Tag Archivio per: GDPR

Intervista a Silvia Stefanelli, avvocato specializzato in Health Service Legislation, e-Health e protezione dei dati

Privacy by design

Tempo di lettura: 3 minuti

Approccio privacy by design e by default, secondary use dei dati e cultura della privacy nelle realtà aziendali: sono questi gli argomenti che approfondiremo grazie a Silvia Stefanelli, avvocato specializzato in Health Service Legislation, e-Health e protezione dei dati, che ha risposto alle nostre domande.

Perchè è utile tener conto di un approccio privacy by design e by default nella progettazione delle impostazioni a tutela dei dati personali previste per qualsiasi servizio sanitario?

 

L’articolo 25 del GDPR stabilisce che un processo che coinvolge il trattamento dei dati deve rispettare il principio della privacy by design e by default: ciò significa che nel momento in cui si decide di implementare un processo in cui si trattano dati si devono valutare sin da subito tutti gli aspetti privacy.

Questo principio che può apparire un po’ scontato, in realtà molto raramente viene applicato in maniera conforme al GDPR: solitamente, in ambito sanitario, il processo viene immaginato prima sotto il profilo clinico ed organizzativo e solo successivamente ci si pone il problema dei profili privacy.

Cioè solo in un secondo momento ci si interroga su quali siano i ruoli Privacy, quale sia la base giuridica del trattamento (aspetto fondamentale perché è ciò che rende il trattamento lecito), quali strumenti verranno utilizzati ed in generale sugli aspetti di rispetto del GDPR.

È chiaro che quando l’analisi dei profili privacy arriva a processo già disegnato si cercherà, inevitabilmente, di piegarla al progetto già in corso.

Proprio per evitare questo effetto, è fondamentale nel momento stesso in cui si pensa all’organizzazione del servizio e agli aspetti clinici, cominciare a interrogarsi anche sui profili privacy.

Questo non è l’unico aspetto, infatti, la conformità “by design e by default” al GDPR sta diventando un fattore competitivo sempre più interessante per le aziende che la attuano, poiché esse sono avvantaggiate a livello concorrenziale rispetto a chi non ottempera alla normativa.

Da un lato – sulla base di un accordo tra Consip e il Garante Privacy- i bandi pubblici per l’acquisto dei software medicali da parte delle strutture sanitarie dovranno prevedere specifici requisiti di compliance privacy “fin dalla progettazione e per impostazione predefinita”.

Specularmente, nel settore privato gli accordi per la fornitura di software – ma anche in generale le partnership e le operazioni societarie – includono già da tempo due diligence sempre più approfondite sulla data protection by design dei prodotti così come sull’intero sistema privacy delle organizzazioni.

Quanto è importante formare il personale in materia di trattamento dei dati sensibili e favorire la diffusione di una “cultura della privacy” all’interno delle realtà aziendali?

Io ritengo che la formazione del personale sia cardine per far funzionare quel sistema di gestione del dato che, nei fatti, è richiesto dal GDPR.

Anche il miglior sistema di gestione di un dato, dove non sia accompagnato dalla sensibilità e dalla consapevolezza del personale, rischia di non raggiungere gli effetti desiderati. Per questo credo che l’investimento delle aziende sulla formazione del personale con l’obiettivo di sensibilizzarlo rispetto al tema dei dati sia fondamentale.

È quindi imprescindibile che la formazione abbia un “taglio operativo”: non deve limitarsi a trasmettere i principi fondamentali del GDPR, ma deve spiegare – nella pratica e con un approccio “personalizzato” a seconda dell’organizzazione e dell’attività aziendale – cosa deve fare il personale e soprattutto cosa deve evitare per scongiurare il rischio che l’azienda sia oggetto di possibili sanzioni.

È possibile utilizzare i dati sensibili per finalità diverse e non previste dalla prestazione per cui sono stati inizialmente raccolti? Se si, in che modo?

Il cosiddetto secondary use – vale a dire il trattamento di un dato per una finalità diversa da quella originale per cui quel dato è stato raccolto – rimane uno dei temi più interessanti dell’intero regolamento soprattutto per le implicazioni che ha nell’ottica di riutilizzare le informazioni per alimentare la conoscenza, il progresso e, di conseguenza, potenziare lo sviluppo economico.

In quest’ottica certamente l’art. 5 prevede questa possibilità indicando espressamente alcuni settori, tra cui la ricerca scientifica, nei quali il dato può essere utilizzato per uno scopo differente da quello originario.

In ogni caso il secondary use per fini di ricerca scientifica sarà legittimo purché, in particolare:

  • vengano considerate le ragionevoli aspettative dell’interessato in base alla sua relazione con il Titolare con riguardo al loro ulteriore utilizzo,
  • vengano valutate le conseguenze per l’interessato dell’ulteriore trattamento,
  • esistano garanzie adeguate (come ad esempio la pseudonimizzazione dei dati personali),

e solo dopo aver valutato di non poter conseguire tali finalità trattando dati de-identificati o anonimi.

La questione si complica qualora il trattamento ulteriore per finalità di ricerca scientifica venga effettuato da un soggetto terzo.

In questo caso, infatti, l’apertura del GDPR si scontra con l’articolo 110 bis del nostro codice privacy, il quale richiede, per il secondary use da parte un terzo, l’autorizzazione del Garante quando fornire l’informativa privacy è impossibile o implica uno sforzo sproporzionato, oppure rischia di impedire o pregiudicare la ricerca, e sempre che siano adottate misure di garanzia, comprese forme preventive di minimizzazione e di anonimizzazione dei dati.

 

L’utilizzo dei dati sanitari raccolti nei PSP tra Privacy e GDPR

Tempo di lettura: 3 minuti
In un mondo sanitario che si sta modellando sulla spinta delle nuove tecnologie che introducono nutrite potenzialità di raccolta, di calcolo e di analisi, i dubbi in merito ai limiti imposti dalla legge nel trattamento dei dati non fanno che crescere.

Sono tante le domande che gli operatori sanitari del mondo healthcare si pongono sui cambiamenti introdotti dal Regolamento generale sulla protezione dei dati (GDPR).

E alla luce delle recenti discussioni in materia di Real World Evidence e Real World Data, sono consistenti anche le perplessità riguardo all’utilizzo dei dati raccolti dai Programmi di Supporto al Paziente (PSP).

I PSP fanno del monitoraggio costante del paziente il loro principale ingrediente, si basano sulla raccolta di dati e conseguentemente di evidenze, ma in che modo possono essere maneggiate queste informazioni?

Per cercare di dare una risposta a questi quesiti, abbiamo fatto qualche domanda all’Avvocato Silvia Stefanelli che da anni offre consulenza nelle diverse tematiche inerenti il diritto sanitario.

  • Quali sono stati i principali cambiamenti introdotti dal GDPR sui dati sanitari?

I cambiamenti più rilevanti sono senza dubbio quelli relativi alla base di liceità del trattamento.

Mentre il trattamento del dato sanitario nella precedente architettura normativa della dir 95/46/CEE e del “vecchio” Codice Privacy era (quasi) sempre il consenso del paziente, nel nuovo GDPR sposta l’attenzione sulla finalità di trattamento.

In altre parole è la “ragione”  per cui i dati vengono trattati che ne determina la base di liceità: così se il dato viene trattato per finalità di diagnosi, assistenza e terapia (art. 9 lett. h) e chi lo tratta è un professionista sottoposto al segreto professionale, non occorrerà alcun consenso perché la base di liceità sarà direttamente nell’art. 9 comma 2 lett h  e art. 9 comma 3 del GDPR; viceversa, se la finalità è diversa (per esempio la soddisfazione del paziente) oppure manca il requisito di cui all’art. 9 comma 3 (trattamento da parte di soggetto sottoposto al segreto professionale), occorrerà cercare un’altra base di liceità di trattamento, che presumibilmente potrà essere il consenso del paziente.

  • È possibile e con quali “accortezze” utilizzare i dati acquisiti nell’ambito dell’erogazione dei servizi assistenziali?

Si, certo. Anzi i dati relativi alla salute sono considerati un “bacino” di informazioni molto importante. È lo stesso GDPR che al Considerando 157 spiega l’importanza dell’utilizzo dei dati contenuti nei registri anche per finalità diverse rispetto a quelle per cui i dati sono stati raccolti e al Considerando 159 ci spiega che la nozione di ricerca scientifica del GDPR deve essere interpretata “in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell’obiettivo dell’Unione di istituire uno spazio europeo della ricerca ai sensi dell’articolo 179, paragrafo 1, TFUE”.

Chiaro che il trattamento dei dati sanitari per finalità diverse da quelle di diagnosi e cura deve comunque rispettare in primo luogo (e tra gli altri), i principi di liceità e trasparenza: vale a dire che occorre identificare con esattezza la finalità del trattamento – e quindi, di conseguenza, identificare la base giuridica del trattamento – rispettare il principio di trasparenza, cioè informare in maniera chiara e completa il paziente delle finalità di trattamento (attraverso l’informativa) e valutare la corretta base giuridica di trattamento.

  • Il dato raccolto nei PSP può essere utilizzato per effettuare analisi di Real Word Evidence, quali sono i passaggi necessari per farlo correttamente?

È una domanda molto complessa che oggi non ha una risposta chiara. Io credo però che il quadro normativo permetta alcune considerazioni.

La Real Word Evidence è un’analisi dei dati raccolti nell’ambito della somministrazione di un farmaco al di fuori di un trial controllato.

Allora, sotto il profilo trattamento dato, il punto cardine è – a parer mio – quello prima analizzato: quale è la finalità di questa analisi che viene effettuata sui dati reali e chi tratta questi dati. Facciamo qualche esempio.

Se la finalità è la valutazione della soddisfazione, o della aderenza del paziente al farmaco o dispositivo, potremmo essere di fronte ad un trattamento per la customer satisfaction oppure una farmacovigilanza o sorveglianza post marketing del dispositivo medico, per le quali occorrerà cercare la corretta base di trattamento anche a seconda di chi è il titolare di questo trattamento, nonché verificare che il paziente sia stato informato di tale trattamento ulteriore.

Se viceversa il trattamento dei RDW ha come finalità quella di estrarre informazioni finalizzate ad una verifica di natura scientifica, allora i riferimenti normativi possono cambiare. In questo caso il quadro normativo si complica perché, mentre il GDPR disciplina solo la ricerca scientifica (art. 89), il nostro Codice Privacy distingue tra ricerca scientifica con dati sanitari (art. 107 del Codice) da ricerca medica ed epidemiologica (art. 110 del Codice privacy), senza però chiarire la distinzione tra la nozione di “scientifico” da quella di “medico”.

La domanda, pertanto, non ha una risposta univoca: la stessa va sempre cercata nelle finalità del trattamento.