Autore: wp_6910267

Faccio la valigia e me ne vado. È il senso del nuovo diritto alla portabilità che il GDPR introdurrà definitivamente dal 25 maggio prossimo e che nasce, principalmente, per facilitare il passaggio dei nostri dati (foto, messaggi, ecc.) da una piattaforma social all’altra. Il diritto prevede che i dati personali siano “restituiti”, dal titolare all’interessato oppure dal vecchio titolare direttamente al nuovo titolare (dal vecchio social al nuovo social), in formato elettronico comprensibile da una infrastruttura informatica.

Ma cosa mettere in valigia prima di trasferirmi? Il regolamento dice che possiamo portarci i dati personali che abbiamo fornito al titolare e che vengono trattati in modo automatizzato. Inoltre, i dati devono derivare dall’espressione di un consenso o dall’esecuzione di un contratto.

Il gruppo dei garanti europeo ha pubblicato un buon approfondimento sulla questione (Linee-guida sul diritto alla portabilità dei dati – WP 242)  ma applicabile, quasi esclusivamente, ai social network.

Il caso che vogliamo affrontare oggi, invece, è molto più pratico e, forse, più ricorrente del trasferimento da social a social.

Supponiamo di aver trascorso un periodo di degenza presso una clinica privata. Prima del ricovero abbiamo sottoscritto un contratto e fornito il consenso al trattamento dei nostri dati personali (anche quelli riguardanti la salute). Durante il ricovero siamo stati sottoposti a radiografie, esami del sangue ed altri esami clinici che, in base all’informativa che ci ha fornito la clinica, sono trattati con mezzi automatizzati e saranno conservati per due anni.

Dopo le dimissioni, decidiamo di ricorrere ad un secondo parere. Possiamo chiedere la portabilità degli esami clinici per trasferirli ad un altro specialista? La questione non è risolvibile con facilità. Infatti, il regolamento riferisce che possiamo portarci solo i dati che abbiamo fornito al titolare: gli esami clinici non li abbiamo forniti noi. D’altra parte, la nostra radiografia è certamente un dato personale di cui dobbiamo avere il controllo.

L’applicazione dei principi di correttezza e trasparenza dovrebbero illuminare il caso: il titolare non deve frapporre ostacoli all’interessato nell’esercitare il controllo completo sui propri dati personali. Quindi, leggiamo bene contratto e informativa e, poi, facciamo le valigie mettendoci anche le nostre radiografie.

Hanno sottratto le lastre di Valentino Rossi e le hanno pubblicate su Istagram. Ci dispiace per Valentino, un vero mito!

La Polizia postale sta indagando e arriverà a capire cosa è successo.

L’episodio rientra nei casi di violazione di dati personali. Anzi, nel caso specifico, si tratta di particolari categorie di dati personali, così come li individua il Regolamento UE 679/2016, e, ancora più dettagliatamente, di dati riguardanti la salute.

Vogliamo puntare l’attenzione, tuttavia, su un paio di aspetti:

• la stampa riferisce che un dipendente dell’Azienda Ospedali Riuniti di Ancona abbia avuto accesso al dossier sanitario di Valentino e che abbia copiato il referto radiologico; questo, se confermato dalle indagini, sarebbe un reato previsto dall’art. 615‑ter del codice penale denominato “Accesso abusivo ad un sistema informatico o telematico” e sarebbe punibile anche quando chi lo compie è un soggetto regolarmente dotato di autorizzazione al sistema informatico ma opera senza che l’accesso corrisponda ad una esigenza di servizio. Per i pubblici ufficiali o gli incaricati di pubblico servizio, come sembra nel caso specifico, la pena può arrivare a cinque anni di reclusione;

• consultando il sito dell’Azienda Ospedali Riuniti di Ancona non si rilevano tracce della designazione di un Responsabile della Protezione dei Dati (Data Protection Officer o DPO); non sappiamo se l’Azienda non l’abbia ancora nominato oppure l’ha nominato e non ha pubblicato i suoi dati di contatto (così come prevede il GDPR).

La combinazione di questi due elementi ci porta a ribadire che la protezione dei dati personali non è solo questione di tecnologia ma anche di diffusione della cultura. Ed uno dei compiti del DPO è di “sorvegliare sulla sensibilizzazione e la formazione del personale che partecipa ai trattamenti”. Forse un dipendente più sensibilizzato, soprattutto sulla pena prevista, avrebbe ritirato il ditino dalla tastiera…