Il Consiglio d’Europa, in data 27 marzo, ha emanato alcune linee guida in materia di trattamento dei dati relativi alla salute, disposizioni che dovranno essere rispettate dai 47 stati membri.

La Raccomandazione adottata dal Comitato dei Ministri, partendo dalla osservazione dello sviluppo tecnologico, degli strumenti impiegati nel settore sanitario e del volume dei dati relativi alla salute elaborati individua, per le amministrazioni sanitarie e i professionisti, la necessità di una guida affinchè il trattamento di questa particolare categoria di dati avvenga nel pieno rispetto della privacy e dei dati personali.

Si parte, infatti, tra le altre, dalla considerazione che i dati relativi alla salute appartengono a una categoria speciale che gode di un livello più elevato di protezione dovuto, in particolare, al rischio di discriminazione che può verificarsi con il loro trattamento e si arriva ad individuare alcuni presupposti dai quali il trattamento non può prescindere.

A tal riguardo non può che emergere il parallelismo con il Regolamento Europeo 679/2016 tendendo entrambi ad uno scopo comune, ossia la tutela dei dati personali che, vale la pena ricordarlo, l’art. 1 del Regolamento innalza a diritti fondamentali dell’uomo, principio ripreso negli stessi “considerando” della Raccomandazione.

In particolare l’art. 4 dell’appendice alla Raccomandazione prevede un’elencazione di principi ai quali si deve attenere chiunque, soggetto privato o pubblico non importa, tratta dati sanitari.
I principi rispecchiano in gran parte quelli sanciti dal Regolamento Europeo 679/2016 riprendendo tra gli altri i principi di liceità, minimizzazione, proporzionalità e adeguatezza.

Viene inoltre sottolineata la necessità di adottare nei trattamenti in questione adeguate misure di sicurezza che tengano conto degli ultimi sviluppi tecnologici, della loro natura sensibile e della valutazione dei rischi potenziali, richiamando quindi la c.d. privacy by design di cui al GDPR.

La Raccomandazione contiene inoltre indicazioni relative alla base legittima per il trattamento dei dati sanitari che secondo quanto stabilito dall’art. 5 lett. b) “I dati relativi alla salute possono essere trattati se la persona interessata ha dato il proprio consenso, tranne nei casi in cui la legge stabilisca che il divieto di trattamento dei dati relativi alla salute non può essere revocato unicamente dal consenso dell’interessato”.
Vengono poi affrontati i temi relativi ai diritti degli interessati, con particolare attenzione alla trasparenza dell’elaborazione dei dati e del loro trattamento, nonché della elaborazione per la ricerca scientifica, la raccolta da dispositivi mobili e il trasferimento transfrontaliero.

Con riferimento ai dati raccolti da dispositivi mobili la Raccomandazione equipara gli stessi a tutti gli altri dati sanitari, raccolti con modalità diverse, specificando che i diritti riconosciuti agli interessati non dipendono dalle modalità di raccolta, eliminando quindi alla radice una possibile fonte di discriminazione e di disparità di trattamento.

Importanza fondamentale riveste, infine la previsione di cui all’art. 16.3 in base alla quale “Qualsiasi utilizzo di dispositivi mobili deve essere accompagnato da misure di sicurezza specifiche, personalizzate e all’avanguardia che prevedano in particolare l’autenticazione dell’interessato e la crittografia della trasmissione dei dati” nonché della successiva di cui all’art. 16.4 che prevede “L’hosting esterno di dati relativi alla salute prodotti da dispositivi mobili deve rispettare le regole di sicurezza che prevedono la riservatezza, l’integrità e la restituzione dei dati su richiesta dell’interessato”.

Siamo ormai all’interno di un processo di adeguamento generale che prevede da un lato l’analisi dell’evoluzione tecnologica e dell’impiego, ormai quotidiano, di strumenti che hanno tecnologie sempre più avanzate e dall’altro l’applicazione delle tutele necessarie per garantire la reale ed efficace protezione dei dati personali.

Federica De Stefani, avvocato e responsabile AIDR Regione Lombardia