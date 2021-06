Quali sono le regole e le strategie da seguire per valorizzare questi patrimoni informativi nel rispetto dei diritti e delle libertà degli interessati? Ne parlano gli esperti dello Studio Panetta & Associati. *IN COLLABORAZIONE CON INTERSYSTEMS ITALIA

di Rocco Panetta (Managing Partner) e Federico Sartore (Senior Associate), studio Legale Panetta & Associati

Con l’entrata in vigore nel 2016 e la successiva applicazione, a partire dal 2018, del Gdpr, il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, l’intero panorama del trattamento e dell’utilizzo dei dati è stato oggetto di una rivoluzione concettuale e normativa. Questo cambiamento di paradigma – che ha comportato, tra le varie cose, l’incremento dell’autonomia e della responsabilizzazione di titolari e responsabili del trattamento, nonché l’incremento delle sanzioni fino a 20 milioni di euro o al 4% del fatturato – ha avuto un impatto particolarmente marcato su tutti i soggetti che gestiscono a vario titolo dati sanitari, probabilmente la categoria di dati personali più delicata, anche rispetto al già ristretto novero dei cosiddetti dati sensibili.

L’agenda delle industrie

La ricchezza di questi patrimoni informativi, unita ai rischi costanti per i diritti e le libertà fondamentali degli interessati in un mondo digitale quasi completamente interconnesso, impongono alle industrie che trattano in maniera centrale dati sanitari, di porre il discorso sulla protezione dei dati personali in cima alle proprie agende in termini di priorità e urgenza. Un approccio attento e giuridicamente evoluto alla protezione dei dati non solo si riverbera infatti in un generale arricchimento del valore, anche economico, dell’azienda che li controlla, ma diminuisce anche sensibilmente i rischi di incorrere in pesanti sanzioni economiche da parte delle Autorità garanti, senza considerare i danni reputazionali e le richieste risarcitorie degli interessati.

Gli “inciampi” alla luce del Gdpr

Proprio con riferimento all’attività delle Autorità di sorveglianza, dall’ultima Relazione annuale dell’Autorità garante per la protezione dei dati personali (2019) emerge come l’applicazione delle norme del Gdpr abbia riguardato in modo rilevante svariati aspetti del ciclo di vita dei dati sanitari. Sono state infatti molto frequenti le violazioni dei dati personali consistenti nell’erronea comunicazione della documentazione clinica a soggetti diversi dall’interessato, in particolare tramite la posta elettronica, il Fascicolo sanitario elettronico (Fse), il dossier sanitario e gli altri strumenti di refertazione online. A tale prima classe di fattispecie si aggiungono poi problematiche più complesse, attinenti al trattamento per finalità di cura in senso lato, ma non strettamente necessarie (app mediche, fidelizzazione della clientela e marketing, i già citati strumenti di refertazione online), nonché per finalità del tutto ulteriori rispetto alla salute, quali, ad esempio, la ricerca scientifica o la partecipazione delle società titolari del trattamento alle gare pubbliche del settore sanitario.

Inoltre, anche le buone pratiche di anonimizzazione sono state oggetto di attività istruttoria del Garante con riferimento a dati riportati in pubblicazioni o divulgazioni scientifiche di professionisti sanitari o trasferiti a terzi da parte di società del settore della salute ai fini, per esempio, di dimostrare la qualità delle proprie attrezzature diagnostiche nell’ambito di contrattazioni o di partecipazione a gare d’appalto. Infine, il Garante ha enfatizzato come il Gdpr ponga in capo ai titolari del trattamento anche tutta una serie di precisi oneri informativi, nonché l’obbligo di tenere un registro delle attività del trattamento.

Effetto Covid

Se il quadro di rilevanza e applicazione del nuovo regolamento europeo al settore sanitario era dunque molto articolato anche prima della pandemia da Covid-19, quest’ultima ha contribuito notevolmente a porre ancora di più la privacy e la protezione dei dati al centro del dibattito. App di tracciamento del contagio e passaporti vaccinali, per citare i temi più cari all’opinione pubblica, non sono che un esempio di come principi fondamentali, quali la tutela della salute pubblica e la riservatezza, possano entrare in rapporti dialettici da osservare ed affrontare con estrema attenzione.

Il responsabile della protezione dei dati

In un contesto ad elevata complessità come quello appena descritto, la figura del Responsabile della protezione dei dati (Rpd) gioca allora un ruolo fondamentale. Il Data protection officer (Dpo) è un professionista specializzato nel settore della protezione dei dati personali, una funzione chiamata ad adempiere i propri compiti di controllo e consulenza – con garanzia di indipendenza e in assenza di conflitto di interessi – nei confronti di titolari e responsabili che siano tenuti o intendano volontariamente provvedere alla sua nomina. In ambito sanitario, tanto i profili relativi alla designazione del Rpd quanto quelli attinenti alle sue competenze assumono un carattere decisamente rilevante.

Quanto al primo aspetto, occorre rilevare che il Gdpr ha previsto una serie di ipotesi in cui titolari e responsabili sono tenuti a nominare in maniera sistematica un Dpo. Ciò deve avvenire in caso di trattamenti effettuati da autorità o organismi pubblici e nelle ipotesi in cui le attività principali del titolare/responsabile o consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o si sostanzino nel trattamento, sempre su larga scala, di categorie particolari di dati personali, tra cui rientrano anche quelli relativi alla salute. È dunque evidente come, nel settore medicale, difficilmente si potrà fare a meno di un Dpo. Le ipotesi di designazione obbligatoria sono infatti estremamente diffuse, tant’è che la stessa Autorità garante, nella già citata Relazione annuale 2019, ha precisato che tra i soggetti tenuti alla nomina rientrano tutti gli organismi pubblici, nonché gli operatori privati che effettuano trattamenti sanitari su “larga scala”, come le case di cura, gli ospedali privati e le residenze sanitarie assistenziali, restando invece esclusi dall’obbligo di nomina sia i singoli professionisti che operano in regime di libera professione a titolo individuale sia gli altri soggetti che non effettuano trattamenti su “larga scala”, quali farmacie, parafarmacie e aziende ortopediche.

Rpd, opportunità per la compliance e la competitività

Per questi soggetti, tuttavia, la scelta di avvalersi di un Rpd potrebbe comunque rappresentare un’opzione vantaggiosa in virtù dei benefici, in termini di compliance, e quindi di competitività, che tale funzione è in grado di apportare al titolare/responsabile. Emerge così il secondo degli aspetti sopra rilevati, vale a dire la competenza del Dpo. Nel caso di trattamenti posti in essere nel settore sanitario, la professionalità che un Rpd può mettere a disposizione di un’azienda privata o di un ente pubblico spazia dalla conoscenza dei profili meramente normativi a quella delle istanze più marcatamente tecnologiche, tutti aspetti indispensabili per affrontare le operazioni sui dati – in special modo se sanitari – in un’ottica di tutela che faccia al tempo stesso proprie le istanze tipiche di un’equilibrata valorizzazione.

Una nuova prospettiva

Ed è proprio questa la prospettiva da cui deve essere osservata e applicata la normativa sulla protezione dei dati personali. Non già come un inconveniente o una voce di costo a cui cercare in tutti i modi di sfuggire, bensì quale occasione di ottimizzazione dei processi, ambito di investimento e fonte di innumerevoli esternalità positive.

Diversi sono gli ambienti di operatività in relazione ai quali un simile approccio può mostrare con tutta evidenza la propria effettiva ed incisiva portata. Basti pensare al tema, sempre più attuale, dell’uso secondario dei dati personali, in particolare sanitari, per finalità di ricerca scientifica, sia di prima che di terza parte. Una nuova frontiera nel trattamento dei dati in ambito medico che passa, inevitabilmente, attraverso l’individuazione del corretto confine – tecnologico e giuridico – che corre tra i concetti di anonimizzazione e pseudonimizzazione.

