Intervista a Silvia Stefanelli, avvocato specializzato in Health Service Legislation, e-Health e protezione dei dati
Approccio privacy by design e by default, secondary use dei dati e cultura della privacy nelle realtà aziendali: sono questi gli argomenti che approfondiremo grazie a Silvia Stefanelli, avvocato specializzato in Health Service Legislation, e-Health e protezione dei dati, che ha risposto alle nostre domande.
Perchè è utile tener conto di un approccio privacy by design e by default nella progettazione delle impostazioni a tutela dei dati personali previste per qualsiasi servizio sanitario?
L’articolo 25 del GDPR stabilisce che un processo che coinvolge il trattamento dei dati deve rispettare il principio della privacy by design e by default: ciò significa che nel momento in cui si decide di implementare un processo in cui si trattano dati si devono valutare sin da subito tutti gli aspetti privacy.
Questo principio che può apparire un po’ scontato, in realtà molto raramente viene applicato in maniera conforme al GDPR: solitamente, in ambito sanitario, il processo viene immaginato prima sotto il profilo clinico ed organizzativo e solo successivamente ci si pone il problema dei profili privacy.
Cioè solo in un secondo momento ci si interroga su quali siano i ruoli Privacy, quale sia la base giuridica del trattamento (aspetto fondamentale perché è ciò che rende il trattamento lecito), quali strumenti verranno utilizzati ed in generale sugli aspetti di rispetto del GDPR.
È chiaro che quando l’analisi dei profili privacy arriva a processo già disegnato si cercherà, inevitabilmente, di piegarla al progetto già in corso.
Proprio per evitare questo effetto, è fondamentale nel momento stesso in cui si pensa all’organizzazione del servizio e agli aspetti clinici, cominciare a interrogarsi anche sui profili privacy.
Questo non è l’unico aspetto, infatti, la conformità “by design e by default” al GDPR sta diventando un fattore competitivo sempre più interessante per le aziende che la attuano, poiché esse sono avvantaggiate a livello concorrenziale rispetto a chi non ottempera alla normativa.
Da un lato – sulla base di un accordo tra Consip e il Garante Privacy- i bandi pubblici per l’acquisto dei software medicali da parte delle strutture sanitarie dovranno prevedere specifici requisiti di compliance privacy “fin dalla progettazione e per impostazione predefinita”.
Specularmente, nel settore privato gli accordi per la fornitura di software – ma anche in generale le partnership e le operazioni societarie – includono già da tempo due diligence sempre più approfondite sulla data protection by design dei prodotti così come sull’intero sistema privacy delle organizzazioni.
Quanto è importante formare il personale in materia di trattamento dei dati sensibili e favorire la diffusione di una “cultura della privacy” all’interno delle realtà aziendali?
Io ritengo che la formazione del personale sia cardine per far funzionare quel sistema di gestione del dato che, nei fatti, è richiesto dal GDPR.
Anche il miglior sistema di gestione di un dato, dove non sia accompagnato dalla sensibilità e dalla consapevolezza del personale, rischia di non raggiungere gli effetti desiderati. Per questo credo che l’investimento delle aziende sulla formazione del personale con l’obiettivo di sensibilizzarlo rispetto al tema dei dati sia fondamentale.
È quindi imprescindibile che la formazione abbia un “taglio operativo”: non deve limitarsi a trasmettere i principi fondamentali del GDPR, ma deve spiegare – nella pratica e con un approccio “personalizzato” a seconda dell’organizzazione e dell’attività aziendale – cosa deve fare il personale e soprattutto cosa deve evitare per scongiurare il rischio che l’azienda sia oggetto di possibili sanzioni.
È possibile utilizzare i dati sensibili per finalità diverse e non previste dalla prestazione per cui sono stati inizialmente raccolti? Se si, in che modo?
Il cosiddetto secondary use – vale a dire il trattamento di un dato per una finalità diversa da quella originale per cui quel dato è stato raccolto – rimane uno dei temi più interessanti dell’intero regolamento soprattutto per le implicazioni che ha nell’ottica di riutilizzare le informazioni per alimentare la conoscenza, il progresso e, di conseguenza, potenziare lo sviluppo economico.
In quest’ottica certamente l’art. 5 prevede questa possibilità indicando espressamente alcuni settori, tra cui la ricerca scientifica, nei quali il dato può essere utilizzato per uno scopo differente da quello originario.
In ogni caso il secondary use per fini di ricerca scientifica sarà legittimo purché, in particolare:
- vengano considerate le ragionevoli aspettative dell’interessato in base alla sua relazione con il Titolare con riguardo al loro ulteriore utilizzo,
- vengano valutate le conseguenze per l’interessato dell’ulteriore trattamento,
- esistano garanzie adeguate (come ad esempio la pseudonimizzazione dei dati personali),
e solo dopo aver valutato di non poter conseguire tali finalità trattando dati de-identificati o anonimi.
La questione si complica qualora il trattamento ulteriore per finalità di ricerca scientifica venga effettuato da un soggetto terzo.
In questo caso, infatti, l’apertura del GDPR si scontra con l’articolo 110 bis del nostro codice privacy, il quale richiede, per il secondary use da parte un terzo, l’autorizzazione del Garante quando fornire l’informativa privacy è impossibile o implica uno sforzo sproporzionato, oppure rischia di impedire o pregiudicare la ricerca, e sempre che siano adottate misure di garanzia, comprese forme preventive di minimizzazione e di anonimizzazione dei dati.