Il Garante per la protezione dei dati personali ha, quindi, svolto un’istruttoria finalizzata a conoscere l’attività di tale gruppo di lavoro e dei trattamenti effettuati anche dalle Regioni coinvolte, chiedendo a tal fine informazioni al Ministero, per valutare il rispetto della normativa in materia di privacy.
Il Ministero ha quindi comunicato al Garante di essersi limitato a recepire i dati statistici, relativi alla salute degli assistiti delle varie Regioni coinvolte, che erano già stati “aggregati” dalle Regioni medesime.
In considerazione di ciò, il Garante ha avviato un’istruttoria anche nei confronti delle regioni coinvolte, fra le quali la Lombardia, chiedendo loro informazioni in merito ai trattamenti effettuati nell’ambito delle attività promosse dal Ministero per realizzare il suddetto prototipo del modello predittivo.
>> Leggi il Provvedimento n. 65 del 24 febbraio 2022 del Garante per la protezione dei dati personali
La difesa della Regione Lombardia
La Regione Lombardia ha fatto presente al Garante che non ha trattato alcun dato identificativo diretto e che tutti i dati trattati sono stati pseudonomizzati con meccanismi di cifratura, limitandosi ad inviare al Ministero dei dati aggregati secondo i criteri di aggregazione che erano stati individuati dallo stesso Ministero. In tal modo, non è stato possibile neanche per il Ministero identificare, neanche in maniera indiretta, le persone cui si riferivano i suddetti dati.
In secondo luogo, la Regione ha evidenziato come sia stato proprio il Ministero a fornire alle Regioni coinvolte nel gruppo di lavoro un “tool”, cioè un modello di analisi, per fornire i dati in maniera aggregata e anonima, per garantire l’impossibilità di identificare i soggetti coinvolti. Inoltre, dopo l’invio dei dati, la Regione ha prontamente cancellato i report e lo stesso tool fornito dal Ministero, per impedire che si potesse replicare il trattamento di dati in questione.
Infine, la Regione ha evidenziato che il suddetto tool ha permesso solo una semplice aggregazione dei dati relativi alla salute, senza che vi sia stato l’uso di strumenti di intelligenza artificiale o algoritmi che abbiano preso una decisione riguardante i soggetti interessati, con la conseguenza che non vi è stato alcun profilo di discriminazione algoritmica.
Leggi anche:
- Il trattamento dei dati sanitari. Intervista all’Avv. Pier Paolo Muià
- La tutela della privacy e dei diritti in ambito sanitario
Il parere del Garante
Il Garante ha ritenuto che, nella fattispecie in esame, vi fossero degli elementi idonei a configurare la violazione della normativa privacy da parte della Regione Lombardia, con riferimento al trattamento dei dati comunicati, anche se anonimi e in forma aggregata, al Ministero della Salute, in quanto effettuato in assenza di una idonea base giuridica e senza la preventiva effettuazione di una valutazione di impatto.
>> Leggi il Provvedimento n. 65 del 24 febbraio 2022 del Garante per la protezione dei dati personali
Con riferimento alla mancanza di una base giuridica del trattamento, la Regione ha rilevato come non abbia utilizzato i dati trattati per finalità relative al proprio perimetro di titolarità, ma si è semplicemente limitata a dare seguito all’iniziativa del Ministero della Salute ed assecondare le sue richieste di dati per la realizzazione del suddetto modello predittivo.
In ragione di ciò, secondo la Regione, quest’ultima non può essere considerata titolare del trattamento rispetto alle suddette operazioni ed inoltre non può essere ritenuta obbligata a compiere la preliminare valutazione di impatto del trattamento prevista dal GDPR (dovendo, invece, spettare tale obbligo all’effettivo titolare del trattamento e cioè il Ministero della Salute).
Preliminarmente il Garante ha ricordato che, nel nostro ordinamento, vige un principio generale di divieto di trattamento dei dati relativi alla salute, che viene meno soltanto in presenza di una delle eccezioni previste dal GDPR, fra le quali i motivi di interesse pubblico sulla base del diritto europeo o nazionale, e che sussiste un obbligo di compiere una valutazione di impatto preliminare nel caso in cui il titolare del trattamento voglia usare delle nuove tecnologie che possano presentare un rischio per le libertà e i diritti degli interessati.
Ciò premesso, il Garante ha ritenuto che la Regione Lombardia nel rispondere alle richieste di dati da parte del Ministero abbia comunque effettuato una elaborazione e una successiva aggregazione dei dati relativi alla salute dei propri cittadini che detiene nei propri sistemi informatici sanitari in qualità di titolare del trattamento.
Il fatto che il Ministero le abbia chiesto di effettuare le suddette operazioni di trattamento di cui la stessa Regione è titolare, con l’indicazione delle modalità con cui effettuare detto trattamento, non fa perdere alla Regione stessa la qualifica di titolare del trattamento e non trasferisce detta qualifica in capo al Ministero.
Pertanto, spetta al titolare del trattamento – che legittimamente detiene i dati di cui si tratta – valutare la legittimità della richiesta di trattamento proveniente dal soggetto terzo (nel caso di specie il Ministero) e quindi se sussiste una idonea base giuridica che giustifica le operazioni di trattamento che sono state richieste.
In considerazione di ciò, la Regione Lombardia avrebbe dovuto valutare che la richiesta di trattamento dei dati di cui la stessa aveva la disponibilità, proveniente dal Ministero, risultava carente di idonea base giuridica per il fatto che il trattamento richiesto era al di fuori delle finalità perseguibili dalla Regione stessa e delle funzioni alla stessa attribuite.
Infatti, secondo il Garante, la semplice richiesta proveniente dal Ministero di fornire dati relativi alla salute in possesso della Regione non può considerarsi di per sé una base giuridica idonea.
Come ulteriore conseguenza del permanere la qualifica di titolare del trattamento in capo alla Regione, deriva che quest’ultima avrebbe dovuto compiere la valutazione di impatto prevista dall’art. 35 del GPDR.
In conclusione, il Garante, tenuto conto comunque della buona fede della Regione e del fatto che i dati sono stati comunicati in forma anonimizzata e aggregata e cancellati subito dopo l’invio, si è limitato ad ammonire la Regione per la propria condotta illecita.
Ebook consigliato:
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
9.90 € 8.42 €
Scrivi un commento
Accedi per poter inserire un commento