ADEMPIMENTI PRIVACY

Il GDPR per la casa di cura privata: la guida per gli adempimenti

La casa di cura privata, come qualsiasi struttura sanitaria, soggiace ad una serie di misure previste dal GDPR e in generale a tutte le connesse disposizioni in materia di protezione dei dati personali. Ecco una panoramica su quelli che sono gli adempimenti più rilevanti richiesti dalla normativa privacy europea e nazionale

22 Ott 2019
M
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


Anche una casa di cura privata, come qualsiasi struttura sanitaria, deve soggiacere alle misure previste dal GDPR e, più in generale, alle disposizioni in materia di protezione dei dati personali.

Secondo il DPCM 27 giugno 1986, la casa di cura privata si configura come uno stabilimento sanitario gestito da privati, persone fisiche o giuridiche, che provvedono al ricovero ed – eventualmente – all’assistenza sanitaria ambulatoriale e in regime di degenza diurna di cittadini italiani e stranieri a fini di diagnosi, cura e riabilitazione.

Il GDPR per la casa di cura privata: l’accountability del titolare del trattamento

Determinando le finalità (es. cura del paziente) e i mezzi del trattamento (es. modalità informatiche), la casa di cura privata opera come Titolare del trattamento dei dati (art. 4 n. 7 del GDPR). Come tale “soggetto del trattamento” la casa di cura privata deve rispettare il “principio di responsabilizzazione” (o di “accountability”) di cui agli artt. 5.2 e 24 del GDPR.

Nel rispetto di tale principio cardine dell’impalcatura europea, la casa di cura privata è pienamente responsabile delle scelte e delle azioni intraprese in materia di trattamento dei dati personali, e deve “darne conto” agli interessati secondo i disposti del GDPR.

Infine, in base all’art. 24 del GDPR, la casa di cura privata Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati sia effettuato conformemente al GDPR.

Il GDPR per la casa di cura privata: l’informativa ai pazienti

La casa di cura privata Titolare del trattamento deve da un lato informare il paziente interessato circa i suoi diritti in materia di trattamento dei dati personali; dall’altro deve agevolare i diritti previsti dal GDPR nel modo più efficace possibile.

Esaminiamo nel presente paragrafo quelli che sono i “diritti informativi” che appartengono al paziente della casa di cura privata (prima del GDPR, ed in costanza della vecchia formulazione del D.lgs. 196/2003, era presente il noto termine “Informativa Privacy”)

Per l’art. 12 del GDPR è necessario che la casa di cura privata utilizzi per tutte le informazioni sul trattamento dei dati ai pazienti interessati:

  • un linguaggio semplice e chiaro con una forma intellegibile (facilmente comprensibile);
  • una forma concisa (informazioni brevi e fruibili);
  • una forma trasparente (e veritiera);
  • una forma facilmente accessibile (affissioni, modulistiche, presenza su sito web ecc.).

Le informazioni rese ai sensi dell’Art. 13 del GDPR devono contenere:

  • l’identità e i dati di contatto (reali ed aggiornati) del Titolare del trattamento (es. ragione sociale e dati di contatto della casa di cura privata);
  • i dati di contatto del DPO (obbligatorio per le case di cura private);
  • le finalità del trattamento (es. trattamento dei dati per finalità di diagnosi, cura e riabilitazione dei pazienti interessati);
  • la base giuridica utilizzata per il trattamento dei dati (es. il consenso al trattamento dei dati);
  • i destinatari del trattamento, ossia le persone fisiche, giuridiche, le autorità pubbliche od organismi che ricevono comunicazione dei dati personali. È necessario specificare almeno la categoria di riferimento dei destinatari (es. lo studio commercialista, la Regione ecc.);
  • il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali;
  • il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo. È fondamentale stimare diversi periodi di conservazione per le diverse tipologie di dati trattati, in particolar modo per quelli particolari ai sensi dell’art. 9.1 del GDPR (es. dati relativi alla salute, genetici, biometrici ecc.);
  • i diritti del paziente interessato sui suoi dati personali. Sono esercitati senza alcuna formalità e gratuitamente (salvo richieste reiterate, eccessive o infondate); la casa di cura privata Titolare del trattamento deve ottemperare alle richieste senza ingiustificato ritardo, al massimo entro un mese dal ricevimento delle stesse (prorogato di due mesi in caso di richieste numerose o complesse). Infine si risponde, ove possibile, alle richieste nella stessa loro forma: a richieste cartacee si risponde in maniera cartacea, a richieste elettroniche si risponde in maniera elettronica.

Il GDPR per la casa di cura privata: i diritti degli interessati

Ai sensi dell’art. 15 del GDPR il paziente interessato ha il diritto di ottenere gratuitamente dalla casa di cura privata Titolare del trattamento la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nelle “informazioni sul trattamento dei dati”.

Ai sensi dell’art. 16 del GDPR il paziente interessato ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.

Ai sensi dell’art. 17 del GDPR il paziente interessato ha il diritto alla cancellazione dei suoi dati:

  • nel caso che non siano più necessari rispetto alle finalità di raccolta;
  • nel caso revochi il suo consenso e manchino altre basi giuridiche;
  • nel caso il paziente interessato si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso;
  • nel caso i dati siano trattati illecitamente da parte del Titolare del trattamento;
  • nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetto il Titolare del trattamento.

In tutti questi casi la casa di cura privata Titolare del trattamento dovrà procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo.

Non si applica il diritto alla cancellazione quando:

  • vi è un obbligo di legge da rispettare, un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investita la casa di cura privata Titolare del trattamento;
  • vi sono motivi di interesse pubblico nel settore della sanità pubblica;
  • vi sono finalità di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi;
  • si è in presenza di accertamento, esercizio o difesa di un diritto in sede giudiziaria (art. 24 Cost.).

Ai sensi dell’art. 18 del GDPR il paziente interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando:

  • il medesimo contesta l’esattezza dei dati personali;
  • il trattamento è illecito;
  • ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché la casa di cura privata Titolare del trattamento non abbia più bisogno di questi dati;
  • infine, quando si oppone al trattamento dei suoi dati.

Ai sensi dell’art. 20 del GDPR il paziente interessato ha il diritto alla portabilità dei suoi dati, ossia di ricevere dalla casa di cura privata Titolare del trattamento i dati personali che lo riguardano, e ha il diritto di chiedere al Titolare del trattamento di trasmetterli ad altro Titolare (es. un’altra struttura sanitaria).

La casa di cura privata Titolare del trattamento deve consegnare i dati – o trasmetterli – in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Il paziente interessato può esercitare il diritto alla portabilità dei suoi dati a due condizioni:

  • che vi sia la presenza di una base giuridica in alternativa tra consenso e contratto;
  • che il trattamento sia effettuato con mezzi automatizzati (non è possibile la portabilità di dati contenuti in modulistica cartacea). Il diritto alla portabilità non pregiudica altri diritti di cui al GDPR.

Infine, ai sensi dell’Art. 21 del GDPR il paziente interessato ha il diritto di opporsi in qualsiasi momento al trattamento avente come basi giuridiche l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ovvero il legittimo interesse del Titolare del trattamento:

  • le informazioni sul trattamento dei dati devono contenere la possibilità che il paziente interessato revochi il suo consenso – se utilizzato come base giuridica – in qualunque momento (e senza motivazioni). In questo caso è lecito il trattamento effettuato prima della revoca del consenso;
  • le informazioni sul trattamento dei dati devono contenere il diritto di proporre reclamo presso un’Autorità di Controllo (ad esempio, il Garante Privacy);
  • le informazioni sul trattamento dei dati devono specificare se la comunicazione di dati personali (ai destinatari) è un obbligo di legge o contrattuale, se il paziente interessato ha l’obbligo di fornire tali dati e le possibili conseguenze nel caso in cui lo stesso non volesse procedere con la comunicazione;
  • le informazioni sul trattamento dei dati devono specificare se è in atto un processo decisionale automatizzato (Art. 22 del GDPR), con la logica utilizzata, l’importanza e le conseguenze di tale trattamento.

Se la casa di cura privata Titolare del trattamento avesse necessità di trattare ulteriormente i dati personali degli interessati per un’altra finalità, sarà necessario informar loro in merito a questo ulteriore trattamento.

Il GDPR per la casa di cura privata: le basi giuridiche

WEBINAR
Machine Learning, Analytics e hybrid cloud a supporto della Cybersecurity. Ecco come in un webinar
Big Data
Intelligenza Artificiale

Come per la maggior parte delle strutture sanitarie, anche le case di cura private possono utilizzare la base giuridica di cui all’art. 9.2 lett. h) del GDPR: a norma di tale articolo, è lecito il trattamento dei dati particolari “per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali […] ovvero conformemente al contratto con un professionista della sanità […]”.

Riprendendo il DPCM 27 giugno 1986 notiamo lo specifico riferimento alle finalità di “diagnosi, cura e riabilitazione”.

Dato il quasi-parallelismo con l’art. 9.2 lett. h) del GDPR, possiamo affermare che la casa di cura privata non ha necessità di utilizzare la base del consenso al trattamento dei dati personali, in quanto la liceità del trattamento è data da alcune delle “attività” tipizzate proprio dall’art. 9.2 lett. h) del GDPR.

Inoltre, l’art. 9.3 del GDPR dispone che è possibile utilizzare la base giuridica di cui all’art. 9.2 lett. h) del GDPR solo se i dati particolari “sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale […] o da altra persona anch’essa soggetta all’obbligo di segretezza […]”.

In ogni caso, non è sempre possibile “bypassare” la base giuridica del consenso al trattamento dei dati di cui agli Artt. 6.1 lett. a) e 9.1 lett. a) del GDPR).

Nella casa di cura privata – come in altre strutture sanitarie – è possibile utilizzare il consenso per diversi trattamenti e finalità, non rientranti nell’alveo dell’Art. 9.2 lett. h) del GDPR (ad esempio, è possibile ottenere un consenso per comunicare con il paziente interessato tramite telefono, SMS, messaggistica istantanea ovvero tramite e-mail).

Tra gli esempi più noti di consenso privacy in ambito sanitario figurano il Fascicolo Sanitario Elettronico (FSE), il Dossier Sanitario Elettronico (DSE) e la tematica dei Referti Online[1]. L’art. 7 del GDPR sintetizza i requisiti del consenso al trattamento dei dati personali:

  • la casa di cura privata deve dimostrare che il paziente interessato ha prestato il consenso (principio di responsabilizzazione);
  • ad ogni finalità del trattamento deve esserci un autonomo consenso (una sorta di “rapporto 1:1”, una finalità – un consenso);
  • il consenso deve essere comprensibile, facilmente accessibile, con linguaggio semplice e chiaro e chiaramente distinguibile da altre materie (e finalità);
  • il consenso è revocabile con la stessa facilità con la quale è prestato, in qualsiasi momento (potrebbe essere utile dotarsi di un modulo di revoca del consenso);
  • la revoca del consenso non pregiudica il trattamento posto in essere sino ad allora (sono fatti salvi – e leciti – i trattamenti che precedono la revoca);
  • il consenso è sempre informato (da non confondere, nella maniera più assoluta, con il “consenso informato al trattamento sanitario”, disciplinato diversamente).

Infine, il consenso – nel trattamento di dati particolari – deve essere esplicito (art. 9.2 lett. a del GDPR): comunemente è possibile procedere con la messa per iscritto della manifestazione di volontà del paziente interessato.

Come per qualsiasi struttura sanitaria, è possibile che la casa di cura privata possa trattare taluni dati personali mediante altre basi giuridiche:

  • art. 9.2 lett. c) del GDPR quando il trattamento dei dati è necessario per tutelare un interesse vitale del paziente interessato o di un’altra persona fisica, qualora il paziente interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  • art. 6.1 lett. b) del GDPR quando il trattamento è necessario all’esecuzione di un contratto in cui il paziente interessato è parte;
  • art. 6.1 lett. c) del GDPR quando il trattamento è necessario per adempiere ad un obbligo legale cui è soggetta la casa di cura privata (ad esempio, invio di alcuni dati al SSR);
  • art. 6.1 lett. e) del GDPR quando il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento;
  • art. 6.1 lett. f) del GDPR quando il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi.

La casa di cura privata Titolare del trattamento valuta autonomamente le basi giuridiche da utilizzare, caso per caso.

Sicurezza del trattamento e data breach

L’art. 32 del GDPR dispone che per approntare delle adeguate misure di sicurezza il Titolare del trattamento – nell’ottica del principio di responsabilizzazione di cui agli Artt. 5.2 e 24 del GDPR – deve tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio.

Tra le “soluzioni” che l’art. 32 del GDPR elenca – in maniera non esaustiva – vi sono:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (es. backup);
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Inoltre, punto importante, la casa di cura privata Titolare del trattamento fa sì che chiunque agisca per suo conto ed abbia accesso ai dati personali dei pazienti interessati sia istruito ed autorizzato.

Esaminiamo ora il data breach, ossia la tematica della violazione dei dati personali. Ai sensi dell’art. 4 n. 12 del GDPR, la violazione dei dati personali si configura come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Ai sensi degli artt. 33 e 34 del GDPR, in caso di data breach il Titolare del Trattamento deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo.

Ecco cosa contiene la notifica del data breach al Garante Privacy:

  • descrizione dettagliata del data breach;
  • categorie e numero approssimativo di interessati (es. numero di pazienti coinvolti);
  • categorie e numero approssimativo di registrazioni dei dati personali;
  • dati di contatto della casa di cura privata per tutte le informazioni richieste dal Garante Privacy;
  • descrizione delle probabili conseguenze del data breach;
  • descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio.

In ogni caso, a prescindere dalla necessità di notifica o meno di un data breach, la casa di cura privata deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR.

È possibile inviare la notifica al Garante all’indirizzo e-mail dedicato, utilizzando un modello recentemente messo a disposizione dall’Autorità.

La formazione del personale autorizzato al trattamento dei dati

Riprendendo l’art. 32 del GDPR, il paragrafo 4 del medesimo dispone che chiunque agisca sotto l’autorità del Titolare del trattamento, e abbia accesso ai dati personali, non possa trattare i dati se non è istruito (e, quindi, adeguatamente formato all’uopo).

L’art. 2-quaterdecies del Codice Privacy[2] afferma che il Titolare del trattamento può prevedere, sotto la sua responsabilità e nell’ambito del suo assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità.

Inoltre, il Titolare del Trattamento sceglie le modalità più opportune per autorizzare al trattamento le sue risorse umane che trattano i dati.

Da un lato la casa di cura privata può autorizzare come meglio crede (principio di responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale deve essere istruito, ossia deve comprendere la reale portata dell’autorizzazione. In altre parole, il personale autorizzato deve essere formato in maniera adeguata.

Il GDPR per la casa di cura privata: il registro dei trattamenti

Tutte le case di cura private sono obbligate alla tenuta dei registri delle attività di trattamento di cui all’art. 30 del GDPR.

Il trattamento su base permanente di dati particolari, tra i quali spiccano i dati relativi alla salute, i dati genetici e – in alcuni casi – biometrici, rende necessario l’obbligo in oggetto.

Tali registri sono tenuti in forma scritta sotto la responsabilità del Titolare del trattamento (la ricorrenza del “principio di responsabilizzazione” è un mantra unico nel GDPR).

Il Titolare del trattamento è tenuto a rispettare quanto contenuto nell’Art. 30.1 del GDPR:

  • indicazione del nome e dei dati di contatto del Titolare del trattamento: ragione sociale della casa di cura privata e relativi dati di contatto (via, civico, CAP, città, provincia, contatto telefonico, mail ecc.). Inserire anche i dati di contatto del DPO;
  • delineare in maniera compiuta quali sono le finalità del trattamento dei dati;
  • descrivere le categorie di interessati (es. pazienti) e le categorie di dati personali (es. personali e particolari);
  • descrivere le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (se del caso) i destinatari di paesi terzi od organizzazioni internazionali;
  • ove attuati dalla casa di cura privata, inserire i trasferimenti di dati personali verso il/i paese/i terzo/i ovvero verso la/le organizzazione/i internazionale/i;
  • inserire, ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, che non devono discostarsi da quanto previsto nelle informazioni sul trattamento dei dati;
  • mettere in campo una descrizione generale delle misure di sicurezza tecniche e organizzative adottate di cui all’art. 32 del GDPR.

La valutazione d’impatto sul trattamento dei dati (DPIA)

La Valutazione d’Impatto sulla Protezione dei Dati (DPIA), di cui agli Artt. 35 e 36 del GDPR, si configura come un’autonoma valutazione che il Titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche.

È richiesta in particolar modo in tre casi:

  1. quando si procede ad una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. quando si è in presenza di un trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9.1 del GDPR (dati particolari), ovvero di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR;
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (es. videosorveglianza su larga scala)[3].

Secondo le Linee Guida WP248 del Working Party 29 per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento.

In base all’art. 35.7 del GDPR una valutazione d’impatto deve contenere:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal Titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
  • nonché le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Ogniqualvolta la casa di cura privata si trovasse in una delle fattispecie di cui agli Artt. 35 e 36 del GDPR, nonché presenti nelle utili Linee Guida WP248, sarà necessario procedere con la valutazione di impatto[4].

Il responsabile della protezione dei dati (DPO)

L’obbligo di nominare un DPO scatta, ai sensi dell’art. 37 del GDPR, solo nei seguenti casi:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del GDPR ovvero di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR.

La casa di cura privata, tenuta obbligatoriamente alla nomina di un DPO, deve affidarsi ad un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39 del GDPR (informare, fornire consulenza, sorvegliare l’osservanza del GDPR, sensibilizzare e formare il personale della casa di cura privata, fornire un parere sulla valutazione d’impatto, cooperare e fungere da punto di contatto con il Garante Privacy).

Il trasferimento all’estero dei dati

È possibile che la casa di cura privata abbia rapporti con soggetti presenti all’estero, ossia presenti in paesi esterni all’Unione Europea (UE) e/o allo Spazio Economico Europeo (SEE).

In tali casi è necessario porre luce su tre condizioni alternative:

  1. presenza di una “decisione di adeguatezza”, se il paese extra UE/SEE verso cui la Casa di Cura privata vuole trasferire i dati sia uno dei seguenti: Andorra, Argentina, Canada, Isole Faer Oer, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA;
  2. in assenza di una “decisione di adeguatezza”: il trasferimento dei dati personali deve essere effettuato sulla base di accordi contrattuali, stipulati tra il Titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea, che forniscano garanzie adeguate agli utenti (esempio l’esercizio dei diritti del GDPR).
  3. in assenza delle precedenti condizioni, l’art. 49 del GDPR prevede alcune eccezioni – da utilizzarsi in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento. Il trasferimento può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:
    1. l’utente (es. il paziente interessato) ha espresso esplicitamente il consenso al trasferimento, una volta adeguatamente informato dal Titolare dell’assenza delle condizioni precedenti e degli eventuali rischi;
    2. il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente (es. il paziente interessato) e il Titolare del trattamento stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente.

NOTE

  1. Da leggersi parallelamente al GDPR e Codice Privacy novellato.
  2. Articolo inserito dal D. Lgs. 101/2018.
  3. Da prendere in considerazione se presente nella casa di cura privata.
  4. È possibile utilizzare un utile software opensource dell’autorità privacy francese CNIL, alla cui traduzione in lingua italiana partecipa il Garante Privacy italiano.
WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

@RIPRODUZIONE RISERVATA

Articolo 1 di 3