Braccialetti, smartwatch, cerotti intelligenti, lenti a contatto, holter cardiaco, pacemaker e defibrillatori cardioverter sono alcune delle tante applicazioni dell’Internet of Things in ambito sanitario, noto come Internet of healthcare Things (IoHT)[1][2].
L’utilizzo della tecnologia digitale per scopi di salute, tuttavia, pone delicati problemi di protezione dei dati. Ce ne parlano l’Avv. Monica Gobbato (Data Protection Officer) e il Dr. Danilo Lo Conti (Data Protection Specialist).
Secondo un’indagine svolta dalle Autorità Garanti, a livello globale risultano gravi le carenze di informativa sulle modalità di trattamento dei dati nonché sugli strumenti efficaci per loro protezione [3].
Per tale motivo, nell’ottica di rispondere alle sfide poste dall’evoluzione tecnologica, il GDPR ha rafforzato il sistema di protezione dei dati personali, con particolare riferimento all’ambito sanitario (dove sono trattati dati super sensibili, particolari), introducendo principi innovativi a vantaggio del Titolare del trattamento che diviene protagonista nel ciclo del trattamento dei dati, fondato sul modello dell’accountability.
La sicurezza
Secondo i principi della privacy by design e by default, ancora prima del trattamento e durante le attività inerenti, il Titolare deve garantire che i dispositivi prevedano l’adozione di precise tecniche di sicurezza, quali la pseudonimizzazione e la minimizzazione dei dati nonché l’utilizzo di impostazioni orientate in automatico verso soluzioni di massima protezione dei dati. Nel rispetto di questi principi, dunque, il Titolare è chiamato, sin dal momento della determinazione dei mezzi, a valutare quali possibili rischi di riservatezza dei dati e autodeterminazione informativa del soggetto derivino dal trattamento e quali siano i possibili rimedi.
La trasparenza
Con riferimento alla fase preliminare al trattamento dei dati, il GDPR ha sancito tra le altre cose il principio di trasparenza: il Titolare del trattamento, nella specie l’operatore sanitario, ha l’obbligo di rendere all’interessato l’informativa al trattamento che deve indicare il Titolare del trattamento, gli eventuali Contitolari, i soggetti autorizzati al trattamento, il DPO (Data Protection Officer) se nominato ed il Responsabile del trattamento.
L’informativa, inoltre, definisce in modo chiaro e corretto le specifiche finalità (prevenzione, diagnosi, cura, ricerca, riabilitazione, etc.), le modalità del trattamento, i tempi di conservazione, la comunicazione e il trasferimento a terzi dei dati, nonché i diritti del paziente previsti agli artt. 16-21 GDPR quali la cancellazione, la rettifica, l’accesso, la limitazione di trattamento, la portabilità e l’opposizione dell’interessato.
Con riferimento ai dati sanitari, nel bilanciare gli interessi in gioco, il GDPR consente eccezionalmente il trattamento dei dati particolari per finalità di medicina preventiva, medicina del lavoro, diagnosi, assistenza anche in assenza del consenso dell’interessato (art. 9 co. 3). Questa disciplina, tuttavia, non può essere applicata tout court alla sanità digitale per la naturale invasività dei dispositivi medicali idonei a trattare in forma automatizzata non solo dati sanitari ma anche quelli sulla geolocalizzazione e sulle abitudini di vita del paziente per finalità di monitoraggio e di prevenzione di malattie nell’interesse della collettività. In tal caso, dunque, è necessario che l’operatore sanitario fornisca una specifica informativa in merito alla finalità e alla modalità del trattamento dei dati raccolti, acquisendo il consenso del paziente.
A tal proposito, il vigente Codice privacy, destinato ad essere abrogato, prevede una disciplina di dettaglio in materia di telemedicina e teleassistenza: l’informativa deve indicare in modo analitico eventuali trattamenti di dati personali che presentano rischi specifici per i diritti e le libertà fondamentali nonché per la dignità dell’interessato, (art. 78 comma 5 lett. b), D. Lgs. 196/2006).
Prospettive future
Il dilagante fenomeno dell’ IoHT ha indotto il legislatore europeo a rafforzare la protezione dei dati raccolti mediante device medicali, come dimostra l’adozione del Regolamento 2017/745, Medical Device Regulation (MDR)[4] già in vigore dallo scorso maggio, e del Regolamento UE 2017/746, In Vitro Diagnostic Regulation (VDR)[5] la cui entrata in vigore effettiva decorrerà dal 26 maggio 2022.
Il legislatore interno, invece, dovrà farsi carico di disciplinare in modo organico il settore della telemedicina e della teleassistenza in modo da consentire la concreta applicazione del principio di accountability in tale ambito e, di conseguenza, la protezione effettiva dei dati personali.
[1] L’Agenda Digitale della Commissione europea COM/2010/0245 permette l’uso delle tecnologie in campo medico per favorire l’innovazione applicata alla sicurezza delle informazioni, la sostenibilità dell’assistenza medica e l’utilizzo delle tecnologie abilitanti connesse alla sanità. Secondo la Commissione UE le applicazioni per la salute con finalità mediche rientrano sotto la legislazione dei dispositivi medici. Ma la gran parte delle app in circolazione non sono ancora certificate dal marchio di conformità CE e, soprattutto, i processi di monitoraggio tradizionali da parte della autorità sanitarie sono difficilmente applicabili non essendo “materiali”.
[2] Da uno studio pubblicato nell’ottobre 2016 da “Research 2 Guidance” sul mercato delle apps in campo sanitario, intitolato “mHealth app developer economics 2016”.
[3] Comunicato stampa del Garante privacy del 22 settembre 2016 (i risultati del Privacy Sweep 2016). Su un totale di oltre 1200 applicazioni esaminate, appena il 15% risulta dotato di un’informativa privacy realmente chiara. Nel 59% dei casi è stato difficile per le Autorità di protezione dati reperire un’informativa privacy prima dell’installazione.
[4] Ai sensi dell’art. 1 comma 1 del Regolamento UE 2017/745:“Il presente regolamento stabilisce le norme relative all’immissione sul mercato, la messa a disposizione sul mercato o la messa in servizio dei dispositivi medici per uso umano e degli accessori per tali dispositivi nell’Unione. Il presente regolamento si applica inoltre alle indagini cliniche relative a tali dispositivi medici e relativi accessori condotte nell’Unione.
[5] Ai sensi dell’art. 2 comma 2 del Regolamento UE 2017/746: “<dispositivo medico-diagnostico in vitro>: qualsiasi dispositivo medico composto da un reagente, un prodotto reattivo, un calibratore, un materiale di controllo, un kit, uno strumento, un apparecchio, una parte di attrezzatura, un software o un sistema, utilizzato da solo o in combinazione, destinato dal fabbricante a essere impiegato in vitro per l’esame di campioni provenienti dal corpo umano, inclusi sangue e tessuti donati, unicamente o principalmente al fine di fornire una o più delle seguenti informazioni (…)”