• Privacy -Istruzione, sanità e servizi sociali

18 aprile 2019

Dati sanitari: pubblicate le nuove linee guida del Consiglio d’Europa

di Vincenzo Colarocco

Il Consiglio d’Europa, con una raccomandazione adottata lo scorso 27 Marzo[1] (in seguito la “Raccomandazione”), ha fornito una serie di linee guida per i 47 Stati membri con l’intento di guidare i medesimi nel corretto trattamento dei dati sanitari.

Chiara intenzione del succitato organismo è quella di esortare i Paesi Europei a garantire, nel diritto e nella pratica, che l’elaborazione di tali categorie particolari di dati ai sensi dell’art. 9 del Regolamento UE 679/2016 (“GDPR” o “Regolamento”) venga posta in essere nel pieno rispetto dei diritti umani in un particolare momento storico caratterizzato dal crescente utilizzo di nuove tecnologie[2]. Proprio tale presupposto comporta la necessità di impostare il trattamento considerando i capisaldi della privacy by design e della privacy by default posti alla base del Regolamento, nonché le previsioni di cui all’art. 32 del GDPR. Pertanto, le misure di protezione da attuarsi dovrebbero essere incorporate sin dalla fase di progettazione di qualsiasi sistema di informazione che elabora dati relativi alla salute. In più, al fine di ulteriormente vedere attuati tali principi, la Raccomandazione precisa che il rispetto delle dette previsioni dovrebbe essere regolarmente rivisto durante l’intero ciclo di vita del trattamento e che il titolare deve effettuare, prima di iniziare il trattamento e a intervalli regolari, una valutazione del potenziale impatto in termini di protezione dei dati e rispetto della privacy, comprese le misure volte a mitigare il rischio.

La Raccomandazione, poi, pone alcune interessanti precisazioni in merito alle base giuridiche che potrebbero legittimare il trattamento dei dati sanitari. Infatti, dopo aver previsto che alla base del detto trattamento sussista il consenso informato dell’interessato (in linea con quanto previsto ai sensi dell’art. 9 del GDPR), si prevedono, alternativamente, due ulteriori situazioni che sembrerebbero quindi escludere la preventiva raccolta di un consenso:

i) quando il trattamento è necessario per l’esecuzione di un contratto stipulato dall’interessato con un operatore sanitario soggetto a condizioni definite dalla legge, compreso l’obbligo di segretezza;

ii) quando tali dati sono stati resi manifestamenti pubblici dall’interessato stesso.

Con riferimento alle tempistiche di conservazione (c.d. “retention”) da applicarsi alla categoria dei dati sanitari, la Raccomandazione prevede che, purché dietro predisposizione di misure di sicurezza adeguate, la retention possa dilatarsi[3] qualora si preveda un trattamento per finalità di archiviazione nell’interesse pubblico o per scopi scientifici o storici o, ancora, di ricerca e statistica. In questo caso i dati dovrebbero, in linea di principio, essere resi anonimi non appena la ricerca, l’attività di archiviazione o lo studio statistico lo consentano; qualora tanto non fosse possibile, si potrebbe ricorrere alla pseudonimizzazione per salvaguardare i diritti e le libertà fondamentali dell’interessato.

Appare in conclusione evidente come la Raccomandazione segua quasi pedissequamente le prescrizioni di cui al GDPR, resta in ogni caso da segnalarsi come le indicazioni fornite appaiano estremamente attuali e pertinenti stante la sussistenza di una crescente digitalizzazione che, seppur evidentemente foriera di un miglioramento delle cure mediche e dell’assistenza al paziente, comporta, inevitabilmente, un aumento esponenziale della quantità di dati sanitari soggetti ad operazioni di trattamento e, per l’effetto, la necessità di applicare misure legali e tecniche che consentano un’efficace protezione di ogni individuo.

 


[1] Recommendation CM/Rec(2019)2 of the Committee of Ministers to member States on the protection of health-related data.

[2] La Raccomandazione in esame delinea anche una serie di indicazioni per quanto attiene al trattamento di dati sanitari raccolti mediante dispositivi mobili che, impiantati nell’individuo o meno, possano rivelare informazioni sul suo stato fisico o mentale, o abbiano ad oggetto qualsiasi informazione riguardante le prestazioni di assistenza sanitaria e di assistenza sociale.

[3] Pertanto superando le tempistiche di conservazione strettamente necessarie al perseguimento della finalità di cura e assistenza del paziente interessato.

 


Avv. Vincenzo Colarocco

Studio Previti - Responsabile del Dipartimento di Protezione dei dati personali, compliance e sicurezza informatica