Privacy e GDPR : gli errori più frequenti

L’acronimo GDPR fa riferimento alla denominazione inglese di quello che in italiano è il Regolamento Generale sulla Protezione dei Dati, un regolamento europeo in materia di trattamento dei dati personali e privacy delle persone fisiche, in vigore dal 2016 e recepito dall’Italia con il decreto legislativo n. 101/2018. 

La normativa del regolamento è vincolante per tutti i titolari del trattamento di dati personali di cittadini europei o comunque residenti sul territorio europeo, anche se non hanno sede legale sul territorio dell’Unione.

Caratteristiche principali del GDPR

Tra gli obblighi previsti, i più importanti e rilevanti sono:

  • articolo 7: la richiesta di consenso al trattamento dei dati deve essere formulata in forma chiara
  • articolo 37: ciascuna azienda ha l’obbligo di designare un responsabile protezione dati

Sono previsti inoltre:

  • il diritto all’oblio: gli utenti possono chiedere in qualunque momento la rimozione dagli archivi di dati che li riguardano
  • In caso di data breach, ovvero di fuga di informazioni sensibili, l’obbligo di comunicazione agli interessati, entro 72 ore

Utilità ed errori frequenti

Il GDPR ha fatto chiarezza riguardo a moltissimi aspetti della gestione dei dati personali e, contrariamente a quanto si crede, ha portato a una semplificazione della materia.

L’applicazione del Regolamento presenta però ancora delle difficoltà e molti sono gli errori che di tanto in tanto vengono commessi.

Uno dei più frequenti è quello di utilizzare un numero eccessivo di richieste di consenso, spesso inutilmente prolisse e ridondanti, anziché chiare e semplici come richiesto dal Regolamento. 

Il GDPR per le strutture mediche

In ambito sanitario, poiché si opera sui dati relativi alla salute, è fondamentale una corretta applicazione del GDPR. 

I dati personali sanitari rientrano per il regolamento nella categoria dei dati personali particolari e il loro trattamento è legittimo solo per finalità connesse alla salute e alla ricerca nel pubblico interesse o alla supervisione da parte del Servizio Sanitario Nazionale. 

Questo comporta che le strutture e gli operatori sanitari non abbiano l’obbligo di richiedere ai pazienti il consenso scritto sul trattamento dei dati personali quando questi vengono richiesti e raccolti per finalità terapeutiche, cioè di diagnosi, assistenza sanitaria o somministrazione di terapie.

Il consenso scritto non è necessario neppure quando i dati vengono raccolti a fini statistici o con lo scopo di tutelare la salute collettiva. 

Il consenso deve essere invece richiesto ogni qualvolta si intenda utilizzare i dati a fini pubblicitari o di marketing.

GDPR: utilità ed errori frequenti nell’ambito sanitario

Vediamo, in sintesi, quali altre novità sono previste dal regolamento, soprattutto con riferimento agli operatori sanitari.

– Il GDPR non ha modificato gli obblighi di conservazione della documentazione sanitaria i cui tempi devono essere comunicati al paziente

– La nomina di un Responsabile protezione dei dati è obbligatoria per le Aziende Sanitarie Pubbliche appartenenti al SSN e per le strutture sanitarie private che raccolgono dati su vasta scala, ad esempio ambulatori polispecialistici e cliniche; non lo è per i professionisti sanitari che esercitano la professione a titolo individuale

– È obbligatoria per tutti gli operatori sanitari, anche dunque per i singoli medici, la tenuta del Registro delle attività di trattamento in cui devono essere annotate le principali informazioni riguardanti il trattamento dei dati personali

Privacy e GDPR in ambito medico

L’epoca attuale, caratterizzata da un ampio utilizzo della tecnologia, ha comportato la diffusione di forum medici online e di app per il monitoraggio dello stato di salute.

Nel primo caso, a fare la differenza è il tipo di funzionamento del sito web.

Se il sito prevede la registrazione dell’utente, è necessario fornirgli un’informativa sulla privacy e richiedere il suo consenso.

Se il sito non prevede registrazione, non è necessario richiedere il consenso degli utenti ed è sufficiente adottare delle misure minime di sicurezza.

Per quanto riguarda le App mediche, se sono finalizzate all’erogazione di servizi medici a distanza, non è necessario richiedere preliminarmente il consenso del paziente. 

Un discorso simile si può fare con riferimento al Fascicolo Sanitario Elettronico: questo viene attivato nel momento in cui il paziente dà il suo consenso all’alimentazione e alla consultazione del fascicolo stesso. 

Come si vede, dunque, in alcuni casi la normativa del GDPR ha snellito le procedure relative al trattamento dei dati personali in ambito sanitario e molti errori derivano semplicemente da una sua scarsa conoscenza. 

Per chi volesse approfondire l’argomento, il testo completo del Regolamento è disponibile al seguente  indirizzo: https://www.itgovernance.eu/it-it/gdpr-testo-completo   

PARABOLIC s.r.l.

Sede Legale: Via Saragat, 1 20835 Muggió MB

Sede Operativa: Via Savona, 7 20831 Seregno MB

Facebook-f Instagram Linkedin Youtube

© 2021 Parabolic s.r.l. | Nr. REA: CR – 198673 | P.I.: 11086940969 | SDI: WP7SE2Q | Site Map | Privacy Cookies Policy