Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

mobile health

Sanità via smartphone, l’impatto del Gdpr: quale privacy per la “mobile health”

Cresce la gamma di dispositivi mobili smart per la prevenzione, diagnosi e monitoraggio di varie patologie: dall’Ecg portatile all’oftalmoscopio digitale per smartphone, fino all’app che ci tiene in contatto col medico o col farmacista. Ecco in come il GDPR influisce sul contenuto e sulle interazioni dell’universo mHealth

25 Lug 2019

Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


L’interazione tra pazienti e operatori sanitari con il m-Health (sanità digitale su cellulare) può migliorare l’efficienza e la qualità dell’assistenza sanitaria. Tuttavia, nonostante i potenziali e gli effettivi vantaggi, non è difficile incappare in dispositivi mobili e App aventi misure di sicurezza basse o inesistenti, nonché con la constante assenza di standard di sicurezza accettabili.

A un anno dalla data di applicazione del GDPR (25 maggio 2018) non si può che essere pienamente consapevoli che ogni dispositivo ed ogni APP debba già nascere conforme alla normativa in materia di protezione dei dati personali, con tutto ciò che ne deriva. Per comprendere come il GDPR influisce sul contenuto e sulle interazioni dell’universo m-Health, entriamo nel dettaglio della normativa europea.

Il mobile health

La gamma di servizi mobili disponibili per la prevenzione, la diagnosi e il monitoraggio di varie patologie si sta ampliando e negli ultimi anni sono arrivati sul mercato diversi dispositivi digitali, anche indossabili (wearable), sempre più intelligenti e semplici da utilizzare – e non solo dal medico, ma anche da qualsiasi utente in maniera autonoma.  Si va, per esempio, dall’elettrocardiogramma portatile all’oftalmoscopio digitale per smartphone, dal poliambulatorio online all’APP che mantiene in contatto il paziente col farmacista.

Il Mobile Health (o m-Health) riguarda quindi l’utilizzo di dispositivi mobili come smartphone, smartwatch, dispositivi per il monitoraggio del paziente e per l’assistenza digitale personalizzata, nonché altri strumenti wireless per l’assistenza sanitaria degli utenti e dei pazienti.

Approfondiamo di seguito i rapporti tra il mobile health e il Gdpr, anche alla luce dei recenti sviluppi del settore.

Il GDPR

Il GDPR consente ai pazienti ed agli utenti, in qualità di interessati, di chiedere e ricevere in modo semplice e comprensibile informazioni, per esempio, sulle misure di sicurezza applicate per proteggere i loro dati personali e di comprendere in modo trasparente come essi vengono trattati, da chi[1] e per quali scopi[2].[3]

Ma quali requisiti devono rispettare i dispositivi e le app del panorama m-Health per essere conformi alla normativa?

Secondo il “Privacy Code of Conduct on Mobile Health APPs” della Commissione Europea[4] vi sono alcuni punti fondamentali da rispettare. Vediamoli di seguito.

Il consenso dell’utente

In base agli artt. 7 e 9.2 lett. a) del GDPR, i produttori di dispositivi e gli sviluppatori di APP m-Health – in qualità di titolari del trattamento[5]devono ottenere il consenso libero, specifico, informato, inequivocabile ed esplicito dell’interessato per poter trattare i suoi dati personali. Questo deve avvenire prima dell’utilizzo del dispositivo, ovvero prima dell’installazione dell’APP, e successivamente alla presa visione (e piena comprensione) delle informazioni sul trattamento dei dati. Per il principio di responsabilizzazione (o di accountability)[6] del titolare del trattamento, il medesimo deve essere in grado di dimostrare che l’interessato (utente o paziente) abbia prestato il consenso al trattamento dei dati. Inoltre, in base all’art. 7.2 del GDPR, se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. […] Proseguendo con l’art. 7.3 del GDPR:

  • l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento;
  • la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca;
  • prima di esprimere il proprio consenso, l’interessato è informato di ciò;
  • il consenso è revocato con la stessa facilità con cui è accordato.

In base all’art. 7.4 del GDPR, nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Inoltre in base all’art. 9.2 lett. a) del GDPR è necessario che l’interessato abbia prestato il proprio consenso esplicito[7] al trattamento di tali dati personali per una o più finalità specifiche […].

Limitazione delle finalità, minimizzazione dei dati e finalità secondarie

I dati personali possono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (Art. 5.1 lett. b del GDPR). Il trattamento a fini di ricerca scientifica o storica può essere considerato compatibile con le finalità originarie, purché siano rispettate tutte le disposizioni a livello nazionale ed europeo.[8] Possono essere trattati solo i dati strettamente necessari per il funzionamento del dispositivo o dell’APP[9] e il trattamento non deve durare più a lungo del necessario[10].

Privacy by design e by default

Il produttore del dispositivo e lo sviluppatore dell’App devono preselezionare di default la scelta meno invasiva per la privacy dell’utente o del paziente.

In base all’art. 25.1 del GDPR […] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati “fin dalla progettazione” (by design) del dispositivo o dell’APP. Inoltre in base all’art. 25.2 del GDPR il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita (by default), solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Informazioni sul trattamento dei dati personali

Gli utenti e i pazienti devono essere obbligatoriamente informati circa il trattamento dei loro dati personali. In base all’art. 12 del GDPR le informazioni devono essere fornite dal titolare del trattamento:

  • in un linguaggio semplice e chiaro, con una forma concisa ed intellegibile, ossia comprensibile “dall’uomo medio” (o, quantomeno, dallo specifico interessato) e, quindi, dalla maggior parte degli utenti e dei pazienti;
  • con una forma trasparente, ossia è necessario che quanto presente nelle informazioni risponda alla realtà;
  • con una forma facilmente accessibile dagli utenti e dai pazienti (ad esempio, si potrebbe evidenziare la presenza delle informazioni privacy all’interno dello Store nella schermata di download);

Inoltre, in base all’art. 13 del GDPR, le informazioni sul trattamento dei dati personali devono necessariamente contenere:

  • l’identità e i dati di contatto del titolare del trattamento;
  • i dati di contatto del DPO[11] (se presente);
  • le finalità del trattamento (ad es. finalità di anamnesi, diagnosi, terapia sanitaria, prevenzione e riabilitazione, ricerca scientifica ecc.);
  • la base giuridica del trattamento (art. 6 del GDPR);
  • i destinatari del trattamento, ossia la persona fisica, giuridica, autorità pubblica o organismo che riceve comunicazione dei dati personali (art. 4 n. 9 del GDPR);
  • il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali – extra UE (Unione Europea) / SEE (Spazio Economico Europeo)[12].
  • il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo: è fondamentale quantomeno stimare diversi periodi di conservazione per le diverse tipologie di dati trattati (anagrafici, salute, biometrici, genetici ecc.).
  • i diritti del paziente sui suoi dati personali: l’accesso ai dati personali che lo riguardano, la loro rettifica, la loro cancellazione, la limitazione del trattamento, l’opposizione al medesimo, il diritto alla portabilità dei dati nonché il diritto di proporre reclamo presso un’Autorità privacy di uno stato membro dell’Unione Europea.[13]

Nel fornire informazioni agli utenti, il “Privacy Code of Conduct on Mobile Health APPs” opta anche per un approccio a più livelli, fornendo in primo luogo all’utente o al paziente le informazioni più significative sul trattamento dei suoi dati personali; per esempio, una volta installata l’APP, il titolare provvede a fornire una seconda serie di informazioni più dettagliate[14].

Conservazione dei dati e misure di sicurezza

I dati personali non possono essere conservati più a lungo del necessario, salvo diverse disposizioni di legge. A questo proposito, il “Privacy Code of Conduct on Mobile Health APPs” raccomanda che i titolari del trattamento definiscano i criteri di cancellazione dei dati personali e li comunichino agli utenti in maniera adeguata. È necessario che tale informazione sia resa prima dell’installazione dell’APP o dell’utilizzo del dispositivo, ovvero – ed in ogni caso – prima che avvenga la raccolta dei dati personali.

Per determinare le misure tecniche e organizzative ex art. 32 del GDPR che il titolare del trattamento deve adottare, lo stesso deve valutare quali rischi incorrono sui dati personali da trattare. Inoltre in base all’art. 35.1 del GDPR, quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (N.d.A. utenti o pazienti), il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali […].[15]

Advertising

L’uso di annunci pubblicitari deve essere autorizzato dall’utente prima dell’installazione dell’applicazione, ma vi è una differenza di approccio a seconda che la pubblicità comporti o meno il trattamento di dati personali. Se gli annunci pubblicitari sono mostrati senza il trattamento dei dati personali degli utenti, o se questi non implicano la condivisione di dati personali con terzi, il titolare del trattamento deve solo consentire all’utente di rinunciare alla visualizzazione dei contenuti pubblicitari. In caso contrario, sarà richiesto il consenso preventivo dell’interessato mediante la clausola di “opt-in”: il consenso dovrà essere ottenuto, inoltre, in maniera specifica e separata.

Trasferimenti di dati all’estero e data breach

Gli utenti delle APP devono essere informati circa il trasferimento dei loro dati personali all’estero (extra UE/SEE). I trasferimenti di dati verso tali paesi, od organizzazioni internazionali, devono essere protetti da adeguate misure (ad es. decisioni di adeguatezza, clausole contrattuali standard e Binding Corporate Rules).[16]

Ai sensi dell’art. 33.1 del GDPR in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente (ad esempio il Garante Privacy, nda) ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. Inoltre, in base all’art. 34.1 del GDPR, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.[17]

Dati relativi a minori d’età

Fondamentale, infine, è l’attenzione circa i dispositivi e le APP m-Health destinati agli utenti e pazienti minori d’età. In base all’art. 2-quinquies (Consenso del minore in relazione ai servizi della società dell’informazione) del Codice Privacy, in attuazione dell’articolo 8, paragrafo 1, del Regolamento,[18] il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sul consenso, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale. In relazione all’offerta diretta ai minori […] il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.

In ogni caso, a seconda del limite di età definito dal legislatore nazionale, è necessario adottare un approccio più restrittivo al trattamento dei dati nei confronti di un minore d’età, ed istituire un procedimento idoneo per ottenere il consenso dei genitori in maniera appropriata.[19][20]

____________________________________________________________________

  1. 1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.
  2. Finalità del trattamento dei dati mediante dispositivo o APP in ambito m-Health. Ad esempio: diagnosi, assistenza o terapia sanitaria, ricerca scientifica ecc.
  3. https://www.researchgate.net/publication/329900668_Translating_GDPR_into_the_mHealth_Practice
  4. Cfr. https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps
  5. Art. 4 n. 7) del GDPR. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali […]
  6. Art. 24.1 del GDPR. […] Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento (GDPR, N.d.A) […].
  7. Per un approfondimento sul consenso esplicito si rimanda al punto 4 delle Linee Guida del WP29 n. WP 259. Cfr. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
  8. Art. 5.1 lett. b). Principio di limitazione delle finalità.
  9. Art. 5.1 lett. c). Principio di minimizzazione dei dati.
  10. Art. 5.1 lett. e). Principio di limitazione della conservazione dei dati.
  11. Data Protection Officer o Responsabile della Protezione dei Dati. Si veda il Capo IV Sezione 4 del GDPR.
  12. Cfr. http://www.salute.gov.it/portale/temi/p2_6.jsp?id=623&area=Assistenza%20sanitaria&menu=paesi
  13. Cfr. https://www.garanteprivacy.it/regolamentoue/diritti-degli-interessati
  14. Si veda i punti 35-36-37 delle Linee Guida del WP29 n. WP260, “Stratificazione in ambiente digitale e dichiarazioni/informative sulla privacy stratificate”. Cfr. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227
  15. Per approfondimenti si vedano le Linee Guida del WP29 n. WP248. Cfr. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
  16. Cfr. https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi
  17. Per approfondimenti si vedano le Linee Guida del WP29 n. WP250. Cfr. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052
  18. Art. 8 del GDPR. Condizioni applicabili al consenso dei minori in relazione ai servizi della societàdell’informazione.1. Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.2. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

    3. Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore.

  19. Cfr. https://www.osborneclarke.com/insights/mhealth-apps-the-code-of-conduct-on-privacy-explained/
  20. Cfr. http://ec.europa.eu/newsroom/document.cfm?doc_id=44371

@RIPRODUZIONE RISERVATA

Articolo 1 di 3