Bollettino epidemiologico nazionaleRegolamento Europeo sulla Protezione dei Dati Personali (UE 2016/679): le sue generalità ed un esempio di implementazione in una realtà organizzativa complessa: l'Istituto Superiore di Sanità
Susanna Conti, Giada Minelli e Annamaria Carinci
Servizio tecnico scientifico di statistica, Istituto Superiore di Sanità, Roma
SUMMARY (The EU General Data Protection Regulation (UE 2016/679): its generality and an example of implementation in a complex organizational reality: Istituto Superiore di Sanità) - The EU General Data Protection Regulation (replacing Data Protection Directive 95/46/EC), aimed at better protecting EU citizens’ personal data, was enforced on May 25, 2018 and the Italian Government has issued a Legislative Decree (August 10, 2018) to adapt national legislation to its provisions. The Regulation defines two key data protection issues: “personal data” and “treatment”. Principal innovations: accountability of the controller or processor of data and introduction of the Data Protection Officer and of the Register of Treatments. The Regulation has been widely applied in Italy and Public Administrations have been involved in dedicated meetings with the Italian Data Protection Authority. In particular, Istituto Superiore di Sanità, a complex entity made up of research and administrative units, has accomplished the necessary steps to comply with the Regulation in a timely and inclusive way. Istituto Superiore di Sanità has implemented the Regulation not as a mere fulfilment of administrative requirements but as an opportunity to treat data in the most transparent and respectful way, so to create a “good practice” in public research institutions.
Key words: privacy; European Union; legislation
Introduzione
La protezione delle persone fisiche, con riguardo al trattamento dei dati di carattere personale, è un diritto riconosciuto nella Carta dei Diritti fondamentali dell’Unione Europea.
Il Parlamento Europeo e il Consiglio dell’Unione Europea, dopo discussioni approfondite, hanno varato il 27 aprile 2016 il nuovo “Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati” (Reg. UE 2016/679), che va ad abrogare la Direttiva 95/46/CE, applicata anche nel nostro Paese e recepita attraverso il DL 196 del 2003 (cosiddetto Codice Privacy) (1).
Il Regolamento, di seguito denotato con l’acronimo RGPD (Regolamento Generale per la Protezione dei Dati) è entrato in vigore in Italia, così come in tutti i Paesi dell'UE, il 25 maggio 2018. Ciascuna delle istituzioni in cui si effettuano trattamenti di dati personali (d’ora in poi denotate con l’acronimo DP) deve applicare le norme in esso contenute, che riguardano non solo i necessari adempimenti formali, ma anche la diffusione e la consapevolezza della cultura della protezione dei dati e della responsabilizzazione di chi tali dati tratta.
L'RGPD è corposo: consta di 99 articoli e 172 “considerando”, considerazioni descrittive relative ad argomenti oggetto dei vari articoli. L'RGPD ha previsto (nel considerando 8) uno spazio per il “legislatore nazionale” e dopo un lungo iter, avviato alla fine del 2017, il governo italiano ha emanato il 10 agosto 2018 un Decreto Legislativo che adegua la normativa nazionale alle disposizioni dell'RGPD (2).
Metodi
In primo luogo, l'RGPD definisce i due concetti chiave della protezione dati: “dato personale” e “trattamento”.
Definizione di dato personale - Si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, intendendo come tale la persona fisica che può essere individuata, direttamente o indirettamente, con particolare riferimento ai suoi dati anagrafici o attraverso un numero/codice di identificazione (ad esempio, il codice fiscale), a dati relativi all’ubicazione, ovvero a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale, sociale (1).
Esempi: contiene DP un archivio riguardante i pazienti che si recano a un centro di riferimento per la diagnosi e cura di una specifica patologia, in cui per ciascun soggetto sono raccolte, oltre a varie informazioni sullo stato di salute, anche il nome e il cognome, oppure il codice fiscale.
Vanno, inoltre, considerati DP quei dati che contengono per ciascuna persona fisica delle variabili che, se incrociate, possono dare luogo alla sua identificazione; si consideri ad esempio un archivio riguardante i soggetti che partecipano a uno screening su una data patologia, in cui per ciascun soggetto sono raccolte varie informazioni, tra cui: Comune di nascita, giorno, mese e anno di nascita, Comune di residenza, genere, giorno, mese e anno di effettuazione dello screening, presenza della patologia in studio. Anche se per ciascun soggetto non vi è un identificativo diretto, l’incrocio delle variabili presenti consente di identificarlo.
Non sono da considerare DP quelli contenuti in un archivio riguardante i pazienti che si rivolgono a un ambulatorio per il trattamento di una patologia piuttosto comune (ad esempio, diabete o ipertensione), in cui sono raccolte solo le seguenti variabili: genere, classe di età espressa in decadi (20-29, 30-39, 40-49, …), regione di residenza, ecc. Infatti queste variabili, seppure incrociate, non consentono di identificare il soggetto a cui si riferiscono.
Definizione di trattamento - “Qualsiasi operazione/ insieme di operazioni compiute con/ senza processi automatizzati, applicate a dati personali quali: raccolta, registrazione, organizzazione, conservazione, adattamento/modifica, estrazione, consultazione, comunicazione/ messa a disposizione, raffronto o interconnessione, cancellazione”. Come si evince da questa definizione, il concetto di trattamento è molto ampio e comprende anche la sola raccolta o archiviazione (1).
Le novità introdotte dal Regolamento
- L'RGPD si pone in continuità con le norme precedenti, ma presenta una prima rilevante novità, il principio dell’accountability (che in italiano viene tradotto con il termine “responsabilità”), che attribuisce direttamente al Titolare del trattamento dei DP il compito di assicurare ed essere in grado di comprovare il rispetto dei principi di protezione dei dati. In istituzioni complesse, quali l'Istituto Superiore di Sanità (ISS), il Titolare è il legale rappresentante.
- Altri punti cardine, peculiari dell'RGPD, sono l’istituzione di una nuova figura, il Responsabile della Protezione Dati Personali e del Registro dei trattamenti. Il Responsabile della Protezione dei Dati Personali (RPD) (in inglese viene denominato Data Protection Officer - locuzione più aderente alle sue caratteristiche, dato che le “responsabilità” in campo di protezione dati sono in capo al Titolare) è una nuova figura, che ciascuna istituzione pubblica o privata che tratta dati personali deve avere. L'RPD è fulcro del processo di attuazione dell'RGPD e il raccordo tra l’istituzione e il Garante per la Protezione dei Dati Personali (da ora in poi Garante); va interpellato preventivamente ogni qualvolta sia da affrontare una tematica di protezione di dati personali; tra i suoi compiti, oltre alla verifica del rispetto del Regolamento, vi è anche la sensibilizzazione del personale sulle tematiche della protezione dei DP. Per rendere più efficace la sua attività, l'RPD può dotarsi di un apposito staff o gruppo di lavoro, costituto da dipendenti dell’istituzione.
- Tutti i titolari di trattamenti di DP debbono tenere un Registro dei Trattamenti, sempre aggiornato, da elaborare entro il 25 maggio 2018. Non si tratta di un adempimento formale, ma di un’attività che costituisce parte integrante di un sistema di corretta gestione dei DP e consente di svolgere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche. I contenuti del Registro, fissati dall'RGPD, prevedono per ciascun trattamento: Titolare, eventuale contitolare, finalità, presupposti giuridici alla base del trattamento, descrizione dei soggetti a cui i dati si riferiscono e dei dati raccolti, i destinatari per cui si prevede l’eventuale comunicazione dei dati (compresi Paesi terzi e organizzazioni internazionali), descrizione generale delle misure di sicurezza, eventuali tempi di conservazione stabiliti. L'RGPD consente, inoltre, di inserire ogni altra informazione che si ritenga opportuna al fine di documentare le attività di trattamento svolte.
- Il Registro, tenuto in forma cartacea ed elettronica, deve essere a disposizione del Garante e va a sostituire le notifiche che prima dell’entrata in vigore del Regolamento venivano a esso effettuate. È propedeutica, rispetto all'istituzione del Registro (così come raccomandato dal Garante), una ricognizione dei trattamenti effettuati.
- L'RGPD è molto attento ai diritti delle persone a cui i dati personali oggetto dei trattamenti si riferiscono, denominati “i diritti degli interessati”; essi sono puntualmente normati dall'RGPD, esercitabili in modo gratuito presso il Titolare e riguardano: il diritto all’accesso ai propri dati, alla loro cancellazione (cosiddetto “diritto all’oblio”), alla loro rettifica o alla limitazione del loro trattamento. È anche garantita la portabilità dei dati personali (quando i dati sono trattati in modo automatizzato, debbono essere forniti all’interessato in modo adeguato, affinché possano essere trasmessi ad altro Titolare, evitando ridondanze). Tali diritti debbono essere esplicitati in modo chiaro e comprensibile nella “Informativa” che ciascun individuo che conferisce i propri dati personali deve ricevere dal Titolare.
Risultati
L’applicazione nel nostro Paese dell'RGPD sta avvenendo in modo capillare: il Garante ha reso noto che nei primi 4 mesi di applicazione 40.738 istituzioni, pubbliche e private, hanno designato un RDP.
La Pubblica Amministrazione (PA) è una grande produttrice e utilizzatrice di DP e il Garante ha svolto fin dalla metà del 2017 una serie di incontri con i vari enti della PA sull’applicazione dell'RGPD, a cui l’ISS ha puntualmente partecipato.
L’implementazione dell'RGPD in una realtà complessa quale l’ISS - L’ISS ha effettuato per tempo (ottobre 2017) la nomina della figura dell'RDP, e ha inoltre costituito un gruppo di lavoro multidisciplinare, che ha al suo interno competenze giuridiche e informatiche.
In un’organizzazione complessa quale l’ISS, articolata in decine di strutture, per avviare un processo partecipato ed efficace di applicazione dell'RGPD, è stata costituita una rete di referenti, due per ciascuna struttura tecnico-scientifica (dipartimenti, centri, servizi) ed Ufficio Amministrativo. I referenti sono stati designati dai rispettivi responsabili, con il compito di mantenere i contatti con l'RDP e di rappresentare un riferimento per i colleghi relativamente alla tematica della protezione dati. I referenti sono stati formati con appositi seminari dall'RDP e dal gruppo di lavoro. Con l’attiva collaborazione dei referenti è stata avviata una ricognizione dei trattamenti che è stata presentata e discussa in un apposito seminario. Per attuare al meglio la ricognizione dei trattamenti in essere, è stata inoltre effettuata - e continua tutt’ora - un’intensa attività di consulenza del l'RDP e di altri componenti del gruppo di lavoro su specifici trattamenti. Per favorire la diffusione della conoscenza dei principi basilari della protezione dei dati personali e dell’applicazione dell'RGPD è stato inoltre creato un apposito sito https://protezionedati.iss.it.
Per quanto riguarda il Registro dei Trattamenti, è stata disegnata e predisposta dal Servizio Informatico dell’ISS un’applicazione in intranet, a disposizione dei referenti di ciascuna struttura, per l'inserimento delle schede relative ai trattamenti. Per avere un’idea dell’ordine di grandezza del numero dei trattamenti, alla data di entrata in vigore dell'RGPD, il Registro ne annoverava 174, a cui se ne sono aggiunti dopo 6 mesi una decina.
È in atto un processo di revisione delle informative che vengono sottoposte agli individui, i cui dati personali sono richiesti, nell’ambito di studi condotti dall’ISS, per effettuare un trattamento, affinché siano adeguate alle indicazioni dell'RGPD.
Nel gruppo di lavoro operano figure qualificate nell’ambito della information technology, tra cui il Direttore del Servizio di Informatica dell’ISS che, partendo dalle misure di protezione dei dati conservati e gestiti elettronicamente già esistenti in ISS, sta approntando misure specifiche. Particolare attenzione è riservata al cosiddetto data breach, ovvero la violazione dei dati personali e specificatamente la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Sempre secondo l'RGPD, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuta a conoscenza della violazione, a meno che sia improbabile che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.
Conclusioni
L’impostazione che lo stesso Garante suggerisce di dare al recepimento dell'RGPD, e che si è seguita presso l’ISS, non è la costrizione ad applicare norme burocratiche (“La protezione dei dati è un diritto di libertà”, recita il titolo di un filmato esplicativo pubblicato sul sito del Garante), ma piuttosto la possibilità di cogliere appieno l’opportunità data dal nuovo Regolamento nel trattare i dati in maniera corretta, trasparente, rispettosa dei diritti, secondo una “buona pratica” di lavoro da diffondere tra tutti coloro che nella loro attività lavorativa hanno a che fare con dati personali. Infine, per rendere il processo di adeguamento all'RGPD capillare e partecipato, il Garante promuove la collaborazione tra gli RDP delle varie istituzioni che condividono tematiche generali (ad esempio, gli enti pubblici di ricerca) per mettere a fattor comune esperienze, strategie, azioni a tutela della protezione dei dati.
Dichiarazione sui conflitti di interesse
Gli autori dichiarano che non esiste alcun potenziale conflitto di interesse o alcuna relazione di natura finanziaria o personale con persone o con organizzazioni che possano influenzare in modo inappropriato lo svolgimento e i risultati di questo lavoro.
Riferimenti bibliografici
1. Europa. Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Gazzetta ufficiale dell’Unione Europea, 4 maggio 2016.
2. Italia. Decreto Legislativo 10 agosto 2018, n. 101 Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Gazzetta Ufficiale - Serie Generale n. 205, 4 settembre 2018 .
Revisori nel 2018
Giuliano Carrozzi (Dipartimento di Sanità Pubblica Azienda USL di Modena); Sofi a Colaceci, Stefania Salmaso (già Istituto Superiore di Sanità); Alessio Crestini, Roberto Da Cas, Barbara De Mei, Gianluigi Ferrante, Silvia Francisci, Sabina Gainotti, Giada Minelli, Carlo Petrini, Paola Piscopo, Angela Spinelli (Istituto Superiore di Sanità); Giuseppe Gervasi (Università Tor Vergata, Istituto Superiore di Sanità); Susanna Insogna (Università degli Studi di Roma "La Sapienza"); Alberto Perra (ASL Roma 5); Mauro Ramigni (Azienda ULSS n. 2 Marca Trevigiana, Regione Veneto); Francesco Sconza (già Azienda Sanitaria Provinciale Cosenza); Tiziana Scuderi (ASP Trapani).
Si ringrazia Antonella Lattanzi (ISS) per la revisione linguistica degli abstract.