{"id":1850,"date":"2020-04-24T16:16:00","date_gmt":"2020-04-24T14:16:00","guid":{"rendered":"https:\/\/dev.pgmtechnology.it\/?p=1850"},"modified":"2023-01-05T15:13:10","modified_gmt":"2023-01-05T14:13:10","slug":"trattamento-dei-dati-sanitari-e-coronavirus-le-linee-guida-delleuropean-data-protection-board","status":"publish","type":"post","link":"https:\/\/www.leexe.it\/en\/trattamento-dei-dati-sanitari-e-coronavirus-le-linee-guida-delleuropean-data-protection-board\/","title":{"rendered":"Trattamento dei dati sanitari e Coronavirus. Le linee guida dell\u2019European Data Protection Board"},"content":{"rendered":"\n

Nel corso della 23esima assemblea plenaria tenutasi lo scorso 21 aprile, l’European Data Protection Board (EDPB<\/strong>) ha adottato due documenti contenenti rispettivamente le linee guida in materia di trattamento dei dati relativi alla salute per finalit\u00e0 di ricerca (Guidelines 03\/2020<\/em>) e le linee guida sull’uso dei dati di localizzazione e altri strumenti di tracciamento (Guidelines 04\/2020<\/em>, per la cui analisi si rinvia all’articolo consultabile a questo link<\/a>) nel contesto dell’emergenza legata al COVID-19.<\/p>\n\n\n\n

L’intervento dell’EDPB si \u00e8 reso necessario al fine di valutare, regolare e contenere gli effetti che le misure adottate nella lotta contro il coronavirus hanno sui dati personali di tutti i cittadini dell’Unione Europea inevitabilmente coinvolti nell’emergenza sanitaria.<\/p>\n\n\n\n

Le Guidelines 04\/2020<\/em> si occupano segnatamente del trattamento dei dati sanitari e delle connesse tematiche giuridiche che assumono rilevanza nell’ambito della ricerca scientifica impegnata nello studio di soluzioni efficaci all’emergenza sanitaria in corso. Esse, in particolare, mirano a favorire l’attuazione di adeguate misure per la salvaguardia dei diritti degli interessati nonch\u00e9 il contemperamento di tali diritti con le rivendicate esigenze di sicurezza e salute pubblica anche nell’ottica di produrre risultati di ricerca il pi\u00f9 rapidamente possibile.<\/p>\n\n\n\n

L’EDPB parte dal presupposto che la disciplina del trattamento dei dati sanitari nel contesto dell’emergenza pandemica trova compiutamente fonte nel GDPR, che fornisce indicazioni con riguardo sia all’ambito di applicabilit\u00e0 delle norme, sia ai limiti del trattamento, sia \u2013 infine \u2013 alla derogabilit\u00e0 dei principi della protezione dei dati.<\/p>\n\n\n\n

Preliminarmente, richiama la definizione di \u201cdati relativi alla salute\u201d prevista dall’art. 4, par. 15, del GDPR, secondo la quale essi consistono in \u201cdati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute\u201d<\/em>. A tale definizione deve darsi ampia interpretazione, cos\u00ec come a quella di trattamento per finalit\u00e0 scientifica che deve ricomprendere, ai sensi del Considerando n. 159, lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale e quella applicata, la ricerca finanziata da privati e gli studi svolti nell’interesse pubblico nel settore della sanit\u00e0 pubblica.<\/p>\n\n\n\n

Alla luce di quanto sopra, quando si fa riferimento al trattamento di dati relativi alla salute per finalit\u00e0 scientifica, devono tenersi in considerazione sia le ricerche svolte su dati personali raccolti direttamente e appositamente per scopi di studio scientifico (c.d. \u201cuso primario\u201d), sia quelle svolte su dati raccolti originariamente per scopi diversi dallo studio scientifico, ma successivamente destinati a quest’ultimo (c.d. \u201cuso secondario\u201d).<\/p>\n\n\n\n

Tale distinzione assume particolare rilevanza con riferimento agli obblighi informativi del titolare del trattamento verso gli interessati. In particolare, egli \u00e8 tenuto ai sensi dell’art. 13 del GDPR a informare l’interessato che i suoi dati sanitari vengono raccolti e trattati per finalit\u00e0 scientifiche; qualora, per\u00f2, i dati sanitari vengano trattati per finalit\u00e0 scientifiche secondo l’uso secondario, il titolare \u00e8 tenuto a fornire all’interessato l’informativa ai sensi dell’art. 14 del GDPR, specificando che sui suoi dati sanitari verr\u00e0 effettuato un trattamento per finalit\u00e0 diverse da quelle per le quali erano stati raccolti. Tale informazione deve essere comunicata all’interessato entro un termine ragionevole, al pi\u00f9 tardi entro un mese e possibilmente prima che il progetto di ricerca abbia avuto inizio.<\/p>\n\n\n\n

In ogni caso \u00e8 comunque sempre necessario che il trattamento dei dati sanitari sia svolto lecitamente in forza di una base giuridica. Tale pu\u00f2 essere sicuramente il consenso, il quale tuttavia, ai sensi dell’art. 7, par. 3, del GDPR, pu\u00f2 essere revocato in ogni momento dall’interessato, con la conseguenza che i ricercatori scientifici potrebbero dover essere costretti a interrompere immediatamente il trattamento e a perdere alcuni importanti dati di ricerca. Diversamente, non \u00e8 necessario alcun consenso quando la liceit\u00e0 del trattamento per finalit\u00e0 scientifiche trova fondamento nelle basi giuridiche di cui all’art. 6, par. 1, lett. e) e lett. f) del GDPR, ovverosia quando i dati sensibili (quali sono quelli sanitari) sono trattati per l’esecuzione di un compito di interesse pubblico o per il legittimo interesse del titolare e quando, ai sensi dell’art. 9, par. 2, lett. i) e j), il loro trattamento sia dovuto a motivi di interesse pubblico per la protezione da gravi minacce alla salute pubblica a carattere transfrontaliero o a motivi di ricerca scientifica. In ogni caso il trattamento deve avvenire nel rispetto dei diritti e delle libert\u00e0 degli interessati nonch\u00e9 della proporzionalit\u00e0 con la finalit\u00e0 perseguita.<\/p>\n\n\n\n

Il GDPR prevede inoltre che i legislatori nazionali possano determinare con maggiore precisione ulteriori requisiti e misure di trattamento, sicch\u00e9 il titolare del trattamento deve tenere in considerazione anche gli ulteriori limiti eventualmente posti all’interno di ogni singolo Stato membro.<\/p>\n\n\n\n

Ad ogni modo, le Linee Guida ribadiscono che il trattamento dei dati sanitari deve comunque rispettare i principi generali per la protezione dei dati personali, quali:<\/p>\n\n\n\n

a) il principio di trasparenza e di informazione, in forza del quale il titolare del trattamento \u00e8 tenuto a informare l’interessato dell’esistenza di un trattamento dei suoi dati sanitari per finalit\u00e0 scientifiche;<\/p>\n\n\n\n

b) il principio della minimizzazione del trattamento dei dati personali, inclusa la pseudonimizzazione che, alla luce della sensibilit\u00e0 dei dati sanitari, deve essere sempre ricercata e adottata quando possibile;<\/p>\n\n\n\n

c) il principio della limitazione della conservazione dei dati sanitari, tale per cui questi devono essere conservati per il periodo strettamente necessario al perseguimento delle finalit\u00e0 scientifiche e, con specifico riferimento alla situazione attuale, fino a quando sar\u00e0 necessario per affrontare l’emergenza da coronavirus;<\/p>\n\n\n\n

d) il principio di integrit\u00e0 e di confidenzialit\u00e0 dei dati personali sanitari, salvaguardato anche a mezzo di misure tecniche e organizzative che ne impediscano la dispersione.<\/p>\n\n\n\n

Il titolare del trattamento deve pertanto agire nel massimo rispetto dei principi regolatori del trattamento dei dati personali e, qualora a fronte dell’emergenza sanitaria si renda necessario limitare i diritti degli interessati, deve curarsi che ci\u00f2 avvenga nella misura strettamente indispensabile.<\/p>\n\n\n\n

A tal fine, l’EDPB raccomanda fortemente che i titolari del trattamento di dati sanitari provvedano alla nomina di un responsabile della protezione dei dati personali e ad iscrivere accuratamente tutte le operazioni nel registro dei trattamenti. Evidenzia altres\u00ec l’opportunit\u00e0 per il titolare del trattamento di valutare il rischio connesso al trattamento dei dati relativi alla salute attraverso una DPIA.<\/p>\n\n\n\n

Da ultimo, le Linee Guida analizzano il tema del trasferimento dei dati al di fuori dell’Area Economica Europea o ad organizzazioni internazionali. Tale eventualit\u00e0 \u00e8 di stretta attualit\u00e0 nel contesto della pandemia da COVID-19, dove gli studi scientifici richiedono una circolazione dei dati a livello globale.<\/p>\n\n\n\n

Il trasferimento dei dati a paesi terzi \u00e8 sicuramente consentito in presenza della valutazione di adeguatezza da parte della Commissione Europea ex art. 45 del GDPR nonch\u00e9 quando il destinatario abbia fornito adeguate garanzie.<\/p>\n\n\n\n

Senonch\u00e9, pu\u00f2 accadere che la circolazione dei dati coinvolga anche destinatari che non forniscano tali garanzie o paesi terzi per i quali non \u00e8 stata effettuata la valutazione di adeguatezza. In tal caso occorre verificare se sussiste una delle eccezioni previste dall’art. 49 del GDPR. Secondo l’EDPB il trasferimento dei dati in funzione del contrasto all’emergenza sanitaria rientra tra una di queste e, in particolare, nel trasferimento necessario per importanti motivi di interesse pubblico. Tale eccezione, tuttavia, deve essere letta in modo restrittivo e non deve, pertanto, essere estesa oltre a quanto strettamente necessario per affrontare la pandemia.<\/p>\n\n\n\n

In sintesi, le Guidelines 03\/2020<\/em> dettano le indicazioni per il trattamento dei dati personali relativi alla salute per finalit\u00e0 di ricerca scientifica in conformit\u00e0 alle disposizioni del GDPR che risultano di per s\u00e9 sufficienti a disciplinarlo anche nel contesto della pandemia da COVID-19. Il legislatore nazionale di ogni Stato membro \u00e8 ad ogni modo autorizzato dal GDPR a predisporre misure pi\u00f9 dettagliate per consentire il trattamento dei dati sanitari per fini di ricerca scientifica. Pertanto, le condizioni e la portata di tale trattamento variano a seconda delle leggi vigenti in ogni Stato membro, ma sempre nel rispetto dei principi ispiratori della normativa comunitaria.<\/p>\n\n\n\n

Ci\u00f2 che non pu\u00f2 essere in alcun modo trascurato \u00e8 la necessit\u00e0 che il trattamento dei dati sanitari per finalit\u00e0 di ricerca scientifica trovi fondamento in una delle basi giuridiche previste dall’art. 6 del GDPR e che rispetti i principi fondamentali a tutela dei diritti degli interessati, essendo le deroghe e le limitazioni ammesse solo nella misura strettamente necessaria.<\/p>\n","protected":false},"excerpt":{"rendered":"

Nel corso della 23esima assemblea plenaria tenutasi lo scorso 21 aprile, l’European Data Protection Board (EDPB) ha adottato due documenti contenenti rispettivamente le linee guida in materia di trattamento dei dati relativi alla salute per finalit\u00e0 di ricerca (Guidelines 03\/2020) e le linee guida sull’uso dei dati di localizzazione e altri strumenti di tracciamento (Guidelines […]<\/p>\n","protected":false},"author":9,"featured_media":3846,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","iawp_total_views":11,"footnotes":""},"categories":[],"tags":[],"class_list":["post-1850","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1850","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/comments?post=1850"}],"version-history":[{"count":0,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/1850\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media\/3846"}],"wp:attachment":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media?parent=1850"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/categories?post=1850"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/tags?post=1850"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}