Il trattamento dei dati sanitari da parte dei commercialisti alla luce del nuovo GDPR

GDPR Accountability

Il dato diventa un bene che va tutelato a sé, e il titolare diventa il solo responsabile dei trattamentie deve dimostrare di di aver valutato i rischi connessi al trattamento dei dati e di aver adottato tutte le misure idonee a garantire la tutela del dato: tenendo conto degli strumenti tecnologici a disposizione del titolare, dei costi di attuazione e dei rischi, il titolare dovrà mettere in atto misure tecniche e organizzative adeguate a garantire la protezione dei dati (trattare solo i dati necessari alle proprie finalità e limitarne l’accesso alle sole persone che ne fanno uso per la propria attività all’interno dell’organizzazione).Per dimostrare la conformità del trattamento il titolare deve adottare la Privacy by default, cioè un sistema di corretta organizzazione, documentazione e tracciabilità durante il trattamento dei dati (processi gestionali e policy interne, il registro dei trattamenti o l’adesione a codici di condotta o meccanismi di certificazione), e la Privacy by design, cioè l’uso di sistemi informatici con il quale vengano trattati dati personali che dev’essere progettato e realizzato in modo tale da garantire la tutela del dato stesso.

DATI

Qualunque informazione relativa ad una persona fisica identificata o identificabile, anche indirettamente, attraverso altre informazioni.

Dati personali idonei a rivelare l’origine razziale ed etnica, le convenzioni religiose e filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti e sindacati o ad associazioni e organizzazioni a carattere religioso, filosofico, politico, sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vitasessuale.

Dati personali che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale.

Dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenzasanitaria, che rivelano informazioni relative al suo stato di salute.

Dati personali

Dati sensibili

Dati giudiziari

Dati sanitari

Dati biometriciDati personali che consentono o confermano l’identificazione della persona in maniera univoca.

Dati geneticiDati personali relativi alle caratteristiche genetiche ereditarie o acquisite che forniscono informazioni univoche sulla fisiologia o lo stato di salute di detta persona fisica

SOGGETTI

Titolare

Incaricato

Interessato

Persona, fisica o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono, anche unitamente ad altro Titolare, le decisioni in ordine alle finalità e modalità del trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

Persona fisica autorizzata a compiere operazioni di Trattamento sulla base delle istruzioni ricevute dal Titolare e/o dal Responsabile

ResponsabilePersona, fisica o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo, preposti dal Titolare al trattamento

Persona fisica titolare dei dati

I diritti dell’interessato� ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, anche se non

ancora registrati, e la loro comunicazione in forma intelligibile (diritto di accesso). In particolare l’interessato ha diritto di accedere alle seguenti informazioni: a) finalità del trattamento; b) categorie di dati personali in questione; c) soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati; d) il periodo di conservazione dei dati personali o i criteri utilizzati per determinare tale periodo; e) l‘esistenza del diritto dell’interessato di chiedere al titolare la rettifica o la cancellazione dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo all’autorità di controllo; g) l’informazione sull’origine dei dati, qualora non raccolti presso l’interessato; h) l‘esistenza di un processo decisionale automatizzato, compresa la profilazione, e in tali casi almeno la logica utilizzata; i) il diritto di essere informato delle garanzie esistenti qualora i dati personali siano trasferiti ad un paese terzo; l) il diritto di ottenere una copia dei dati personali oggetto di trattamento;

� ottenere la rettifica ovvero, quando vi ha interesse, l'integrazione dei dati (diritto di rettifica);

� ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo (diritto all’oblio);

� ottenere la limitazione del trattamento (diritto di limitazione di trattamento);

� ottenere l'attestazione che le operazioni di cui sopra sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o sproporzionato;

I diritti dell’interessato� il diritto di ricevere i propri dati in un formato strutturato di uso comune e leggibile

meccanicamente al fine di riutilizzarli per altri scopi e attraverso servizi diversi e il diritto di trasmettere i propri dati da un Titolare a un altro senza impedimenti (diritto alla portabilità);

� il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, trattamento dei dati personali che La riguardano, compresa la profilazione. Qualora i dati siano trattati per finalità di marketing diretto, l’interessato ha diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano per tali finalità (diritto di opposizione);

� il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo in modo significativo sulla sua persona;

� il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceitàdel trattamento basata sul consenso prestato prima della revoca, qualora il trattamento si basi sull’art. 6 par. 1, lett. a) Reg. UE oppure sull’art. 9 par. 2, lett. a) Reg. UE;

� in determinate situazioni, il diritto di ricevere comunicazioni in merito all’avvenuta violazione dei propri dati personali.

ALTRE DEFINIZIONI

Trattamento

Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di Dati personali, anche se non registrati in una banca dati

Gli adempimenti necessario e/o opportuni per il commercialista

Predisposizione informativa e raccolta del consenso

Tenuta del registro trattamenti

Nomina del Data Protection Officer

Conservazione dati

Organizzazione Studio e nomina responsabili esterni

Art. 6 GDPR

� Un trattamento di Dati Personali è lecito se e nella misura in cui è permesso ai sensi del GDPR. Se il Titolare del Trattamento non agisce in virtù di una base giuridica legittima prevista dal GDPR e non sussistono esenzioni, il trattamento è illecito e si rischia di incorrere in sanzioni.

� Attenzione: il Titolare, indipendentemente dalla propria natura giuridica e dal settore in cui opera, è sempre tenuto a trattare i Dati in modo lecito. Il GDPR obbliga i Titolari ad esporre nell’informativa privacy le ragioni che giustificano il trattamento e gli scopi del Trattamento.

La liceità del trattamento

Le condizioni di legittimità indicate dal GDPR sono 4:

�Il consenso e cioè la volontà libera, specifica e informata manifestata dall’Interessato affinché i suoi Dati personali siano fatti oggetto di Trattamento.

�L’esecuzione di un contratto.

�L’adempimento di un obbligo legale.

�L’esecuzione di un compito di interesse pubblico.

�Il perseguimento di un interesse legittimo (questa condizione non si applica alla PA nell’adempimento e svolgimento delle sue funzioni).

Il trattamento di Dati Sensibili presuppone sempre il consenso dell’interessato.

L’informativa

Documento contenete le informazioni che il Titolare deve fornire all’Interessato per chiarire se quest’ultimo è obbligato o meno a rilasciare i dati personali, le conseguenze di un eventuale rifiuto al rilascio dei dati personali, quali sono le finalità e le modalità del trattamento, i soggetti che entrano in contatto con i suoi dati personali, come circolano i dati personali e in che modo esercitare i diritti riconosciuti dal GDPR

Il contenuto dell’informativa

� identità e dati di contatto del Titolare;

� Finalità e base giuridica del trattamento;

� Destinatari e categorie di destinatari dei dati trattati;

� Il periodo di conservazione dei dati;

� I diritti dell’interessato.

Il consenso

� Il consenso deve essere specifico, cioè intellegibile. A fronte di una chiara indicazione della Finalità e delle conseguenze del Trattamento, il Consenso viene rilasciato con riferimento a detto Trattamento specifico.

� Il consenso deve essere informato: l’Interessato deve ricevere tutte le informazioni necessarie per capire in cosa consiste il Trattamento e per quali finalità è effettuato.

� Non si ritiene validamente ottenuto il Consenso se l’Interessato non ha scelto in modo libero e genuino di prestarlo o se non ha la possibilità di rifiutarsi al Trattamento dei Suoi Dati o se non può revocarlo quando vuole senza subire alcun danno.

Manifestazione e raccolta del Consenso

� Il GDPR chiarisce che il Consenso è il risultato di un comportamento attivo o di una dichiarazione positiva dell’Interessato.

� E’ riconosciuta la validità di un diffuso numero di metodi per raccogliere il consenso dell’Interessato.

� E’ invece esclusa l’ipotesi del silenzio – assenso, delle caselle pre-selezionate su internet e l’inattività come forme lecite di raccolta del consenso.

Manifestazione e raccolta del Consenso

Consigli Pratici

�I titolari devono assicurarsi che gli Interessati siano debitamente informati, prima di rilasciare il Consenso, su che cosa consiste il Trattamento;

�I Titolari del Trattamento sono tenuti ad adottare meccanismo diraccolta del Consenso che siano ben parametrati sulla natura del consenso richiesto,

�Non possono essere previsti meccanismi di silenzio-assenso, acquiescenza passiva o box preselezionati sui siti internet del Titolare.

�I Titolari sono obbligati a prevedere meccanismi che assicurino agli interessati la revoca immediata del Consenso

Manifestazione e raccolta del Consenso

Consigli Pratici

�Il consenso della persona al trattamento dei dati sanitari deve essere pertanto raccolto all’inizio del rapporto assistenziale e vale, per le stesse finalità per le quali è stato autorizzato, a tempo indeterminato. Questo significa che se l’ostetrica intende utilizzare i dati della paziente per finalità diverse e ulteriori rispetto a quelle originarie deve integrarel’informativa e acquisire un ulteriore consenso specifico.

SOGGETTIData

ProtectionOfficer(DPO)

Ha compiti specifici:•Informare e fornire consulenza al Titolare del trattamento nonché ai dipendenti che eseguono il trattamento•Predisporre relazioni periodiche per il management•Sorvegliare l’osservanza del Regolamento e di tutte le altre disposizioni anche nazionali in materia di protezione dei dati•Vigilare che il Titolare ed il Responsabile conferiscano nomine a soggetti adeguati•Verificare l’adozione di policy adeguate•Sensibilizzare e formare il personale che partecipa ai trattamenti e alle attività di controllo•Assistere il Titolare nello svolgimento della valutazione di impatto•Predisporre e mantenere aggiornato il registro dei trattamenti•Cooperare con l’Autorità di controllo

SOGGETTIData

ProtectionOfficer(DPO)

E’ obbligatoria solo in alcuni casi:•Se il titolare è un soggetto pubblico;•Se l’attività principale del Titolare consiste in trattamenti che, per loro natura, ambito di applicazione o finalitàcomportano il monitoraggio regolare e sistematico degli interessati “su larga scala”,•se l’attività principale del Titolare consiste in trattamenti regolari e sistematici di dati particolari o giudiziari.

La nomina del DPO

E’ obbligatoria solo in alcuni casi:

•Se il titolare è un soggetto pubblico;

•Se l’attività principale del Titolare consiste in trattamenti che, per loro natura, ambito di applicazione o finalità comportano il monitoraggio regolare e sistematico degli interessati “su larga scala”,

•se l’attività principale del Titolare consiste in trattamenti regolari e sistematici di dati particolari o giudiziari.

La nomina del DPO

In materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali, il Garante ha evidenziato che: “si vanno diffondendo schemi di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall’art. 42 del Regolamento (UE) 2016/679), rilasciate anche all’esito della partecipazione ad attività formative e alla verifica dell’apprendimento, se possono rappresentare, al pari di altri titoli, uno strumento per valutare il possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del DPO, né, allo stato, possono sostituire in toto la valutazione della p.a. nell’analisi del possesso dei requisiti del DPO necessari per svolgere i compiti da assegnargli in conformità all’art. 39 del Regolamento (UE) 2016/679”.

Il registro dei trattamenti

Il registro dei trattamenti contiene tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

Il registro dei trattamenti (segue)

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

Il registro dei trattamenti (segue)

Per ciò che concerne il trattamento dei dati sanitari, tutte le strutture sanitarie in qualitò di titolari del trattamento dati nonché tutte /e imprese che rivestono il ruolo di Responsabili de/ trattamento dati in quanto trattano dati particolari per conto di strutture sanitarie, dovranno dotarsi obbligatoriamente di un registro dei trattamenti.

Sono da ritenersi esclusi da tale elenco gli studi sanitari professionali che non trattano dati particolari per conto di strutture sanitarie.

Consigli pratici

Si consiglia, anche solo a titolo precauzionale, di creare e gestire tali registri.

Il responsabile del trattamento

L’art. 4 par. 8 del GDPR definisce il responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare”.

Il responsabile del trattamento è dunque colui che con una discrezionalità più o meno ampia nella definizione del modus, persegue le finalità di trattamento definite dal titolare.

L’elemento che consente quindi di qualificare un soggetto come responsabile del trattamento è rappresentato dalla strumentalità della sua attività rispetto ai fini del titolare.

Misure organizzative

� la pseudonimizzazione e la cifratura dei dati personali, ovvero la anonimizzazione;

La pseudonimizzazione mira a rendere più difficile l’identificazione dell’interessato perché rende più complessa la diretta riconducibilità a questi di una informazione che lo riguarda. Il dato pseudonimizzato, dunque, non può essere collegato ad una determinata persona se non per il tramite di dati ed informazioni ulteriori da archiviare separatamente.

La anonimizzazione opera mediante tecniche particolari: la randomizzazione o la generalizzazione. La prima consiste in particolari operazioni (hasting, subsampling e noiseinjection) per “sporcare” i dati, rendendo impossibile risalire dal set di dati contenuti in un database alla persona che li ha generati. La seconda consiste invece consiste nel diluire gli attributi dell’interess

� la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

Misure organizzative

� la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

� una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

� Utilizzo di armadi possibilmente ignifughi e chiusi a chiave, con adozione di una procedura per la gestione dell’accesso ai dati contenuti negli armadi.

Misure di sicurezza informatica

� I software utilizzati devono essere sempre aggiornati.

� I Sistemi Informatici (ivi inclusi tutti i computer, altri dispositivi e i server) devono essere protetti da adeguati anti-virus di ultima generazione (quali, ad esempio, anti-virus “comportamentali”), firewall e software di sicurezza. Gli anti-virus, firewall e software di sicurezza dovranno essere mantenuti aggiornati all’ultimo aggiornamento di tali software disponibile;

� I supporti esterni impiegati dagli Utilizzatori per trasferire file devono essere sottoposti a scansione anti-virus prima che un file possa esservi memorizzato. La scansione anti-virus dovrà essere effettuata automaticamente alla connessione o all’inserimento del supporto nel dispositivo

Misure di sicurezza informatica

� Qualsiasi file inviato a terzi tramite e-mail, su supporto fisico o con altri mezzi (ad esempio, FTP o cloud condiviso) deve essere sottoposto a scansione anti-virus prima di essere inviato o nel corso del processo di invio, a seconda dei casi;

� i Sistemi Informatici devono essere collocati in locali che possano essere chiusi in modo sicuro quando non utilizzati;

� I Sistemi Informatici non destinati al normale uso da parte degli Utilizzatori (inclusi, ma non limitati a, server, apparecchiature di rete e infrastruttura di rete) devono essere collocati, ove possibile, in stanze protette e climatizzate e/o in armadi chiusi a chiave. A tali locali possono accedere soltanto i soggetti appositamente autorizzati.

Misure di sicurezza informatica

� Sui Sistemi Informatici devono essere implementate le misure di segregazione (quali, ad esempio, la segregazione delle aree all’interno del server e delle reti) e di limitazione di accesso;

� devono essere definiti profili di abilitazione e identificazione basati su credenziali e password di protezione che consentano agli Utilizzatori di accedere ai Sistemi Informatici nei limiti di quanto loro necessario allo svolgimento delle relative mansioni lavorative, ovvero dei compiti e dei servizi di cui sono stati incaricati.

Misure di sicurezza informatica

� Le password utilizzate sui Sistemi Informatici e nei profili di abilitazione e identificazione devono, laddove il software, il computer o il dispositivo lo consentano:

� essere almeno sette caratteri;

� contenere una combinazione di almeno tre dei seguenti caratteri: lettere maiuscole, lettere minuscole, numeri e altri caratteri non alfanumerici;

� essere modificate almeno ogni mese;

� qualora modificate, essere diverse dalle password usate in precedenza;

� non essere ovvie o facilmente intuibili o identificabili (ad esempio, compleanni o altre date significative, nomi, eventi o luoghi, ecc.);

� essere create dai singoli Utilizzatori.

� I Sistemi Informatici con display o altri dispositivi esterni (ad esempio, mouse, tastiera, touchscreen ecc.) devono essere protetti, se possibile, mediante un sistema cdi blocco che si attivi automaticamente dopo 15 minuti di inattività.

La contitolarità� Quando, con riferimento ad un singolo Trattamento, due o più entità

decidono e determinano congiuntamente le Finalità e i mezzi del Trattamento, queste sono contritolari del Trattamento.

� In molte circostanze, un Trattamento viene ad articolarsi in una serie di operazioni e/o attività svolte ciascuna delle quali da due o più Titolari differenti, ma tra loro collegati.

� Il GDPR obbliga i contitolari a sottoscrivere un accordo interno con cui vengono ripartite le responsabilità e stabiliti i ruoli dei soggetti.

� Il contenuto dell’accordo deve essere sintetizzato e messo a disposizione degli Interessati.

� Il GDPR rende i contitolari pienamente responsabili nei confronti dell’Interessato.

Il GDPR e gli organismi di vigilanza� La legge n. 231/2001 (all’articolo 6.1, lettera b) chiarisce che

l’Organismo di Vigilanza, è“un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” sull’efficace attuazione da parte dell’ente del Modello di Organizzazione, Gestione e Controllo.

� Dal canto suo, il Collegio sindacale vigila ai sensi degli articoli n. 2403 e n. 2403-bis del Codice Civile anche mediante atti di ispezione e di controllo che possono essere condotti dai sindaci tramite propridipendenti ed ausiliari, sull’osservanza della legge e dello statuto, nonché sull’adeguatezza e sul regolare funzionamento dell’assetto organizzativo, amministrativo e contabile della società di cui nel contempo costituisce organo, seppure di vertice.

Il GDPR e gli organismi di vigilanza

Occorre verificare se tali organi di controllo operino trattamenti autonomi rispetto a quelli della società nei cui confronti esercitano la vigilanza, e pertanto si qualifichino a loro volta come titolari, oppure agiscano in qualità di responsabili nell’ambito di trattamenti riconducibili alla titolarità della società soggetta al controllo.

Il GDPR e gli organismi di vigilanza� l’ente e il relativo organo di vigilanza sono titolari autonomi e correlati

dei rispettivi trattamenti finalizzati – in ultima analisi –alla compliance alle norme applicabili da parte dell’ente; ruoli da cui discendono responsabilità ed oneri distinti in ordine all’adempimento della normativa in materia di protezione dei dati personali.

� Ente “controllato” e organismo di controllo saranno dunque destinatari di adempimenti distinti:

1. Tutti gli obblighi connessi all’informativa agli interessati e al consenso ove necessario dovranno essere assolti dall’ente, che indicheràl’organo in questione tra i soggetti da esso utilizzati ai fini diadempimento delle norme;

Il GDPR e gli organismi di vigilanza

� Resteranno invece a totale carico dell’organismo gli altri adempimenti, quali:

1. l’adozione di misure di sicurezza adeguate ed efficaci,

2. la nomina di eventuali responsabili,

3. la formazione, istruzione e controllo delle persone fisiche incaricate di eseguire materialmente le operazioni di trattamento

4. ma anche – nell’ottica delle nuove norme introdotte dal GDPR – tutti gli oneri legati all’attuazione dell’accountability, in termini sia di obbligo di valutazione d’impatto, individuazione ed adozione di prassi per attenuare il rischio oppure – ove questo non fosse attenuabile – consultazione dell’Autorità di controllo, che di rendere conto di ciò che si è fatto come la tenuta del registro delle attività di trattamento e comunque adozione di pratiche interne improntate ai principi di privacy by design e by default, perché il trattamento attuato sia conforme al GDPR.

Fine

Dott. Edoardo RivolaDottore Commercialista - Revisore LegaleVia L. Rèpaci n. 16, 55049 - Viareggio (LU)Via Ciliegi n. 44 C, 55049 - Viareggio (LU)

e-mail: info@studiorivola.ithttp://www.studiorivola.it

Avv. Alessandro MostiViale Cadorna, 50

0583.955903 392.9281205

alessandro.mosti@gmail.com