casi in cui risulti improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
In virtù della suddetta esigenza aziendale, è stato introdotto il concetto di “data protection by design”, grazie al quale il titolare del trattamento predispone misure tecniche ed organizzative adeguate a garantire che siano trattati soltanto i dati personali necessari per ogni specifica finalità del trattamento.
In un mondo oramai digitale, portabile e pieno di “opportunità di cura” diventa un diritto, per l’utente, la portabilità dei dati:
“Ogni cittadino avrà diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali, includendo anche il diritto di richiedere la cancellazione fisica dei propri dati personali all’interno di applicazioni mediche (Antonio D’Addio)”
In ragione delle suddette innovazioni in via di implementazione, trova spazio anche una nuova figura, il responsabile della protezione dei dati (data protection officer-dpo). Egli sarà deputato a vigilare sulla osservanza delle disposizioni regolamentari, nonché a supportare il titolare del trattamento nell’adeguamento alle nuove regole.
Fonte: Nurse24.it