ADAPT – Scuola di alta formazione sulle relazioni industriali e di lavoro
Per iscriverti al Bollettino ADAPT clicca qui
Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it
Bollettino ADAPT 13 maggio 2019, n. 18
Il Consiglio d’Europa, con Raccomandazione del 27 Marzo 2019, detta delle linee guida per gli Stati membri in tema di protezione dei dati personali relativi alla salute.
Pur trattandosi di un atto di soft law, data la funzione dell’organo, è comunque particolarmente significativa.
Il Consiglio sottolinea innanzitutto come un aggiornamento delle regole e degli strumenti tecnici di tutela di questa tipologia di dati si renda oggi necessario, tenuto conto della crescente informatizzazione, dell’incremento dello scambio di informazioni, dei benefici derivanti da questi processi in tema di potenziamento di politiche sanitarie pubbliche e trattamenti sanitari, della mobilità geografica e del correlato sviluppo di tecnologie portatili relative alla salute e della possibilità che i dati raccolti tramite tali tecnologie vengano processati da più stakeholders.
Inoltre, lo scopo ultimo e dichiarato del Consiglio è quello di assicurare la tutela dei diritti individuali alla riservatezza e controllo di informazioni, non più solo mediche (come previsto nella precedente Raccomandazione (97)5), ma più in generale relative alla salute e la prevenzione di fenomeni di discriminazione legati a tali dati.
Le linee guida, che trovano applicazione al trattamento di dati riguardanti la salute nel settore pubblico e privato – anche con riferimento alla condivisione di dati mediante strumenti tecnologici, compresi i dispositivi mobili anche “impiantati sull’individuo – costituiscono uno standard di sicurezza che ben può essere incrementato da altre disposizioni legislative e sono coerenti con il rinnovato quadro giuridico europeo, riprendendone i principi cardine, quali: data protection by design e by default; minimizzazione; anonimizzazione e pseudonimizzazione; cultura di monitoraggio, valutazione e gestione del rischio; diritti dell’interessato (informativa, consenso, diritti connessi alla gestione dei dati come il diritto di accesso, cancellazione o rettifica, portabilità).
Dal punto di vista giuslavoristico, si segnala che, in tema di comunicazione dei dati relativi alla salute per scopi inerenti la fornitura e l’amministrazione di servizi sanitari, i datori di lavoro non possono essere qualificati come destinatari di tali dati salvo che non ricorrano le condizioni di cui alla Raccomandazione CM/Rec(2015)5 del medesimo organo, che riguarda proprio il trattamento dei dati nell’ambito del rapporto di lavoro.
Interessante è anche il paragrafo 16 (pag. 12) dedicato ai dispositivi mobili. Viene specificato che i dati raccolti mediante tali strumenti, che siano essi “impiantati” sull’individuo o meno, dai quali si possano trarre informazioni su stato di salute o comunque connesse alla salute, sono sottoposti allo stesso regime di tutele previsto per dati raccolti in maniera diversa, anche con riferimento ai diritti degli interessati. Inoltre, ogni modalità di utilizzo del dispositivo mobile deve essere dotata di sistemi che ne garantiscano la sicurezza personalizzati e aggiornati in base allo stato dell’arte. Questa precisazione si collega concettualmente alla precedente (par.8.4 pag. 7) in cui si afferma che anche l’utilizzo di file elettronici (“electronic medical file”) o mailbox che autorizzino lo scambio di dati relativi alla salute deve rispettare gli stessi principi.
Health Professionals: chi sono e quali obblighi hanno
È interessante soffermarsi in particolare sul ruolo cruciale di quei soggetti che la direttiva identifica come health professionals.
La Raccomandazione definisce come quei “professionisti riconosciuti dalla legge come abilitati ad operare nel settore sanitario e del welfare, sottoposti a specifici obblighi di riservatezza e coinvolti in attività di fornitura di assistenza sanitaria” (par. 3, pag.4).
Sono annoverati tra i soggetti che trattano i dati personali di natura sanitaria, anche dotati di potere decisionale circa le attività di trattamento (proprie dei soggetti definiti “controller”, par. 3, pag. 3 e 4.4, pag. 5) e, in quanto tali, sono destinatari delle linee guida (per effetto dell’attività di diffusione e promozione delle stesse da parte degli Stati membri del Consiglio) (pag.2).
Gli health professionals sono quindi tenuti ad attenersi alle linee guida e ad assicurare il rispetto dei principi ivi contenuti, anche con riferimento a quelli relativi alle misure di data protection e valutazione rischi, di risk monitoring e risk assessment, nonché di garanzia dei diritti degli interessati. L’obbligazione professionale di questi soggetti si arricchisce quindi di nuovi elementi che non sono immediatamente correlati alle loro funzioni tradizionali.
Gli obblighi di riservatezza propri di questi soggetti costituiscono, inoltre, uno standard esteso a tutti coloro i quali, pur non essendo health professionals, svolgono ruoli decisionali o esecutivi nell’ambito del trattamento dei dati personali relativi alla salute.
In particolare i soggetti che lavorano su “uno specifico caso individuale in tema di servizi di cura e di welfare” e “condividono dati per favorire un maggiore coordinamento che garantisca la qualità dei servizi sanitari” (par.8.2, pag.7), sono soggetti agli stessi obblighi di riservatezza professionale degli health professionals. Analogamente, in caso di “comunicazione dei dati relativi alla salute per scopi inerenti la fornitura e l’amministrazione di servizi sanitari”, chi riceve i dati deve attenersi agli stessi obblighi di riservatezza ai quali sono sottoposti gli health professionals (par. 9.4, pag.7).
Antonella Mauro
Scuola di dottorato in Formazione della persona e mercato del lavoro
Università degli Studi di Bergamo
