ADEMPIMENTI PRIVACY
LA PRIVACY IN FATTURA
da Professione Veterinaria N. 19 – giugno 2018
Le fatture emesse a fronte di prestazioni veterinarie devono riportare diciture di adeguamento al nuovo Regolamento sulla privacy? La risposta è no. Già prima dell’entrata in vigore del Regolamento 2016/679 (GDPR – General Data Protection Regulation), il documento fiscale in quanto obbligatorio (e nel caso da trasmettere al sistema tessera sanitaria) non richiedeva l’apposizione di diciture connesse alla protezione dei dati personali. Tuttavia, ad un espresso quesito rivolto al servizio di consulenza fiscale, il dr Giovanni Stassi ha precisato che le nuove regole non vietano di riportarle. Una possibile dicitura potrebbe essere la seguente: “I vostri dati sono trattati ai sensi del Regolamento (UE) 2016/679”. Uno scrupolo in più che, naturalmente, non fa venire meno gli adempimenti previsti, ma che vengono semplicemente richiamati in fattura.
CIRCOLARE FNOVI DEL 23/05/18 (EMAIL INVIATA A TUTTI GLI ISCRITTI IL 24/05/18)
Si gira quanto pervenuto dalla Federazione Nazionale su
Regolamento UE protezione dei dati personali – Schema di riepilogo iscritti
FNOVI ha ritenuto utile riassumere, pur senza alcuna pretesa di esaustività, in uno schema sintetico i principali obblighi, adempimenti e cautele che i titolari del trattamento di dati per i medici veterinari – allegato B, sono chiamati ad adottare in base alle norme del Regolamento UE 2016/679.
La materia è comunque ancora in trasformazione e ciò anche in ragione della mancata adozione in via definitiva del decreto legislativo per l’adeguamento dell’ordinamento interno al nuovo quadro normativo europeo in tema di tutela della privacy. La delega per l’emanazione del decreto scadeva il 21 maggio u.s. ma il termine è stato prorogato di 3 mesi.
Questo ritardo non ha comunque ripercussioni sull’entrata in vigore del Regolamento UE ma nell’immediato coesisteranno due fonti in materia di privacy: il codice, come modificato, e il Regolamento UE. Per garantire la continuità, sono stati fatti salvi per un periodo transitorio i provvedimenti e le autorizzazioni generali del Garante che saranno oggetto di un successivo riordino, nonché i codici deontologici vigenti.
Per le piccole e medie imprese è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento dei dati personali.
da mail 24/05/18 Fed. Regionale
vi inviamo un fac simile dell’informativa sul trattamento dei dati e un breve vademecum esplicativo su cosa fare in concreto per garantire la conformità al GDPR, e se i vostri Presidenti lo ritengono, da inviare agli iscritti.
CARTA INTESTATA DELLA STRUTTURA O DEL MEDICO VETERINARIO
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI (ART. 13 REG. UE 2016/679)
Gentile Cliente, ai sensi dell’art. 13 Regolamento UE 2016/679 – Regolamento in materia di protezione dei dati persona – le forniamo le seguenti informazioni:
a) il trattamento dei dati da Lei forniti ed acquisiti, verrà effettuato nel rispetto della normativa prevista dal premesso Regolamento nel rispetto dei diritti ed obblighi conseguenti.
b) Titolare del trattamento: Il titolare del trattamento è il Dr ……………………….., con studio in …………………, (c.f.: ……………………..), iscritto col n. …… presso l’Albo dell’Ordine dei Medici Veterinari della Provincia di …………….……..
c) Responsabile protezione dati (se previsto): Il Responsabile protezione dati (c.d. DPO) è il/la Sig./Sig.ra Dott./Dott.ssa ……………….…… in ………..………., Via …………………………, email: …………..………….
d) Finalità del trattamento: I dati raccolti verranno trattati per permettere la fornitura dei servizi richiesti e per provvedere alla relativa fatturazione e conseguenti adempimenti fiscali, nonché per l’elaborazione dei documenti e della modulistica oggetto della prestazione (cartelle cliniche, certificazioni, analisi cliniche, vaccinazioni) e quant’altro sia previsto dalle normative vigenti inerenti la professione medico veterinaria .
e) Obbligo conferimento dati: Il conferimento dei dati richiesti è obbligatorio ai fini della fatturazione e della realizzazione del servizio richiesto. L’eventuale rifiuto a fornire tali dati comporterà l’impossibilità di godere del servizio richiesto.
f) Modalità del trattamento: I dati verranno trattati con modalità cartacee e/o informatiche.
g) Periodo di conservazione dei dati: La conservazione dei dati personali forniti avverrà per tutta la durata dell’incarico professionale conferito e comunque per un tempo non superiore al conseguimento delle finalità per le quali i dati sono richiesti, tenuto conto delle prescrizioni di legge.
h) Diritti dell’interessato: In relazione ai dati oggetto del trattamento di cui alla presente informativa all’interessato è riconosciuto in qualsiasi momento il diritto di:
1 – Accesso (art. 15 Regolamento UE n. 2016/679);
2 – Rettifica (art. 16 Regolamento UE n. 2016/679);
3 – Cancellazione (art. 17 Regolamento UE n. 2016/679);
4 – Limitazione (art. 18 Regolamento UE n. 2016/679);
5- Portabilità, intesa come diritto ad ottenere dal titolare del trattamento i dati in un formato strutturato di uso comune e leggibile da dispositivo automatico per trasmetterli ad un altro titolare del trattamento senza impedimenti (art. 20 Regolamento UE n. 2016/679);
6 – Opposizione al trattamento (art. 21 Regolamento UE n. 2016/679);
7 – Revoca del consenso al trattamento, senza pregiudizio per la liceità del trattamento basata sul consenso acquisito prima della revoca (art. 7, par. 3 Regolamento UE n.2016/679);
8 – Proporre reclamo all’Autorità Garante per la Protezione dei dati personali (art. 51 Regolamento UE n. 2016/679).
L’esercizio dei premessi diritti può essere esercitato mediante comunicazione scritta da inviare a mezzo pec all’indirizzo …………..……………………., o lettera raccomandata a/r all’indirizzo ……………………………
Il/la sottoscritto/a [Cognome] [Nome] dichiara di aver ricevuto l’informativa che precede e acconsente al trattamento dei dati secondo le modalità sopra esposte.
[Luogo], [Data]
Firma del Cliente
I dati forniti con la presente possono essere utilizzati per le seguenti attività:
invio newsletter c
acconsento c
non acconsento Firma
invio promemoria trattamenti c
acconsento c
non acconsento Firma
Altro c
acconsento c
non acconsento Firma
Da mettere su carta intesta
COSA FARE IN CONCRETO PER GARANTIRE LA CONFORMITÀ AL GDPR
Sotto riportiamo uno spunto per un autovalutazione che comunque deve essere adeguata alla realtà delle strutture medico veterinarie con le varie tipologie e organizzazioni che spaziano dallo studio al grande ospedale o si riferiscono al singolo professionista senza collaboratori. Tale documento non ha e non può avere nessuna pretesa di esaustività
- identificare e nominare la figura del “Titolare del trattamento” /(tutti)
- eventualmente identificare e nominare il “Responsabile del trattamento”
- Aggiornare o predisporre l’informativa privacy per il cliente
- organizzare l’attività raccogliendo e trattando solo i dati necessari e utili
- implementare i nuovi processi di sicurezza delle informazioni e la loro conservazione
- impostare i controlli e le procedure interne per prevenire accessi indesiderati
- formare i dipendenti/collaboratori sulla condotta da tenere;
- proteggere i PC da minacce esterne, perdite accidentali dati, sottrazioni fraudolente o similari
- effettuare salvataggi integrali (back up) di tutti dati – prevedere tempestiche e modalità
- definire i tempi di conservazione
- individuare eventuali specialisti che possano essere di aiuto a mantenere la conformità nel tempo
- per quanto riguarda i siti web valutare l’opportunità di contattare i gestori del sito stesso
PRIVACY-INDICAZIONI FNOVI
Da circolare n. 5/ 18.05.2018 FNOVI
La Federazione Nazionale valuta utile richiamare l’attenzione sugli aspetti che maggiormente impattano sugli obblighi/adempimenti di spettanza dei singoli medici veterinari, provando ad enunciare un nucleo delle cautele/attenzioni che i professionisti devono osservare. Precisando che il quadro normativo non è ancora del tutto completo, si sviluppa a seguire una sorta di check list.
– Preliminare verifica/aggiornamento del proprio “organigramma”
Il GDPR (Regolamento Privacy), come la vecchia normativa, individua obbligatoriamente la figura del Titolare del trattamento come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali. Questa figura corrisponde al singolo professionista o all’associazione professionale in caso di ambulatorio/studio veterinario. Qualora la realtà operativa avesse maggiori dimensioni questa figura di regola corrisponde alla persona giuridica ‘clinica’ od ‘ospedale veterinario’. È facoltativa e non invece obbligatoria la figura del Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo che tratta i dati personali per conto del titolare trattamento. Qualora presente questo soggetto deve possedere capacità ed esperienza in materia di privacy e sicurezza ed il rapporto con il Titolare del trattamento deve essere disciplinato da un atto scritto, che spesso trova forma in un contratto di mandato (art. 1703 e seguenti del codice civile) rispondente ai requisiti e contenuti normativamente previsti (art. 28, comma 3 GDPR).
Per quanto non espressamente previsto, sempre facoltativamente e non obbligatoriamente, vi è la figura che in Italia era individuata nell’Incaricato del trattamento (oggi il ‘terzo’ secondo l’art. 4, n. 10 del Regolamento): la persona fisica autorizzata a compiere operazione di trattamento dal titolare o dal responsabile e che, nel contesto in esame, possono identificarsi, ad esempio, con il personale di segreteria eventualmente presente nella struttura veterinaria.
In ambito privato non è obbligatoria la nomina del Responsabile della protezione dei dati (RPD), anche se è da prevedere nelle ipotesi di importanti strutture le cui attività principali consistano in trattamenti comportanti “il monitoraggio regolare e sistematico degli interessati su larga scala” (così l’art. 37 del GDPR).
Tutto l’organigramma della struttura (collaboratori, dipendenti) ma anche i responsabili dei trattamenti che a vario titolo collaborano con la struttura (avvocati, commercialisti, consulenti del lavoro, ecc.) deve essere coinvolto nella politica di protezione dei dati.
– Verifica ed aggiornamento della “Informativa”
Questo adempimento basilare per qualsiasi professionista si giova necessariamente di una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L’informativa richiesta dal Regolamento UE (artt. 13 e 14 GDPR) è più ricca di informazioni di quella già utilizzata dai professionisti in base al D. Lgs. 30 giugno 2003 n. 196 e s.m.i. (“Codice della protezione dei dati personali”). Per esempio, il titolare del trattamento deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell’informativa deve essere semplice e chiaro.
– Principi applicabili e trasparenza nella gestione dei trattamenti
L’impatto del nuovo Regolamento sulla Privacy sui professionisti è rilevante perché comporta l’onere non soltanto del rispetto delle regole in materia di correttezza, liceità e trasparenza ma anche di prevenzione e responsabilizzazione (“accountability”). I dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati: adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un’adeguata sicurezza. Il titolare del trattamento è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
– Misure di sicurezza adeguate
Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate.
PRIVACY: NUOVA SECCATURA DAL 25 MAGGIO
da Professione Veterinaria N. 8 – marzo 2018
Forse non tutti sanno che il 25 maggio 2018 entrerà in vigore il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei
dati personali, altrimenti noto come GDPR1, che attuerà una piccola rivoluzione nel mondo della
privacy. Non c’è da stupirsi del poco interesse che riscuote la notizia, dal momento che la normativa sulla
privacy non è mai stata in cima ai pensieri del professionista medio, ma forse non tutti sanno che il nuovo Regolamento introdurrà sanzioni pesantissime, che arriveranno fino a 20.000.000 di euro! e, per le imprese, fino al 4% del fatturato globale annuo.
I DATI PERSONALI
Va chiarito che lo scopo della normativa sulla
privacy non è di impedire l’accesso o l’utilizzo d’informazioni personali, ma di evitare che ciò avvenga in modo pregiudizievole per le persone o contro la loro volontà. È in questo che si sostanzia il diritto alla riservatezza: nel dovere di trattare i cosiddetti “dati personali” entro i limiti delle attività da svolgere e delle funzioni proprie del soggetto che li raccoglie, il quale avrà altresì l’obbligo di proteggerli dall’uso che altri potrebbero farne. I dati personali circoscrivono le aree coperte dalla
privacy, che figura tra i diritti fondamentali del cittadino. Si tratta delle informazioni che identificano o rendono identificabile una persona e che possono fornire dettagli sulle sue caratteristiche, abitudini, sullo stile di vita, le relazioni personali, le condizioni di salute, ecc.
I DATI SENSIBILI
All’interno dei dati personali, occorre prestare particolari cautele ai dati sensibili ed ai dati giudiziari: i primi fanno riferimento all’etnia, alla religione, alle opinioni politiche, all’appartenenza ad un partito, ad un sindacato o ad un’associazione, così come a tutte le informazioni sullo stato di salute e la vita sessuale di una persona; i secondi si riferiscono ad eventuali carichi pendenti con la giustizia, contenziosi in corso, sanzioni penali o amministrative, anche già saldate.
IL MEDICO VETERINARIO
diventa gestore del trattamento dei dati personali di ciascun cliente, sia per quanto concerne le informazioni anagrafiche ed i recapiti, che per i rapporti economici legati all’animale paziente, che è un bene di proprietà del cliente stesso. Diventa, cioè, responsabile di un diritto costituzionalmente tutelato (il diritto alla riservatezza) e ne risponde, non solo qualora l’utilizzo dei dati personali del cliente vada oltre le finalità del rapporto professionale, ma anche se manca la dovuta diligenza nelle diverse operazioni effettuate sui dati, dalla raccolta alla loro registrazione, dall’elaborazione alla modifica, la diffusione, la cancellazione, ecc.; e si tratta di una responsabilità indiretta, che grava sul veterinario, anche nei casi in cui le irregolarità siano opera di un collaboratore o di un dipendente. Nelle strutture veterinarie più complesse, la figura del direttore sanitario assume automaticamente il ruolo di “titolare” del trattamento dei dati personali, anche se può avvalersi di un responsabile cui delegare i relativi adempimenti.
COSA FARE?
Ma in cosa si concretizza un corretto trattamento dei dati personali? Si comincia con l’
informativa, che deve essere fornita al cliente prima di raccogliere i suoi dati. Poi si procede alla loro
raccolta, verificandone l’esattezza, la completezza e, soprattutto, la pertinenza: non si possono richiedere dati esorbitanti rispetto alle finalità del rapporto professionale. La registrazione dei dati deve avvenire in modo “pulito”, senza lasciare fogli, cartelle, appunti, dischetti o
pen-drive a portata di estranei.
Tutti i documenti che contengono dati sensibili vanno conservati in archivi ad accesso controllato: armadi, schedari, contenitori e computer devono essere protetti da intrusioni altrui.
COMUNICAZIONE DEI DATI
Finché i dati personali sono utilizzati internamente alla struttura veterinaria, nella gestione del cliente e del suo animale, è sufficiente un livello ordinario di cautela, per realizzare un’adeguata protezione dei dati. Supponiamo, però, che per la contabilità il veterinario si avvalga di un commercialista esterno, al quale trasmette o consegna le fatture contenenti i dati dei clienti. Oppure che ci si rivolga per un consulto ad un collega specialista, cui inoltrare la documentazione dell’animale e del suo proprietario. In questi casi occorre rispettare con scrupolo il dettato normativo ed assicurarsi che l’informativa al cliente contempli anche simili ipotesi. Inoltre, non può essere ignorato il rischio insito nell’impiego di mezzi informatici nella gestione dei dati personali dei clienti. L’utilizzo di
server esterni e di
cloud, della posta elettronica, dei collegamenti ad internet, costituisce sempre di più una porta di accesso a tutto ciò che transita per un computer, compresi i dati dei nostri dall’Autorità Garante per la Protezione dei Dati Personali, ciascun titolare del trattamento dati dovrà valutare i rischi della propria gestione dei dati stessi e predisporre strumenti, procedure e controlli, che siano idonei a garantirne la dovuta sicurezza. Ai veterinari questo tipo di approccio non risulta nuovo; va solo applicato in un campo diverso e, per certi versi, impervio: quello della cosiddetta “
cyber security”, vale a dire della sicurezza informatica. In materia, il GDPR prevede anche delle nuove istruzioni in materia di
privacy, sia per l’incorporazione della protezione dei dati nell’organizzazione dell’attività professionale, che per la riduzione dei rischi connessi alla gestione degli stessi.
L’INFORMATIVA
Ma le novità del Regolamento riguardano anche molto altro. Prima di tutto, l’informativa, che dovrà essere leggibile, comunicativa, accessibile, concisa e scritta in un linguaggio chiaro e semplice, con un numero limitato di riferimenti normativi. Si potranno utilizzare anche delle icone, per rendere l’informativa comprensibile anche a chi non conosca l’italiano. Non è sancito l’obbligo della forma scritta ma, poiché non sono verosimilmente affidabili altri mezzi per documentare che le informazioni sul trattamento dei dati personali sono state fornite al cliente in modo esaustivo,
è assolutamente consigliabile predisporre la relativa modulistica, anche per raccogliere il consenso del cliente al trattamento dei suoi dati personali.
NUOVI DIRITTI
Inoltre, vengono introdotti dei diritti nuovi, come il
diritto alla portabilità dei dati ed il diritto all’oblio. Il primo consiste nella facoltà, concessa al cliente, di pretendere la “restituzione” dei suoi dati personali, attraverso un supporto elettronico o l’invio ad un altro soggetto, ad esempio un diverso veterinario. Il secondo consiste nel diritto ad essere, per così dire, dimenticati; non solo nel senso di vietare la diffusione di dati, che possano in qualche modo risultare pregiudizievoli, ma anche nella specifica facoltà di ottenerne la cancellazione dal sistema di gestione del veterinario, una volta esaurito il rapporto professionale.
IL DPO
Altra novità riguarderà la figura del DPO (Data Protection Officer) o responsabile per la protezione dei dati, che negli enti pubblici ed in alcuni tipi di aziende prenderà il posto del titolare del trattamento dei dati; si tratterà di un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati.
SEGNALAZIONE
In caso di violazione del trattamento dati, il GDPR richiede che si effettui una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisognerà informarne anche i diretti interessati, tenendo conto che il mancato rispetto di quest’obbligo comporterà sanzioni anche penali. Sarà possibile, tuttavia, prevedere delle coperture assicurative per il cosiddetto “data breach”, o violazione dei dati.
ADEGUAMENTO
L’adeguamento alle nuove norme in materia di
privacy, dunque, dovrà essere sì tecnologico, ma anche adeguato nell’approccio al problema e nella struttura organizzativa. Ma sarà un adeguamento impegnativo, perché l’oggetto di tutta questa rivoluzione è intangibile. Stiamo parlando di dati che viaggiano con il software, in una dimensione che fatichiamo abbastanza a comprendere. Basti fare l’esempio dei
cloud, che utilizziamo in molti e con una certa soddisfazione, perché facilitano l’accesso e la conservazione dei nostri documenti; in realtà i
cloud non sono luoghi immateriali, ma i computer di qualcun altro. Se capiamo questo, il passo successivo diventa semplicemente quello di chiederci quanto siano sicuri. Certamente il GDPR costringerà molti fornitori di servizi informatici ad adeguare i propri standard di sicurezza alle più stringenti esigenze di enti pubblici, aziende e professionisti, migliorando l’offerta di prodotti gestionali e semplificando, così, le nostre vite.
LA GUIDA DEL GARANTE
Il Garante per la protezione dei dati personali ha realizzato un’ottima guida sul nuovo Regolamento (UE) 2016/679, che abroga la direttiva 95/46/CE” (regolamento generale sulla protezione dei dati). Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese fin da ora; vengono inoltre segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono raccomandati alcuni approcci in modo da arrivare all’appuntamento del 25 maggio 2018 con le idee più chiare:
www.garanteprivacy.it
NUOVA PRIVACY: I PROFESSIONISTI DEVONO NOMINARE L’RDP?
da AnmviOggi 12 Aprile 2018
Il Responsabile della Protezione dei dati (RDP) è una nuova figura introdotta dal GDPR (Regolamento Generale sulla Protezione dei Dati). Ecco i primi chiarimenti dal Garante.
L’Autorità italiana per la protezione dei dati personali rende noto che “a breve sarà disponibile una procedura per l’invio telematico al Garante della comunicazione dei dati del Responsabile della Protezione dei Dati”. Il Garante consiglia di “attendere che tale procedura venga attivata prima di procedere alla suddetta comunicazione”. L’RDP (anche conosciuto come Data Protection officer – DPO) è “designato” dal titolare o dal responsabile del trattamento dei dati personali e “il suo nominativo va comunicato al Garante”. Le funzioni dell’RDP sono di “funzioni di supporto e controllo, consultive, formative e informative” nell’applicazione del Regolamento (UE) 2016/679. Ma soprattutto è il “punto di contatto” con l’Autorità Garante. Deve pertanto essere una persona fisica.
La sua designazione non è obbligatoria per tutti. Fra i soggetti per i quali non lo è il Garante cita i “liberi professionisti operanti in forma individuale”. Esonerate dall’obbligo anche le imprese individuali o familiari e le piccole e medie imprese. In ambito privato, la designazione è obbligatoria per i soggetti (es. banche, ospedali, partiti, società di telecomunicazioni) che trattano dati su “larga scala” (es. da parte di un motore di ricerca) e con “monitoraggio sistematico” ( in modo continuativo, strategico, sistematizzato) per le definizioni di “larga scala e “monitoraggio sistematico” il Garante rimanda a una Linea guida sui RDP (www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5930287).
Designazione “consigliata”- La designazione dell’RDP- che può anche essere un soggetto interno – è comunque “consigliata” dal Garante in virtù del principio di accountability (affidabilità/ responsabilità) che permea il Regolamento comunitario.
SEGNALARE IL PROPRIETARIO ALL’ASL VIOLA LA SUA PRIVACY?
da Professione Veterinaria N. 6 – febbraio 2018
“Incorre in violazioni del Codice della Privacy il veterinario che fornisca al Servizio Veterinario il nome e il cognome della persona (proprietario o detentore) il cui cane in visita non risulti identificato o si rifiuti di farlo su richiesta dello stesso veterinario?
LA NORMA
L’Accordo Stato-Regioni del 24 gennaio 2013 in materia di identificazione e registrazione degli animali da affezione mandò in soffitta le ordinanze che fino ad allora avevano regolato la materia, ma non la disposizione che prevede che i veterinari libero professionisti – abilitati ad accedere all’anagrafe regionale e diventando per questo degli “
incaricati di un pubblico servizio” – informino il proprietario degli obblighi di legge e, in caso di mancanza o di illeggibilità dell’identificativo, diano segnalazione della circostanza al Servizio veterinario ufficiale per territorio. Il quesito non entra nel merito di questa segnalazione, il quesito chiede se la segnalazione di un cittadino da parte del veterinario libero professionista all’Asl per violazione dell’obbligo di microchippatura possa esporlo a rimostranze nei suoi confronti per trattamento non consentito dei dati personali del soggetto segnalato. A rigor testuale l’Accordo parla di segnalazione “della circostanza” e non di un soggetto (proprietario in senso civilistico o semplice detentore/conduttore magari temporaneo).
LA PRIVACY
“Il medico veterinario che, ottemperando al preciso obbligo attribuitogli dall’art. 2 lettera b e b.4 dell’Accordo raggiunto in data 24.1.2013 dalla Conferenza Stato/Regioni in materia di registrazione degli animali di affezione, provveda a segnalare al Servizio veterinario competente per territorio il proprietario di un cane privo di identificativo senza avere preventivamente raccolto il suo consenso,
non viola il Codice della Privacy. Non pone, neppure, in essere comportamenti in contrasto con la nuova disciplina in materia del trattamento dei dati personali dettata dal Regolamento UE n. 2016/679 che risulterà obbligatoria, per tutti gli operatori, dal 25 maggio 2018. Il D.L. 196 del 30/6/2013 (Codice della Privacy) prevede, infatti, espressamente, all’art. 24 (rubricato per l’appunto “Casi nei quali può essere effettuato il trattamento senza consenso”) che: “
il consenso non è richiesto, oltre che nei casi previsti nella Parte II,
quando il trattamento (…)
è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria”. Nessun dubbio, pertanto, può sussistere sul fatto che l’obbligo di segnalazione individuato dall’art. 2 dell’Accordo Stato regioni (che disciplina la materia in forza di un’espressa delega legislativa) non sia in contrasto con l’attuale normativa in materia di privacy.
LA NUOVA PRIVACY
Il suddetto obbligo, appare, inoltre, (particolare non irrilevante) compatibile anche con la nuova disciplina della Privacy dettata dal Regolamento UE n. 2016/679 del 27 aprile 2016, che entrerà pienamente in vigore il 25 maggio 2018 e che, abrogando la precedente direttiva 95/46/CE, detterà una disciplina nuova ed ancor più stringente in materia di protezione dei dati personali. Anche tale regolamento, infatti, prevede, all’art. 6 (liceità del trattamento) che il trattamento dei dati personali sia sempre lecito quando ricorre una delle seguenti condizioni: che il
trattamento sia necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Nel caso
de quo, peraltro, parrebbero ricorrere entrambe le condizioni sopra evidenziate (obbligo di legge e attribuzione di pubblici poteri). A nulla rileva il fatto che l’obbligo di segnalazione non sia posto direttamente da una Legge Nazionale (approvata dal parlamento) ma in una fonte normativa secondaria, quale l’Accordo stato/regioni.
