Il trattamento dei dati sanitari. Intervista all’Avv. Pier Paolo Muià

Redazione 23/12/21
La Redazione di Diritto.it ha intervistato l’Avv. Pier Paolo Muià sul delicato tema del trattamento dei dati sanitari che sono dati sensibili e dati che sono stati sempre più digitalizzati negli ultimi anni.
In particolare, abbiamo chiesto a Pier Paolo Muià di chiarirci il concetto di trattamento dei dati sanitari, i casi in cui si può parlare di violazione di questi dati; è stato poi affrontato il tema della privacy e della digitalizzazione dei dati e infine si è parlato di green pass e trattamento dei dati personali. Per approfondire questo tema, abbiamo organizzato il corso di formazione Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)

Ecco l’INTERVISTA:

Riportiamo di seguito l’intervista.

  1. Che cosa si intende per trattamento dei dati sanitari?
  2. Quali sono i casi in cui si realizza una violazione del trattamento dei dati sanitari?
  3. Ci sono delle misure di sicurezza che devono essere adottate? I nostri dati sanitari sono più a rischio essendo digitali?
  4. Green pass e trattamento dati sanitari

Che cosa si intende per trattamento dei dati sanitari?

“Allora il trattamento del dato sanitario riguarda qualsiasi operazione che ha ad oggetto un’informazione personale. La risposta è molto semplice e molto breve. Il dato personale quindi è un’informazione che riguardano la persona fisica che sia identificata o identificabile e il trattamento quindi e qualsiasi operazione o un insieme di operazioni che riguardano queste informazioni, che riguardano questi dati personali, quest’insieme o un singolo dato. E quindi sono molto varie le operazioni ricomprese all’interno della definizione trattamento. Possiamo identificare la racconta del dato, la registrazione del dato, l’organizzazione del dato, la strutturazione, la conservazione, la modifica. Ovviamente per un dato sanitario è quello che ha ad oggetto la salute e le informazioni relative alla salute dell’interessato idoneo a far comprendere a chi lo vede gli elementi relativi allo stato di salute dell’interessato. Questa è quello che potremmo definire un trattamento, quindi qualsiasi operazione che riguarda questa tipologia di informazioni”.

Quali sono i casi in cui si realizza una violazione del trattamento dei dati sanitari?

“Allora per capire quando c’è una violazione del trattamento del dato bisogna capire anche quali sono i principi che disciplinano il trattamento che sono sempre indicati dal GDPR, dal regolamento europeo, perché il regolamento ci dice che i dati devono essere trattati in maniera lecita in maniera corretta e in maniera trasparente quindi sicuramente il trattamento deve essere lecito corretto e trasparente deve essere fatto secondo una finalità, per raggiungere una certa finalità”.
I dati devono essere esatti e aggiornati; significa che non si possono tenere o trattare per tutte le operazioni che abbiamo detto prima su dati che non sono corretti o che non sono aggiornati perché sono cambiati nel frattempo.
La conservazione poi deve essere limitata per un certo periodo di tempo e infine il dato deve essere integro e riservato. Integro appunto significa garantire una sicurezza del dato cioè che soggetti terzi non lo possano modificare o prenderlo, diciamo acquisirlo, quindi questi sono i principi generali.
Qualsiasi trattamento che non rispetta questi principi è una violazione.
Chiaramente l’integrità e la riservatezza sono molto importanti perché il cosiddetto data breach cioè la violazione dell’integrità e riservatezza, quindi l’accesso al luogo informatico dove i dati sono raccolti determina, può determinare, una violazione del principio di riservatezza, perchè i soggetti terzi che vengono a conoscenza o nell’integrità perché i soggetti terzi possono anche manomettere il dato”.

Ci sono delle misure di sicurezza che devono essere adottate?
I nostri dati sanitari sono più a rischio essendo digitali?

“Sicuramente la digitalizzazione dei dati porta dei vantaggi importanti e interessanti però porta con sé anche dei rischi rilevanti a livello di protezione dei dati quindi sicuramente la digitalizzazione dei dati sanitari comporta dei rischi notevoli.
L’adozione di misure di sicurezza è fondamentale per garantire il rispetto di quei principi del trattamento di cui abbiamo parlato prima. L’individuazione poi delle misure di sicurezza da applica in concreto è diciamo rimessa al titolare del trattamento al responsabile trattato al soggetto che o ai soggetti che hanno una relazione con questi dati nel senso che compiono le varie operazioni di trattamento; a loro è rimessa l’individuazione di quelle misure che in base alla tipologia di dato da trattate, in base alle modalità di trattamento e alle tipologie di trattamento sono idonee sono ritenute idonee per garantire la sicurezza e l’integrità e il rispetto di quei principi che abbiamo visto.
Quindi sicuramente il dato sanitario, vista l’importanza e la delicatezza di questo dato che prima era chiamato sensibile oggi il GDPR il regolamento europeo lo chiama come categoria particolare di dati, è molto importante al punto tale che il GDPR ci dice che ne è vietato il trattamento, salvo i casi in cui è autorizzato e sono espressamente elencati.
Quindi vista la delicatezza di questo dato direi che le misure sono, devono essere abbastanza elevate sia dal punto di vista fisico che dal punto di vista digitale.
Da un punto di vista fisico potrei evidenziare l’opportunità di utilizzare gli strumenti di conservazione di questi dati siano essi cartacei siano essi invece digitali per esempio all’interno di luoghi chiusi che non permettono l’accesso al luogo fisico indiscriminato ad alcuni soggetti o a dipendenti se si parla di una struttura sanitaria un luogo che ha allo stesso tempo delle garanzie di prevenzione degli incendi, allagamenti cioè tutte quelle situazioni di carattere naturale che possono determinare con una distruzione del database del server dove sono contenuti i dati.

Da un punto di vista poi digitale garantire la sicurezza di questi dati attraverso l’uso di firewall attraverso l’uso di antivirus o attraverso l’uso di programmi che permettono anche lì un accesso al database selezionato in modo tale che non qualunque soggetto possa accedere ai dati ma soltanto chi ha il diritto, chi è stato incaricato per la consultazione. Quindi l’applicazione di password conosciute soltanto dall’interessato che vengono modificate con una certa frequenza, password  abbastanza complesse e poi oltre a questo anche garantire una profondità diversa degli accessi in modo tale che non qualunque dipendente che possa accedere al software aziendale possa accedere a qualunque dato ma ogni categoria, ogni tipologia, diciamo così, di dipendente accede a varie profondità a seconda di qual è il suo mestiere, il suo compito, il suo ruolo all’interno dell’azienda e quindi quali dati debba trattare. Questi sono un minimo di misure di sicurezza che si possono consigliare per cercare di garantire il rispetto di quei principi che abbiamo visto prima nel trattamento dei dati sanitari.

Green pass e trattamento dati sanitari

Domanda:
come sappiamo con le nuove regole si può accedere ad esempio ad un ristorante al chiuso solamente se si è muniti del super green pass che implica l’essere stati vaccinati o guariti dal covid. Da questo punto di vista, una volta che si accede a questi luoghi riservati al super green pass, di fatto chi verifica implicitamente desume che il possessore o è guarito dal covid o si è vaccinato, secondo lei questo può essere considerato un trattamento di dati sanitari?

Risposta:
“Certamente. È sicuramente un trattamento di dati sanitari perché il soggetto che ha in mano la verifica riesce a individuare chiaramente che siamo dentro un super green pass e quindi sicuramente è a conoscenza del fatto che quella persona o ha fatto il vaccino o ha contratto il virus.

Chiaramente è un trattamento però che come tutti i trattamenti di dati sanitari è vietato ma ci sono delle condizioni in presenza delle quali diventa lecito una di queste per esempio è il consenso altre sono per esempio il trattamento per finalità di medicina preventiva oppure per motivi di interesse pubblico rilevante in base al diritto dell’unione oppure per motivi di interesse pubblico nel settore della sanità sono delle ipotesi in cui è ammesso il trattamento.
Sicuramente la previsione normativa che ha istituito il green pass in linea con le altre disposizioni normative anche europee che riguardino un po’ la gestione del covid direi che legittimano questo tipo di trattamento.
Attenzione però! Riguarda soltanto il trattamento che si sostanzia nella visione del green pass. Su questo già il Garante non sul super green pass ma sul controllo del green pass ordinario si era già pronunciato nelle scorse settimane sul tema dicendo che il verificatore deve soltanto verificare ma non può memorizzare il risultato della verifica perché memorizzare il risultato della verifica vorrebbe dire trattare il dato, conservare un dato, del quale poi si può evincere o comunque si può cercare di ricavare la situazione di salute per i motivi che ci siamo detti prima. Quindi sicuramente tutto quello che riguarda questo tipo di controlli è un trattamento di dati sanitari”.

Per maggiori approfondimenti in tema di trattamento dei dati sanitari consigliamo il volume “Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali”, edito da Maggioli Editore.

Corso di formazione per professionisti


Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)
Il corso si propone di approfondire le novità introdotte dal nuovo Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS), dandone una lettura critica e pratica: nel primo modulo sono analizzati gli aspetti legati all’uso primario dei dati (inclusi i diritti di accesso e portabilità, e i requisiti stabiliti per le cartelle cliniche elettroniche); nel secondo modulo gli aspetti relativi all’uso secondario e ai fini di ricerca. Saranno approfondite le interazioni con il GDPR e con la normativa in materia di intelligenza artificiale e di dispositivi medici.
Il corso si rivolge ad avvocati e DPO che assistono enti operanti nel settore sanitario, direttori sanitari, professionisti e manager operanti nel settore della sanità pubblica e privata.
>>>Per info ed iscrizioni<<<

Redazione

Scrivi un commento

Accedi per poter inserire un commento