Parere - 14/01/2021 - n. 9535354 Articolo unicoInquadramentoL'Autorità Garante per la protezione dei dati personali (di seguito anche solo “GPDP”), con il provv. 14 gennaio 2021, n. 7, [doc. web n. 9535354] ha approvato il Codice di condotta per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica (di seguito anche solo “Codice”). Il progetto del Codice de quo è stato presentato al Garante privacy, il 14 luglio 2020, dall'Azienda Sanitaria ULSS 9 Scagliera unitamente alla Regione Veneto previa consultazione di Organismi di categoria rappresentativi e portatori di interessi ossia: il Tribunale dei diritti del Malato e dell'Anziano (rappresentativi degli interessati) e l'Ordine dei Medici Chirurghi e Odontoiatri (rappresentativi dei professionisti sanitari tenuti al segreto professionale). Il progetto del Codice, poi approvato, è stato presentato dai citati Enti a causa delle difficoltà interpretative e applicative del Reg. UE 679/2016 (GDPR) emerse nell'ambito dell'utilizzo dei dati dei pazienti per fini didattici e di pubblicazione scientifica da parte dei professionisti sanitari. Le difficoltà citate sono emerse, in particolare, a seguito dell'apertura di un procedimento del GPDP che ha visto coinvolto un medico appartenente alla medesima Azienda Sanitaria ULSS 9 Scagliera promotrice del Codice. Nel corso dell'istruttoria il GPDP ha rilevato che un medico aveva acquisito documenti relativi ad un paziente tenuto in cura presso la ULSS 9 Scagliera dove prestava servizio, per presentare una relazione in un congresso medico e per partecipare al concorso Premio “Migliore caso clinico 2017”, patrocinato dalla Società triveneta di chirurgia. Il Medico, pur essendo legittimato ad accedere ai dati del paziente acquisiti per finalità di cura, non aveva tuttavia richiesto al paziente medesimo alcun consenso al trattamento dei dati per finalità ulteriori come quelle di divulgazione scientifica e/o didattica. La questione non era stata sottoposta a permesso della ULSS 9 Scagliera, presso cui il paziente era stato in cura, ed infine i dati del paziente non erano stati neppure anonimizzati prima del loro utilizzo per la relazione scientifica poi pubblicata dalla Società triveneta di chirurgia sul proprio sito internet. La pubblicazione e diffusione della relazione attraverso il sito internet della Società triveneta di chirurgia, ha consentito al paziente/interessato di segnalare al GPDP il presunto illecito trattamento dei suoi dati personali. Chiusa dunque l'istruttoria il GPDP ha emesso tre provvedimenti sanzionatori distinti di cui uno (cfr. provv. n. 144 del 15 aprile 2021 [doc. web n. 9587637]) a carico del medico, sanzionato per € 5.000,00, altro (cfr. provv. n. 145 del 15 aprile 2021 [doc. web n. 9587089]) a carico della Società triveneta di chirurgia sanzionata per € 2.000,00, ed un ultimo (cfr. provv. n. 142 del 15 aprile 2021 [doc. web n. 9587071] a carico della ULSS 9 Scagliera che ha ricevuto solo un ammonimento, considerato che l'episodio è stato gestito in materia tempestiva e, proprio per regolamentare la questione in maniera conforme ai dettami del GDPR, la ULSS 9 Scagliera aveva avviato, nelle more, la promozione del Codice oggi in commento. Il Codice rappresenta il primo Codice di condotta approvato dal GPDP sui trattamenti di dati sulla salute in ambito sanitario al fine di disciplinare, conformemente al dettato del GDPR, l'utilizzo dei dati per finalità didattiche e di pubblicazione scientifica da parte dei professionisti sanitari, stabilendo, conseguentemente, le regole per il trattamento ulteriore dei dati originariamente raccolti a fini diagnostici, terapeutici, di prevenzione e cura. Il Codice mira a garantire l'applicazione coerente ed omogenea del GDPR con l'individuazione di regole specifiche per un corretto bilanciamento degli interessi coinvolti, consentendo dunque agli aderenti, conformemente al principio di accountability, di utilizzare il Codice quale strumento per dimostrare la conformità al GDPR. In particolare, il Codice prescrive che l'utilizzo dei dati personali per fini didattici e di pubblicazione scientifica possa attuarsi solo a seguito dell'adozione di misure di anonimizzazione e ove non possibile di pseudonimizzazione per tutelare i diritti e le libertà degli interessati. A tal riguardo il Codice contiene un allegato, il numero 1, che descrive in maniera dettagliata le tecniche di anonimizzazione e pseudonimizzazione applicabili ed aderenti al Parere 5/2014 del gruppo di lavoro 29 (WP29). Come noto il Considerando 26 al GDPR pone una distinzione a seconda che i dati siano pseudonimizzati, ossia quei dati che mediante l'utilizzo di ulteriori informazioni seppur in maniera indiretta potrebbero condurre alla identificabilità di una persona fisica, o anonimizzati ossia quei dati che non consentono nemmeno indirettamente e pur se associati ad altri l'identificabilità di una persona fisica. Nel primo caso, dunque ai dati pseudonimizzati, troverà applicazione il GDPR, nel secondo caso, ai dati anonimizzati il GDPR non trova applicazione: “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. considerando 26 al GDPR). Il citato allegato 1 al Codice tra le principali tecniche di anonimizzazione ne indica due tipologie distinte: la randomizzazione, ossia “la modifica della veridicità dei dati al fine di eliminare la forte correlazione che esiste tra essi e la persona, pur non compromettendo le proprietà informative di distribuzione statistica proprie del dataset”; la generalizzazione che “consiste nel generalizzare gli attributi delle persone interessate modificando la rispettiva scala o ordine di grandezza (diluendo il livello di dettaglio) e presuppone approcci quantitativi specifici per contenere i rischi di correlabilità”. Tra le tecniche di pseudonimizzazione il codice propone un elenco delle più utilizzate tra cui: la crittografia con chiave segreta; la funzione hash; la funzione hash cifrata con chiave memorizzata; la crittografia deterministica o funzione hash cifrata con cancellazione della chiave; la tokenizzazione. Per un approfondimento e descrizione delle citate tecniche si rimanda all'allegato 1 del Codice. Ad ogni buon conto, tali tecniche sebbene elencate per consentirne l'implementazione dai professionisti sanitari per le finalità di cui al Codice, rappresentano un punto di riferimento utile per tutti i titolari del trattamento che intendessero adottarle al fine di minimizzare i rischi per la tutela dei diritti e le libertà degli interessati. Il Codice prescrive che ogni Direzione aziendale debba dotarsi di un Centro Elaborazione Data Set (CEDS) che, previa anonimizzazione o adozione delle tecniche di anonimizzazione e ove non possibile di pseudonimizzazione meglio descritte nel citato Allegato 1, renderà disponibili i dati con un codice di identificazione univoco. Al Codice sono allegati anche il modello di richiesta di autorizzazione che il professionista sanitario deve rivolgere al titolare del trattamento per poter utilizzare i dati per scopi didattici e di pubblicazione scientifica (Allegato 3); il modello di informativa da rendere agli interessati (Allegato 4); il modello di consenso (Allegato 5). Il Codice individua meccanismi che consentono di svolgere un efficace controllo sul rispetto dello stesso da parte degli aderenti che si impegnano ad applicarlo (art. 40, par. 2, del RGPD). I Codici di condotta quale strumento di compliance al GDPRFermo restando che per una disamina più puntuale e specifica si rimanda al commento all'articolo 40 GDPR del presente volume, appare qui opportuno richiamare brevi considerazioni sulla valenza e importanza dell'adesione da parte dei titolari del trattamento ai Codici di condotta. Ai sensi del comma 1 art. 40 del GDPR: “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”. Il comma 2 medesimo articolo 40 GDPR aggiunge che:” le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli allo scopo di precisare l'applicazione del presente regolamento”. Il successivo comma 5 prescrive che: “Le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all'autorità di controllo competente ai sensi dell'articolo 55. L'autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate”. I Codici di condotta costituiscono, dunque, un valido strumento, per i titolari del trattamento aderenti, volto a dimostrare la conformità al GDPR e sono degli strumenti volontari di accountability. I Codici di condotta, contengono regole pratiche che i titolari del trattamento aderenti debbono adottare per la protezione dei dati personali in determinati settori, e per compiere in maniera conforme al GDPR attività, come è il caso del Codice in commento che appunto delinea le modalità concrete per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica. I Codici di condotta possono essere adottati a livello europeo e/o nazionale, conseguentemente nel primo caso potranno aderirvi titolari del trattamento appartenenti ad ogni singolo stato dell'unione, nel secondo stato potranno aderirvi solo titolari del trattamento che esercitano nello Stato emanante. L'adesione a un codice di condotta, sebbene uno strumento certamente atto a dimostrare l'accountability del titolare del trattamento, non garantisce la conformità al GDPR del titolare del trattamento o del responsabile del trattamento né pone al riparo i medesimi da eventuali sanzioni ex art. 83 GDPR. Cenni sulla proposta di regolamento sullo spazio europeo dei dati sanitariIl trattamento dei dati sanitari e l'utilizzo dei medesimi non solo per finalità di cura ma anche per finalità di ricerca scientifica, didattica etc., non può prescindere dal contesto europeo. Appare dunque opportuno, per uno sguardo di insieme più completo, esporre brevi cenni a riguardo. Il 3 maggio 2022 la Commissione europea ha presentato una proposta di regolamento sullo spazio europeo dei dati sanitari (cd. European Health Data Space “EHDS”). Al momento della stesura del persente contributo la proposta non si è ancora tramutata in regolamento definitivo con conseguente adozione. La proposta di regolamentoè inerente alla più ampia strategia europea per i dati volta a emanare norme comuni sull'accesso dei dati e sul loro utilizzo. A tal riguardo è stato pubblicato in Gazzetta Ufficiale dell'Unione Europea, del 22 dicembre 2023, il Regolamento UE/2023/2854 cd. “Data Act” – recante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo e che modifica il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/1828 – volto a contribuire allo sviluppo di nuovi servizi digitali, in particolare nel settore dell'intelligenza artificiale. Il Data Act è considerato una colonna portante della strategia europea per i dati e integra il Regolamento sulla Governance dei dati (Data Governance Act, Regolamento (UE) 2022/868). Lo spazio europeo dei dati sanitari è dunque parte integrante della transizione digitale e della strategia europea in materia di dati e dovrebbe essere il primo spazio comune di dati dell'Unione europea. La Commissione ha definito tale spazio come: “un ecosistema specifico per l'ambito sanitario con regole, norme e pratiche comuni, infrastrutture e un quadro di governance”. Le finalità principali dello spazio europeo dei dati sanitari sono dunque: “1) consentire alle persone fisiche la possibilità di controllare i propri dati sanitari; 2) promuovere un mercato unico dei servizi e dei prodotti di sanità digitale; 3) garantire l'interoperabilità e la sicurezza dei dati sanitari nonché la parità di condizioni per i fabbricanti; 4) mettere a frutto il potenziale dell'economia dei dati sanitari; 5) garantire un quadro coerente ed efficiente per il riutilizzo dei dati sanitari per la ricerca, l'innovazione, l'elaborazione delle politiche e le attività normative”. L'EHDS contiene regole specifiche per il trattamento dei dati in ambito sanitario ed è volto a disciplinare l'uso primario e secondario dei dati sanitari la cui definizione è contenuta nell'art. 2 della porposta di Regolamento a rigore del quale si intende per “uso primario dei dati sanitari elettronici”: il trattamento dei dati sanitari elettronici personali per la prestazione di servizi sanitari al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi di sicurezza sociale, amministrativi o di rimborso; per “uso secondario dei dati sanitari elettronici”: il trattamento dei dati sanitari elettronici per le finalità di cui al capo IV del presente regolamento. Tra i dati utilizzati possono figurare dati sanitari elettronici personali originariamente raccolti nel contesto dell'uso primario, ma anche dati sanitari elettronici raccolti ai fini dell'uso secondario. L'EHDS è suddicisa in 9 capi: il capo I contiene l'oggetto e l'ambito di applicazione della proposta di regolamento, nonché le definizioni; il capo II disciplina l'uso primario dei dati sanitari elettronici; li capo III attiene alle disposizioni relative ai sistemi di cartelle cliniche elettroniche e alle applicazioni per il benessere; il capo IV disciplina l'uso secondario dei dati sanitari elettronici; il capo V tocca svariati aspetti e suggeirce misure per lo sviluppo delle capacità da parte degli Stati membri di sostenere la messa a punto dello spazio europeo dei dati sanitari tra cui lo scambio di informazioni sui servizi pubblici digitali, i finanziamenti, et.; il capo VI istituisce il comitato dello spazio europeo dei dati sanitari (“comitato EHDS”) a cui è demandato il compito di agevolare la cooperazione e lo scambio di informazioni fra gli Stati membri; il capo VII consente alla Commissione di adottare atti delegati riguardanti lo spazio europeo dei dati sanitari; il capo VIII pone un rinvio agli Stati membri riguardo al compito di prevedere le sanzioni in caso di violazione del regolamento; il capo IX stabilisce le disposizioni finali, per quanto concerne l'entrata in vigore e l'applicazione. BibliografiaBolognini, Pelino, Tutte le novità del d.lgs. 101/2018, Milano 2018; Bolognini, Pelino,Bistolfi, Il regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, Milano 2016; Bolognini, Pelino, Codice della disciplina privacy, Milano 2019. |
