Il decreto governativo, anziché abrogare il codice della privacy del 2003, lo armonizza al nuovo regolamento europeo, ed ha prolungato l'esordio del GDPR al 21 agosto, anche se già da fine maggio bisogna aver adeguato le misure di sicurezza dei dati, rivisto le informative ed il registro dei trattamenti completando con i dati di titolare e incaricati.
Novità:
Il consenso- Il GDPR, rispetto al vecchio decreto 196/2003, consente di trattare senza consenso dell'interessato tutti i casi di diagnosi e cura. Viene differenziata “la comunicazione” dalla “diffusione” dei dati che è vietata. Non vi è obbligo di consenso al trattamento per i trapianti d'organo e tessuti e trasfusioni di sangue umano, per igiene e sicurezza sul lavoro, protezione civile, programmazione, gestione, controllo e valutazione sanitaria (inclusa la sorveglianza sulla spesa), vigilanza su sperimentazioni e farmacovigilanza, autorizzazione in commercio e importazione di medicinali e dispositivi medici, tutela sociale della maternità ed IVG, dipendenze, assistenza, integrazione sociale e diritti dei disabili.
Le eccezioni - Il trattamento dei dati genetici e di spesa senza consenso è possibile solo in conformità a misure di garanzia periodicamente disposte dal Garante, inclusa cifratura e pseudonimizzazione dei dati personali.
Privacy dei deceduti - I dati di pazienti deceduti possono essere attinti da chi ha un interesse proprio o a tutela dell'interessato, o per ragioni familiari da proteggere, ma non se l'interessato lo ha vietato con dichiarazione scritta all'ospedale. In questo caso, il divieto non può però pregiudicare i diritti degli eredi o di titolari di interessi da difendere in giudizio.
Hacker - Nei trattamenti ad alto rischio di hackeraggio il Garante può imporre d'ufficio misure specifiche a garanzia dell'interessato che il titolare dovrà adottare.
leggi il testo del decreto attuativo
Ultim'ora
medico sanzionato dal Garante:
aveva fornito alla sostituta User e Id del pc