Blog

IL RISPETTO DELLA PRIVACY AL TEMPO DEL CORONAVIRUS

L’Italia si trova oggi costretta ad affrontare l’emergenza sanitaria Covid-19 il cui contenimento, passa anche nel necessario bilanciamento tra interessi di salute pubblica e diritti fondamentali collegati alla privacy.

In uno stato eccezionale di emergenza quale quello attuale è possibile limitare le libertà e i diritti individuali, incluso il diritto alla tutela dei dati personali.

Tale diritto, infatti, come indicato al punto 4 nel Regolamento UE 2016/679 (“GDPR”), non è un diritto assoluto, ma va contemperato con altri diritti e interessi pubblici, quale quello alla salute.

In Italia, i trattamenti dei dati personali sono legittimi se rispettosi dei principi del G.D.P.R. recepito nel nostro ordinamento con il d.lgs 110/2018 e di tutte le altre normative sulla protezione dei dati personali.

Il Regolamento Generale UE 679/2016 (GDPR) è improntato al contemperamento di opposte esigenze, come la libera circolazione delle informazioni e il diritto alla protezione dei dati personali e prevede la protezione dei dati anche in contesti emergenziali.

Secondo l’articolo 9 del GDPR è consentito l’uso di dati relativi alla salute per “ragioni di interesse pubblico nel settore della sanità pubblica, come la protezione da gravi minacce transfrontaliere per la salute”. Nei considerando 52 e 53 allegati al Regolamento si prevedono deroghe al divieto di trattamento di dati sensibili giustificato da “finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute” e si specifica che le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate “soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale”; il considerando 46 considera poi leciti alcuni tipi di trattamento dei dati personali necessari a fini umanitari,  quali dover  monitorare  “l’evoluzione di epidemie e la loro diffusione”.

Ai sensi dell’art 23 GDPR, inoltre, ogni Stato membro e la stessa Unione Europea, possono, in particolari circostanze che richiedono la salvaguardia di importanti interessi pubblici generali, rivedere le limitazioni ai diritti e agli obblighi previsti in materia di trattamento dei dati personali mediante l’adozione di specifici provvedimenti qualora tale limitazione rispetti i diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata. Il criterio di necessità e proporzionalità costituisce quel bilanciamento che sta alla base delle stringenti misure adottate nella decretazione d’emergenza dettata dal Governo dall’inizio dell’epidemia, che ha come unico obiettivo la tutela del diritto fondamentale di ognuno alla salute pubblica.

Nel D.L. n. 14 del 9 marzo 2020 vengono estesi i poteri di trattamento dei dati personali anche “sensibili” a diversi soggetti pubblici e privati, se ritenuto strettamente funzionale e indispensabile alla gestione epidemiologica.

E’ possibile ricomprendervi il tracciamento digitale e la profilazione degli individui?

pexels-photo-3987225

In Cina, Corea del Sud e a Singapore il contenimento del virus è avvenuto anche mediante l’impiego della tecnologia.

Sono state, ad esempio, utilizzate app di geolocalizzazione per ricostruire la “catena di contatti” dei soggetti positivi e sono stati impiegati droni gestiti dalla polizia per monitorare gli spostamenti dei cittadini in pubblico.

In virtù delle richieste avanzate in tal senso dalle Istituzioni il Garante per la protezione dei dati personali conDichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19adottata il 19 marzo 2020, ha chiarito che per quanto riguarda il trattamento dei dati delle telecomunicazioni, come i dati relativi all’ubicazione in linea di principio possono essere utilizzati, ma l’operatore ha l’obbligo di renderli anonimi o di acquisire il consenso dei singoli; devono essere rispettate, oltre la normativa europea già citata, anche le leggi nazionali di attuazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche (c.d. direttiva e-privacy), che all’art. 15 consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica.

Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica e deve essere rigorosamente limitata alla durata dell’emergenza.

Il Garante ha inoltre ribadito che le finalità di trattamento devono essere specifiche ed esplicite, che trasparenza e dovere di informazione verso l’interessato sono garanzie imprescindibili e che, devono essere adottate adeguate misure di sicurezza e riservatezza per garantire che i dati non siano divulgati a soggetti non autorizzati, specie se non è possibile anonimizzare i dati. Ha altresì precisato che sarebbe doveroso documentare in misura adeguata le misure messe in campo per gestire l’attuale emergenza e il relativo processo decisionale.

In ogni caso, deve essere applicato il principio di proporzionalità, prediligendo le soluzioni meno invasive, come l’autocertificazione utilizzata in Italia.  Il tracciamento di dati di localizzazione in forma non anonimizzata può essere considerato proporzionato solo in circostanze eccezionali e solo se soggetto a un controllo rafforzato e a garanzie più stringenti del normale, per assicurare il rispetto dei principi in materia di protezione dei dati.

V’è da considerare che proprio le caratteristiche delle applicazioni digitali su larga scala (basti pensare alla produzione pressochè automatica di dati derivati e inferenziali) non consentono il rispetto di tale prescrizioni e le tecniche di anonimizzazione e di pseudonimizzazione non sono da sole, da ritenersi sufficienti per contrastare il rischio di identificazione del singolo.

Sebbene quindi la salute sia un diritto fondamentale che può contemperare il diritto al trattamento dei dati personali, come ha dichiarato il Garante ogni scelta in merito dovrà essere effettuata valutando attentamente il rapporto costi-benefici e le deroghe alle regole ordinarie dovranno essere attuate in un quadro di garanzie certe per la tutela di tutti i diritti fondamentali dell’individuo.

Avv. Sara Brogioni

PRIVACY E PUBBLICA AMMINISTRAZIONE

I dati statistici: un quadro allarmante

A partire dal 25 maggio 2018, il Regolamento europeo sulla Protezione dei Dati, 2016/679/UE (GDPR- General Data Protection Regulation o RGPD -Regolamento Generale sulla Protezione dei dati personali), è ormai applicabile in tutti gli Stati membri dell’Unione Europea.

Nonostante che il quadro normativo sia ormai definito, che ogni data e scadenza siano ormai passate, compresa quella del cosiddetto “periodo di grazia” che era stato previsto nel D.lgs. 101/2018, la legge italiana di armonizzazione, è preoccupante la noncuranza degli Enti Locali in materia.

Non si può affermare che non ci sia stato sufficiente tempo a disposizione per adeguarsi, poiché il GDPR, è bene ricordarlo, è stato approvato il 15 dicembre del 2015, e molte pubbliche amministrazioni non hanno sfruttato il lungo periodo di tempo concesso dal Legislatore per l’adeguamento, rimanendo inerti.

A essere a rischio sono i dati personali dei cittadini, i quali avrebbero devono essere tutelati da quella che non è una mera burocrazia imposta da una legge, ma un caposaldo della Carta dei diritti fondamentali dell’Unione europea, a cui il GDPR ha dato più forza e garanzia.

L’indagine condotta dall’Osservatorio di Federprivacy sui siti web di 3.000 comuni italiani tra ottobre 2018 e marzo 2019 palesa la gravità della situazione.

person using white tablet computer
Photo by rawpixel.com on Pexels.com

Gran parte dei siti web istituzionali (circa il 34%) sono stati trovati privi di una qualsiasi informativa sul trattamento dei dati personali, mentre praticamente quasi tutti gli altri benché rendessero disponibile una qualche sorta di informativa, nel 65% dei casi facevano ancora riferimento alla vecchia normativa senza alcun accenno al Regolamento Europeo e ai diritti per l’interessato che questo ha introdotto.

Tali siti oltre a essere consultati dai cittadini, forniscono una prima e importante impressione anche alle autorità che abitualmente li esaminano prima di avviare un procedimento od effettuare un’ispezione.

I siti inoltre sono stati trovati carenti e non conformi, per il 47% , sotto il profilo della sicurezza: sono infatti etichettati come “non sicuri” dai principali browser, perché continuano ad utilizzare connessioni non sicure basate sul vecchio protocollo “http”, aggravando il pericolo che hacker e malintenzionati possano intercettare e carpire dati personali inviati o ricevuti tramite i form di contatto dei siti dei comuni, con l’esposizione a rischi di potenziali “data breach”, violazioni di sicurezza che prevedono peraltro pesanti sanzioni fino a 10 milioni di euro per le pubbliche amministrazioni che non siano in grado di dimostrare di aver adottato tutte le misure di sicurezza tecniche ed organizzative necessarie per essere conformi al GDPR.

Inoltre, circa il 36%, non rendevano disponibili i dati di contatto del Responsabile della Protezione dei dati (o DPO) figura obbligatoria per tutte le pubbliche amministrazioni, impedendo di fatto ai cittadini di sapere come esercitare i diritti che sono loro riconosciuti dal GDPR. 

Gli obblighi principali

Riepilogando brevemente, si ricordano i tre obblighi fondamentali avrebbero dovuto essere adempiuti entro il Maggio 2018:

  1. La figura obbligatoria del Responsabile della protezione dei dati (o DPO Data Protection Officer) incaricato di assicurare una gestione corretta dei dati personali negli enti.
  2. Il Registro delle attività del trattamento ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate dall’ente.
  3. L’obbligo, prima di procedere al trattamento, di effettuare una valutazione di impatto sulla protezione dei dati, qualora un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Rispetto ai soggetti privati il GDPR non prescrive norme ad hoc per le pubbliche amministrazioni, e la differenza sostanziale risiede nella base giuridica su cui vengono trattati i dati: obbligo legale per la PA, consenso per i privati.

Tra gli errori più comuni, senza dubbio derivanti da un adeguamento fai-da-te, v’è l’individuazione del Titolare del trattamento: Titolare non è il Sindaco, bensì il Comune stesso, il Sindaco è solo uno degli esercenti la funzione di titolare, assieme ai Responsabili di servizio.

I dirigenti interni e le posizioni organizzative sono invece inquadrabili sia come esercenti la funzioni di titolare che soggetti autorizzati al trattamento.

Per l’adeguamento al GDPR non è necessaria l’approvazione di regolamento specifico in materia approvato dal Consiglio, ma l’organizzazione interna delle funzioni dovrà essere fatta per mezzo di delibera della Giunta.

La legge poi prescrive quali e con quale modalità devono essere pubblicati atti e provvedimenti, e soprattutto, per quanto tempo.

Il Data Protection Officer

L’aspetto più disatteso di tutta la disciplina è sicuramente la nomina del Data Protection Officer, il DPO, che gli Enti locali, finora, non ha adottato o adottato in maniera molto superficiale nominando personale interno, privo della dovuta formazione e indipendenza.

Non è semplice, né raccomandabile, specie per i Comuni di piccole e medie dimensioni nominare un D.P.O. interno, in quanto tale figura, è bene ricordarlo, deve possedere caratteristiche variegate: deve essere esperto in diritto, in informatica, essere un soggetto indipendente, collocato in staff e non in conflitto d’interesse.

photo of person wearing gray analog watch tapping keyboard of laptop
Photo by rawpixel.com on Pexels.com

La giusta direzione percorsa dagli enti virtuosi è la nomina di una figura esterna.

Tuttavia anche il reclutamento esterno non è scevro da criticità: in molti casi la scelta del personale è avvenuta secondo procedure poco trasparenti e/o per clientelismo politico e quasi sempre in violazione delle procedure previste dall’art. 26, comma 3, della Legge 23/12/1999 n. 488 e dell’art. 1 del D.L. 6 luglio 2012 n. 95, convertito con modificazioni in legge 7 agosto 2012 n. 135, che prevede la nullità dei contratti stipulati dalle pubbliche amministrazioni in violazione degli obblighi di approvvigionamento del servizio se non effettuato attraverso gli strumenti di acquisto, messi a disposizione dalle centrali di committenza.
Sotto il profilo delle sanzioni amministrative pecuniarie proprio le amministrazioni che hanno reclutato in violazione di legge i DPO potrebbero ricevere la visita della Guardia di Finanza – nucleo Privacy.

Eventuali inadempienze accertate, produrrebbero la violazione dell’art. 82 del Regolamento 2016/679, il quale prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento (o dal Responsabile del trattamento).

Tale norma, da leggersi in combinato disposto con l’art. 2050 c.c., obbliga chi ha cagionato il danno, nello svolgimento di un’attività pericolosa, al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.
Secondo i dati la maggior parte delle amministrazioni non avrò modo di fornire tale prova perché ancora non si sono adeguate al GDPR.

Trattamento di dati sulla salute in ambito sanitario ai sensi del Regolamento (UE) 2016/679: I chiarimenti del Garante della Privacy del 7 Marzo 2019

Il provvedimento con cui lo scorso 7 marzo l’Autorità Garante ha fornito chiarimenti sulla disciplina sul trattamento dei dati relativi alla salute in ambito sanitario mira a fornire un’interpretazione uniforme per i cittadini e gli operatori del settore sanitario, e in particolare alla figure di Responsabili della protezione dei dati personali (RPD – o Data Protection Officer, DPO, nella versione Inglese). 

I RPD infatti oltre a fornire consulenza e informare i Titolari del trattamento sulle modalità per garantire la piena conformità alla normativa, hanno il compito di vigilare sull’operato del Titolare del trattamento.

Il provvedimento in commento dovrà essere necessariamente integrato con altri successivi: è auspicabile infatti un provvedimento sulle misure di garanzia applicabili al trattamento dei dati biometrici, genetici e relativi alla salute, che includa sia i profili organizzativi e gestionali, sia le modalità di comunicazione dei dati personali ai pazienti che le prescrizioni di medicinali.

Gli indentificativi biometrici in particolare, sono dati biologicamente unici per ogni individuo e quindi, se compromessi, comportano un elevato rischio di subire un furto di identità, con conseguenze che potrebbero essere “disastrose” per il malcapitato.

L’autorità per la protezione dei dati francese, il CNIL, sul punto ha già stabilito alcune regole su come le aziende possono utilizzare le informazioni biometriche dei propri dipendenti. Le aziende che desiderano utilizzare sistemi di scansione biometrici come riconoscimento facciale o impronte digitali dovranno in primis giustificare al CNIL la necessità di utilizzare questi sistemi rispetto a un altri meno invasivi (ad es. badge o una password) e disporre di misure di sicurezza molto rigorose per proteggere i dati biometrici, oltre alla necessaria e preventiva valutazione dell’impatto della protezione dei dati GDPR.

In attesa di ulteriori interventi da parte del Garante, si analizzano di seguito i chiarimenti già forniti.

LA NORMATIVA

L’articolo 9 del Regolamento Europeo 679/2016 impone un divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui vi rientrano i dati relativi alla salute, a cui segue una serie di deroghe le quali rendono invece il trattamento lecito.

Il trattamento di questa tipologia di dati può avvenire qualora vi sia il consenso esplicito da parte dell’interessato al trattamento, o quando il trattamento è necessario per:

  1. Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (sono tali quelli meglio specificati all’art. 2 sexies Codice Privacy)
  2. Motivi di interesse pubblico nel settore della sanità pubblica (ad es. gravi minacce per la salute a carattere transfrontaliero o garantire elevati parametri di sicurezza dell’assistenza sanitaria)
  3. Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (c.d. “finalità di cura”).

L’ultimo punto merita maggiore attenzione: innanzitutto il Garante chiarisce che tali trattamenti sono quelli effettuati da o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale; per tale trattamento non è più richiesto il Consenso del paziente, come avveniva in passato, purché i trattamenti siano NECESSARI alla prestazione sanitaria richiesta dal paziente, indipendentemente dal fatto che il medico operi in qualità di libero professionista presso uno studio medico o che in una struttura sanitaria, pubblica o privata.

Il Garante inoltre chiarisce che i trattamenti “necessari” alle “finalità di cura” sono quelli da considerarsi essenziali al raggiungimento di una o più finalità determinate ed connesse alla cura della salute.

Altre tipologie di trattamento, che siano invece solo in senso lato necessarie alla cura, dovranno avere una distinta base giuridica, che sia il Consenso o altro presupposto di liceità.

Sono invece soggetti all’esplicito consenso i trattamenti di dati:

– effettuati da APP mediche, quando i dati sono trattati per finalità diverse dalla telemedicina o siano condivisi con soggetti diversi da professionisti tenuti al segreto professionale;

– preordinati alla fidelizzazione della clientela e quindi per prestazioni accessorie a quelle farmaceutiche-sanitarie (ad es. i programmi di accumulo punti da parte di farmacie);

– eseguiti da persone giuridiche private per finalità promozionali e commerciali (si pensi ai programmi di screening);

-effettuati da professionisti per finalità commerciali elettorali;

– trattamenti effettuati attraverso il Fascicolo sanitario elettronico.

L’INFORMATIVA

Circa l’informativa ex artt. 13 e 14 G.D.P.R. da sottoporre all’attenzione dei pazienti l’Autorità Garante suggerisce l’opzione dell’informativa c.d. “stratificata”.

Ciò significa che i Titolari del trattamento operanti in abito sanitario che effettuano più trattamenti dovranno fornire in un primo momento le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitare e successivamente ed eventualmente, informative relative a particolari attività di trattamento (ad es. finalità di ricerca),  ai soli pazienti effettivamente interessati a tali servizi.

Tale modus operandi è senza dubbio più coerente con il principio di accountability del Titolare del trattamento e più garantistico nei confronti dell’interessato, in quanto focalizzerebbe l’attenzione su informazioni rilevanti al singolo trattamento, in un’ottica di maggiore consapevolezza dei dati personali.

DESIGNAZIONE DEL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI 

I trattamenti di dati sulla salute effettuati da un’azienda sanitaria appartenente al Sistema Sanitario Nazionale richiedono la nomina della figura del Responsabile della protezione dei dati personali, sia perchè il trattamento è considerato “su larga scala”, sia in virtù della natura di “organismo pubblico” del Titolare. Analoghe osservazioni possono farsi per gli ospedali privati, le case di cura e le R.S.A (residenza sanitaria assistenziale), qualora il trattamento sia da considerarsi su larga scala.

Il Garante chiarisce invece che non rientrano nella definizione di trattamento su larga scala quelli effettuati da liberi professionisti che operano a titolo individuale, farmacie, parafarmacie, aziende ortopediche e sanitarie, e quindi, tali soggetti non sono obbligati alla nomina di un RPD, anche se  tale nomina, non è vietata (semmai sempre raccomandata).

Il 19 Maggio 2019 scadrà il periodo transitorio previsto dall’art. 22 comma 13 del d.lgs. 101/2018, e quindi termineranno gli otto mesi relativi alla fase di “prima applicazione delle disposizioni sanzionatorie”. Tale imminente scadenza per la quale le aziende e i soggetti pubblici dovrebbero essere ben preparati.

Avv. Sara Brogioni