Privacy: la portabilità dei dati in ambito sanitario, quali implicazioni?

L’articolo 20 del Nuovo Regolamento 679/2016 sulla protezione dei dati sancisce un nuovo diritto in capo all'interessato: la portabilità dei dati.

Più esattamente tale norma stabilisce che: «L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento».

Si tratta di un diritto che impatta fortemente sull'attività dei titolari dei dati che devono porsi il problema di sviluppare i mezzi che permetteranno di rispondere alle richieste di portabilità dei dati (come ad esempio gli strumenti di download e API - Application Programming Interface), garantendo altresì anche l'interoperabilità dei formati dei dati. Tenuto poi conto della complessità organizzativa/tecnologica e del termine di adeguamento (maggio 2018), appare fortemente opportuno cominciare sin da ora a porsi il problema. Ciò vale anche per la strutture sanitarie.

Le recenti Linea Guida sul diritto alla portabilità dei dati pubblicate dal Working Party (articolo 29) e in data 13 dicembre 2016 dal WP 29 (al Punto II) stabiliscono infatti tre condizioni per l'applicazione del diritto: i dati devono “riguardare” l'interessato”, devono essere stati “forniti” dall'interessato stesso (art. 20, comma 1) e infine non deve essere leso il diritto altrui (art. 20, comma 4). Per quanto attiene alla nozione di dato “fornito all'interessato” la Linee Guida stabilisce (traduzione libera): “tenuto conto degli obiettivi che si pone il diritto alla portabilità, il termine “fornita dalla persona interessata” deve essere interpretato in senso lato, escludendo solo i dati “frutto di estrapolazione” e i “dati derivati”, che includono i dati personali che vengono generati da un fornitore di servizi (ad esempio, i risultati algoritmici).

Il titolare dei dati dovrebbe invece includere tutti gli altri dati personali forniti dalla persona interessata attraverso mezzi tecnici forniti dal titolare stesso. In nota poi si precisa che: «Questo include tutti i dati che vengono rilevati nel corso della attività ai fini della quale sono raccolti i dati, come ad esempio una cronologia delle transazioni o log di accesso. I dati raccolti attraverso il monitoraggio e la registrazione delle attività delle persona (come ad esempio i dati del battito cardiaco registrati in una app o la tecnologia utilizzata per monitorare il comportamento di navigazione) dovrebbero essere considerati come “fornito da”, anche se i dati sono attivamente o consapevolmente trasmesso Ne deriva che dopo il maggio 2018 il portatore di un pacemaker, il paziente sottoposto ad un monitoraggio continuo della glicemia o il paziente assistito il telemedicina (solo a titolo di esempio) potranno richiedere i loro dati alla struttura sanitaria di competenza, la quale sarà tenuta a darglieli “in un formato strutturato, di uso comune e leggibile da dispositivo automatico».

Ciò implica che la struttura dovrà dotarsi di tecnologia idonea per ottemperare a tale richiesta e che i fabbricanti di medical device devono, sin da ora, a progettare e produrre privacy by design. Le sanziona amministrative pecuniarie possono arrivare a 20 milioni di euro per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente (art. 83 comma 5).