Si è espresso il Garante Italiano sul nuovo Regolamento europeo sulla Privacy GDPR
Normativa
Si è espresso il Garante Italiano sul nuovo Regolamento europeo sulla Privacy GDPR
Il Garante Italiano della Privacy si è espresso recentemente pubblicando sul proprio sito web le FAQ in merito al GDPR – Nuovo Regolamento Europeo sulla Protezione dei dati personali – e in particolare sul Registro delle attività di trattamento.
Viene confermato che i centri ottici sono obbligati all’adempimento in quanto trattano “dati sanitari” (rif. art.9 del GDPR e D.Lgs.101/2018), e nel testo si evince la possibilità di una gestione “semplificata”: tale indicazione non deve però trarre in inganno in quanto la normativa europea riporta sempre al concetto di “responsabilizzazione” obbligando il Titolare a mettere in pratica tutti quegli interventi necessari a garantire la tutela dei dati personali trattati. Dovendolo anche dimostrare.
E’ importante difatti sottolineare, passaggio fondamentale, che il Registro dei trattamenti è solo uno dei documenti che ogni centro ottico deve gestire.
Si legge difatti che il Registro dei trattamenti “E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento” e inoltre che “Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”.
A conferma di quanto detto, ricordiamo per esempio, a solo titolo esemplificativo, le modalità di raccolta del consenso, le eventuali valutazioni di rischio effettuate, le misure di sicurezza adottate a seguito dei rischi evidenziati, le indicazioni di eventuali “referenti interni” individuati dal titolare per ogni specifica tipologia di trattamento, il relativo registro degli incaricati, dei responsabili esterni e la formazione effettuata, le procedure di gestione dei dati e di data breach: passaggi da documentare per dimostrare, nel caso di controlli da parte del Garante, l’avvenuta conformità al Regolamento europeo. Rimaniamo pertanto in attesa di nuove eventuali indicazioni da parte del Garante, specificatamente per il trattamento dei dati sanitari (ex art.9 del GDPR e come previsto dal D.Lgs 101/2018 entrato in vigore il 19 settembre 2018).
Ne risulta alla fine la validità del lavoro svolto a partire dallo scorso anno da parte della Federottica, terminato con la produzione della “Guida privacy per il centro ottico” e la relativa proposta di “Registro delle attività di trattamento”, entrambi scaricabili dall’area riservata per i soci del sito www.federottica.org. Un lavoro realizzato tenendo conto delle più ampie casistiche operative riscontrabili tra i nostri associati, ma ovviamente e comunque soggetti ad adattamento, sia a livello di semplificazione sia di complicazione, a seconda delle specifiche attività che ogni centro ottico attua nel quotidiano.
Per approfondimenti:
https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento
http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg
http://www.federottica.org/leggi.php?idcontenuti=1592
