L’AIFA ha aggiornato sul portale istituzionale l’informativa sulla privacy che descrive le modalità di trattamento dei dati personali degli utenti del sito web dell’Agenzia, in conformità con quanto previsto dal nuovo Regolamento europeo sulla tutela della privacy (General Data Protection Regulation – GDPR), divenuto pienamente esecutivo lo scorso 25 maggio, che ha introdotto un nuovo approccio nella gestione dei dati da parte delle organizzazioni pubbliche e private. 

Il GDPR si basa sul principio di accountability (“responsabilizzazione”) in virtù del quale il titolare del trattamento adotta politiche e attua misure adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali effettuato è conforme alle disposizioni del regolamento. 

L’obiettivo è far sì che i proprietari di dati e informazioni detenuti da terzi divengano veri e propri co-decisori nel trattamento di quei dati e non più soggetti passivi. 

Una particolare attenzione viene riservata alla gestione dei dati personali in ambito sanitario, fornendo al cittadino nuovi strumenti per tutelare la riservatezza dei dati sulla propria salute. 

Il GDPR dispone infatti che le strutture sanitarie ottengano il consenso esplicito da parte dei pazienti per qualsiasi tipo di dato raccolto, consenso che può essere revocato in ogni momento.

In particolare, agli interessati è riconosciuto non solo il diritto di consultare e ottenere le cartelle cliniche elettroniche, ma anche di richiederne la cancellazione fisica, nonché quello di conoscere come e per quali scopi i dati vengono utilizzati e archiviati nei registri e nei database sanitari. 

Se i dati vengono utilizzati ai fini della ricerca scientifica, il GDPR richiede al titolare del trattamento di adottare opportune misure tecniche e organizzative. Inoltre, il consenso esplicito per la partecipazione a una singola sperimentazione sarà ancora sufficiente per l'analisi primaria dei dati dello studio, ma l'analisi secondaria o la condivisione dei dati per l’analisi da parte di altri soggetti non sarà possibile senza un nuovo consenso. 

Il nuovo regolamento UE ha modificato anche il quadro sanzionatorio, portando a un inasprimento delle pene per i trasgressori ai quali, in caso di violazione delle regole poste a tutela della privacy, potrebbero essere comminate multe fino a 20 milioni di euro.

Per garantire un controllo completo e informato da parte dei cittadini dell’Unione Europea sui propri dati, sono stati introdotti i concetti di “privacy by design” e “privacy by default”. Questi principi impongono al titolare del trattamento un approccio innovativo prevedendo da subito adeguati strumenti di tutela della riservatezza e stabiliscono che siano trattati soltanto i dati personali indispensabili per ogni specifica finalità del trattamento e per il periodo strettamente necessario.

Ciò significa, ad esempio, che un ospedale non può condividere automaticamente i dati con una compagnia assicurativa o con altri operatori sanitari ma dovrà ottenere preventivamente il consenso da parte dell’interessato, fornendo a quest’ultimo i relativi dati personali in suo possesso, per poi, eventualmente, trasmetterli al soggetto terzo richiedente.

L’AIFA conferma la sua attenzione per la riservatezza e la sicurezza dei dati personali e ritiene che solo attraverso la gestione trasparente ed efficiente di questi ultimi e la corretta informazione ai cittadini si accresca la fiducia nei servizi volti alla tutela della salute nonché la loro sicurezza ed efficacia.

Published on: 23 July 2018