Dati sanitari
Il rapporto tra privacy e sanità è da sempre controverso, le esigenze di riservatezza e privacy spesso contrastano con quelle di urgenza e salute. A questo proposito è sempre stato adottato un approccio specifico dettato dall’art. 8 (paragrafo 3). Un focus particolare è posto sulla liceità del trattamento dei dati relativi allo stato di salute (art. 76). Questa particolare tipologia di trattamento viene svolta previo consenso del soggetto interessato ma non risulta necessaria l’autorizzazione del Garante – in caso riguardi la tutela della salute o dell’incolumità, quindi non è necessario il consenso dell’interessato stesso (previa autorizzazione del Garante) nel caso in cui la finalità riguarda un terzo o la comunità.
Con l’avvento del GDPR, che non prevede nulla di specifico in ambito sanitario, avviene un cambiamento in materia di trattamento dei dati personali. Nell’art. 4 del GDPR stesso viene sintetizzato il concetto di dato relativo alla salute:
“i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.”
Nel Considerando 35 si approfondisce il concetto e si esplicita che:
“nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
I dati sanitari sono considerati come dati sensibili , quindi soggetti ad una tutela speciale per quanto riguarda diritti e libertà fondamentali. La differenza con la Direttiva Madre risiede nel fatto che il GDPR racchiude nell’insieme di dati sensibili anche quelli genetici e biometrici. Stando a quanto stabilito dalla Cassazione, questi dati che sono inerenti alla sfera più intima della persona, sono da considerare come “supersensibili”.
[bottone-post]
Dati sanitari: informativa e consenso
Per quanto concerne l’ informativa , il GDPR pone l’accento sulla trasparenza e la facile comprensione del contenuto. Tutto questo viene amplificato quando i trattamenti includono i dati di minori. Il linguaggio deve essere chiaro e facilmente comprensibile anche da un minore. Il contenuto dell’informativa viene dettagliatamente descritto negli articoli 13 e 14. In ambito sanitario, il fatto che l’informativa da fornire sia più ampia e dettagliata, assume una rilevanza particolare.
Il consenso viene invece trattato dall’art 7 del GDPR. In questo articolo specifico viene stabilito che, una volta appurato che il trattamento si basi sul consenso, il titolare dev’essere in grado di provare che l’interessato abbia fornito il consenso stesso per il trattamento in questione. Il consenso deve inoltre essere informato e specifico, mirato per singolo trattamento nonostante non sia obbligatoria la forma scritta che, però, aiuta a provarne l’essere esplicito.
Dati sanitari: profilazione e processo decisionale automatizzato
La profilazione ed il processo decisionale automatizzato vengono affrontati dall’art. 22 del regolamento. In particolare, l’articolo sancisce che l’interessato non può essere sottoposto a decisione basata unicamente su un trattamento automatizzato – profilazione inclusa. Tuttavia, ci sono delle eccezioni a questo principio, che non si applica quando:
- La decisione è necessaria per la conclusione e/o l’esecuzione di un contratto tra interessato e titolare;
- La decisione è stata autorizzata dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare e vengono precisate misure adeguate che tutelano i diritti e le libertà dei legittimi interessi dell’interessato;
- La decisione si basa sul consenso esplicito dell’interessato.
Una volta escluse queste casistiche vale il principio generale, ossia il divieto di profilazione dei dati sanitari, che tuttavia può avvenire nei casi di:
- Consenso esplicito del soggetto interessato;
- Perseguimento di un interesse pubblico rilevante in ambito di sanità pubblica;
- Implementazione, da parte del titolare, di misure di sicurezza idonee a tutelare libertà, diritti e legittimi interessi del paziente.
[bottone-post]
Dati sanitari: la ricerca scientifica
Il GDPR, quando si parla di dati sanitari, prevede che il titolare del trattamento adotti misdure di sicurezza tecniche ed organizzative che possano minimizzare i dati stessi. Cosa significa? In termini pratici l’obiettivo è quello di limitare il trattamento dei dati al minimo indispensabile. Un esempio può essere rappresentato dalla pseudonimizzazione che permette di separare il dato stesso dal singolo soggetto interessato. Tuttavia, il GDPR non stabilisce termini quantitativi minimi.
Non essendo stabiliti termini minimi relativi all’ammontare dei dati, possono essere incluse molteplici attività in ambito sanitario come le ricerche scientifiche. L’ambito di applicazione della ricerca scientifica, in ogni caso, non viene esteso ad ogni tipologia di attività svolta in ambito sanitario. Questo concetto di ricerca scientifica è quindi soggetto ad interpretazione da parte delle autorità nazionali. Per quanto concerne la ricerca scientifica:
- Non è necessario il consenso dell’interessato;
- In alcune casistiche, isolate, i ricercatori possono trasferire i dati in un paese estero senza il set up di un meccanismo di trasferimento, prevale dunque la finalità di ricerca;
- Le organizzazioni che hanno a che fare con dati sensibili a fini di ricerca scientifica, possono essere esenti da restrizioni su trattamenti secondari e su trattamenti di dati sensibili;
- Il trattamento supplementare (ulteriore a quello per cui si è espresso il consenso) è ammissibile, se anch’esso con finalità di ricerca scientifica, previa sussistenza delle garanzie per i soggetti interessati.
Dati sanitari: come cambia la sanità?
La continua “digitalizzazione” della sanità comporta indiscutibili vantaggi in termini di velocità nel reperire le informazioni ed organizzazione. Tuttavia, questo implica un vertiginoso aumento dei dati personali immagazzinati. L’applicazione del regolamento in ambito sanitario, dunque è un tema molto sensibile.
In ambito sanitario, quindi, assumono particolare importanza i principi dettati dal GDPR per le motivazioni elencate in precedenza, tra gli altri: Il principio della trasparenza (informativa e consenso)
- Il principio di accountability (responsabilizzazione)
- I principi di privacy by design e by default
Tuttavia, meritevoli di attenzione sono anche gli adempimenti introdotti dalla normativa, tra cui:
- DPIA (Data Protection Impact Assessment)
- Il Registro delle attività di trattamento
- Il data breach notice.
Swascan e la GDPR Compliance
Swascan, ha reso disponibili specifici servizi di cybersecurity al fine di aiutare le imprese ad affrontare le tematiche relative alla Compliance GDPR e al Security Management. Inoltre, è disponibile il Plugin GDPR Swascan per la Compliance dei siti WordPress e Woocommerce.
Oltre ad una guida GDPR , è disponibile una dettagliata documentazione riguardo ad uno dei nostri fondatori: Raoul Chiesa ( intervista Raoul Chiesa e video Raoul Chiesa ).
[bottone-post]
Swascan
In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il Vulnerability Assessment, Network Scan, Code Review e il GDPR Assessment ( infografica GDPR ): la nostra piattaforma è al 100% GDPR compliant e permette di valutare il livello di Compliance della propria azienda.