Privacy in Sanità, Modafferi: “Ecco come cambierà con il nuovo regolamento Ue” di Francesco Modafferi, Dirigente del Dipartimento libertà pubbliche e sanità presso il Garante per la protezione dei dati personali*

Dal 25 maggio 2018 bisognerà adeguarsi al Regolamento Ue per la privacy ed è una sfida soprattutto per i dati sulla salute. Vediamo che cosa ci aspetta in ambito sanitario e come il Garante Privacy sta accompagnando gli enti alla transizione

Il Garante per la protezione dei dati personali ha compiuto 20 anni a maggio. Vent’anni che hanno visto la maggiore rivoluzione tecnologica della Storia e durante i quali l’Autorità ha fatto un enorme lavoro per mantenere il quadro regolatorio al passo con le trasformazioni in atto.

Poiché il trattamento dei dati personali è fortemente influenzato dalle possibilità offerte della tecnologia, la sua evoluzione offre continuamente nuove opportunità ma amplifica anche l’impatto potenziale sui diritti dell’interessato.

La “datizzazione” dell’esistenza umana, la trasformazione cioè di ogni aspetto della nostra vita quotidiana in dati e informazioni (ad es. quanti passi ho fatto in una giornata, quante scale ho salito, quante calorie ho bruciato, quante ore ho dormito) consente non solo di avere a disposizione enormi quantità di informazioni dettagliate e costantemente aggiornate su quasi ogni aspetto della vita delle persone (big data), espandendo enormemente le possibilità di analisi su gusti, interessi, abitudini, condizione fisica e stato di salute, ma anche (e sempre di più) di provare a “indovinarne” i comportamenti, le scelte e le decisioni future (anche grazie all’uso dell’intelligenza artificiale).

L’innovazione guidata dai dati (Data driven innovation -DDI) porta con se enormi vantaggi, spesso molto ben pubblicizzati, ma comporta inevitabilmente anche un considerevole aumento dei rischi connessi alla sicurezza e alla protezione dei dati che spesso invece rimangono in ombra[1].

E’ invece essenziale tenere sempre in considerazione che, all’aumentare della quantità e del grado di sensibilità dei dati personali trattati, cresce proporzionalmente anche il rischio che, dal loro trattamento, possano derivare danni per gli interessati, che possono produrre conseguenze molto gravi sia dal punto di vista patrimoniale che non patrimoniale (discriminazioni nei rapporti contrattuali o sul luogo di lavoro, stigmatizzazione e perdita di reputazione).

Nella narrazione sui temi dell’innovazione tecnologica si tende invece a evidenziare spesso quasi esclusivamente tutti i vantaggi promessi dalla DDI, liquidando questa seconda (scomoda) faccia della medaglia con laconiche espressioni del tipo “a fronte degli irrinunciabili vantaggi potrebbero esserci alcuni problemi di privacy”, senza però una reale intenzione (e voglia) di approfondire le possibili soluzioni o contromisure.

Occorre invece andare oltre, investendo adeguate energie nell’individuazione di soluzioni che consentano di rispettare, anche in questi nuovi scenari, i diritti delle persone, assicurandosi così che lo sviluppo tecnologico avvenga in un clima di fiducia da parte di tutti i soggetti coinvolti[2]. Questa rappresenta ormai una condizione essenziale e irrinunciabile nell’interesse di tutti coloro ai quali sta veramente a cuore lo sviluppo armonico ed equilibrato della società: non si può pensare infatti di poter prendere tutti i vantaggi, senza farsi carico dei problemi, semplicemente perché è costoso e faticoso.

In questo contesto è quindi fondamentale individuare rapidamente modi nuovi di applicare i principi della protezione dei dati alla mutata realtà, per assicurare sempre il rispetto dei diritti degli interessati avendo come riferimento, in primo luogo, il nuovo quadro regolatorio europeo contenuto nel Regolamento 2016/679/UE.

Tra i nuovi principi in esso contenuti appare rilevante quello definito “privacy by design” che, nell’ottica di garantire uno sviluppo tecnologico più equilibrato, incoraggia espressamente gli sviluppatori di prodotti, servizi e applicazioni a tenere conto del diritto alla protezione dei dati sin dalla fase di progettazione[3]. Ciò nel presupposto che la tutela è molto più efficace se gli strumenti (hardware e software) utilizzati per il trattamento dei dati personali sono concepiti, sin dall’origine, per un uso responsabile dei dati applicando il criterio della minimizzazione e tecniche di pseudonimizzazione degli stessi, riducendo così i rischi del trattamento e, conseguentemente, l’impatto sui diritti degli interessati. Considerare l’impatto privacy delle tecnologie, sin dalla progettazione, è anche un criterio di efficienza in quanto evita interventi successivi che potrebbero rallentarne, anche considerevolmente, lo sviluppo con conseguenti riflessi negativi in termini di costi.

In altri termini, ricerca e sviluppo tecnologico possono essere la chiave anche per la tutela del diritto fondamentale alla protezione dei dati personaliattraverso lo sviluppo delle cosiddette Privacy enhanced technologies (PETs)[4]. In questo contesto il Garante può dare un importante contributo spingendo il settore pubblico e, in particolare l’ambito sanitario, a far tesoro dell’indicazione riportata nel considerando n. 78 del Regolamento 2016/679/UE secondo la quale “i principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”, in modo che la privacy by design diventi un elemento essenziale nella selezione delle forniture di beni o servizi deputati al trattamento dei dati personali per la Pubblica amministrazione e per la Sanità.

In questo complesso scenario una particolare attenzione merita il trattamento dei dati in ambito sanitario che costituisce uno dei contesti più delicati in ragione della natura “ultrasensibile” dei dati che attengono allo stato di salute degli interessati, dati rispetto ai quali l’aspettativa di riservatezza e confidenzialità è, tradizionalmente, molto elevata e la legge garantisce i più alti livelli di protezione.

Qui è necessario che, in primo luogo, tutti gli operatori del sistema sanitario comprendano che esercitare la professione sanitaria oggi vuol dire non solo curare le persone, ma prendersi anche cura dei loro dati. Le due cose non sono più scindibili. In un sistema sanitario sempre più “dipendente” dai dati personali trattati attraverso molteplici strumenti (fascicolo sanitario elettronico, sistemi di diagnostica, telemedicina, dispositivi medici, ecc.) il pieno rispetto dei principi di protezione dati (tra i quali quelli di liceità, correttezza, trasparenza, esattezza, integrità e sicurezza) rappresenta ormai una condizione indispensabile per il corretto svolgimento della professione medica (come peraltro già espressamente previsto del Codice di deontologia medica[5]).

Occorre considerare inoltre che i dati sanitari (e il loro elevato potenziale informativo) sono oggetto di enormi interessi, talvolta illeciti. Non è un caso infatti che l’obiettivo dei più recenti attacchi informatici siano stati proprio i sistemi informativi di aziende sanitarie e ospedali bloccando, anche solo temporaneamente, l’accesso ai dati sanitari con finalità estorsive[6].

Se la sicurezza cibernetica è quindi un tema sempre più critico nel contesto del trattamento dei dati, in particolare nel settore della sanità digitale, non è però quello più insidioso. La disponibilità di grandi quantità di dati e la facilità di condivisione degli stessi non deve infatti indurre i titolari del trattamento ad assumere decisioni che, ove si rivelassero non conformi alla disciplina della protezione dei dati personali, potrebbero incidere in modo rilevante sui i diritti degli interessati. Un grave errore concettuale da evitare è che non basta l’eliminazione dei dati identificativi diretti da un dataset per far perdere allo stesso la qualifica di “insieme di dati personali”. Secondo il Regolamento 2016/679/UE infatti anche un numero, un simbolo o un elemento specifico, attribuito a una persona fisica per identificarla in modo univoco a fini sanitari, rientra nella nozione di dato personale relativo alla salute ed è quindi pienamente soggetto alla disciplina di protezione dati[7].

Il Regolamento europeo prevede inoltre che i dati sulla Salute possono essere usati solo per finalità connesse alla Salute (finalità di cura), per la supervisione del Sistema sanitario nazionale (finalità di governo) e per la ricerca nel pubblico interesse[8] ma lascia agli Stati membri la possibilità di mantenere o introdurre condizioni particolari o ulteriori limiti per il trattamento.

In questo, come in altri ambiti, vi è quindi uno spazio per un mirato intervento, da parte del legislatore nazionale, volto ad adattare le disposizioni normative interne al nuovo quadro europeo e a ridurre gli inevitabili margini di incertezza che potrebbero determinarsi con riferimento alla regolamentazione preesistente.

Pur in un quadro, per certi versi ancora incompleto, il Garante ha avviato un’attività di supporto per i titolari del trattamento, appartenenti al settore pubblico e privato, volta a sostenerli nel complesso processo di cambiamento in corso, in vista della definitiva applicazione delle nuove regole, a partire dal 25 maggio 2018.

Per questo, il 25 maggio scorso è stata inviata una comunicazione ai vertici della Pubblica Amministrazione (Ministeri ed enti centrali, Regioni e Autorità indipendenti), per sensibilizzarli sulla circostanza che manca ormai meno di un anno alla scadenza del periodo transitorio e che occorre quindi effettuare uno sforzo straordinario per completare, entro quella data, le operazioni necessarie a rendere conformi al Regolamento europeo i trattamenti dei dati già in corso.

Nell’invitare i referenti degli Enti a partecipare a un confronto presso la sede dell’Autorità, il Garante ha indicato alla PA tre priorità: identificazione del responsabile della protezione dei dati personali (privacy officer); implementazione delle procedure interne per l’istituzione dei registri dei trattamenti; definizione delle procedure necessarie alla rilevazione, registrazione e comunicazione, quando necessario, delle violazioni dei dati personali (data breach)[9].

Gli incontri, tenutisi nel mese di giugno, costituiscono solo l’avvio di un dialogo volto a creare le condizioni per una transizione positiva che consenta di affrontare, nel modo migliore, le complesse sfide che ci aspettano.

 

*L’autore scrive a titolo personale. Le opinioni espresse nell’articolo non impegnano l’Autorità Garante della Privacy

_____________________________________________________________________

[1]Per approfondimenti sul tema vedi OECD (2015), Data-Driven Innovation: Big Data for Growth and Well-Being, OECD Publishing, Paris. http://dx.doi.org/10.1787/9789264229358-en.
[2] Come riportato nei considerando 6 e 7 del Regolamento generale sulla protezione dei dati 2016/679/UE: La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali. Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”.
[3] Vedi in proposito il considerando n. 78 e l’art. 25, paragrafo 1, del Regolamento 2016/679/UE.
[4] In questo ambito si segnala la riflessione del rapporto di ENISA: Privacy by design in big data. An overview of privacy enhancing technologies in the era of big data analytics, dicembre 2015.
[5] Vedi gli articoli: 11 Riservatezza dei dati personali, 12 Trattamento dei dati sensibili, 25 Documentazione sanitaria, 26 Cartella clinica, 34 Informazione e comunicazione a terzi, 78 Tecnologie informatiche.
[6] L’ultimo in ordine di tempo il contagio denominato WannaCry, responsabile di un’epidemia su larga scala avvenuta nel maggio 2017 che ha colpito centinaia di migliaia di computer in 150 paesi, rendendolo uno dei maggiori contagi informatici mai avvenuti.
[7] Considerando 35 del Regolamento generale sulla protezione dei dati 2016/679/UE: “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio (1); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
[8] Considerando 53 del Regolamento generale sulla protezione dei dati 2016/679/UE: “Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché per garantire la continuità dell’assistenza sanitaria o sociale e dell’assistenza sanitaria transfrontaliera o per finalità di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in base al diritto dell’Unione o nazionale che deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nell’ambito della sanità pubblica.”
[9] Il documento sulle priorità è pubblicato sul sito dell’Autorità www.garanteprivacy.it nella pagina dedicata all’evento http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6487400

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *