La privacy in sanità

Parliamo del tema della cessione dei dati personali ai fini della tutela della salute: quali sono quelli che effettivamente devono essere ceduti per poter permettere il funzionamento di servizi come app, cartella clinica elettronica, ecc.?
Il Regolamento Ue 2016/679, noto comunemente come GDPR (ovvero il regolamento europeo che disciplina la tutela della privacy dei cittadini dell’Unione) si basa su alcuni semplici e tutto sommato intuitivi principi. Il primo da considerare, per rispondere a questa domanda, è il principio della minimizzazione dei dati. Che significa semplicemente che i dati raccolti da un Titolare del trattamento devono essere quelli minimi ed indispensabili a consentire di svolgere, in modo sicuro, il trattamento in questione. Perché i minimi? Perché ovviamente in caso di data breach, ossia di perdita di sicurezza su quei dati (ad esempio per un accesso da parte di persone non autorizzate), il danno per le libertà e i diritti dell’interessato sia il più marginale possibile.
 

I dati forniti quindi dall’interessato devono essere i minimi necessari per consentire al titolare di operare il trattamento per le finalità dichiarate.

Possiamo fare un esempio?
Certo, pensiamo alla call to action che ci chiede di iscriversi ad una newsletter. Per farlo ci viene chiesto di inserire alcuni dati in un form. In questo caso, per il Titolare (chi invia la newsletter), la finalità della raccolta dei dati personali degli interessati è “l’invio di un documento periodico alla mail dell’interessato”.
Qual è, quindi, il nostro dato personale di cui ha bisogno per svolgere il trattamento? Ovviamente il nostro indirizzo e-mail, senza il quale è tecnicamente impossibile per lui inviarci ciò che abbiamo richiesto di avere periodicamente. Nel form, quindi, non può mancare il campo da compilare con il nostro indirizzo e-mail.
Qualsiasi altra informazione ci venga richiesta di compilare nel form NON è coerente con le finalità dichiarate. Il nostro indirizzo fisico? Quanti siamo in famiglia? Se ci sono dei minorenni? Qualsiasi altra informazione non soddisfa il concetto della minimizzazione del dato e quindi o è richiesto per altre finalità non dichiarate oppure è inutile e dannoso perché, in caso di data breach, più nostre informazioni personali saranno a disposizione della persona malintenzionata.

Questo è, dunque, un chiaro esempio di cessione dei dati personali in maniera funzionale al servizio che desideriamo ottenere. Ma più in generale come può avvenire la cessione dei dati personali?
Nel vecchio codice Privacy, in vigenza prima del GDPR, la cessione dei dati per le attività di trattamento da parte del Titolare avveniva sempre a fronte della azione definita di “consenso” da parte dell’interessato.
Il GDPR ha portato una semplificazione importante a questa pratica che, oramai, era diventata meramente “burocratica”. La nuova norma, infatti, prevede (elencandoli negli articoli 6 e 9 del Regolamento) dei casi in cui non è necessario fornire il consenso. Ad esempio, se acquistiamo da un concessionario un’automobile, è “naturale” che il concessionario richieda tutta una serie di dati personali (ovviamente sempre minimizzati secondo il concetto prima esposto) per poter dare attuazione al contratto. Quindi perché dovrebbe chiederci un consenso? Il GDPR definisce tutta una serie di casistiche in cui il trattamento dei dati personali degli interessati può avvenire senza che ci sia un consenso esplicito da parte dell’interessato. Però il GDPR richiede in ogni caso, a prescindere dal fatto che ci sia un consenso, che il Titolare fornisca sempre la adeguata informativa che scrive come tratterà i dati personali che gli sono stati forniti.
Questo è valido in qualsiasi caso ed è bene che i cittadini ne siamo consapevoli: ricevere l’informativa su come vengono trattati i propri dati è un diritto importantissimo.

Come fa il cittadino a verificare, in maniera semplice, che i propri dati siano ceduti in maniera sicura e consapevole? Come riconoscere, di fatto, una situazione potenzialmente critica?
L’informativa è proprio lo strumento attraverso la quale noi, in qualità di interessati, dobbiamo essere messi in grado di capire come verranno trattati i nostri dati. Ed è proprio dalla sua lettura che, come una cartina al tornasole, possiamo farci un’idea della attenzione che il Titolare pone al trattamento delle informazioni che abbiamo ceduto.
Citando direttamente il GDPR, la forma con cui è scritta l’informativa deve essere “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.”

Parliamo quindi di un documento che debba essere comprensibile per chiunque...
Esatto, il regolamento europeo dice basta a documenti formali, burocratici, non intelligibili. L’informativa deve contenere:
- i dati di contatto del Titolare;
- l’indicazione precisa e semplice di quali sono le finalità del trattamento;
- la base giuridica del trattamento, ossia in base a quale principio il Titolare ha il diritto di trattare i nostri dati e può essere il consenso o una delle possibili opzioni viste nella domanda precedente;
- l’indicazione di chi e come tratterà i nostri dati, compresa l’eventuale comunicazione se i nostri dati saranno ospitati in data center al di fuori dello spazio della UE;
- a chi i dati potranno o dovranno essere comunicati;
- il periodo temporale (anche questo minimizzato e coerente con le finalità) per il quale i dati saranno trattati prima di essere distrutti.
 

Di fatto, quindi, ogni volta che ci troviamo in una situazione in cui cediamo i nostri dati personali dobbiamo ricevere un’informativa che contenga queste informazioni e che sia comprensibile. Ma se questo non dovesse avvenire, a chi può rivolgersi un cittadino che teme che sia stata violata la sua privacy in ambito digitale?

La risposta deve e può essere trovata ancora una volta nell’Informativa. Uno degli elementi che deve essere sempre presente sono i riferimenti di contatto del Titolare, che rappresenta in prima istanza, la persona o l’ente a cui rivolgersi per tutelare i propri diritti, che per l’appunto devono essere indicati esplicitamente nell’Informativa.
A fronte di una mancata risposta da parte del Titolare in tempi rapidi oppure nel caso in cui si ricevano risposte incomplete o comunque insoddisfacenti, possiamo rivolgerci direttamente all’Autorità Garante Nazionale. Infine, ci tengo a sottolineare come, a fronte di una possibile violazione del nostro dato personale, il GDPR impone all’articolo 34 al Titolare di comunicare tale evenienza a tutti gli interessati i cui diritti e libertà sono messi in pericolo dalla violazione.
Insomma, in definitiva, il GDPR protegge in modo efficace i nostri diritti, imponendo limiti e precauzioni al Titolare, responsabilizzandolo e seguendo un approccio per nulla burocratico ma fortemente orientato alla “praticità” delle azioni. Va da sé che però, al di là degli obblighi di legge, siamo noi interessati a dover essere ogni giorno di pungolo nei confronti dei Titolari per il rispetto del Regolamento e, in ultima analisi, dei nostri diritti.