Vuoi contribuire?

 Desideri contribuire ad espandere il progetto?

Il tuo interesse potrebbe essere quello di chiedere alla redazione informazioni o fonti non indicate su qualche articolo?

Oppure ti interessa proporre un tuo articolo da pubblicare? Se hai segnalazioni da fare non esitare a contattare la nostra redazione, ti risponderemo il più presto possibile.

Scrivi alla redazione

Venerdì, 22 Marzo

Secondo la nota protocollo G1.2018.0008268 del 1°/03/2018 la Regione Lombardia, a partire dall’anno scolastico 2018/2019, si sarebbe avvalsa della procedura semplificata, consentita dalla L. 119/2017 alle Regioni con anagrafe vaccinale attiva sul territorio, per la trasmissione del flusso di dati sensibili tra pubbliche amministrazioni, nello specifico tra ATS e scuole.

Tuttavia, in seguito ad una recentissima interrogazione regionale (N. 2065 del 27/06/18 - risposta fornita il 28/9/2018), è emerso che la Lombardia, ad oggi, non possiede affatto una anagrafe vaccinale informatizzata, poiché quest’ultima necessita ancora di essere completata ed implementata.

Cosa prevede la legge 119/2017 – Di fatto, in mancanza di anagrafe vaccinale, le scuole possono condividere con le Aziende Sanitarie solamente le liste degli alunni iscritti, viceversa le ATS non sono autorizzate, fino all’anno scolastico 2019/2020, a comunicare alle strutture scolastiche lo stato vaccinale dei minori.  Pertanto, è evidente che il flusso di dati sensibili che ne è derivato nel corrente anno scolastico 2018/2019, risulta in parte illegittimo, proprio in virtù della assenza di anagrafe vaccinale nella regione Lombardia. Come illegittime sono state le esclusioni che sono state perpetrate a danno dei minori. La stessa Circolare emanata congiuntamente dal Ministero della Salute e dal Miur il 4 Luglio 2018, seppur dal contenuto spesso ostico, affermava che:

Quando invece la procedura di iscrizione all’anno scolastico/calendario annuale 2018/2019 è avvenuta d’ufficio, il minorenne è ammesso alla frequenza delle istituzioni del sistema nazionale d’istruzione, dei servizi educativi per l’infanzia, dei centri di formazione professionale regionale e delle scuole private non paritarie sulla base della documentazione già presentata nel corso dell’anno scolastico-calendario annuale 2017/2018.

Alla luce, poi, dell’entrata in vigore della nuova normativa europea sulla protezione dei dati sensibili, la trasmissione di questi dati diventa oggetto di una tutela ancor più estesa.

Cosa prevede il Regolamento U.E. n. 679/2016 – Il General Data Protection Regulation (GDPR) rappresenta la direttiva emanata dal Parlamento Europeo in materia di privacy. Tale direttiva mira ad indicare quali sono i parametri per la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati. Il Decreto Legislativo n. 101 del 10 agosto del 2018 – GDPR – ha provveduto ad armonizzare il nuovo regolamento con le preesistenti normative in materia di privacy contenute nel D. Lgs. 196/2003, ed è entrato in vigore il 19 settembre 2018.

Il GDPR si basa sul “principio di responsabilizzazione” poiché sposta il fulcro della normativa dalla tutela dell'interessato alla responsabilità del titolare e dei responsabili del trattamento, che si realizza adottando comportamenti proattivi a dimostrazione della concreta (e non meramente formale) attuazione del regolamento. Significa, quindi, che il responsabile del trattamento deve effettuare scelte operative adattandole alla propria specifica realtà. In estrema sintesi con il GDPR:

  • Si introduce il fondamento di liceità del trattamento per poter acquisire e gestire dati sensibili;
  • Sono stabilite delle regole più definite su informativa e consenso; e limitazioni di scopo, dati ed archiviazione;
  • Si definiscono i diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione allo stesso e portabilità dei dati personali);
  • Si stabilisce la necessità di acquisire un consenso chiaro ed esplicito dell’interessato;
  • Sono previsti obblighi specifici in capo al titolare e al responsabile del trattamento e, ove previsto, dell’incaricato del trattamento dei dati sensibili;
  • È istituito il Registro Violazioni Dati Personali, e le violazioni dei dati personali debbono essere comunicate ai diretti interessati entro 72 ore dalla loro verificazione;
  • Il titolare o Responsabile dei dati hanno l’obbligo di garantire la protezione e riservatezza dei dati personali quando vengono trasferiti all’esterno della società/ente/amministrazione che li ha acquisiti.

Sebbene il GDPR non preveda una disciplina specifica per il trattamento dei dati personali effettuato in ambito sanitario, all’art. 4, n. 15 il R.E. qualifica come dati relativi alla salute, i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Ed in ragione della loro natura, sono qualificati come dati sensibili e quindi meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Una recente pronuncia della Corte di Cass. n. 222/2016 ritiene che i dati riguardanti la salute e il sesso degli interessati, dati c.d. “supersensibili”, beneficiano di una protezione rafforzata.

Le criticità attuative – Tuttavia, anche se apparentemente la normativa sembri facilmente applicabile sul piano tecnico e pratico, Soro, Presidente dell’Autorità Garante per la protezione dei dati personali, ha dichiarato che “il processo di trasformazione digitale della sanità continua a presentare non poche vulnerabilità e carenze in termini di sicurezza”.

Il trattamento dei dati personali in ambito sanitario, e concernenti il dato sanitario, genetico e biometrico nella loro qualità di dati sensibili, invece, deve essere oggetto di una distinta informativa con conseguente consenso da parte dell’interessato.

La violazione della privacy - È importante tenere a mente che chiunque subisca un danno da una violazione del GDPR ha il diritto di ottenerne il risarcimento dal titolare, a meno che quest’ultimo non dimostri che il danno non gli è alcun modo imputabile. Nel caso specifico dell'illiceità del flusso di dati tra ATS e istituti scolastici, il responsabile del trattamento dovrà rispondere in prima persona in merito alle esclusioni scolastiche avvenute anzitempo, violando la privacy degli alunni esclusi.

E’ bene a questo punto precisare che, nonostante la rafforzata normativa in tema di tutela dei dati sensibili, ad oggi nessuna ATS o Scuola sta rispettando quanto sopra esplicitato. Pertanto, almeno su tutto il territorio lombardo,  sono soggetti a segnalazione al Garante della Privacy, con tutti i rischi ad essi connessi.

Stato avanzamento lavori

{Informazione Libera Press} prende il via il 31 agosto 2018 nella sua versione beta!
Leggi la sua storia mentre i lavori proseguono...

Funzionalità
68%
Archivio
44%
Risorse
52%
Easy of Use
75%
0
Shares

Sei interessato?

Seguici anche sui nostri canali Social...

0
Shares