Sanità digitale e Gdpr, le basi giuridiche e le interpretazioni | Agenda Digitale

PRIVACY

Sanità digitale e Gdpr, le basi giuridiche e le interpretazioni

Dalle modifiche attuate sulla gestione del consenso fino ai risvolti normativi per il trattamento di dati particolari, ecco i processi regolamentari che hanno condotto all’attuale assetto. Le motivazioni di base e le interpretazioni in Italia e in Europa

09 Mar 2020

L’ambito sanitario è uno dei settori maggiormente sensibili all’applicazione del Regolamento UE 679/2016 (GDPR) per un doppio motivo. Da un lato perché  opera su dati personali relativi alla salute del singolo interessato. Dall’altro per l’elevato rischio in caso di diffusione degli stessi. I titolari del trattamento di dati particolari, siano essi enti pubblici, privati o convenzionati, dovranno comunque sempre tener conto dell’iter legislativo compiuto nel nostro paese e precedente all’efficacia del Regolamento, salvo palese contrarietà al GDPR stesso. Vediamo insieme gli aspetti principali.

GDPR e Sanità, le fonti giuridiche

  • Convenzione Europea dei diritti dell’Uomo – in particolare art. 7 (riservatezza) e art. 8 (protezione dei dati);
  • Costituzione (art. 32)
  • Disciplina Europea Regolamento UE 2016/679;
  • Disciplina nazionale D.Lgs. 101/2018 di adeguamento nazionale al Regolamento;
  • Codice di deontologia medica (artt. 11, 12, 25, 26, 34 e 78).

Alla luce del Regolamento, il trattamento dei dati personali come quelli sanitari, cd. “particolari”, può essere considerato legittimo per le sole finalità connesse alla salute ed alla ricerca nel pubblico interesse e per finalità connesse alla supervisione del Sistema Sanitario Nazionale.

L’art. 9 del Regolamento stabilisce infatti che “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

I dati sanitari fanno parte di quella “particolare” categoria di dati meritevole di una ancor più rilevante tutela. Il Garante italiano ha stabilito che per dati particolari si intendono quei dati “[…] c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale”.

Il trattamento dei dati particolari

Il considerando 53 del Regolamento chiarisce inoltre che “le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché per garantire la continuità dell’assistenza sanitaria o sociale e dell’assistenza sanitaria transfrontaliera o per finalità di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in base al diritto dell’Unione o nazionale che deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nell’ambito della sanità pubblica”.

Ma ancora, il regolamento “dovrebbe prevedere condizioni armonizzate per il trattamento di categorie particolari di dati personali relativi alla salute in relazione a esigenze specifiche, in particolare qualora il trattamento di tali dati sia svolto da persone vincolate dal segreto professionale per talune finalità connesse alla salute. Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche. Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi”.

Da quando sopra discende che un trattamento dei dati sanitari può essere considerato legittimo soltanto per:

  • finalità di cura;
  • finalità connesse alla supervisione del sistema sanitario nazionale;
  • finalità di ricerca nel pubblico interesse.
WEBCAST
Come sviluppare una sicurezza personalizzata per le esigenze di ogni settore di attività?
Sicurezza

Tutto questo fatto salvo il potere degli Stati membri di prevedere ulteriori finalità.

Deroghe al trattamento possono essere rinvenute nei considerando al GDPR n. 52 e n. 53, sopra richiamato, nella parte in cui espressamente prevede la gli Stati membri la possibilità di “[…] introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, senza tuttavia ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi”.

La base giuridica del consenso in sanità

L’efficacia del Regolamento fa sì che il percorso “consensocentrico” precedentemente tracciato in Italia ceda il passo al riconoscimento di nuove basi giuridiche del trattamento che prescindano dal consenso “per motivi di interesse pubblico”.

Restano comunque fermi però i diritti riconosciuti al paziente interessato che, da par suo, deve sempre essere messo nelle condizioni di poter esercitare i propri diritti e di “conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, al periodo in cui i dati sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento” (considerando 63).

Il consenso deve perseguire la finalità di consentire all’interessato di conoscere, di avere consapevolezza e di poter esercitare tutti i diritti che il GDPR gli riconosce.

L’art. 9 del Regolamento precisa al riguardo quali sono gli ambiti il cui il trattamento dei dati dell’interessato è lecito in mancanza di consenso:

  • Motivi di interesse pubblico
  • Finalità di medicina preventiva o medicina del lavoro, assistenza o terapia sanitaria o gestione dei servizi sanitari
  • Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati Membri

Viceversa, sarà necessario il consenso esplicito:

  • Quando ai dati dell’interessato possono avere accesso soggetti diversi rispetto ai professionisti sanitari
  • Altri casi: es. casi in cui il paziente-interessato si sottopone ad esami strumentali con macchinari tecnologicamente avanzati che procedono, per raccolta statistica o altro, all’invio dei dati del paziente presso i server della casa produttrice del macchinario (in tali casi il dato è rimane sottposto al GDPR finché non completamente anonimizzato, per cui non è mai possibile la re-identificazione del dato stesso).

L’obbligatorietà della nomina del DPO

Prima dell’entrata in vigore del Regolamento, il Garante italiano è intervenuto individuando tre priorità da perseguire in ambito sanitario:

  1. l’identificazione del Responsabile della protezione dei dati personali;
  2. l’implementazione delle misure interne per l’istituzione dei registri dei trattamenti;
  3. la definizione delle procedure necessarie alla rilevazione, registrazione e comunicazione, quando necessario, dei dati personali.

Divenuto efficace il Regolamento, la nomina del Data Protection Officer (DPO) è diventata, di fatto, obbligatoria per tutte le strutture sanitarie, siano esse pubbliche, private o convenzionate.

Infatti l’art. 37 del Regolamento richiede la nomina del DPO quando:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Con riguardo alle strutture di natura non pubblica, viene in rilievo quanto precisato dal considerando 35, il quale amplia la categoria dei dati sanitari andando ad abbracciare “tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso”. A mente di tale considerando la linea di demarcazione tra il settore sanitario pubblico, privato e convenzionato diventa quindi sempre più sottile e di difficile demarcazione.

Risulta evidente che ogni individuo ha giocoforza interesse a dover rilasciare i propri dati ogni qualvolta entri a contatto con il Sistema Sanitario Nazionale. Deve però essere altrettanto chiara la volontà del soggetto titolare di utilizzare il dato raccolto conformemente a quanto stabilito dal Regolamento, attesa la tutela riservata al dato particolare ed il valore intrinseco che il dato porta con sé.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

@RIPRODUZIONE RISERVATA

Articoli correlati