Il General Data Protection Regulation – ovvero Regolamento generale di protezione dei dati (Gdpr) – è ormai alle porte, la nuova legge che entrerà in vigore il 25 maggio 2018, tutto il mondo del digitale è in fermento, soprattutto chi si occupa della gestione dei dati: grandi multinazionali, software house, Pmi, agenzie di comunicazione, startup, istituti di ricerca, tutti si preparano per garantire la conformità con la nuova normativa sulla privacy.
Le nostre attuali leggi sulla protezione dei dati sono state create quando Internet era agli inizi, prima dell’avvento dei social media e quando nessuno aveva sentito il termine “big data”. Il nuovo regolamento modernizzerà e revisionerà il quadro giuridico per la privacy e la protezione dei dati personali in tutta l’Ue
Il Gdpr garantisce che le organizzazioni e le aziende a cui affidiamo i nostri dati siano consapevoli dei propri doveri e che garantiscano la massima trasparenza nella gestione dei nostri dati personali e, in caso contrario, che noi come cittadini abbiamo la facoltà di far valere i nostri diritti.
Da Facebook a Twitter entrambe incappate in seri problemi di privacy nelle ultime settimane passando per qualsiasi portale che chiede una registrazione dei nostri dati, ovunque vi offrano servizi, se siete cittadini dell’UE, dovranno rispettare le nuove normative.
MA QUALI SONO QUESTI DATI PERSONALI?
La definizione di “dati personali” nel Gdpr è più ampia e dettagliata rispetto all’attuale legge sulla protezione dei dati. Per dati personali si intendono tutte le informazioni che possono essere collegate a un individuo, come nome, cognome, indirizzo e data di nascita, ma con il Gdpr anche informazioni come l’indirizzo IP o MAC di un computer, i dati genetici possono essere considerati dati personali. Queste definizioni riflettono i cambiamenti della tecnologia, è sono dovuti al fatto che era è possibile mettere in relazione i dati per identificare gli individui e il modo in cui le organizzazioni raccolgono informazioni su di essi. Quando possibile, l’interessato ha anche il diritto di sapere il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo.
PSEUDONIMIZZAZIONE
Sei un ricercatore ed utilizzi dati da record sanitari o clinici? In questi casi anche se i dati sono spesso “pseudonimizzati”, ad esempio sostituendo il nome della persona con un codice. I dati pseudonimizzati sono ancora considerati dati personali e rientrano nell’ambito di applicazione del Gdpr.
Grazie a delle “tecniche di anonimizzazione” dei dati. Queste ultime, infatti, permetterebbero, data la loro irreversibilità, di rendere l’interessato non più identificato o identificabile.
Il trattamento dei dati personali deve garantire che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
VIOLAZIONE DEI DATI
È di poche ore fa la notizia della grave falla di sicurezza di Twitter relativamente alle password. Con la Gdpr le aziende dovranno comunicare qualsiasi violazione dei dati, la cosidetta data breach. La comunicazione dovrà avvenire in 72 ore. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.
Il Gdpr disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati
CONSENSO AL TRATTAMENTO DEI PROPRI DATI
Il Gdpr richiede che il consenso sia “inequivocabile”, non “esplicito”. Ma cosa vuol dire? Nel caso di sanità digitale parliamo di Consenso informato del paziente e deve essere manifestato attraverso una dichiarazione o azione positiva inequivocabile, la richiesta di consenso, laddove inserita nel contesto di una dichiarazione scritta che riguarda anche altre questioni, deve essere chiaramente distinguibile dalle altre materie; non è ammesso il consenso tacito o presunto e non costituiscono valido consenso caselle pre-spuntate su un modulo.
DIRITTO ALLA RETTIFICA
L’utente ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. In altri termini l’ utente avrà il diritto di chiedere di accedere ai propri dati e modificarli in qualsiasi momento.
DIRITTO ALL’OBLIO
Il diritto all’oblio è uno dei maggiori terreni di scontro sul quale si combatte la battaglia per la protezione della privacy dei dati personali.
n un modo o nell’altro, tutti i big del mondo del web hanno dovuto fare i conti con richieste di cancellazione dati dalla Rete: Google, tanto per fare un esempio, ha già cancellato centinaia di migliaia di risultati dalle sue ricerche, mentre Wikipedia (che pare non apprezzare troppo la normativa europea) ha avuto a che fare con le richieste del Governo russo.
L’ utente avrà il diritto di richiedere la rimozione di qualsiasi riferimento dei suoi dati personali all’interno dell’applicazione medica, quindi oltre ad una cancellazione di tipo applicativo dovranno essere rimosse tutte le referenze nei sistemi log e eventualmente dai backup.
DIRITTO ALLA PORTABILITÀ
L’utente dovrà avere garantito il diritto di portabilità dei dati. Il cittadino potrà richiedere una copia dei dati presenti sui sistemi digitali in qualsiasi momento. Il diritto alla portabilità del dato renderà infatti più agevole il passaggio dei pazienti da una struttura ospedaliera all’altra. A partire da maggio 2018 il paziente sottoposto ad un monitoraggio continuo della glicemia (solo a titolo di esempio) potranno richiedere i loro dati alla struttura sanitaria di competenza, la quale sarà tenuta a fornire in un formato portabile i dati clinici del paziente.
DIRITTO ALLA CANCELLAZIONE
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: l’utente avrà il diritto di richiedere la cancellazione fisica dei propri dati personali all’interno dell’ applicazione medica.
