Maggio Giugno 2020

L’analisi del rischio del trattamento dei dati relativi alla salute in ambito sanitario

Abstract

Il presente contributo muove i passi dalle disposizioni del Regolamento generale UE 2016/679 che impone al titolare del trattamento, secondo il principio dell’accountability, l’adozione di misure tecniche ed organizzative utili a dimostrare (e comprovare) la piena adesione alla disciplina europea in materia di protezione dei dati personali. L’atteggiamento formale alla tematica, quindi, deve lasciare il passo a quello sostanziale che si concretizza nell’approccio basato sulla valutazione e sugli impatti del rischio (risk based approach e impact based). L’implementazione delle misure di sicurezza legate al trattamento dati personali, anche in ambito sanitario, devono tendere necessariamente alla tutela della riservatezza, della disponibilità e dell’integrità degli stessi allo scopo di garantire agli interessati il libero godimento delle libertà fondamentali.

Il contributo traccia il percorso normativo vigente che il trattamento dei dati personali deve seguire, perché nel loro utilizzo non si verifichi l’errore, la violazione o, addirittura, il danno. Questo richiede una attenta valutazione da parte del titolare, che deve seguire delle tappe obbligatorie per rilevare il livello di criticità emergenti per le persone fisiche coinvolte.

La ricerca di un equilibrio tra tutela della salute (pubblica) del cittadino e la tutela della riservatezza dei suoi dati personali passa attraverso l’analisi e l’osservanza della normativa privacy.

Parole chiave: dati relativi allo stato di salute, privacy, analisi del rischio, valutazione dell’impatto, sicurezza delle informazioni

L’art. 5 del Regolamento UE 2016/679 afferma, tra gli altri, il principio di integrità e riservatezza: i dati devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danneggiamento, anche accidentali, degli stessi. L’articolo 5, inoltre, al paragrafo 2, stabilisce che il titolare del trattamento (Data Controller) è competente per quanto espresso al paragrafo 1 e deve essere in grado di comprovarlo. Si tratta della c.d. accountability («responsabilizzazione») del titolare, una delle principali novità del Regolamento UE 2016/679, che attribuisce direttamente al titolare il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. Nell’ambito del trattamento dei dati personali per finalità di cura del paziente, si segnala il Provvedimento del Garante per la protezione dei dati personali del 7 marzo 2019 [1], mediante il quale l’Autorità ha inteso chiarire alcuni aspetti riguardanti proprio i trattamenti dei dati relativi alla salute nel settore sanitario. Lo scopo dichiarato consiste nel dare un’interpretazione uniforme della normativa, e nel diradare, così, i dubbi interpretativi derivanti dal mutato assetto normativo. Invero, la normativa europea ha stabilito il generale divieto di trattamento per i dati attinenti alla salute di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria che rivelino informazioni relative al suo stato di salute [2]. Questo tipo di trattamento è consentito solo in presenza di taluni requisiti specifici individuati dall’art. 9, par. 2, del Regolamento UE 2016/679. Con il citato Provvedimento del 7 marzo 2019, il Garante è intervenuto sul fondamento giuridico del trattamento dei dati personali riguardanti la salute degli interessati.

 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.