In questi giorni è un tutto rincorrersi di nuove iniziative di sanità digitale (come visite on line, app per i pazienti, monitoraggio da remoto ecc..): sembra quasi che – come d’incanto – quello che non si è riusciti a fare negli ultimi 20 anni, sia diventato improvvisamente possibile e facile.
Chi scrive non può che essere soddisfatta di questa svolta.
Palese poi che questa apertura è il frutto del momento che stiamo vivendo, della necessità di utilizzare la tecnologia per cercare di “gestire” il virus, del bisogno di lasciare il paziente a casa curandolo lo stesso, dell’inpensabile avanzamento nella digitalizzazione di parte della popolazione conseguente all’attivazione dello smart working.
Complice di tale processo anche una sorta di percezione di “allentamento” delle regole sulla protezione dei dati. Lo stesso Garante Privacy nell’intervista del 16 marzo ha chiaramente affermato che le attuali esigenze di tutela della salute permettono “maglie più larghe” nell’ambito della protezione dei dati (sempre però nel rispetto dei principi costituzionali) e identicamente l’European Data Protection Bord – EDPB (organismo di coordinamento europeo dei Garanti) nel documento Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak (che peraltro è dello stesso 16 marzo 2020) stabilisce la possibilità di trattamenti di dati (anche da parte dei datori di lavoro) prima non ammesse.
Quindi non vi è dubbio che oggi i confini sono più larghi: ciò, però, non significa che si può fare senza ragionare su quello che si sta facendo e senza tener conto del profilo della protezione dei dati.
Sotto questo profilo lo strumento giusto è la “progettazione del trattamento dati” secondo i principi di “privacy by design” ai sensi dell’art. 25 del GDPR: come infatti si progetta il processo di erogazione della prestazione sanitaria sotto il profilo clinico, identicamente occorre progettare il processo dei dati sotto il profilo del GDPR.
Molto in sintesi i Titolari del trattamento, nel programmare le attività conseguenti all’emergenza Covid-19, dovranno:
- definire la base giuridica del trattamento di dati che desiderano porre in essere, ossia rinvenire e rendere noto il fondamento normativo di liceità che legittima quello specifico trattamento di dati;
- raccogliere i soli dati personali necessari, adeguati e pertinenti e conservarli per il tempo strettamente necessario al raggiungimento delle finalità del trattamento precisamente individuate, nel rispetto dei limiti imposti dai principi di minimizzazione e conservazione dei dati;
- definire le misure di sicurezza tecniche e organizzative adeguate a proteggere i dati e, in particolare:
-
- individuare i soggetti preposti al trattamento dei dati, autorizzandoli in maniera specifica;
- fornire loro le istruzioni operative da rispettare per la protezione delle informazioni che raccolgono e utilizzano;
- fornire agli interessati un’apposita informativa che, riportando i contenuti di cui all’art. 13 del Regolamento UE 679/2016, spieghi in modo semplice e chiaro perché ed in che modo i dati personali saranno trattati e tutelati.
In particolare, le aziende che realizzano una nuova tecnologia dovranno continuare a proteggere i dati che tramite la stessa verranno trattati tenendo in considerazione:
- lo stato dell’arte dei progressi tecnologici, rimanendo aggiornate su come la tecnologia può presentare rischi per la privacy degli utenti;
- i costi di attuazione – in cui rientrano anche il tempo e le risorse umane – che devono essere appropriati e proporzionati alla riduzione del rischio;
- la natura, la portata, il contesto, e le finalità del trattamento, in questo caso fortemente interessate dalla situazione emergenziale, che incide notevolmente sulle aspettative dell’interessato;
- i rischi di varia probabilità e gravità per i diritti e le libertà degli interessati derivanti dal trattamento dei loro dati nel contesto della pandemia da Covid-19.
Avv. Silvia Stefanelli – Avv. Maria Livia Rizzo
Studio Legale Stefanelli & Stefanelli