Protezione dei dati personali
Lo studio ha maturato un’esperienza ventennale nell’ambito della consulenza e assistenza legale per la protezione dei dati personali presso la Pubblica amministrazione Centrale e Locale e grandi operatori economici di primaria importanza sul mercato nazionale, primari gruppi ospedalieri e strutture sanitarie complesse. Inoltre, ha maturato analoga esperienza per piccole e medie imprese, soprattutto, società di servizi, anche informatici, software house, laboratori di analisi, ordini professionali. Lo Studio svolge altresì attività di assistenza legale giudiziale sul diritto alla protezione dei dati personali nelle diverse sedi giudiziarie e presso il Garante per la protezione dei dati personali. Infine, lo studio tramite il proprio personale partecipa attivamente in numerosi progetti di corsi di laurea, corsi di alta formazione, master universitari, corsi di formazione e di consapevolezza (awareness) rivolto ad aziende ed enti.
In questa pagina sintetizziamo i principali quesiti in materia di protezione dei dati. Chiunque affronti una problematica giuridica e tecnico-giuridica in materia di protezione dei dati personali, dovrebbe porsi questi sei quesiti essenziali frutto dell’esperienza oramai ventennale dei componenti dello studio.
Quesito 1 sulla protezione dei dati personali: chi è il soggetto che decide in via autonoma le finalità e modalità del trattamento?
Quesito 2 sulla protezione dei dati personali: quali dati personali vengono trattati?
Quesito 3 sulla protezione dei dati personali: perché si effettua il trattamento dei dati?
Quesito 4 sulla protezione dei dati personali: come vengono trattati i dati personali?
Quesito 5 sulla protezione dei dati personali: dove vanno a finire i dati personali?
Quesito 6 sulla protezione dei dati personali: come vengono protetti i dati personali?
Il primo quesito affronta una delle questioni essenziali e che spesso generano errori anche con conseguenze irreparabili, chi determina le finalità e modalità del trattamento coincide di regola con l’entità nel suo complesso, non con il legale rappresentante oppure con un organismo societario che invece è un organo interno alla società. Questo è criterio principiale per individuare il titolare del trattamento dei dati che appunto l’entità esercita anche in concreto un potere decisionale autonomo in ordine alle finalità e alle modalità del trattamento.
Per quanto concerne il secondo quesito si tratta di analizzare quali tipologie di dati personali vengono trattati durante uno specifico trattamento, per esempio potrebbero essere dati personali identificativi, oppure categorie particolari di dati personali (ex dati sensibili), oppure ancora dati giudiziari. La classificazione dei dati personali in base alla categorie normative può presentare criticità di varia natura, per esempio, la trattenuta sindacale rientra tra le categorie particolari, ma una sentenza di risarcimento danno, un atto di pignoramento o un provvedimento amministrativo non rientrano tra i dati relativa a reati e condanne penali ossia non sono dati giudiziari.
Il terzo quesito riguarda le finalità del trattamento e la base giuridica del trattamento, il trattamento potrebbe avvenire sulla base di un contratto o sulla base di un consenso, oppure sulla base di un interesse pubblico, si pensi ad un Comune o Regione che agisce per le finalità istituzionali in linea generali ricorrerà un interesse pubblico, mentre una società che vende servizi o prodotti online qualora abbia intenzione di utilizzare le email degli utenti per finalità di marketing avrà necessità di ricorrere al consenso.
Il quarto quesito riguarda le modalità del trattamento, mentre il quinto quesito apre ad interrogativi importanti sulla giurisdizione europea o extra europea, per esempio una e-mail potrebbe finire su server non europei e pertanto soggetti a poteri pubblici di Autorità relativi al Paese di destinazione dei dati, si parla in tal caso di trasferimenti dei dati all’estero, occorre effettuare una valutazione preventiva prima di acquisire servizi anche cloud (si parla spesso servizi cloud-as-a-service) al fine di verificare se tale servizi forniscano sufficienti garanzie di conformità.
Infine, il sesto quesito apre a questioni connesse al livello di sicurezza dei dati che deve essere adeguato al rischio inerente al trattamento dei dati e pertanto per il trattamento occorre valutare il rischio in termini di gravità e probabilità di verificazione di un evento.
Come si vede i quesiti essenziali della protezione dei dati personali sono quesiti che richiedono competenze legali e tecniche, sono sempre molto specialistici richiedendo una buona dose di studio e di esperienza. In tale contesto, il Responsabile della protezione dei dati (RPD o DPO) potrà essere un buon ausilio per rispondere a questi quesiti, tal volta potrà anche essere una figura obbligatoria prevista dalla normativa, ma dovrà non solo avere un buon bagaglio tecnico e legale sul piano teorico ma dovrà aver maturato un’esperienza nello specifico settore. Il RPD sarà di supporto in particolare per l’implementazione di un sistema di gestione della protezione dei dati adeguato ai rischi inerenti ai trattamenti dei dati effettuati dall’organizzazione, tale sistema include in particolare le misure di sicurezza organizzative, tecniche e logiche, come anche le adeguate procedure per la gestione degli incidenti di sicurezza (c.d. data breach) anche denominate violazioni dei dati ossia incidenti che impattano sulla Riservatezza, Integrità e Disponibilità (c.d. RID) dei dati personali trattati nell’organizzazione.
QUATTRO CASI DI VIOLAZIONE DATI IN SANITA’
Si riportano di seguito quattro casi pratici di violazione dei dati personali, si tratta di una sintesi relativa a quattro casi esaminati dal Garante nel settore sanitario.
Caso 1 – La ASL della provincia di Enna aveva adottato, nelle proprie sedi, un sistema che consente il trattamento dei dati biometrici dei dipendenti per la rilevazione delle presenze, al fine di garantire “una maggiore affidabilità tecnica nella verifica dell’identità di ogni dipendente” e “scoraggia[re] fenomeni di assenteismo […] l’Ufficio ha avviato un’istruttoria nei confronti dell’Azienda.
Caso 2 – Viene rilevata una violazione di dati personali consistente nella erronea consegna, a una paziente richiedente copia della propria cartella clinica, della cartella clinica relativa ad altro paziente.
Caso 3 – Una paziente che chiedeva che non fossero date informazioni sul suo stato di salute a soggetti terzi forniva a tal fine il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda. Successivamente alle dimissioni della paziente, l’infermiera di reparto, nel tentare di contattare quest’ultima al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare con il coniuge delle stessa.
Caso 4 – Viene rilevata una violazione dei dati personali in relazione all’avvenuta spedizione, in formato cartaceo, di documentazione, contenente referti relativi ad esami ematici di un bambino, a un soggetto diverso da quello legittimato a riceverla.