Il GDPR, «General Data Protection Regulation» o Regolamento UE 2016/679 come pubblicato nella GUCE il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno inizierà ad avere efficacia il 25 maggio 2018.
Il GDPR si applica al:
  • trattamento interamente o parzialmente di dati personali e automatizzato
  • al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi

  • Si applica al trattamento dei dati personali:
  • effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.
  • di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:
      a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure
      b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
  • effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico

  • Il regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.
    Il nostro Codice in materia di trattamento dei dati personali (decreto legislativo 30 giugno 2003, n. 196) dunque verrà:
  • adeguato in vista di coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679
  • adeguato nel sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.










  • PRIVACY PER ENTI PUBBLICI


    Gli enti pubblici gestiscono una immensa quantità di dati, anzi molto spesso una delle loro mission istituzionali risiede nel trattamento esclusivo di dati.

    Il patrimonio di tali dati può rendersi tuttavia ingombrante quando si tratta della sua gestione, soprattutto considerando le contrapposte esigenze che tali enti devono soddisfare: da una parte, una gestione trasparente, dall’altra l’utilizzo il più possibile “riservato” dei dati. Il regolamento GDPR innesca tre priorità per gli enti pubblici:
  • nomina per gli enti pubblici del DPO. Il Data Protection Officer o Responsabile della protezione dei dati (RPD), è, come noto, una nuova figura prevista dagli artt. 37-39 del Regolamento, che è obbligatoria per tutti i soggetti pubblici, fatta eccezione per le Autorità giudiziarie e con la possibilità per gli enti di modeste dimensioni di aggregarsi Detta figura deve essere individuata in funzione delle sue qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati e costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”.
  • L’istituzione del Registro delle attività di trattamento, previsto dall’art. 30 del Regolamento e dal considerando n. 82.
  • Le nuove misure relative alle violazioni dei dati personali, (c.d. data breach di cui agli artt. 33 e 34 del Regolamento), «tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni».








  • PRIVACY PER FARMACIE

    L’ambito sanitario è uno dei settori maggiormente esposto nell’applicazione del RDPR. Esso è anche uno dei settori a più intensiva presenza di nuove tecnologie.

    Gli articoli del GDPR che interferiscono con il codice di deontologia medica sono: 11 (Riservatezza dei dati personali), 12 (Trattamento dei dati sensibili), 25 (Documentazione sanitaria), 26 (Cartella clinica), 34 (Informazione e comunicazione a terzi), 78 (Tecnologie informatiche).

    Anche le farmacie devono gestire i dati in conformità al nuovo quadro normativo. In particolare dovranno analizzare le seguenti criticità:
  • Informativa e consenso al trattamento dati;
  • La responsabilizzazione dei titolari, misure tecniche e organizzative, obbligo di dimostrazione.
  • Individuazione dei ruoli nella struttura organizzativa aziendale;
  • Il registro delle attività di trattamento dei dati personali.




  • PRIVACY PER IMPRESE E PROFESSIONISTI

    Tutte le imprese ed i professionisti devono adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR con attività specifiche e dimostrabili.


    Si consiglia di effettuare una pre-analisi (checklist) e piano progettuale mediante la quale si arrivi ad: una mappatura trattamenti (art. 30), effettuare una valutazione del livello di sicurezza adeguato ai rischi ed una valutazione di impatto (art. 32 33 34 35), prevedere una procedura per il data breach, verifica nomina DPO e contratto adeguato, Nomina responsabili (interno, esterno, ecc), Registro dei trattamenti (in ogni caso consigliato), Formazione per chi è autorizzato al trattamento