Previous Page  97 / 100 Next Page
Information
Show Menu
Previous Page 97 / 100 Next Page
Page Background

Sanitario e scambio di dati personali

tra amministrazioni pubbliche.

L’esame del contenuto dei vari prov-

vedimenti citati consente di rilevare

come, anche in considerazione del

quadro sanzionatorio applicabile, in

caso di inosservanza, che prevede san-

zioni pecuniarie di importo assai rile-

vante, tale strumento sia ormai divenu-

to, in relazione agli specifici trattamenti

ricordati, vera e propria espressione

di una legittima facoltà di conoscere

gli accadimenti relativi ai propri dati,

riconosciuta anche all’interessato nel-

la sua veste di portatore di diritti di

rango costituzionale, dall’ordinamen-

to interno.

GDPR & data breach notification

Il GDPR in modo assai chiaro esprime

in modo inequivoco, per tutti i settori,

la sussistenza di un generale obbligo di

notificare una violazione di dati per-

sonali sia nei confronti dell’Autorità di

controllo sia, in determinati casi, nei

confronti dell’interessato.

Questo sin dal considerando nr. 85,

sul presupposto che una violazione

dei dati personali può, se non affron-

tata in modo adeguato e tempestivo,

provocare danni fisici, materiali o im-

materiali alle persone fisiche. Come

per esempio perdita del controllo dei

dati personali che li riguardano o limi-

tazione dei loro diritti, discriminazione,

furto o usurpazione d’identità, perdite

finanziarie, decifratura non autorizzata

della pseudonimizzazione, pregiudizio

alla reputazione, perdita di riservatezza

dei dati personali protetti da segreto

professionale o qualsiasi altro danno

economico o sociale significativo alla

persona fisica interessata.

Si prevede in particolare che il titolare

del trattamento, non appena viene a

conoscenza di una avvenuta violazione

dei dati personali, debba notificare la

violazione stessa all’Autorità di con-

trollo competente, senza ingiustificato

ritardo e, ove possibile, entro 72 ore

dal momento in cui ne è venuto a co-

noscenza. A meno che non sia in gra-

do di dimostrare che, conformemente

al principio di responsabilizzazione, è

improbabile che la violazione dei dati

personali presenti un rischio per i di-

ritti e le libertà delle persone fisiche.

Oltre il termine di 72 ore, tale notifica

dovrà essere corredata delle ragioni

del ritardo e le informazioni dovranno

essere fornite in fasi successive senza

ulteriore ingiustificato ritardo.

Il regolamento prevede altresì che il

titolare del trattamento debba comuni-

care, questa volta all’interessato la vio-

lazione dei dati personali senza inde-

bito ritardo, qualora questa violazione

sia suscettibile di presentare un rischio

elevato per i diritti e le libertà della

persona fisica, al fine di consentirgli di

prendere le precauzioni necessarie.

La comunicazione deve descrivere la

natura della violazione dei dati perso-

nali e formulare raccomandazioni per

la persona fisica interessata intese ad

attenuare i potenziali effetti negativi.

Incident response, digital forensics e

contenuto della notifica

Un aspetto che pare particolarmente

significativo della disciplina generale

sopra menzionata, relativa all’obbligo

di notifica delle violazioni all’Autorità

di controllo è quello relativo ai conte-

nuti che la notifica stessa deve avere.

Nello specifico, il comma 3 dell’ar t.

33 del Regolamento prevede che, ol-

tre alla comunicazione all’Autorità del

nome e dei dati di contatto del respon-

sabile della protezione dei dati o di

altro punto di contatto ove l’Autorità

possa ottenere maggiori informazioni

relativamente alla violazione avvenuta,

ilTitolare del trattamento sia obbligato

a descrivere le misure adottate o di

cui si propone l’adozione per porre

rimedio alla violazione di dati personali

e anche, se del caso, per attenuarne i

possibili effetti negativi.

Ma non solo, il successivo comma 5

dell’art. 33 esprime di nuovo, decli-

nandone le previsioni per la fattispecie

della notifica della violazione dei dati

personali, il generale principio di ac-

countability (responsabilizzazione) già

formulato nel testo dell’art. 24 preci-

sando, anche in questo caso espressa-

mente, che il titolare del trattamento

documenti qualsiasi violazione dei dati,

comprese le circostanze a essa relative,

le sue conseguenze e provvedimenti

adottati per porvi rimedio.

Le sanzioni

Anche per la violazione delle norme

appena citate, trovano applicazione le

pesanti conseguenze sanzionatorie che

caratterizzano il nuovo assetto delinea-

to dal Regolamento che prevede, al

comma 4 dell’art. 83, la possibile ap-

plicazione di sanzioni amministrative

pecuniarie fino a euro 10.000 o, per

le imprese, fino al 2% del fatturato

mondiale annuo.

95

giugno 2017

IL PARERE DEL LEGALE

NEL PROSSIMO NUMERO

Saranno affrontate, le temati-

che relative alla Sanità Elettro-

nica (E-Health), con particolare

riferimento alle nuove norme

in materia di Fascicolo Sanita-

rio Elettronico (FSE), oggetto

di prossima revisione e quelle

in materia di Dossier Sanitario.

“Il GDPR in modo assai chiaro

esprime in modo inequivoco, per

tutti i settori, la sussistenza di

un generale obbligo di notificare

una violazione di dati personali

sia nei confronti dell’Autorità di

controllo sia, in determinati casi,

nei confronti dell’interessato”

1 89 90 91 92 93 94 95 96 97 98 99 100  FlippingBook