Logo salute24

Regolamento europeo privacy, il punto della situazione con Gian Luca Bucciarelli a tre mesi dell’entrata in vigore

A poco più di tre mesi dall’entrata in vigore del nuovo regolamento europeo sulla privacy (GDPR) è possibile fare un primo consuntivo della situazione, con un riferimento particolare all’ambito sanitario, con Gian Luca Bucciarelli, fiscalista, esperto di compliance e di sanità.

 

Dottor Bucciarelli, qual è il bilancio di questi primi mesi? C’è stata una pronta risposta delle aziende, che hanno compreso da subito l’importanza del nuovo regolamento? Il bilancio si può definire positivo?

 

Bisogna dire che molte aziende, escluso il settore sanitario e qualche altro settore d'importanza particolare come ad esempio quello bancario e pochi altri, sono ancora lontane da un adeguamento alla nuova normativa. Il regolamento europeo 679/2016 non in tutti i suoi punti è stato chiarissimo, e questo non ha agevolato il compito alle aziende. È di questi giorni l’uscita in Gazzetta Ufficiale al DLgs. 10 agosto 2018 n. 101, che, modificando il Codice della privacy di cui al DLgs. 196/2003, adegua la normativa nazionale al Regolamento Ue 679/2016 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (art. 13 della legge di delegazione europea 2016-2017).

Quali sono le maggiori difficoltà nel passaggio al nuovo regime?

 

Come in tutti i passaggi ad alta complessità, le difficoltà ci sono state e ci sono. Da un lato, per alcuni, si è trattato di una presa di consapevolezza tardiva del cambiamento del quadro normativo. Dall’altro lato, per altri (e sono la maggior parte), si è trattato di mettere a punto un vero e proprio sistema di regolamentazione della privacy che necessita di specifiche conoscenze e strumentazioni. Rispetto alla vecchia normativa, che non sempre veniva applicata, anzi spesso non si era neanche a conoscenza della sua reale funzione, il nuovo regolamento europeo impone tutta una serie di adempimenti ben precisi e vincolanti, che vedono le aziende costrette a fare i conti con processi e regole coercitive
 
Per i ritardatari, è ancora possibile mettersi in regola?
 
Certamente. Io stesso, appena rientrato, mi sono trovato a gestire delle richieste relative all’adeguamento privacy. Intanto va detto che il legislatore ha stabilito per i prossimi otto mesi che le aziende saranno salve da ispezioni e sanzioni. Inoltre c’è tutto il tempo per mettersi in regola, anzi bisogna farlo. Tra l’altro l’uscita in Gazzetta che adegua la normativa nazionale al regolamento Ue 679/2016 ci permette di operare con meno dubbi, e di strutturare quindi una Privacy più attendibile.

Con la normativa in vigore sono diventate reali anche le sanzioni per i soggetti inadempienti.  Quali sono i rischi maggiori?

 

È chiaro che la normativa è ormai nel pieno della sua efficacia, quindi diventano reali tutti i meccanismi sanzionatori previsti dal regolamento. In relazione alle questioni sanitarie è secondo me essenziale mettere in evidenzia tre possibili risvolti sanzionatori derivanti dal non recepimento o parziale recepimento del nuovo trattamento della privacy:
a) anzitutto, pensare di essere a norma semplicemente attraverso l’utilizzo di un software o attraverso la nomina di un DPO (Data Protection Officer);
b) l’incapacità di affrontare tutte le problematiche derivanti dalla raccolta dei consensi e relativa conservazione documentale, che distolgono personale dalla proprie funzioni;
c) sottovalutare il principio cardine del regolamento: l’accountability. Essere a norma presuppone una continua attività di controllo e verifica delle proprie attività di trattamento in quanto, in sede di verifica, il titolare dovrà dimostrare di aver adottato tutte le di misure giuridiche, organizzative e tecniche efficaci per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi.

di red.
Pubblicato il 07/09/2018