Risk-based analysis in the handling of sensitive data in the health sector

Abstract

This contribution delves into the EU Regulation 2016/679 that defines the accountability of data controllers, with regard to the processing of personal data, and imposes the adoption of technological and organizational measures demonstrating a full commitment to European data protection laws. A risk-based analysis and an impact-based approach are recommended for all personal data, and especially those concerning health, in order to safeguard the rights and freedoms of the data subjects.

The article also describes the processes that should be put in place to avoid errors and violations in the handling of personal data, which can result in physical, material or non-material damage to natural persons. The controller, in fact, needs to evaluate the situation carefully and follow a series of compulsory steps to assess any potential weaknesses in the system.

A balancing act between public health concerns and privacy protection is necessary; this can be obtained through a detailed analysis of the norms and their careful implementation.

 

Keywords: data concerning health, privacy, risk-based analysis, impact-based approach, data protection

Sorry, this entry is only available in Italian.

L’art. 5 del Regolamento UE 2016/679 afferma, tra gli altri, il principio di integrità e riservatezza: i dati devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danneggiamento, anche accidentali, degli stessi. L’articolo 5, inoltre, al paragrafo 2, stabilisce che il titolare del trattamento (Data Controller) è competente per quanto espresso al paragrafo 1 e deve essere in grado di comprovarlo. Si tratta della c.d. accountability («responsabilizzazione») del titolare, una delle principali novità del Regolamento UE 2016/679, che attribuisce direttamente al titolare il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. Nell’ambito del trattamento dei dati personali per finalità di cura del paziente, si segnala il Provvedimento del Garante per la protezione dei dati personali del 7 marzo 2019 [1], mediante il quale l’Autorità ha inteso chiarire alcuni aspetti riguardanti proprio i trattamenti dei dati relativi alla salute nel settore sanitario. Lo scopo dichiarato consiste nel dare un’interpretazione uniforme della normativa, e nel diradare, così, i dubbi interpretativi derivanti dal mutato assetto normativo. Invero, la normativa europea ha stabilito il generale divieto di trattamento per i dati attinenti alla salute di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria che rivelino informazioni relative al suo stato di salute [2]. Questo tipo di trattamento è consentito solo in presenza di taluni requisiti specifici individuati dall’art. 9, par. 2, del Regolamento UE 2016/679. Con il citato Provvedimento del 7 marzo 2019, il Garante è intervenuto sul fondamento giuridico del trattamento dei dati personali riguardanti la salute degli interessati.

 

La visualizzazione dell’intero documento è riservata a Soci attivi, devi essere registrato e aver eseguito la Login con utente e password.