La privacy in ambito sanitario alla luce del nuovo Regolamento europeo GDPR
di Carmela Miranda
Già nel 2003 il Prof. Rodotà, nella Relazione annuale sull’attività del Garante per la protezione dei dati personali, scriveva “I dati sulla salute richiedono sempre una attenzione particolare, non solo perché così vuole la legge, ma perché essi rimandano alla nuda condizione umana (…). Qui l’intreccio tra elettronica, biologia e genetica ha già aperto scenari nuovi, insieme promettenti e inquietanti.” .
Per capire quali fossero questi nuovi scenari è bastato poco: l’evoluzione tecnologica caratterizzante il panorama globale degli ultimi anni non ha risparmiato il settore sanitario, ponendo, anche in quest’ambito, rilevanti interrogativi quanto alla protezione dei dati personali. Infatti, pur essendo indubbio che l’utilizzo di nuovi sistemi tecnologici abbia favorito e ottimizzato la gestione dei dati sanitari del paziente, è stato tuttavia sin da subito evidente come gli stessi presentassero delle “falle” sotto il profilo della riservatezza e della tutela dei dati idonei a rivelare lo stato di salute. Il trattamento dei dati in ambito sanitario, non a caso, costituisce uno dei contesti più delicati in ragione della natura “sensibile” dei dati che attengono allo stato di salute degli interessati, dati rispetto ai quali l’aspettativa di riservatezza è, tradizionalmente, molto elevata.
Delle lacune sopra indicate non ha mancato di tenerne conto il nuovo Regolamento europeo 2016/679, anche noto come GDPR, il quale, muovendo dal concetto di “responsabilizzazione” (accountability) del Titolare – e del Responsabile – del trattamento, sollecita quest’ultimo, non solo ad adottare, ma anche a dimostrare di aver concretamente predisposto misure di sicurezza adeguate a garantire la protezione dei dati personali trattati.
Il principio sopra indicato permane l’intero sistema normativo, specificandosi in una serie di ulteriori obblighi di protezione dai quali il sistema sanitario non è affatto escluso. Tra questi merita particolare attenzione quello che l’art. 25 del Regolamento in esame definisce “data protection by default” intendendosi come tale la necessità di configurare il trattamento dei dati personali prevedendo, sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso, le garanzie indispensabili al fine di soddisfare i requisiti normativi e tutelare i diritti degli interessati. Ciò tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento.
In altri termini, il principio di “privacy by default” implica che vengano applicate delle procedure interne che regolino le modalità di acquisizione e gestione dei dati personali trattati, in modo da garantire il rispetto della normativa sulla privacy, riducendone il rischio di diffusione o trattamento illecito.
La medesima disposizione, inoltre, introduce il concetto di “data protection by design”, riferendosi all’esigenza che il titolare del trattamento predisponga misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Il meccanismo del “by design” (impostazione predefinita) nell’ottica del nuovo Regolamento mira, in particolare, ad assicurare che i dati personali non siano resi a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Qualsiasi progetto (sia strutturale sia concettuale), dunque, va realizzato considerando fin dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.
Ma vi è di più. Il GDPR conduce all’inserimento di una nuova figura professionale nell’ambito dell’organizzazione sanitaria: trattasi del “responsabile della protezione dei dati” (data protection officer – dpo), anello di congiunzione tra la struttura e il Garante della Privacy, soggetto super partes deputato, da un lato, a vigilare sull’osservanza delle disposizioni regolamentari e, dall’altro, a supportare il titolare del trattamento nell’adeguamento alle nuove regole.
Seguendo le indicazioni del Regolamento, il Dpo deve essere designato obbligatoriamente da tutte le autorità pubbliche e da tutti gli organismi pubblici (così come definiti dall’articolo 3 del Dlgs 50/2016), nonché da tutti quei soggetti privati che, come attività principale, effettuano un monitoraggio regolare, sistematico e su larga scala delle persone fisiche ovvero trattano su larga scala categorie particolari di dati.
La nomina obbligatoria del Dpo in ambito sanitario è stata confermata dalle “Linee guida sui responsabili della protezione dei dati” , adottate dal Gruppo di Lavoro – articolo 29, [3] ove, con riferimento alla definizione di “attività principali”, è stato chiarito che l’espressione non esclude quei casi in cui il trattamento dei dati costituisce una componente inscindibile delle attività svolte dal titolare. A tal proposito, si fa l’esempio dell’ospedale, ove l’attività principale consiste nella prestazione di assistenza sanitaria la quale richiede, imprescindibilmente, il trattamento dei dati relativi alla salute. [4]
La declinazione nel settore sanitario delle disposizioni regolamentari implica, inoltre, ulteriori conseguenze. Tra queste non è da sottovalutare la tutela del diritto dell’interessato, e quindi del paziente, alla cancellazione dei dati (art. 17), nonché il diritto alla portabilità dei dati (art. 20) in virtù del quale la direzione sanitaria della struttura pubblica o privata sarà chiamata a fornire all’interessato la documentazione disponibile relativa al paziente.
Non vi è dubbio, dunque, che lo sforzo applicativo richiesto dalla regolamentazione in esame nel settore sia pubblico che privato è notevole e l’ambito sanitario, alla luce della particolare sensibilità dei dati personali coinvolti, sarà tra gli attori principali di questa nuova sfida.
Ad ogni modo, dall’analisi delle nuove regole in tema di privacy, emerge un dato essenziale: i requisiti richiesti dal GDPR, seppur sfidanti, fungono da veicolo verso un reale cambiamento nel modo in cui si raccolgono i dati clinici, a vantaggio, non solo, di un uso più efficiente delle risorse disponibili ma soprattutto di una maggiore protezione dei dati personali dei pazienti.
Note
[1] Stefano Rodotà: Relazione sull’attività svolta dal Garante per la protezione dei dati personali nell’anno 2003 (http://194.242.234.211/documents/10160/10704/1314441).
[2] Le “Linee guida sui responsabili della protezione dei dati”, adottate il 13 dicembre 2016, nella versione emendata e adottata in data 5 aprile 2017 (16/IT WP 243 rev. 01) sono visionabili al seguente link: http://194.242.234.211/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf.
[3] Il Gruppo di lavoro è stato istituito in virtù dell’articolo 29 della direttiva 95/46/CE. È l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e all’articolo 15 della direttiva 2002/58/CE.
[4] Il riferimento è contenuto alla pag. 9 delle “Linee guida sui responsabili della protezione dei dati” sopra indicate.
Autore: