Ti trovi in:

25/05/2018 - fonte: UOC Affari Generali e Legali

Regolamento europeo in materia di protezione dei dati personali 2016/679


Dopo il lungo iter di approvazione, il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali 2016/679 e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Il Regolamento, vigente 20 giorni dopo la pubblicazione in GUUE, diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

La Direttiva, invece, è vigente dal 5 maggio 2016, e da qual momento impegna gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro due anni.

Il Regolamento europeo (GDPR), che mira principalmente ad adeguare le norme di protezione dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie, “porta grandi novità sul piano della tutela dei diritti e degli strumenti previsti per responsabilizzare maggiormente le imprese stabilendo, al contempo, significative semplificazioni” “…soprattutto raggiunge l’ambizioso obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, eliminando definitivamente le numerose assimetrie che si erano create nel tempo”, come spiega il Garante.

Il nuovo Regolamento europeo lascia gli Stati membri liberi di adattare, quando possibile, i principi e le disposizioni previste con quelli applicati nei singoli Stati e rinnova alla luce delle nuove istanze, soprattutto tecnologiche, i consolidati principi che avevano portato all’adozione della direttiva 95/46/UE e ne introduce di nuovi.

Anche lo sviluppo normativo in ambito europeo conferma come sia ormai imprescindibile il cammino, già delineato, verso il cambiamento di mentalità che porti alla piena tutela della privacy, da considerare non solo come un oneroso rispetto di adempimenti burocratici, ma, soprattutto, come garanzia, per il cittadino che si rivolge alle strutture sanitarie, di una riservatezza totale dal punto di vista reale e sostanziale.

Il diritto alla privacy è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertà fondamentali e della dignità.

Per questi motivi la cultura della privacy necessita di crescere e rafforzarsi, principalmente fra gli operatori della sanità, perché solo con la conoscenza minima dei principi fondamentali che stanno alla base della vigente normativa potranno essere adottati correttamente tutti gli adempimenti di legge, nel trattamento di dati di competenza, con la consapevolezza di non affrontare un inutile gravame, bensì di contribuire concretamente al miglioramento della qualità del rapporto con l’Utenza.

I nuovi adempimenti previsti dal Regolamento comportano una intensa attività di organizzazione a carico delle amministrazioni pubbliche.

Il Garante per la protezione dei dati personali suggerisce a quest’ultime, attraverso una scheda informativa, di avviare con assoluta priorità:

  • la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39), noto anche con l’acronimo inglese “DPO” (Data Protection Officer); 
  • l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171); 
  • la notifica delle violazioni dei dati personali (c.d. Data Breach, artt. 33 e 34).

Con la deliberazione n. 416/2018 l’azienda, nel contesto di adesione ad una specifica iniziativa regionale, ha provveduto a nominare il RPD 

Responsabile della Protezione dei dati personali (RPD o Data Protection Officer) è: l’avv. Piergiovanni Cervato, contattabile al numero di telefono 049/714975 e all’indirizzo email: rpd_ssrveneto@cervato.it

Istituzione del registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30 del RGPD. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Con la medesima deliberazione l’azienda ha istituito il registro dei trattamenti.

Data Breach

Ogni Interessato, utilizzando l’apposito indirizzo mail può segnalare al Titolare e al Data Protection Officer un possibile caso di violazione dei dati personali.

In tali casi l’Azienda avvia le necessarie procedure e, avvalendosi della collaborazione dei Responsabili del trattamento, accerta l’effettivo stato dell’arte.

L’ULSS provvede a notificare attraverso il Data Protection Officer la violazione all'Autorità Garante Privacy senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà degli Interessati.

Informativa       

Vai alla nuova informativa generale aziendale.

Casi particolari       

L'interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell'interessato per costituire un valido fondamento di liceità.

Il regolamento chiarisce espressamente che l'interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

Il Garante ha comunque confermato, nella sostanza, i requisiti indicati nei propri provvedimenti in materia di bilanciamento di interessi con particolare riferimento agli esiti delle verifiche preliminari condotte dall'Autorità; tra questi, quello relativo al trattamento dei dati mediante videosorveglianza.
Vai all’informativa generale in tema di videosorveglianza.

Riferimenti ulteriori

 

 

Torna all'inizio della pagina