Novembre Dicembre 2018 - Privacy e "cura" dei dati in sanità

Il Registro delle Operazioni di Trattamento

Pubblicato il Scarica PDF

Filippo Lorè

Dott. Filippo Lorè

Università degli Studi di Bari

Autore Corrispondente:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

 

Negli ultimi mesi è mutata la cornice normativa in materia di protezione dei dati personali con l’entrata in vigore del Regolamento generale sulla protezione dei dati personali UE 2016/679 (anche GDPR) e con il D.Lgs n.101/2018 (1) che ha apportato modifiche al Codice privacy per completare l’adeguamento alle disposizioni del legislatore europeo in materia di protezione dei dati personali. L’esigenza di un intervento legislativo europeo si è avvertita al fine di unificare il quadro normativo per tutti i Paesi dell’Unione tenendo dovutamente conto della straordinaria evoluzione tecnologica alla quale la società assiste. Quest’ultima pone, tra gli altri, nuove sfide per la sicurezza del dato, aumentando contestualmente l’attenzione e la cultura a tutela della riservatezza, dell’identità personale e della protezione dei dati personali.

Tra i numerosi obblighi introdotti, si approfondirà quello legato alla redazione del registro delle operazioni di trattamento, espressamente previsto dall’art. 30 del GDPR.

Risulta evidente, sulla scorta di quanto ampiamente trattato nella rubrica dedicata in questa rivista, che tale obbligo risponde al principio di accountability (2), ragion per cui agli attori principali della normativa privacy è richiesta l’adozione di misure tecniche-organizzative per dimostrare la piena adesione alle disposizioni contenute nel Regolamento UE 2016/679.

L’art. 30, par. 5, traccia alcuni casi nei quali l’obbligo richiamato verrebbe meno, vale a dire per quei soggetti, quali imprese o associazioni con meno di duecentocinquanta dipendenti; con riferimento, invece, alle strutture sanitarie la tenuta del Registro delle attività diviene obbligatorio, considerato che queste trattano, oltre alle informazioni di carattere personale, dati di natura particolare che, ai sensi dell’art. 9, par. 1 del GDPR (dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) mettono in serio pericolo i diritti e le libertà fondamentali degli assistiti.

Alla luce di quanto sin qui rappresentato, la tenuta del registro è un adempimento necessario, indispensabile per ogni valutazione e analisi del rischio, espressamente previsto per il titolare e il responsabile del trattamento, ove nominato (art. 28 del Regolamento UE 2016/679), utile sia a tenere aggiornata per iscritto, in maniera dinamica (in virtù del fatto che le operazioni inerenti il trattamento possono variare in base alle attività poste in essere dall’Ente) e in modalità  cartacea o elettronica, la mappatura dei trattamenti effettuati sotto la propria responsabilità per poi mettere a disposizione detto registro, su richiesta dell’Autorità di controllo, al fine di monitorare i trattamenti qualora se ne rappresenti la necessità.

Una volta definita la cornice normativa, si devono definire gli aspetti tecnici e sostanziali del Registro delle operazioni di trattamento. L’art. 30, par. 1, descrive in maniera tassativa le informazioni del titolare del trattamento che devono essere contenute all’interno dello stesso (3):

  • il nome e i dati di contatto del titolare del trattamento (di un eventuale contitolare del trattamento, del rappresentante del titolare del trattamento) e del responsabile della protezione dei dati personali, figura espressamente introdotta dall’art. 37 del GDPR di cui si è parlato negli scorsi numeri della rivista;
  • le finalità del trattamento, dove distinguere le tipologie di trattamento (es. trattamento dei dati del personale dipendente nella gestione del rapporto di lavoro, trattamento dei dati personali). Oltre alle finalità in senso stretto, risulta necessario inserire l’idonea base giuridica che giustifica il trattamento dei dati personali; l’art. 6 del Regolamento UE 2016/679 prevede una serie di condizioni (consenso informato, obbligo legale, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e lettimi interesse) al decorrere di una delle quali il trattamento è lecito.
  • la descrizione delle categorie di interessati e delle categorie di dati personali, nelle quali inserire le tipologie di interessati (ad es. fornitori, dipendenti, ecc.) e le tipologie di dati personali oggetto di trattamento (es. dati sanitari, dati biometrici, dati genetici, ecc.);
  • le categorie di destinatari a cui i dati sono stati o saranno comunicati, dove saranno inserite per macrocategorie, eventuali altri titolari cui saranno comunicati dati personali (ad es. l’INAIL per i fini assicurativi o l’INPS per i fini previdenziali), responsabili del trattamento (la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare) ed eventuali sub-responsabili. Tale voce assume una rilevanza strategica poiché consente di tenere sotto controllo la lista dei soggetti esterni cui vengono affidate determinate operazioni di trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, al cui interno dovrà essere riportata ogni informazione relativa ai trasferimenti di dati personali;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati al cui interno dovranno essere inseriti e previsti i tempi di cancellazione in base alle tipologie e alle finalità di trattamento (data retention).
  • la descrizione generale delle misure di sicurezza, andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del Regolamento UE 2016/679. Tale campo, in virtù del sempre più avanzato progresso tecnologico, dovrà essere periodicamente aggiornato.

 

Il principio di accountability impone al titolare del trattamento l’adozione di misure tecniche-organizzative per garantire un livello di sicurezza adeguato al rischio.  Elemento nuovo questo, che si rileva nell’art. 32, in quanto la responsabilità del titolare non riguarda solo la valutazione del rischio al quale commisurare misure organizzative e tecniche, ma anche l’obbligo che esse assicurino un adeguato livello di sicurezza e, con riferimento ai trattamenti digitali e massivi di dati, sono indicati accorgimenti quali la pseudonimizzazione e la cifratura per ovviare indicenti fisici o tecnici nell’accesso ai dati personali.

Valutate nel loro complesso, le misure di sicurezza elencate nell’art. 32, pienamente coerenti con il richiamo ribadito nei Considerando 6 e 7, dimostrano che lo scopo primo del Regolamento UE 2016/679 è la protezione della riservatezza finalizzata anche ad evitare accessi indebiti o perdite di dati (4).

Il GDPR, inoltre, contiene, tra le altre, due norme, quali gli artt. 28 e 29 (persona autorizzate al trattamento dei dati personali), che definiscono in modo dettagliato gli obblighi del responsabile del trattamento. In particolare, l’art. 28 esplicita che il responsabile, cui il titolare affida per iscritto tutto o parte del trattamento, deve fornire garanzie sufficienti in ordine al rispetto delle norme e delle buone pratiche in materia di protezione dei dati personali.

Ciò evidenziato, l’art. 30, paragrafo 2 del Regolamento prescrive che ogni responsabile tiene un registro delle operazioni per conto del titolare. Nello specifico, alla stessa stregua di quanto accade per il titolare, tale adempimento deve contenere tassativamente:

  • il nome e i dati di contatto del responsabile del trattamento, del titolare per il quale tratta dati e, ove previsto, del responsabile della protezione dati personali;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti verso un paese terzo o un’organizzazione internazionale;
  • ove possibile, una descrizione delle misure di sicurezza di cui all’art. 32 del Regolamento UE 2016/679.

Il ruolo del titolare si fa ben definito all’interno del Regolamento UE 2016/679, sulla sua figura si impernia il dovere di assicurare che il trattamento sia conforme alle disposizioni normative e che non violi i diritti e le libertà fondamentali delle persone fisiche, ponendo in essere puntuali attività di audit finalizzate alla verifica dell’adeguatezza delle misure tecniche e organizzative utilizzate.

 

Note e Sitografia

  1. D. Lgs 30 giugno 2003, n.196 integrato con le modifiche dal D.Lgs 10 agosto 2018, n.101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679, versione rinvenibile sul sito del Garante per la protezione dei dati personali, www.garanteprivacy.it
  2. Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali (https://www.garanteprivacy.it/web/guest/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili)
  3. Considerando 82 al Regolamento UE 2016/679, Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.
  4. Considerando 6 al Regolamento UE 2016/679, La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.
  5. Considerando 7 al Regolamento UE 2016/679, Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.