Alla luce del nuovo regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali il processo di certificazione è uno strumento di applicazione non obbligatoria ma volontaria che non fa venir meno la possibilità per il Garante Privacy di contestare la non conformità delle misure adottate. Il nuovo regolamento nato per stare al passo con l’evoluzione delle tecnologie e la globalizzazione della diffusione dei dati definisce cosa sia necessario prevedere per rendere sicuro un trattamento di dati e chi ha l’onere di adottare tali misure di sicurezza. Ne parliamo con l’avvocato Silvia Stefanelli che vanta una esperienza pluriennale sul tema in ambito sanitario.
Avvocato Stefanelli, tra poco più di un anno tutti i soggetti che gestiscono dati dovranno essere in regola con il nuovo regolamento 679/2016. Cosa stanno facendo le Aziende?
“Iniziano ad essere consapevoli che il lavoro da fare è tanto e quindi prima ci si mette in regola e meglio è. Il Regolamento introduce infatti un nuovo approccio alla gestione del dato: si passa da una disciplina di stampo un po’ burocratico a una architettura legislativa di natura molto più sostanziale. Di fatto, il titolare è chiamato a porre in essere un sistema qualità per la gestione dei dati che tratta, decidendo anche, a seconda della tipologia della natura del dato, quali misure di gestione e controllo attuare”.
Alla luce della necessità di attivare un sistema qualità, il nuovo regolamento prevede quindi la possibilità di applicare certificazioni?
“Per quanto riguarda le certificazioni bisogna sottolineare che non c’è un obbligo vero e proprio. L’articolo 42 del provvedimento incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati per dimostrare che i trattamenti effettuati dai titolari e dai responsabili dei trattamenti siano conformi al Regolamento. Si tratta quindi di uno strumento di applicazione non obbligatoria ma volontaria, certamente molto utile per dimostrare il rispetto del regolamento, ma che non fa venir meno la possibilità per il Garante Privacy di contestare la non conformità delle misure adottate”.
Esistono attualmente certificazioni utilizzabili?
“No, a tutt’oggi non ci sono certificazioni che abbiano una valenza giuridica per regolamento sulla protezione dei dati personali”.
Ma da chi possono essere rilasciate le certificazioni?
“La certificazione, secondo quanto stabilito, è rilasciata dagli organismi di certificazione o dall’autorità di controllo competente. Il punto però è un altro: le certificazioni si rilasciano in base a criteri standard predefiniti. Tali criteri – ai sensi dell’art. 42 comma 5 del Regolamento – possono essere approvati solo dal Garante privacy e/o dal Comitato Europeo: al momento non mi risulta che né l’autorità italiana, né il Comitato Europeo abbiano emanato alcun criterio in merito. Quindi non vi possono essere certificazioni valide ai sensi del Reg 679/2016”.
Però sul sito di Accredia è stata pubblicata la notizia di una certificazione valida ai fini del regolamento 679/2016 rilasciata dalla società PharmaSoftFea? Come se lo spiega?
“In effetti sul sito si legge che Accredia abbia approvato uno schema proprietario adottato da un organismo di certificazione (PharmaSoftFea) e lo abbia fatto diventare lo standard di riferimento per il regolamento 679/2016. Francamente non mi sembra un iter legittimo: non è chiaro infatti sulla base di quali criteri, che come ho già evidenziato attualmente non esistono, sia stato approvato questo standard. Ho anche chiesto informazioni ad Accredia in merito, ma non ho ancora ricevuto una risposta. Il problema è che attualmente la materia è ancora poco conosciuta, c’è quindi il rischio che un’azienda non abbia una piena consapevolezza di quello che sta ottenendo, e che quindi ritenga valida, ai fini dell’art. 42 del Reg. 679/2016, una certificazione che, secondo il mio parere, non ha al contrario alcuna valenza giuridica”.
Che impatto ha il nuovo regolamento nel settore sanitario e farmaceutico?
“Un impatto molto rilevante. In area sanitaria la più parte dei dati trattati sono dati sensibili e quindi richiedono un livello di gestione e sicurezza molto alto. Senza dubbio il nostro Garante Privacy aveva già emanato numerosi provvedimenti di area sanitaria (che restano a tutt’oggi in vigore) e che hanno già sviluppato una maggiore sensibilità nei confronti del dato che in altri paesi comunitari. In area farmaceutica e medical device il grande impatto sarà sulla gestione dei Clinical Trials, sull’uso di tutte le apparecchiature software, sull’informazione medico scientifica tradizionale e digitale nonché sulle dichiarazioni annuali che le Aziende obbligatoriamente devono fare all’Agenzia del Farmaco. Occorrerà infatti andare ad interpretare ed applicare il nuovo regolamento 679/2016 in maniera coordinata e combinata con le norme specifiche del settore (il Dlgs 219/2006 per il farmaco e la dir 93/42/CEE per i medical device). Occorre quindi adottare un diverso approccio mentale: su questo – mi sento di dire – le aziende sono ancora molto indietro”.