PRIVACY

Dati sanitari e Gdpr, quante incognite per pediatri e medici di base

La nomina del DPO e la valutazione d’impatto sono sempre obbligatori? Tutto dipende dal concetto di “larga scala”: ma le indicazioni non sempre sono univoche. Ecco gli scenari di fronte ai professionisti della salute

12 Feb 2019
Marco Cingolani

ingegnere elettronico - GDPR Consultant & Data Protection Officer

sanita_622545677

Il trattamento dei dati personali sanitari rappresenta un fronte a sé, nelle regole previste dal GDPR. Ma non sempre le indicazioni previste sono univoche. Un tema particolarmente “caldo” riguarda la nomina di un DPO e la stesura della valutazione d’impatto: sono obbligatori in tutti i casi? Ecco lo scenario che può presentarsi di fronte a un medico.

I temi del trattamento di categorie particolari di dati personali e di quello di dati personali relativi a condanne penali e reati vengono considerati così importanti dal Regolamento UE679/2016 da meritarsi, ciascuno, un Articolo specifico (il 9 ed il 10) all’interno dei 99 del GDPR.

Tra le categorie di dati particolari indicati dal paragrafo 1 dell’Articolo 9, sicuramente uno dei trattamenti più diffusi e con i quali si ha a che fare (purtroppo) molto spesso è quello relativo ai dati relativi alla salute degli interessati. Nell’art. 9, per poter operare il trattamento di queste tipologie di dati secondo le indicazioni del GDPR, sono previsti, oltre al consenso, altre 9 possibili modalità, legate alle motivazioni e agli obblighi in capo al titolare del trattamento.

Inoltre, i dati sanitari, come peraltro le altre categorie di dati particolari degli artt. 9 e 10, sono meritevoli, nel regolamento, di altre due “strumenti” di tutela:

*) La valutazione di Impatto (Art. 35)

*) La nomina del DPO (Art. 37)

Infatti, per il trattamento dei dati sanitari esiste l’obbligatorietà sia della stesura della valutazione di impatto (art. 35 – paragrafo 3 – comma b) come pure della nomina di un DPO (art. 37 – paragrafo 1 – comma b) “quando le attività principali del titolare del trattamento (o del responsabile del trattamento) consistono nel trattamento su “larga scala” di queste categorie particolari di dati personali”.

Quanto è chiaro il concetto di “larga scala”?

Il concetto di “larga scala” viene descritto in dettaglio nel considerando 91 che pur riferendosi esplicitamente allo strumento della valutazione di impatto, può essere ritenuto valido anche per il tema della nomina del DPO.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Nel Considerando si fa riferimento, per valutare se un trattamento è su larga scala, ad una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale; in particolare si esprime il concetto che “il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” .

Da questa lettura sembrerebbe quindi assolutamente esplicito e fuori di qualsiasi dubbio come il trattamento di dati svolto da un medico (e quindi anche da un Medico di Medicina Generale e da un pediatra di Libera Scelta) non sia effettuato su larga scala e, pertanto, non presenti l’obbligatorietà di una valutazione di impatto e – per estensione – della nomina di un DPO.

Le indicazioni di Articolo 29

Personalmente ritengo però che l’uguaglianza del considerando 91 “singolo medico = no larga scala” sia troppo generalista e in definitiva non valida se si leggono anche, per il concetto di “larga scala”, i chiarimenti del Gruppo di lavoro Articolo 29 per la protezione dei dati,  presenti nel documento “Linee guida sui responsabili della protezione dei dati” – versione 5.4.2017 – e soprattutto se si applicano queste indicazioni alla specifica realtà italiana dei MMG e dei PLS.

Al punto 2.1.3  sul tema della definizione di un trattamento su larga scala  il WP29  “raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala” tra cui  “il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento”.

I Medici di Medicina Generale ed i Pediatri di Libera scelta sono, da questo punto di vista, medici assolutamente non assimilabili a medici che svolgono la loro attività in ambito esclusivamente libero professionale: mentre infatti ad esempio un cardiologo, un otorino in attività libero professionale fanno riferimento ad una base pazienti data solamente da quelli che necessitano, per il loro stato di salute, della loro attività libero professionale (che tra l’altro si suddividono tra i vari medici concorrenti) e quindi trattano i dati – genericamente – di decine/centinaia di pazienti, un MMG o un PLS svolgono la loro attività (ovvero trattano categorie di dati personali) su una base pazienti che, globalmente, è data dalla intera popolazione e quindi non solo su quelli che – in quel momento – necessitano della loro attività medica.

Infatti, un bambino appena nato – quindi solo per il fatto di essere nato – viene inserito nella lista dei pazienti di un Pediatra di Libera Scelta; superati i 6 anni (su base volontaria dei genitori) o i 14 anni (su base obbligatoria) passa a far parte dell’elenco pazienti di Medico di Medicina Generale a prescindere dal fatto che sia malato.

Meglio valutare caso per caso

Proprio in virtù di come viene costruita la loro lista di pazienti, un PLS e ancora di più un MMG (visto il massimale che vale anche 1,5 volte quello del PLS) possono trattare i dati personali di migliaia di pazienti (anche diverse migliaia, tenendo conto anche della conservazione dei dati per pazienti usciti dal loro ambito/consistenza pazienti, per un periodo congruo alle gestione di eventuali contenziosi di tipo civile/penale); pertanto reputo che sia quanto meno da valutare, caso per caso, se questo numero assoluto sia o no definibile come larga scala.

In tal senso, per assurdo, questo numero di dati di pazienti trattati può superare ampiamente quelli trattati da uno studio medico associato di liberi professionisti, per i quali invece, leggendo il considerando 91, è invece obbligatoria la Valutazione di Impatto e la nomina del DPO.

Inoltre, specialmente per i MMG e i PLS massimalisti (o vicini al massimale) che svolgono la loro attività convenzionata in piccoli paesi, il secondo elemento citato dal WP29, ossia la percentuale della popolazione di riferimento, potendo arrivare anche al 35-40% della popolazione (adulta o pediatrica) della cittadina, “spinge” verso il concetto di un trattamento su larga scala.

Per tali considerazioni mi sembra che la semplificazione sul concetto di larga scala per un singolo medico del considerando 91 non sia sempre valida in assoluto ma che debba essere valutata caso per caso, portandosi dietro quindi la valutazione circa la obbligatorietà per la stesura della Valutazione di Impatto e per la nomina di un DPO.

Tale chiave di lettura è stata ulteriormente validata anche dal Provvedimento del Garante n. 9058979 dell’11 ottobre 2018, dal titolo “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”.

In tale Provvedimento il Garante stila un elenco – non esaustivo – delle tipologie di trattamenti per i quali in Italia è necessario, obbligatoriamente, stilare una valutazione di impatto.

Andare “oltre” il GDPR

L’elenco dei trattamenti per i quali è obbligatorio produrre una Valutazione di impatto è riportato nell’Allegato 1 al Provvedimento: al punto 10 vengono indicati “Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse”.

In tale Provvedimento quindi il Garante italiano reputa necessario, per il trattamento di categorie particolari di dati personali, andare oltre il GDPR eliminando concretamente il concetto di larga scala per la stesura della Valutazione di Impatto: per questo motivo quindi, per tutti i medici italiani viene quindi definita l’obbligatorietà di questa documentazione.

Concludendo quindi, l’obbligatorietà della stesura della Valutazione di Impatto richiesta dal Garante come pure le considerazioni sul tema dei trattamenti su “larga scala” sul tema della obbligatorietà o meno della nomina del DPO, portano all’opportunità, per ogni medico italiano, di rivolgersi ad un esperto in materia, per valutare attentamente la propria posizione sul tema del GDPR ed essere in grado di motivare le scelte fatte in termini di adeguamento, secondo il principio della Accountability descritto all’art. 24 del GDPR.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4