Sintesidel parere del Garante europeo della protezione dei dati sulle proposte dellaCommissione relative a un regolamento sui dispositivi medici e recante modificadella direttiva 2001/83/CE, del regolamento (CE) n. 178/2002 e del regolamento(CE) n. 1223/2009 nonché relative a un regolamento sui dispositivimedico-diagnostici in vitro
1. 1.1. Consultazionedel GEPD 1. Il 26settembre 2012 la Commissione ha adottato due proposte di regolamento suidispositivi medici («la proposta di regolamento sui MD») ( 2. Il GEPD sicompiace di essere stato consultato dalla Commissione e raccomanda che vengainserito un riferimento alla consultazione nei preamboli delle proposte diregolamento. 1.2. Obiettivie ambito di applicazione della proposta di regolamento 3. Le propostedi regolamento mirano a garantire la sicurezza dei dispositivi medici («MD») ( 1.3. Scopodel parere del GEPD 4. Le propostedi regolamento riguardano i diritti delle persone connessi al trattamento deiloro dati personali e affrontano, tra l'altro, la questione legata altrattamento di dati sensibili (riguardanti la salute) e alla presenza di unabanca dati centrale a livello di Unione che include dati personali,sorveglianza del mercato ( 6 5. Il GEPDaccoglie con favore il fatto che la Commissione si sia impegnata a garantire lacorretta applicazione delle norme UE concernenti la tutela dei dati personalinelle proposte di regolamento. Tuttavia, il Garante avverte la necessità dialcuni chiarimenti, in particolare per quanto riguarda i dati sensibili,soprattutto quando questa categoria di dati personali è soggetta a trattamentoe archiviazione nella banca dati di cui alle proposte. Il GEPD, infatti, harilevato alcune ambiguità e incoerenze nelle modalità in cui le proposte diregolamento affrontano la questione relativa al trattamento o non trattamentodei dati personali e a quali categorie di dati personali tale trattamento siapplichi, specialmente nei casi in cui possano essere trattati e archiviati idati sensibili sulla salute. 3. 40. Il GEPD accogliecon favore l'attenzione rivolta specificamente alla protezione dei dati nelleproposte di regolamento, ma ha individuato un certo margine per ulteriorimiglioramenti. 41. Il Garanteraccomanda: — chel'articolo 85 della proposta di regolamento sui MD e l'articolo 81 dellaproposta di regolamento sugli IVD chiariscano il riferimento alla direttiva95/46/CE, specificando che le disposizioni si applicheranno in conformità allenorme nazionali di attuazione della direttiva 95/46/CE, — diinserire all'articolo 85 della proposta di regolamento sui MD e all'articolo 81della proposta di regolamento sugli IVD un riferimento esplicito all'articolo 8della direttiva 95/46/CE e all'articolo 10 del regolamento (CE) n. 45/2001, — diintrodurre nell'articolo 25 della proposta di regolamento sugli IVD paragrafisimili sulle finalità del trattamento dei dati, sui diritti degli interessati esui periodi di conservazione dei dati, di cui all'articolo 27 della proposta diregolamento sui MD, fatte salve le modifiche suggerite nel presente parere, — diintegrare una definizione del termine «soggetto» nelle proposte di regolamento, — diimpedire inequivocabilmente l'inclusione di tutti i dati sanitari dei pazientinel modulo di indagini cliniche della banca dati Eudamed, — diinserire disposizioni nelle proposte di regolamento sui MD e sugli IVD atte adefinire in modo chiaro le situazioni in cui e in base a quali garanzie leinformazioni contenenti dati sanitari dei pazienti saranno trattate earchiviate nella banca dati Eudamed relativa alla vigilanza e alla sorveglianzapost-commercializzazione. In particolare, è necessario che la proposta diregolamento preveda l'esecuzione di una valutazione dei rischi da parte dellaCommissione anteriormente al trattamento e all'archiviazione di dati sanitaridi pazienti nella banca dati Eudamed, — diprecisare in un considerando di entrambe le proposte di regolamento cheeventuali misure di attuazione da adottare ai sensi di dette proposte devonospecificare in dettaglio le implicazioni per i dati personali determinate dallecaratteristiche funzionali e tecniche della banca dati Eudamed e la necessitàdi consultare il GEPD, — dimenzionare esplicitamente che le relazioni periodiche di cui all'articolo 61della proposta di regolamento sui MD e all'articolo 59 della proposta diregolamento sugli IVD devono avvalersi esclusivamente di dati anonimi, — diaggiungere la seguente frase all'articolo 8, paragrafo 6, di entrambe leproposte di regolamento: «Prima di qualsiasi trattamento dei dati relativi allasalute dei pazienti, i fabbricanti ottengono il consenso esplicito dei soggettiinteressati conformemente all'articolo 8, paragrafo 2, lettera a), delladirettiva 95/46/CE», — diaggiungere disposizioni che disciplinano la gestione dei dati personali perquanto riguarda la sorveglianza da parte delle autorità competenti nelleproposte di regolamento,IT — diintrodurre un periodo massimo di conservazione per i dati personali ai sensidelle proposte di regolamento. Il periodo scelto dovrebbe essere quellonecessario per gli scopi di raccolta e trattamento dei dati personali e inproporzione a detti scopi, — diconsultare il GEPD per qualsiasi atto delegato o di esecuzione adottato a normadelle proposte di regolamento che potrebbe influire sul trattamento dei datipersonali. Fatto aBruxelles, l'8 febbraio 2013 GiovanniBUTTARELLI
NOTE ( ( ( ( ( (
|