Privacy e studi medici/ odontoiatrici: responsabilità e sanzoni

medici

L’avvento del Regolamento Europeo 679/2016 (GDPR) e l’entrata in vigore del D.Lgs. 101/2018 hanno comportato una serie di obblighi per gli studi medici e odontoiatrici, che hanno provato diversi mutamenti organizzativi ed economici al loro interno.

La protezione dei dati è cambiata, e tutto ruota intorno alla responsabilità del Titolare e al suo “dovere” di dar conto di ogni sua scelta.

Pertanto vista l’introduzione di un apparato sanzionatorio misto, è necessario che gli studi medici e odontoiatrici si adeguino alla nuova normativa prima di incorrere in alcune delle sanzioni esposte successivamente.

L’art. 83 del Reg. Ue 679/2016 si occupa di due casistiche sanzionabili:

  1. violazioni di minore gravità: sanzionabili sino a € 10 milioni  o ,per le imprese, fino al 2% del fatturato mondiale totale annuo. Esse riguardono la violazione degli obblighi del titolare ed il responsabile del trattamento (consenso minori in relazione ai servizi della società dell’informazione, trattamento che non richiede l’identificazione, privacy by design e by default, contitolari e responsabili del trattamento, Registri delle attività di trattamento, misure di sicurezza e Data Breach, Valutazione di Impatto e DPO, certificazione), degli obblighi dell’organismo di certificazione e degli obblighi dell’organismo di controllo dei codici di condotta
  2. violazioni di maggiore gravità: sanzionabili sino a € 20 milioni o ,per le imprese, fino al 4% del fatturato mondiale totale annuo. Riguardano la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso; la violazione dei diritti degli interessati; i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (disposizioni relative a specifiche situazioni di trattamento); l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (Garante Privacy).

Il nuovo art. 166 del Codice Privacy  prevede sanzioni fino a 10 o 20 milioni di euro nei seguenti casi :

  • violazioni nella disposizione delle informative rilasciate ai minori di 14 anni (il linguaggio deve essere semplificato)
  • valutazione di impatto non effettuata
  • procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute
  • ect…

Per quanto riguarda il trattamento illecito dei dati, l’interessaro potrà essere punito con la reclusione da 6 mesi a 1 anno e 6 mesi.

L’art. 170 (inosservanza dei provvedimenti del Garante) dispone che chiunque non osservi il provvedimento adottato dal Garabre ai sensi del Regolamento è punito con la reclusione da 3 mesi a 2 anni.

Responsabilità per danno causato all’interessato per violazione del GDPR:

  • chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
  • Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. E’ esonerato dalla responsabilità, solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Per maggiori approfondimenti vedere le disposizioni del Garante cliccando qui.

Condividi su: