DPO: quali compiti e quale responsabilità?
Principio di “accountability” e adeguatezza delle misure di sicurezza
Tra i principi più importanti introdotti dal Regolamento c’è il concetto di responsabilizzazione
(“accountability”) dei titolari del trattamento. Il principio non è previsto dalla direttiva 95/46/ CE ma non è completamente nuovo in quanto già oggetto di analisi da parte del Gruppo di lavoro ex articolo 29 che, nel parere n. 3/2010, raccomandava testualmente “che il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al
regolamento europeo in materia di privacy”.
L’art. 5 del regolamento compie, al paragrafo 1, un lungo elenco dei principi applicabili al trattamento dei dati personali (“liceità”, “correttezza e trasparenza”, “minimizzazione dei dati”, “esattezza”, “limitazione della conservazione”, “integrità e riservatezza”) e, al paragrafo 2, introduce il principio di “accontability”: “il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo”.
Il titolare del trattamento, quindi, non solo, come prescritto dall’art. 25, paragrafo 2, deve mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”, ma ha, come previsto dall’art. 25, paragrafo 1, anche l’obbligo di dimostrare di aver rispettato i principi generali contenuti nel paragrafo 1 e di avere adottato “misure tecniche e organizzative adeguate”.
Data Breach notification
In caso di violazione dei dati personali, l’art. 33 prescrive al titolare del trattamento di notificare la violazione all’autorità di controllo (che, nel nostro Paese, è il “Garante per la protezione dei dati personali”) senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e la libertà delle persone fisiche. La notifica deve contenere una serie di informazioni quali, ad esempio la descrizione della natura della violazione e, se possibile, il numero degli interessati, le probabili conseguenze della violazione, la descrizione delle misure adottate o da adottare per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
La notifica effettuata tardivamente va corredata dei motivi del ritardo. È prevista, dall’art. 34, anche la necessità di darne comunicazione, senza ritardo, direttamente allo stesso interessato quando la violazione è suscettibile di presentare un “rischio elevato” per i diritti e le libertà delle persone fisiche. La comunicazione all’interessato non è però sempre richiesta. Non lo è se: a) il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate di protezione applicate ai dati oggetto di violazione, in particolare quelle destinate a rendere i dati personali incomprensibili ai non autorizzati, quali al cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un “rischio elevato” per i diritti e le libertà degli interessati; c) se la comunicazione richiederebbe “sforzi spropositati”; in tal caso si procede ad una comunicazione pubblica.
I presenti contributi sono tratti da
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento