Privacy, ecco lo schema di decreto. Novità sul fronte delle sanzioni

Più voce ai minori, più tutele per le categorie deboli, più regole per la sanità e la politica: queste le richieste della Commissione speciale per l’esame di atti del Governo relative allo schema di decreto legislativo sulla privacy che attua il regolamento europeo 679/16 entrato in vigore il 25 maggio scorso. La commissione guidata chiede intanto che per 8 mesi – entro tutto gennaio 2019 – anziché irrogare sanzioni a imprese e professionisti per violazioni del regolamento il Garante ammonisca o prescriva adeguamenti alla nuova disciplina, in base al principio di proporzionalità e di gradualità della sanzione e allo small business act UE. Poi, con riferimento allo schema di decreto che elenca le categorie particolari di dati personali, oltre ai “sensibili” (salute, etnia, religione, genomica, biometrica, sociosanitari, appartenenza politica) e agli anagrafici, relativi a diritti politici, rapporti di lavoro, sinistri, procedimenti penali, civili, amministrativi -da trattare se la legge lo prevede per motivo di interesse pubblico rilevante -aggiunge i dati su programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, nonché vigilanza sulle sperimentazioni, farmacovigilanza, AIC ed importazione di medicinali e dispositivi medici (oltre ai verbali di assemblee comunali, e altri organismi Pa, o di organi di controllo ed indirizzo politico). Andrebbero inserite in un elenco tassativo le materie per cui il Garante può adottare misure di garanzia, incluse cifratura e di pseudonimizzazione dei dati volte a garantire i diritti degli interessati. Infine, sulla scia di un parere del Garante di fine maggio, ricorda che il consenso al trattamento dei dati è previsto anche dai 14 anni in su dalle leggi italiane in materia di cyberbullismo e chiede che gli ultraquattordicenni possano disporlo senza sentire i genitori, anziché solo chi ha più di 16 anni. Ultima annotazione: sarebbero pochi i 90 giorni fissati dal decreto per consentire al Garante di rivedere le autorizzazioni generali.

Decreto e salute Facciamo però un passo indietro per esaminare lo schema di decreto, che non tratta tanto di valutazioni d’impatto o data protection officer ma integra il regolamento, spiega come è composta l’Authority Garante e che poteri ha, italianizza alcuni concetti (o li rinnova, vedi “informazioni” al posto di “informativa” da porgere al cittadino-utente), e abroga gran parte del testo unico 196/2003, togliendo parte delle sanzioni penali “a fronte delle elevatissime sanzioni amministrative”. L’articolo 2 quater affida al Garante la promozione di “Regole deontologiche” nei trattamenti più complessi (adempiere un obbligo legale, eseguire un compito di interesse pubblico, trattare dati sensibili o a scopi giornalistici, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici). Il trattamento di dati genetici, di salute e biometrici va subordinato a regole da rinnovare almeno ogni 2 anni, a seguito di consultazione pubblica. Il consenso non eÌ piuÌ richiesto se il trattamento dati eÌ “a fini di medicina preventiva o del lavoro, valutazione della capacitaÌ lavorativa, diagnosi, assistenza o terapia sanitaria o sociale, gestione dei sistemi sociosanitari o conforme al contratto con un professionista della sanitaÌ, o se necessario per motivi di interesse pubblico in sanitaÌ pubblica”. Con riferimento ai dati genetici, è prevista la possibilitaÌ per il Garante di individuare il consenso come ulteriore misura di protezione. Il consenso a fini sanitari o di ricerca non è necessario se richiede uno sforzo sproporzionato rintracciare colui cui quei dati si riferiscano o si pregiudichino le finalità progettuali. Possibile anche il riutilizzo di dati se autorizzato dal Garante, non c’è bisogno di autorizzazione per gli Irccs. Sulle prescrizioni di medicinali (art 89 bis) ove non sia necessario inserire il nominativo dell’interessato si adottano cautele particolari che lo criptino. Per dati da proteggere con particolari precauzioni viene enfatizzato l’uso di codici deontologici e di condotta come fonti, gli attuali codici di condotta sono validi fino a 6 mesi dopo che al Garante sono stati sottoposti i nuovi. I dati trattati in violazione della disciplina non possono mai essere utilizzati.

Sanzioni Il regolamento Ue ne prevede di due tipi, amministrative: fino a 10 milioni di euro o 2% del fatturato di grandi imprese, e fino a 20 milioni di euro o 4% fatturato grandi imprese per casi di maggior gravità. La sanzione si raddoppia per chi fa uso abusivo di pubblici poteri, manda i dati sensibili e le cartelle cliniche in visione di terzi non aventi diritto per trarre vantaggi, abusa di dati a fini statistici o li dirotta a chi non dovrebbe vederli. All’ art. 167-bis del Codice sono state introdotte le figure di “Comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone”. L’acquisizione fraudolenta di dati comporta poi da 1 a 4 anni di reclusione, le false dichiarazioni da 6 mesi a 3 anni. Sanzione dimezzata se entro il termine previsto per proporre ricorso il trasgressore concilia. L’iter che porta il Garante a irrogare sanzioni si apre con un suo controllo o una segnalazione esterna, entro 30 giorni arriva la comunicazione al contravventore che controdeduce, poi arriva l’ordinanza-ingiunzione o diverso provvedimento, che può essere pubblicato.

Fonte: doctor33.it