Questo articolo è stato pubblicato su AboutPharma Online il 15 giugno 2017.
La considerevole quantità di dati raccolti e trattati attraverso le app e la continuità del processo di comunicazione mobile che include provider, produttori, venditori e utenti pongono molte e rilevanti problematiche in materia di protezione dei dati personali, che risultano ancora più critiche laddove le app riguardino il settore della salute e i dati trattati siano di natura sensibile.
Con particolare riferimento alle app mediche, il grado di rispetto della normativa sulla protezione dei dati personali è stato oggetto di un’indagine avviata a maggio 2014 (c.d. “Privacy Sweep 2014”) dalle autorità nazionali per la protezione dei dati personali che fanno parte del Global Privacy Enforcement Network (GPEN). I risultati di tale indagine hanno rivelato che metà delle app mediche oggetto di verifica, scelte a campione tra le più scaricate in Italia, non fornivano un’informativa agli utenti prima dell’installazione, oppure presentavano informazioni generiche o richiedevano dati eccessivi rispetto a quanto necessario per la fruizione del servizio offerto. Analoghi risultati insoddisfacenti sono stati riscontrati a livello internazionale. Anche il Privacy Sweep 2016 sull’“Internet delle cose” ha rivelato che, su oltre trecento dispositivi elettronici connessi a internet – come orologi e braccialetti intelligenti, contatori elettronici e termostati di ultima generazione – più del 60% non garantiscono una sufficiente tutela della riservatezza dei dati personali.
Negli ultimi anni autorità nazionali ed europee hanno fornito raccomandazioni e linee guida per la configurazione delle app e l’implementazione di misure di gestione dei dati rispettose della normativa in materia. Tra queste, il documento più recente è rappresentato dal Code of conduct on privacy for mobile health applications (il “Codice”), predisposto dalla Commissione europea con l’obiettivo di fornire indicazioni per gli sviluppatori di app mediche su come garantire la protezione dei dati personali, con particolare riguardo ai dati relativi alla salute.
La bozza di Codice è stata sottoposta all’esame dell’Article 29 Data Protection Working Party (WP29) che, il 10 aprile 2017, ha comunicato le proprie osservazioni, nel complesso piuttosto negative. Su un piano generale, infatti, il WP29 ha rilevato, da un lato, che il Codice non apporta un significativo valore aggiunto alla normativa esistente in quanto non vi sarebbero sufficienti spiegazioni ed esempi specifici dell’applicazione della normativa al settore della m-Health e, dall’altro, che il Codice non è totalmente allineamento alle previsioni del nuovo regolamento europeo sulla privacy.
Inoltre, il WP29 formula alcune critiche a specifici aspetti del Codice che dovranno debitamente essere riconsiderati dalla Commissione, tra cui:
- definizione di dati relativi alla salute: la bozza di Codice chiarisce che dati sensibili relativi alla salute non sono solo quelli che forniscono in via immediata un’informazione di carattere sanitario ma anche dati di natura diversa che, in combinazione con altre informazioni o in considerazione delle modalità e/o finalità concrete del trattamento, possono “diventare” dati sensibili (ad esempio una app che registra i passi o i battiti cardiaci non tratta dati relativi alla salute; se però tali dati sono utilizzati per misurare o predire un rischio per la salute o per consentire un follow-up medico, allora la app tratterà dati sensibili relativi alla salute). Tuttavia il Codice richiede che via sia un “clear and close link” o che i dati siano “inherently related” alla descrizione dello stato di salute di una persona, con l’effetto di limitare la tutela prevista per i c.d. “lifestyle data” che non sarebbero “inherently related” alla salute di una persona;
- poca chiarezza sul ruolo dello sviluppatore del software come titolare o responsabile del trattamento e sulla relativa informazione agli utenti;
- mancata considerazione di altre normative che hanno un impatto sulla protezione dei dati personali, come quella sui cookies;
- carenza di informazioni su come gli interessati possano esercitare i propri diritti, con particolare riguardo alle conseguenze della revoca del consenso, etc.
Su un punto, inoltre, il WP29 è particolarmente rigoroso: il trattamento dei dati da parte di terzi per fini di marketing. Infatti, in base alla bozza di Codice:
(i) è consentita l’effettuazione di pubblicità nell’ambito di una app da parte dello stesso sviluppatore o di un terzo, a condizione che sia garantito: (a) l’opt-out dell’utente, se chi effettua la pubblicità non riceve alcun dato personale dell’utente e la pubblicità è strettamente connessa alla funzionalità e al contesto della app stessa; oppure (b) l’opt-in dell’utente, da acquisire in modo separato e specifico, se le condizioni precedenti non sono verificate; e (ii) è consentito rendere l’accettazione della pubblicità una condizione per l’utilizzo dell’app (ad esempio facendo sì che l’esercizio dell’opt-out comporti la rimozione dell’app).
Secondo il WP29, la previsione del Codice che consente di subordinare l’utilizzo dell’app da parte dell’utente all’accettazione della pubblicità non è conforme al regolamento sulla privacy in quanto mina il requisito della “libertà” del consenso. Inoltre, il WP29 chiarisce che non è sufficiente informare l’interessato se i suoi dati vengono comunicati e trattati da terzi, ma occorre acquisirne il consenso espresso (opt-in).
Le molte osservazioni ricevute dal WP29 richiederanno un significativo lavoro di ripensamento e approfondimento da parte della Commissione che ritarderà l’adozione definitiva del Codice.
Tuttavia, le indicazioni fornite in questa occasione dall’WP29 rappresentano, già da oggi, un utile ausilio per gli operatori del settore al fine di progettare health apps conformi alla normativa sulla protezione dei dati personali. Risulta infatti strategico oltre che espressamente richiesto dal regolamento europeo sulla Privacy considerare le esigenze di protezione dei dati personali degli utenti già al momento della progettazione dell’applicazione, realizzando app in cui siano predeterminate le modalità e i limiti del trattamento dei dati personali ed incluse misure di protezione e minimizzazione del trattamento richieste dal regolamento stesso. Il design del software, inoltre, può essere un aspetto decisivo per determinare se ed in quale misura una app sia soggetta alla normativa privacy (c.d. “privacy by design”).