Dati sanitari: il rischio sotteso al trattamento e la valutazione di impatto sulla protezione dei dati

A quasi tre anni dalla piena applicazione del GDPR, il Comitato europeo per la protezione dei dati ha sottolineato come il trattamento dei dati sanitari necessiti comunque del preventivo scrutinio del titolare del trattamento mediante la conduzione di una valutazione d’impatto, sia esso o meno effettuato su larga scala.
Infatti, alla luce della delicata natura dei dati trattati, tale valutazione dovrà tenere conto dei criteri adottati dallo stesso Comitato e dalle Autorità nazionali, ma anche del rischio, attuale e concreto, di nocumento per i diritti e le libertà degli interessati.


La recente pubblicazione del “Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research” da parte del Comitato ha riportato l’attenzione sull’imprescindibile responsabilizzazione del titolare del trattamento nel considerare se e in che misura sia necessario effettuare una valutazione d’impatto sul trattamento dei dati sanitari.

Sul punto, ad integrazione di quanto previsto dall’art. 35.3 b) GDPR circa il trattamento di particolari categorie di dati personali su larga scala, già nella Opinion WP248 il Gruppo di Lavoro Articolo 29 (oggi sostituito dal Comitato) prevedeva che il trattamento di tali dati, tra cui quelli sanitari, costituisse invero uno dei criteri di valutazione circa l’obbligatorietà di effettuare un DPIA.
Si riteneva infatti che il trattamento dei dati sanitari dovesse essere correlato ad almeno uno degli altri criteri proposti come, ad esempio, l’attività di scoring, il monitoraggio sistematico o il trattamento su larga scala.
Alla ricorrenza di almeno due dei criteri proposti è maggiormente probabile che il trattamento comporti un rischio elevato per i diritti e le libertà degli individui e, pertanto, sarà necessario procedere alla valutazione d’impatto sul trattamento dei dati personali.

Il Comitato, nel richiamato documento, continua sottolineando come il trattamento dei dati sanitari, al pari di tutti gli altri del resto, necessiti in ogni caso del preventivo scrutinio del caso concreto: il titolare del trattamento non dovrebbe concentrarsi esclusivamente sul dettato normativo di cui all’articolo 35 GDPR o sulle elencazioni fornite dalle Autorità di controllo, ma dovrebbe considerarne la ratio nel suo complesso.
In generale, il criterio più importante da valutare è, infatti, se e in che misura vi sia una probabilità di rischio elevato per i diritti e le libertà degli interessati, a fronte del trattamento dei loro dati personali.

Occorre pertanto valutare il rischio concreto sotteso al trattamento, considerandone tutte le variabili, come ad esempio la natura, l’oggetto, il contesto e le finalità che si intendono perseguire, oltre che lo stato dell’arte delle misure tecniche e organizzative approntate dal titolare.

Il Garante per la protezione dei dati personali ha tuttavia adottato, sul punto, un approccio più stringente. Infatti, nell’Allegato 1 al provvedimento n. 467 dell’11 ottobre 2018, con particolare riguardo alle tipologie di trattamenti da sottoporre a valutazione d’impatto, l’Autorità ritiene necessario procedere alla valutazione d’impatto ogniqualvolta vi sia un trattamento non occasionale riferito a soggetti vulnerabili (come i pazienti, dipendenti, disabili e minori – n. 6), nonché qualora siano in ogni caso oggetto di trattamento particolari categorie di dati personali (ove interconnesse con altri dati personali raccolti per finalità diverse – n. 10).

È del tutto evidente come, secondo l’interpretazione del Garante, il trattamento di dati sanitari relativo a pazienti inneschi di regola l’obbligo di effettuare una preventiva valutazione d’impatto ex art. 35 GDPR.

A tal riguardo, si segnala, in conclusione, che con il recente provvedimento n. 278 del 17 dicembre 2020 il Garante ha sanzionato un’Azienda Unità Sanitaria Locale per una serie di condotte poste in violazione della normativa applicabile, tra cui la mancata conduzione di una valutazione d’impatto ritenuta obbligatoria dal Garante.
Sul punto la stessa Autorità ha sottolineato come “alcune evidenti carenze relative all’adozione di adeguate misure di sicurezza avrebbero potuto essere evitate se il rischio del trattamento fosse stato adeguatamente valutato”.

La valutazione d’impatto, pertanto, non solo avrebbe permesso di valutare il rischio inerente al trattamento, ma avrebbe altresì svolto il ruolo di volano per l’identificazione delle adeguate misure tecniche e organizzative necessarie per la sua mitigazione, oltre che per il temperamento della responsabilità del titolare.

Condividi

Condividi

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche