Gennaio Febbraio 2018 - Privacy e "cura" dei dati in sanità

Il Responsabile della protezione dei dati personali

Pubblicato il 13 gennaio 2018Scarica PDF

Filippo Lorè

Dott. Filippo Lorè ¹

¹ Università degli Studi di Bari

Corrispondenza a:
Dott. Filippo Lorè
Docente a contratto
Università degli Studi di Bari
e-mail: Filippo.lore@yahoo.it

L’introduzione all’interno del Nuovo Regolamento Europeo sulla protezione dei dati personali della figura del Responsabile della protezione dei dati (RPD) ha suscitato un acceso dibattito dottrinale tra i maggiori esperti in ambito privacy che attendono altresì ulteriori e specifici interventi legislativi da parte del Governo affinché il passaggio dal Codice in materia di protezione dei dati personali alla normativa europea non risulti “stridente”, d’impatto, ma naturale.

Il 22 maggio 2014, nel parere rilasciato su uno schema di decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico, il Garante, al paragrafo 5 (“Responsabile della protezione dei dati personali”) ha fortemente auspicato, per ogni titolare coinvolto nell’applicazione del decreto sopra citato, la nomina del RPD che possa interfacciarsi con l’Autorità al fine di prevenire violazione di dati personali (1).

Il Responsabile della protezione dei dati personali non costituisce un’assoluta novità nel panorama europeo, lì dove alcuni Paesi hanno introdotto, pur in assenza di uno specifico obbligo normativo, la figura del Data Protection Officer per quelle attività di trattamento che presentano rischi per i diritti e le libertà delle persone fisiche.

In Italia, con l’introduzione del Codice in materia di protezione dei dati personali, si è inteso affiancare al Titolare il Responsabile (interno o esterno) del trattamento (artt.4 e 29 del Codice), una professionalità che si discosta da quella prevista dagli artt. 4 e. 28 del Regolamento (2016/679) che possiede caratteristiche simili a quelle del Responsabile della protezione dei dati personali.

Nello specifico, il “nostro” Codice prevede all’art.4, comma 1, lett. g, che il Responsabile sia “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”, mentre la nozione che il Regolamento prevede, considera il Responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare”. Tale definizione sembrerebbe coincidere con quella di incaricato rintracciabile nella direttiva 95/46/CE.

La stessa direttiva ha permesso ad ogni singolo Stato di recepire, secondo il proprio ordinamento, i dettami in materia di protezione dei dati personali con la conseguente frammentazione del quadro normativo europeo, poi ricomposto, almeno nelle intenzioni comuni, dal Nuovo Regolamento Europeo.

L’esperienza italiana all’interno della normativa privacy ha portato all’individuazione del Responsabile del trattamento, quale figura interna o esterna al contesto aziendale pubblico e privato.

Si pensi, ad esempio, ad una Azienda Ospedaliera: i responsabili (interni) del trattamento sono individuati, per atto scritto, tra dirigenti o funzionari che ricoprono un ruolo di responsabilità, mentre i responsabili esterni del trattamento sono da individuare, per iscritto, tra ditte fornitrici di attrezzature, di materiale sanitario, di prodotti informatici e consulenti professionali.

Il titolare del trattamento, ovvero il Direttore Generale, pro tempore nel caso di specie all’interno dell’atto di nomina, elenca in maniera dettagliata le istruzioni circa le modalità di trattamento del Responsabile (interno e/o esterno), riservandosi la possibilità di operare profonde procedure di audit, finalizzate alla verifica delle attività in piena adesione alla normativa in materia di protezione dei dati personali. Il responsabile del trattamento, però, conserva piccoli margini di autonomia, potendo, in alcuni casi, sostituirsi al titolare nella gestione delle policy privacy.

Lo stesso Codice, a tal riguardo, all’art. 29, comma 2, recita che: “il responsabile, se designato, è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza” (2).

Sembrerebbe, quindi, che la figura del Responsabile della protezione dei dati personali prevista dagli artt. 37-39 del Regolamento, presenti aspetti similari al modello organizzativo italiano che prevede la figura del Responsabile del trattamento rispondente ai requisiti di autonomia, esperienza nell’adozione delle policy privacy, conoscenza della normativa in materia di protezione dei dati personali e di auditing. Il RPD, oggi, è chiamato ad un ruolo strategico, la figura professionale che è il manifesto di un cambiamento radicale nel modo di intendere la protezione dei dati in un contesto nel quale la parole d’ordine è responsabilizzazione (“accountability”) della pubblica amministrazione.

L’introduzione obbligatoria di questa figura all’interno della normativa europea e, di conseguenza, negli ordinamenti nazionali, ha creato numerose aspettative per gli addetti ai lavori i quali hanno ricevuto spunti di riflessione in merito, dopo la pubblicazione delle “Linee guida sui responsabili della protezione dei dati” a cura del Gruppo di Lavoro art.29 (nella versione emendata del 5 aprile 2017) e dopo aver constatato l’importanza che l’Autorità Garante per la protezione dei dati personali ha attribuito all’individuazione del Responsabile per la protezione dei dati personali, ponendolo in cima alla lista degli adempimenti necessari per un corretto percorso di adeguamento al Nuovo Regolamento Europeo.

Tale atto di indirizzo, suscettibile di future integrazioni, offre delle raccomandazioni alle quali Aziende, Enti pubblici ed esperti in materia privacy dovranno attenersi.

L’art. 37, primo paragrafo del Regolamento Europeo, prevede la nomina di un RPD in tre casi specifici:

se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Con riferimento all’ “organismo pubblico” o all’ “autorità pubblica”, il Gruppo di Lavoro Articolo 29 non fornisce alcuna definizione in merito, rinviando sia alle definizioni fornite dalla Direttiva 2003/98/CE del Parlamento europeo e del Consiglio, sia alle disposizioni del diritto nazionale. Analogamente, quindi, nel contesto normativo italiano appare pacifico estendere l’obbligatorietà dell’individuazione del Responsabile per la protezione dei dati personali a tutti gli Enti protagonisti nella pubblica amministrazione (Comuni, Regioni, Autorità di controllo, ecc).

La discussione diventa interessante per gli organismi privati incaricati di funzioni pubbliche: si estende anche per questi ultimi l’obbligo di nomina del Responsabile per la protezione dei dati personali?

Il pubblico servizio, in via generale, è assoggettato alla medesima disciplina inerente la Funzione pubblica, ma allo stesso tempo manca dei poteri deliberativi, autoritativi e certificativi di quest’ultima.

Si pensi, ad esempio, alla Sogei S.p.a, società che opera nel settore ICT, controllata al 100% dal Ministero dell’economia e delle finanze del quale è una società in house e specializzata nell’erogazione di servizi informatici per la pubblica amministrazione.

Il Garante per la protezione dei dati personali non si è ancora espresso in merito alla nomina del RPD da soggetti privati che esercitano funzioni pubbliche (come ad esempio concessionari di servizi pubblici). Alla luce di queste preliminari considerazioni, per tali soggetti la nomina del Responsabile per la protezione dei dati personali sembrerebbe, comunque, fortemente raccomandata. La stessa interpretazione è rafforzata chiaramente dalle Linee guida dal Gruppo di Lavoro art. 29 che espressamente riportano che: “in termini di buone prassi, gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri nominino un RPD”.

Con riferimento, invece, alle attività principali (“core activities”), il legislatore europeo suggerisce qualche spunto degno di nota al Considerando 97 nella parte in cui recita che le attività principali del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria” e all’art. 37, paragrafo, lett. b) e c) del RGPD che contiene un riferimento alle attività principali del trattamento, intese come attività utile a perseguire gli obiettivi istituzionali del titolare o del responsabile del trattamento.

Riconducendo i concetti espressi al caso pratico, si pensi ad una struttura sanitaria.

La missione di un ospedale, e quindi la sua attività principale, è rappresentata dall’assistenza sanitaria da erogare ai cittadini attraverso il trattamento dei dati idonei a rivelare lo stato di salute dei pazienti.

Il personale medico, infermieristico e gli altri operatori sanitari, nell’espletamento delle proprie funzioni istituzionali, dovranno accedere e consultare la cartella clinica e/o al dossier sanitario elettronico del paziente (e quindi accesso a dati “super sensibili”) al fine di rendere allo stesso una diagnosi completa e che consenta, nel contempo, il miglioramento del processo di cura dello stesso. Alla luce di questa considerazione e della particolare delicatezza delle attività di trattamento, l’individuazione del Responsabile per la protezione dei dati è obbligatoria.

L’Autorità Garante per la protezione dei dati personali, non a caso, già nel giugno dell’anno 2015 con la pubblicazione delle Linee guida in materia di dossier sanitario elettronico, ha previsto l’introduzione del Data Protection Officer (o RPD) all’interno delle strutture sanitarie, dando particolare attenzione alla figura professionale che è chiamata a vigilare sulla corretta attuazione dei principi normativi dettati dal legislatore europeo.

Con riferimento alle operazione su “larga scala”, il legislatore europeo prevede all’art. 37, paragrafo 1, lett. b) e c)che tra i casi di designazione obbligatoria del RPD rientri anche il trattamento dei dati personali su larga scala. Il Considerando 91, inoltre, contempla: “il trattamento di una notevole quantità di dati a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

Gli strumenti normativi vigenti non consentono di definire nitidamente cosa si intenda per “larga scala”, potendo la dottrina propendere per una interpretazione estensiva, prevedono che si possa trattare di una grande quantità di dati oggetti di trattamento o di un numero rilevante di interessati, i quali rischiano di vedere violati i propri diritti.

In un’ottica di semplificazione, il Gruppo Articolo 29, ha inteso fornire una serie di suggerimenti utili a definire in maniera chiara il concetto di “larga scala”: le Aziende sanitarie, ad esempio, dovranno tener conto del numero dei soggetti interessati dal trattamento, la quantità di dati e le tipologie di trattamento, il ciclo di durata e “la portata geografica” del trattamento stesso.

Alla luce di queste considerazioni preliminari, le strutture sanitarie sono interessate dal trattamento su larga scala, perché operando su un campione di interessati considerevole, risulta necessario, per i professionisti sanitari, consultare dati sullo stato di salute dei cittadini per tutto il processo di cura del paziente.

Evidentemente, come da indicazione espressa del Gruppo Articolo 29, non sarà obbligatoria la nomina di un Responsabile della protezione dei dati personali per un professionista sanitario che conduce una piccola attività ambulatoriale e presuppone un numero limitato di pazienti.

Proseguendo nell’analisi dei requisiti, il Regolamento sulla protezione dei dati personali non fornisce una definizione di “monitoraggio regolare e sistematico”. Un unico richiamo, seppur generale, è rinvenibile nel Considerando numero 24, il quale recita che: “…per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevedere i comportamenti e le posizioni personali”. Secondo quanto stabilito nelle Linee guida citate, si considera “regolare” un monitoraggio che avviene in maniera continua o a intervalli periodici e costanti nel tempo, mentre risulta essere “sistematico” quando l’attività di trattamento avviene in una logica di sistema, in maniera predeterminata ed organizzata anche in un progetto complessivo di raccolta dati.

Alla luce di quanto sin qui espresso, un esempio di monitoraggio sistematico e regolare potrebbe essere rappresentato dal trattamento dei dati personali effettuato dalle farmacie con la promozione “tessere fedeltà” finalizzata alla fidelizzazione dei clienti attraverso la costituzione di una banca dati al cui interno sono contenuti dati sensibili desumibili dai loro acquisti (3).

La designazione del Responsabile della protezione dei dati personali per le pubbliche amministrazione e per le aziende private rappresenta la prima operazione necessaria per una compliance alla nuova normativa europea in materia di protezione dei dati personali (4).

Bibliografia/Sitografia