“Una mela al giorno toglie il medico di torno, ma non la privacy”
Cit.
Finalmente è entrato in vigore il Decreto Legislativo 10 agosto 2018 n. 101 fresco di pubblicazione in GU avvenuta il 4 settembre 2018 che vede il nostro ordinamento aggiornato al nuovo Reg. UE 2016/679 (GDPR) in materia di trattamento di dato personale.
Si tratta di un provvedimento – molto atteso – che guida l’ordinamento privacy italiano disciplinato fino a questo momento dal Codice Privacy (196/2003) verso la nuova architettura europea, stabilendo cosa va bene e cosa andrà, invece, abrogato.
Infatti, il D.Lgs 101/2018 modifica in maniera chirurgica il Codice Privacy (un testo già abbastanza zoppicante e di difficile lettura) e introduce specifiche istruzioni per la definizione di tempi e modi di modifica di tutti gli atti (autorizzazioni, provvedimenti, codice deontologici ecc.) emanati in attuazione del vecchio Codice privacy.
Per farla semplice, oggi il quadro giuridico è composto da:
Non si vuole avere la pretesa di esaurire, in poche righe, tutte le importante ed opportune innovazioni ed i cambiamenti in tema di trattamento dei dati personali apportati dalla nuova normativa, ma di certo un settore desta una certa curiosità, soprattutto per le criticità che lo contraddistinguono: l’ambito sanitario.
E allora, come interviene il GDPR su questo settore? Quali sono le questioni che prevalentemente affronta e quali invece lascia sostanzialmente irrisolte?
In sostanza si è assistito al passaggio da un sistema consensocentrico (dove si chiedeva il consenso praticamente per tutto) ad un sistema in cui occorre prima chiedersi e capire quali sono le ragioni per cui i dati sono trattati (e quindi le finalità del trattamento, il tipo di diagnosi e cura, monitoraggio, ecc.. ) per poi valutare, solo in un secondo momento e sempre alla luce della finalità identificata, quale è il fondamento di liceità di tale trattamento: in sostanza è la finalità che comanda, e che guida e declina le prescrizioni a valle.
La grande novità è, quindi, il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura (art. 2-septies del Codice privacy emendato dal DLgs 101/2018 in combinata lettura con l’art. 9 GDPR).
Sicuramente meno burocrazia (non serve chiedere il consenso), ma molta più complessità, perché si è obbligati ad analizzare tutti i processi di trattamento per capire architettura e fondamento normativo.
A monte di tutto ciò un radicale cambio prospettico introdotto del GDPR.
Si passa da un sistema burocratico (acquisire carta senza neanche capire bene cosa si stia facendo – e non potremmo negarlo!) ad una responsabilità di tipo sostanziale legata all’obbligo di scegliere quali misure tecniche ed organizzative implementare dimostrandone la loro efficacia (la c.d. accountability di cui all’art. 5 GDPR).
In questo modo viene amplificato il principio di trasparenza al punto da mettere l’interessato nella condizione di sapere preventivamente e poter in seguito decidere. Esattamente come avviene per l’informativa ed il consenso alle cure.
Ma se numerose sono state le modifiche, altrettanto può dirsi delle questioni rimaste irrisolte. Si tratta di aspetti appartenenti alla specificità della professione, che non vengono affrontati nel GDPR e che lo stesso GDPR, pertanto, non risolve.
Pensiamo, per esempio, al pensionamento dei medici.
Con la pensione, il medico che cessa l’attività, lascia un database ambulatoriale pieno di dati clinico-assistenziali che, in assenza di una policy definita, difficilmente potranno essere riutilizzati perché non esistono procedure per gestire il database del medico che abbandona l’attività, per pensionamento o per altro motivo. La conseguenza è la perdita, per l’assistito, di dati che riguardano le storie sanitarie di una vita.
Ad una settimana dall’entrata in vigore del decreto privacy i dubbi sono ancora molti, e gli operatori del diritto dovranno compiere un’importante opera di parafrasi dei testi normativi per evitare ogni empasse procedurale.
Staremo a vedere.
Intanto ciò che possiamo fare, dal canto nostro, è studiare attentamente il Regolamento UE cercando di capirne le dinamiche e strutturare un nostro codice di condotta operativo professionale, attraverso cui definire delle regole per far sì che tutto ciò che viene fatto sia conforme alle previsioni del Regolamento.
Egidio Oronzo
Avvocato