06 Settembre

HEALTHCARE

Privacy: pubblicato in G.U. il decreto di adeguamento al GDPR

06/09/2018

E' stato pubblicato in G.U. (n. 205 del 4 settembre 2018) il decreto di adeguamento della normativa nazionale al Reg. 679/2016 (c.d. "GDPR"). Il d.lgs. 101/2018 è costituito di 27 articoli, suddivisi in 6 Capi, di cui i primi 4 sono diretti ad apportare modifiche al Codice della privacy attualmente vigente (d.lgs. 196/2003), che resta, dunque, ad oggi ancora applicabile. Tra le principali novità in ambito sanitario si segnalano l'introduzione di alcuni chiarimenti in merito ai trattamenti di dati personali la cui base giuridica sia costituita dalla necessità di adempiere un obbligo legale o di tutelare un interesse pubblico, nonché l'indicazione dei casi in cui sia possibile la comunicazione dei medesimi dati e impone al Garante della privacy di promuovere l'adozione di regole deontologiche con riferimento a particolari tipologie di trattamento tra cui, ad esempio, il trattamento di dati genetici, biometrici e relativi alla salute, e il trattamento di dati per fini di ricerca scientifica. Inoltre, con riferimento ai dati genetici, biometrici e relativi alla salute, il decreto ne conferma il divieto di diffusione e prevede che il relativo trattamento, oltre ad essere effettuato in conformità a quanto previsto dall'art. 9 del GDPR, debba rispettare le misure di garanzie che saranno disposte dal Garante per la privacy, con cadenza almeno biennale nonché nel rispetto delle prescrizioni contenute nell'art. 2-septies d.lgs. 101/2018. Maggiore tutela dei dati relativi alla salute è prevista anche in caso di accesso agli stessi, consentito solamente se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso sia di rango almeno pari ai diritti dell'interessato, ovvero consista in un diritto della personalità o in un altro diritto o libertà fondamentale. Inoltre, con riferimento ai trattamenti di dati relativi alla salute effettuati per fini di ricerca scientifica, vengono individuati i casi in cui non è necessario richiedere il consenso all'interessato, nonché i casi in cui il trattamento ulteriore per tali fini può essere autorizzato dal Garante (ad esempio, tramite provvedimenti generali) anche in assenza del consenso dell'interessato.

Oltre a significativi interventi sotto il profilo sanzionatorio, il decreto contiene disposizioni transitorie e finali che prevedono, da un lato, l’individuazione e l’aggiornamento da parte del Garante delle autorizzazioni generali ritenute compatibili con il GDPR e, dall’altro, l’applicazione dei provvedimenti ad oggi adottati dall’Autorità in quanto compatibili con la disciplina introdotta dal Regolamento Europeo e dal d.lgs. 101/2018.

Infine, è stabilito che, per i primi otto mesi dalla data di entrata in vigore del decreto (ovvero dal 19 settembre 2018), il Garante per la protezione dei dati personali tenga conto, ai fini dell'applicazione delle sanzioni  amministrative, della fase di prima  applicazione della normativa comunitaria.