Dati sanitari

I trattamenti dei dati sanitari che:
– sono essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute;
e
– sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza NON richiedono il consenso al trattamento dei dati da parte dell’interessato


Schermo intero

Linee guida sul consenso ai sensi del regolamento (UE) 2016/679

Gruppo di lavoro Articolo 29
Linee guida sul consenso ai sensi del regolamento (UE) 2016/679
adottate il 28 novembre 2017
come modificate e adottate da ultimo il 10 aprile 2018

Le presenti linee guida forniscono un’analisi approfondita della nozione di consenso di cui al regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati). Il concetto di consenso di cui alla direttiva sulla protezione dei dati (direttiva 95/46/CE) e alla direttiva relativa alla vita privata e alle comunicazioni elettroniche (direttiva 2002/58/CE) si è evoluto. Il regolamento generale sulla protezione dei dati fornisce ulteriori chiarimenti e specifiche sui requisiti per ottenere e dimostrare un consenso valido. Prendendo le mosse dal parere 15/2011 sul consenso, le presenti linee guida si concentrano sui cambiamenti introdotti, fornendo orientamenti pratici per garantire il rispetto del regolamento. Il titolare del trattamento è tenuto a innovare per trovare soluzioni che siano conformi ai requisiti di legge e sostengano meglio la protezione dei dati personali e gli interessi degli interessati.
Il consenso rimane una delle sei basi legittime per trattare i dati personali, come disposto dall’articolo 6 del regolamento. Prima di avviare attività che implicano il trattamento di dati personali, il titolare del trattamento deve sempre valutare con attenzione la base legittima appropriata per il trattamento.
Di norma, il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio. Quando richiede il consenso, il titolare del trattamento deve valutare se soddisferà tutti i requisiti per essere valido. Se ottenuto nel pieno rispetto del regolamento, il consenso è uno strumento che fornisce all’interessato il controllo sul trattamento dei dati personali che lo riguardano. In caso contrario, il controllo diventa illusorio e il consenso non costituirà una base valida per il trattamento, rendendo illecita l’attività di trattamento.
Ove coerenti con il nuovo quadro giuridico, i pareri che il Gruppo di lavoro Articolo 29 (in appresso: Gruppo di lavoro) ha formulato in materia di consenso3 rimangono pertinenti, in quanto il regolamento generale sulla protezione dei dati codifica gli orientamenti e le buone prassi generali del Gruppo di lavoro e lascia immutata la maggior parte degli aspetti essenziali del consenso. Di conseguenza, il presente documento amplia e completa pareri precedenti del Gruppo di lavoro su argomenti specifici che fanno riferimento al consenso ai sensi della direttiva 95/46/CE, senza sostituirli.
Come affermato nel parere 15/2011 sulla definizione di consenso, l’invito ad accettare il trattamento dei dati dovrebbe essere soggetto a criteri rigorosi, poiché sono in gioco i diritti fondamentali dell’interessato e il titolare del trattamento intende svolgere un trattamento che senza il consenso sarebbe illecito. Il ruolo cruciale del consenso è sottolineato dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, l’ottenimento del consenso non fa venir meno né diminuisce in alcun modo l’obbligo del titolare del trattamento di rispettare i principi applicabili al trattamento sanciti nel regolamento generale sulla protezione dei dati, in particolare all’articolo 5, per quanto concerne la correttezza, la necessità e la proporzionalità, nonché la qualità dei dati. Il fatto che il trattamento dei dati personali si basi sul consenso dell’interessato non legittima la raccolta di dati non necessari a una finalità specifica di trattamento, che sarebbe fondamentalmente iniqua.
Parallelamente, il Gruppo di lavoro è a conoscenza della revisione della direttiva relativa alla vita privata e alle comunicazioni elettroniche. La nozione di consenso nel progetto di regolamento sulla vita privata e le comunicazioni elettroniche rimane legata a quella del regolamento generale sulla protezione dei dati. È probabile che ai sensi del futuro strumento le organizzazioni necessitino del consenso per la maggior parte dei messaggi di marketing online, per le chiamate di marketing e per i metodi di tracciamento online, compreso tramite l’uso di cookie, applicazioni o altri software. Il Gruppo di lavoro ha già fornito raccomandazioni e orientamenti al legislatore europeo in merito alla proposta di regolamento sulla vita privata e le comunicazioni elettroniche.
Per quanto riguarda l’attuale direttiva relativa alla vita privata e alle comunicazioni elettroniche, il Gruppo di lavoro rileva che i riferimenti alla direttiva 95/46/CE abrogata si intendono fatti al regolamento generale sulla protezione dei dati. Ciò vale anche per i riferimenti riguardanti il consenso, poiché il regolamento sulla vita privata e le comunicazioni elettroniche non sarà (ancora) entrato in vigore il 25 maggio 2018. Ai sensi dell’articolo 95 del regolamento generale sulla protezione dei dati, non sono imposti obblighi supplementari in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione, nella misura in cui la direttiva relativa alla vita privata e alle comunicazioni elettroniche impone obblighi specifici aventi il medesimo obiettivo. Il Gruppo di lavoro rileva che i requisiti per il consenso ai sensi del regolamento generale sulla protezione dei dati non sono considerati un “obbligo supplementare”, bensì condizioni preliminari per la liceità del trattamento. Pertanto, tali requisiti sono applicabili alle situazioni che rientrano nel campo di applicazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche.


Schermo intero

Informativa e consenso

Informativa

informativa e consenso

informativa e consenso

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve prima fornire all’interessato alcune informazioni(articolo 13 del Codice) per  metterlo nelle condizioni di esercitare i propri diritti (articolo 7del Codice).

In particolare, l’informativa deve spiegare:

  1. in che modo e per quale scopo verranno trattati i propri dati personali;
  2. se il conferimento dei propri dati personali è obbligatorio o facoltativo;
  3. le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
  4. a chi saranno comunicati o se saranno diffusi i propri dati personali;
  5. i diritti previsti dall’articolo 7 del Codice;
  6. chi è il titolare e (se è stato designato) il responsabile del trattamento.

Se i dati personali sono stati raccolti da altre fonti (ad esempio, archivi pubblici, familiari dell’interessato, ecc.), cioè non direttamente presso l’interessato, l’informativa deve essere resa:
–  quando i dati sono registrati
oppure
– non oltre la prima comunicazione a terzi

L’omessa o inidonea informativa è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro(articolo 161 del Codice).


Consenso

Soggetti privati e enti pubblici economici
Fatte salve alcune eccezioni, per i soggetti privati e gli enti pubblici economici il trattamento di dati personali è possibile con il consenso dell’interessato documentato per iscritto (articolo 23 del Codice), che è valido se:

  • all’interessato è stata resa l’informativa(articolo 13 del Codice);
  • è stato espresso dall’interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento)

Soggetti pubblici
Le pubbliche amministrazioni non devono richiedere il consenso dell’interessato, purché il trattamento sia effettuato nell’ambito dello svolgimento delle proprie funzioni istituzionali(articolo 18 del Codice).

Il trattamento di dati personali effettuato in violazione dell’articolo 23 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis, del Codice).


ESTRATTO DAL GARANTE DELLA PROTEZIONE DEI DATI PERSONALI

Reset della password
Per favore inserisci la tua email. Riceverai una nuova password via email.

Pin It on Pinterest