Trattamento dei dati sanitari e Coronavirus. Le linee guida dell’European Data Protection Board

Plico di riviste

Nel corso della 23esima assemblea plenaria tenutasi lo scorso 21 aprile, l’European Data Protection Board (EDPB) ha adottato due documenti contenenti rispettivamente le linee guida in materia di trattamento dei dati relativi alla salute per finalità di ricerca (Guidelines 03/2020) e le linee guida sull’uso dei dati di localizzazione e altri strumenti di tracciamento (Guidelines 04/2020, per la cui analisi si rinvia all’articolo consultabile a questo link) nel contesto dell’emergenza legata al COVID-19.

L’intervento dell’EDPB si è reso necessario al fine di valutare, regolare e contenere gli effetti che le misure adottate nella lotta contro il coronavirus hanno sui dati personali di tutti i cittadini dell’Unione Europea inevitabilmente coinvolti nell’emergenza sanitaria.

Le Guidelines 04/2020 si occupano segnatamente del trattamento dei dati sanitari e delle connesse tematiche giuridiche che assumono rilevanza nell’ambito della ricerca scientifica impegnata nello studio di soluzioni efficaci all’emergenza sanitaria in corso. Esse, in particolare, mirano a favorire l’attuazione di adeguate misure per la salvaguardia dei diritti degli interessati nonché il contemperamento di tali diritti con le rivendicate esigenze di sicurezza e salute pubblica anche nell’ottica di produrre risultati di ricerca il più rapidamente possibile.

L’EDPB parte dal presupposto che la disciplina del trattamento dei dati sanitari nel contesto dell’emergenza pandemica trova compiutamente fonte nel GDPR, che fornisce indicazioni con riguardo sia all’ambito di applicabilità delle norme, sia ai limiti del trattamento, sia – infine – alla derogabilità dei principi della protezione dei dati.

Preliminarmente, richiama la definizione di “dati relativi alla salute” prevista dall’art. 4, par. 15, del GDPR, secondo la quale essi consistono in “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. A tale definizione deve darsi ampia interpretazione, così come a quella di trattamento per finalità scientifica che deve ricomprendere, ai sensi del Considerando n. 159, lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale e quella applicata, la ricerca finanziata da privati e gli studi svolti nell’interesse pubblico nel settore della sanità pubblica.

Alla luce di quanto sopra, quando si fa riferimento al trattamento di dati relativi alla salute per finalità scientifica, devono tenersi in considerazione sia le ricerche svolte su dati personali raccolti direttamente e appositamente per scopi di studio scientifico (c.d. “uso primario”), sia quelle svolte su dati raccolti originariamente per scopi diversi dallo studio scientifico, ma successivamente destinati a quest’ultimo (c.d. “uso secondario”).

Tale distinzione assume particolare rilevanza con riferimento agli obblighi informativi del titolare del trattamento verso gli interessati. In particolare, egli è tenuto ai sensi dell’art. 13 del GDPR a informare l’interessato che i suoi dati sanitari vengono raccolti e trattati per finalità scientifiche; qualora, però, i dati sanitari vengano trattati per finalità scientifiche secondo l’uso secondario, il titolare è tenuto a fornire all’interessato l’informativa ai sensi dell’art. 14 del GDPR, specificando che sui suoi dati sanitari verrà effettuato un trattamento per finalità diverse da quelle per le quali erano stati raccolti. Tale informazione deve essere comunicata all’interessato entro un termine ragionevole, al più tardi entro un mese e possibilmente prima che il progetto di ricerca abbia avuto inizio.

In ogni caso è comunque sempre necessario che il trattamento dei dati sanitari sia svolto lecitamente in forza di una base giuridica. Tale può essere sicuramente il consenso, il quale tuttavia, ai sensi dell’art. 7, par. 3, del GDPR, può essere revocato in ogni momento dall’interessato, con la conseguenza che i ricercatori scientifici potrebbero dover essere costretti a interrompere immediatamente il trattamento e a perdere alcuni importanti dati di ricerca. Diversamente, non è necessario alcun consenso quando la liceità del trattamento per finalità scientifiche trova fondamento nelle basi giuridiche di cui all’art. 6, par. 1, lett. e) e lett. f) del GDPR, ovverosia quando i dati sensibili (quali sono quelli sanitari) sono trattati per l’esecuzione di un compito di interesse pubblico o per il legittimo interesse del titolare e quando, ai sensi dell’art. 9, par. 2, lett. i) e j), il loro trattamento sia dovuto a motivi di interesse pubblico per la protezione da gravi minacce alla salute pubblica a carattere transfrontaliero o a motivi di ricerca scientifica. In ogni caso il trattamento deve avvenire nel rispetto dei diritti e delle libertà degli interessati nonché della proporzionalità con la finalità perseguita.

Il GDPR prevede inoltre che i legislatori nazionali possano determinare con maggiore precisione ulteriori requisiti e misure di trattamento, sicché il titolare del trattamento deve tenere in considerazione anche gli ulteriori limiti eventualmente posti all’interno di ogni singolo Stato membro.

Ad ogni modo, le Linee Guida ribadiscono che il trattamento dei dati sanitari deve comunque rispettare i principi generali per la protezione dei dati personali, quali:

a) il principio di trasparenza e di informazione, in forza del quale il titolare del trattamento è tenuto a informare l’interessato dell’esistenza di un trattamento dei suoi dati sanitari per finalità scientifiche;

b) il principio della minimizzazione del trattamento dei dati personali, inclusa la pseudonimizzazione che, alla luce della sensibilità dei dati sanitari, deve essere sempre ricercata e adottata quando possibile;

c) il principio della limitazione della conservazione dei dati sanitari, tale per cui questi devono essere conservati per il periodo strettamente necessario al perseguimento delle finalità scientifiche e, con specifico riferimento alla situazione attuale, fino a quando sarà necessario per affrontare l’emergenza da coronavirus;

d) il principio di integrità e di confidenzialità dei dati personali sanitari, salvaguardato anche a mezzo di misure tecniche e organizzative che ne impediscano la dispersione.

Il titolare del trattamento deve pertanto agire nel massimo rispetto dei principi regolatori del trattamento dei dati personali e, qualora a fronte dell’emergenza sanitaria si renda necessario limitare i diritti degli interessati, deve curarsi che ciò avvenga nella misura strettamente indispensabile.

A tal fine, l’EDPB raccomanda fortemente che i titolari del trattamento di dati sanitari provvedano alla nomina di un responsabile della protezione dei dati personali e ad iscrivere accuratamente tutte le operazioni nel registro dei trattamenti. Evidenzia altresì l’opportunità per il titolare del trattamento di valutare il rischio connesso al trattamento dei dati relativi alla salute attraverso una DPIA.

Da ultimo, le Linee Guida analizzano il tema del trasferimento dei dati al di fuori dell’Area Economica Europea o ad organizzazioni internazionali. Tale eventualità è di stretta attualità nel contesto della pandemia da COVID-19, dove gli studi scientifici richiedono una circolazione dei dati a livello globale.

Il trasferimento dei dati a paesi terzi è sicuramente consentito in presenza della valutazione di adeguatezza da parte della Commissione Europea ex art. 45 del GDPR nonché quando il destinatario abbia fornito adeguate garanzie.

Senonché, può accadere che la circolazione dei dati coinvolga anche destinatari che non forniscano tali garanzie o paesi terzi per i quali non è stata effettuata la valutazione di adeguatezza. In tal caso occorre verificare se sussiste una delle eccezioni previste dall’art. 49 del GDPR. Secondo l’EDPB il trasferimento dei dati in funzione del contrasto all’emergenza sanitaria rientra tra una di queste e, in particolare, nel trasferimento necessario per importanti motivi di interesse pubblico. Tale eccezione, tuttavia, deve essere letta in modo restrittivo e non deve, pertanto, essere estesa oltre a quanto strettamente necessario per affrontare la pandemia.

In sintesi, le Guidelines 03/2020 dettano le indicazioni per il trattamento dei dati personali relativi alla salute per finalità di ricerca scientifica in conformità alle disposizioni del GDPR che risultano di per sé sufficienti a disciplinarlo anche nel contesto della pandemia da COVID-19. Il legislatore nazionale di ogni Stato membro è ad ogni modo autorizzato dal GDPR a predisporre misure più dettagliate per consentire il trattamento dei dati sanitari per fini di ricerca scientifica. Pertanto, le condizioni e la portata di tale trattamento variano a seconda delle leggi vigenti in ogni Stato membro, ma sempre nel rispetto dei principi ispiratori della normativa comunitaria.

Ciò che non può essere in alcun modo trascurato è la necessità che il trattamento dei dati sanitari per finalità di ricerca scientifica trovi fondamento in una delle basi giuridiche previste dall’art. 6 del GDPR e che rispetti i principi fondamentali a tutela dei diritti degli interessati, essendo le deroghe e le limitazioni ammesse solo nella misura strettamente necessaria.

Scritto da
Alessandro Castioni