Il Garante per la protezione dei dati personali ha approvato il primo codice di condotta (provvedimento n. 7 del 14 gennaio 2021, doc. Web 9535354) sulle modalità di utilizzo dei dati personali relativi alla salute per finalità didattiche e di pubblicazione scientifica, presentato dalla Regione Veneto.
Nonostante il codice di condotta, per espressa previsione, escluda dall’ambito di applicazione i trattamenti di dati personali effettuati per finalità di ricerca scientifica, medica, biomedica ed epidemiologica, alcune previsioni, come quelle relative alle tecniche di anonimizzazione e pseudonimizzazione, potrebbero rappresentare un modello da seguire anche per tali trattamenti.
Il codice di condotta: uno strumento per la corretta applicazione del GDPR
Il Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati, “GDPR”) prevede che gli organismi che rappresentano le categorie di titolari o responsabili del trattamento possono redigere codici di condotta per disciplinare il trattamento dei dati personali e contribuire alla corretta applicazione del GDPR in funzione delle specificità dei vari settori di riferimento. Tali codici devono essere presentati all’autorità di controllo competente, che deve fornire un parere sulla conformità del progetto di codice ai requisiti del GDPR e, in caso positivo, approvarlo.
Inoltre, il Comitato Europeo per la Protezione dei Dati ha pubblicato le Linee Guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio per chiarire le procedure e le regole applicabili nella presentazione, approvazione e pubblicazione dei codici di condotta.
A livello nazionale, il Garante ha approvato i requisiti per l’accreditamento degli organismi di monitoraggio (provvedimento n. 98 del 10 giugno 2020) incaricati di monitorare l’osservanza di un codice di condotta. Il Garante ha poi pubblicato in un’apposita pagina web del proprio sito l’elenco dei codici di condotta approvati, ossia il codice di condotta in materia di informazioni commerciali e il codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti. Pertanto, il Codice di condotta oggetto di approfondimento rappresenta il primo esempio in materia di trattamento di dati sanitari, nello specifico nel settore pubblico.
L’adozione del Codice di condotta
Il 14 luglio 2020 l’Azienda Sanitaria ULSS 9 Scaligera e la Regione Veneto hanno presentato un primo progetto del codice di condotta al Garante, dopo aver consultato sia il Tribunale per i diritti del Malato e dell’Anziano (rappresentativo delle categorie di interessati) sia l’Ordine dei Medici Chirurghi e Odontoiatri (rappresentativo delle categorie dei professionisti sanitari tenuti al segreto professionale).
Il Garante ha dunque formulato alcune osservazioni e intrapreso interlocuzioni informali con i proponenti. Alla luce di tali scambi, i Proponenti hanno presentato una versione aggiornata del progetto il 26 novembre 2020, approvata formalmente dal Garante con il provvedimento del 14 gennaio 2021.
Tale codice di condotta ha lo scopo di contribuire alla corretta applicazione del GDPR nel settore sanitario, regolando in particolare il trattamento dei dati sanitari a fini didattici e di pubblicazione scientifica. I dati sanitari, originariamente raccolti a fini diagnostici, terapeutici e di prevenzione, possono essere trattati per
sviluppare conoscenze e competenze scientifiche e migliorare la qualità dei servizi offerti, a condizione che siano previste misure e garanzie specifiche per i diritti e le libertà degli interessati.
In particolare, il Codice di condotta è concepito per:
- garantire, nel settore della sanità pubblica, l’applicazione efficace, coerente e omogenea del GDPR, grazie ad un insieme di regole pratiche e un corretto bilanciamento degli interessi tra i soggetti coinvolti nel trattamento;
- identificare le garanzie e le modalità di trattamento adeguate; e
- permettere ad altri titolari del trattamento, quali gli organismi appartenenti al Servizio Sanitario Nazionale, di aderire al Codice di condotta e usarlo per dimostrare la conformità alle disposizioni del GDPR.
Le principali previsioni del Codice di condotta
Da un punto di vista pratico, il codice di condotta stabilisce, in primo luogo, che gli operatori sanitari che lavorano all’interno della struttura organizzativa del titolare del trattamento possono utilizzare i dati sanitari per fini didattici e di pubblicazione scientifica solo dopo aver adottato specifiche misure di anonimizzazione o pseudonimizzazione. Mentre in seguito ai processi di anonimizzazione i dati non sono più considerati come dati personali – pertanto, il loro trattamento non è più soggetto alle disposizioni sulla protezione dei dati – in caso di pseudonimizzazione i dati sono ancora considerati dati personali e il loro trattamento deve rispettare quanto previsto dalla normativa sulla protezione dei dati.
L’allegato 1 del Codice di condotta descrive in dettaglio le tecniche di anonimizzazione e pseudonimizzazione applicabili, le quali si basano sul Parere 05/2014 del Gruppo di Lavoro “Articolo 29” sulle tecniche di anonimizzazione. Tali disposizioni possono rappresentare un punto di riferimento significativo per il trattamento dei dati personali nel settore sanitario.
In particolare, l’allegato 1:
- Chiarisce che il parametro di riferimento per l’anonimizzazione è quello della “ragionevole impossibilità” di re-identificare gli interessati.
- Identifica i tre principali rischi di ogni operazione di anonimizzazione (i.e. individuazione degli interessati, correlabilità dei dati e deduzione).
- Individua per ciascuna tecnica le principali criticità applicative.
- Definisce in un’unica tabella riassuntiva l’esposizione ai tre rischi menzionati sopra per ciascuna tecnica. A tal riguardo, nessuna metodologia risulta idonea di per sé a garantire un livello di tutela adeguato, pertanto, caso per caso, il titolare dovrà valutare i limiti intrinseci e le condizioni contestuali per determinare l’applicazione combinata delle diverse tecniche.
In secondo luogo, ogni volta che un operatore sanitario intende utilizzare i dati sanitari per le finalità di cui sopra, deve inviare una richiesta al Centro Elaborazione DataSet istituito presso la Direzione aziendale,
utilizzando l’apposito modulo di cui all’allegato 3 del Codice di condotta. Il Centro Elaborazione DataSet renderà disponibili le informazioni previa anonimizzazione o pseudonimizzazione, a seconda dei casi.
In terzo luogo, il codice di condotta:
- identifica le specifiche categorie di dati personali che possono essere oggetto di trattamento – ossia dati identificativi anagrafici, dati sanitari e dati genetici;
- definisce le attività per le quali è consentito il trattamento (e.g. redazione di relazioni per convegni, seminari, formazione, etc.);
- determina il tempo di conservazione dei dati, pari a tre anni; e
- specifica le informazioni da fornire all’interessato, mediante l’informativa presente all’allegato 4, e fornisce il modello per la raccolta del consenso dell’interessato, allegato 5.
Conclusioni
In relazione alla base giuridica per il trattamento dei dati per fini didattici e di ricerca scientifica, emergono delle difficoltà interpretative dovute principalmente al coordinamento non chiaro tra l’articolo 6 del Codice di condotta – dedicato appunto alle informazioni da rendere all’interessato e all’“eventuale consenso” – e il relativo allegato 5 con il modello per la raccolta del consenso. Infatti, mentre il comma 3 dell’articolo 6 sembra richiedere la raccolta del consenso nel solo caso della pseudonimizzazione, il testo dell’allegato 5 fa riferimento all’autorizzazione da parte dell’interessato all’adozione di tecniche di anonimizzazione.
Pertanto, non risulta chiaro se il consenso debba essere richiesto dal titolare del trattamento, a priori, sia per procedere all’anonimizzazione sia per effettuare la pseudonimizzazione, oppure, se il consenso debba essere richiesto solo in caso di pseudonimizzazione. Seguendo l’interpretazione che appare più coerente con l’applicazione dei principi del GDPR da parte del Garante e quella del Gruppo di Lavoro “Articolo 29” (oggi EDPB), dal momento che entrambe le tecniche costituiscono di per sé dei trattamenti di dati personali, si dovrebbe propendere per la prima lettura. Di conseguenza, il consenso sarà sempre necessario e, in caso di pseudonimizzazione, il titolare dovrà adeguare il contenuto dell’informativa fornendo ulteriori informazioni (come previsto dall’allegato 4) all’interessato al momento della raccolta del consenso.
Per quanto riguarda le ulteriori previsioni, il codice non presenta un particolare livello di dettaglio, operando rimandi alle previsioni del GDPR o a quanto già implementato a livello aziendale – come ad esempio in relazione alla gestione della violazione dei dati personali e alle misure di accountability – senza individuare possibili best practices a cui i titolari aderenti potrebbero tendere.
Al di là di queste osservazioni, il presente codice di condotta rappresenta sicuramente un passo importante verso la possibilità di un processo standard per il riutilizzo dei dati sanitari. Seppur venga espressamente escluso il trattamento a fini di ricerca scientifica, l’individuazione di tecniche di anonimizzazione e pseudonimizzazione, così come la proceduralizzazione delle modalità di raccolta e uso dei dati, possono aprire la strada a ulteriori sviluppi anche nell’ambito della ricerca scientifica.
Vi è, infatti, la necessità impellente – da parte dei ricercatori italiani – di standard e pratiche condivise a livello nazionale e internazionale, che consentano di utilizzare dati sanitari raccolti per motivi medici a supporto della ricerca e del progresso scientifico.
