Politica e Sanità

27 Marzo 2019

---

Ci saranno anche i dati sanitari delle Asl e le carte fedeltà tra i sette settori a cui il Garante della Privacy ha deciso di destinare particolare attenzione nell'attività ispettiva e di controllo fino a giugno. A stabilirlo il piano ispettivo per il primo semestre 2019, che è stato approvato con la delibera interna di inizio anno, nel quale viene stabilita anche la collaborazione da parte del Nucleo speciale privacy della Guardia di finanza. Intanto, dal Garante arriva anche il punto sull'attività sanzionatoria del 2018, che ha registrato un aumento. E per le farmacie ci sono alcuni chiarimenti per chi è titolare di diverse sedi.
L'attività ispettiva del primo semestre dell'anno, scrive il Garante nella sua comunicazione, «svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, riguarderà innanzitutto la gestione delle carte di fidelizzazione da parte delle aziende» come pure «i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca». Tra gli altri settori oggetto di attenzione, «i trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all'anagrafe dei conti; il rilascio dell'identità digitale ai cittadini italiani (Spid); il Sistema Integrato di Microdati (Sim) dell'stat».
Per quanto riguarda i controlli, a ogni modo, «si concentreranno anche sull'adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull'informativae il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati». Anche se «l'attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi».
E proprio in tema di controlli, dal Garante è arrivato anche un bilancio delle attività del 2018, che «conferma l'incremento dell'attività sanzionatoria già registrato l'anno precedente. Nel corso dell'anno scorso sono state adottate 175 ordinanze-ingiunzione, a fronte delle 109 del 2017 ed è stato rilevato un notevole aumento delle somme riscosse pari a 8.161.806 euro, a fronte dei 3.776.694 euro registrati nel 2017 (con una variazione positiva del +116%). Da registrare inoltre un incremento del 20% delle violazioni amministrative contestate: 707 nel 2018 rispetto alle 589 contestazioni del 2017. Le contestazioni hanno riguardato la violazione di disposizioni del Codice per illeciti commessi prima della data di applicazione del Regolamento (UE) 2016/679. Sono invece diminuite le segnalazioni all'autorità giudiziaria: 27 nel 2018 rispetto alle 41 del 2017». Gli accertamenti, «svolti nel 2018 anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell'ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, da società che svolgono attività di telemarketing, da società che offrono servizi di "money transfer". Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l'installazione di "scatole nere" a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app».

Le regole su tempo di conservazione e network
Intanto, dopo l'ultimo provvedimento del Garante di chiarimento per medici e farmacie (vedi Farmacista33 - 23 marzo), da Federfarma arriva una valutazione sull'applicabilità operativa. In particolare, tra i punti sviscerati, c'è anche la questione di quanto tempo i dati possono essere conservati: «Il Garante» si legge «ha confermato che il regolamento europeo e il Codice privacy fanno salve le disposizioni di settore (si pensi per esempio alla normativa concernente la conservazione delle ricette). Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, sarà il titolare di farmacia a dover individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l'identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all'interessato». Come già era stato anticipato negli approfondimenti dedicati, resta confermato che per le farmacie «di norma non si deve designare un responsabile della protezione dei dati» ma «valutazioni specifiche devono essere effettuate da quei gruppi di società o da società che sono titolari di più farmacie qualora effettuino trattamenti di dati sanitari su larga scala o facciano trattamenti che implicano il monitoraggio regolare e sistematico degli interessati su larga scala ad esempio per finalità di marketing (alcune tipologie di fidelity card)».
In linea generale, confermata anche la «sussistenza dell'obbligo di tenuta del registro delle attività di trattamento, in ambito sanitario. In particolare, il Garante ha ritenuto, quindi, che non ricadono nelle ipotesi di esenzione dall'obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (Mmg/PLS), gli ospedali privati, le case di cura, le Rsa e le aziende sanitarie appartenenti al Ssn, nonché le farmacie, le parafarmacie e le aziende ortopediche».

Francesca Giani