Quando diventerà pienamente operativo nel maggio del 2018, il Regolamento europeo sul trattamento dei dati personali, rafforzerà un istituto, quello dei codici di condotta, sinora sottovalutato, ma che, invece, può rappresentare un valido strumento di supporto per tutti i titolari dei trattamenti, specialmente nel settore del digital health.
Il citato regolamento dedica alla tematica dei codici di condotta solo un paio di articoli, il 40 (Codici di condotta) ed il 41 (Monitoraggio dei codici di condotta), ma l’importanza degli stessi è fondamentale come strumento per contribuire alla corretta applicazione del regolamento medesimo, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese e sinora un po’ troppo sottovalutato nell’attuale assetto normativo.
Il Regolamento europeo, infatti, consentirà alle associazioni e agli altri organismi rappresentanti le categorie di titolari del trattamento (quindi, soggetti che conoscono profondamente tematiche e problematiche di settore) di elaborare appositi codici di condotta, di modificarli o prorogarli, proprio allo scopo di precisare l’applicazione del regolamento in questione, ad esempio relativamente a:
- il trattamento corretto e trasparente dei dati;
- i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
- la raccolta dei dati personali;
- la pseudonimizzazione dei dati personali;
- l’informazione fornita al pubblico e agli interessati;
- l’esercizio dei diritti degli interessati;
- l’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
- le misure e le procedure per la redazione della Valutazione di impatto o applicazione dei principi Privacy by design e by default nonché le misure volte a garantire la sicurezza del trattamento;
- la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato;
- il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o
- le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento.
Inoltre, potranno aderire ai codici di condotta anche i titolari del trattamento che non sono soggetti al Regolamento Europeo perché stabiliti al di fuori dell’ambito di applicazione territoriale, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni, fattispecie molto interessante per rendere quanto più uniforme possibile il trattamento dei dati delle app m-health a livello globale.
Infatti, aderendo a tali codici di condotta, i titolari del trattamento di app mediche assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
Proprio in tale ambito si colloca la lettera*, datata 10 aprile 2017, del Working Party 29 (l’organismo indipendente che raggruppa i Garanti Privacy europei) come risposta “critica” alla richiesta di esame di una bozza di “Codice di Condotta sulla privacy per mobile health applications”.
Anche se tale lettera si colloca temporalmente nel solco della “vecchia” Direttiva Privacy (95/46 di prossima abrogazione), la prospettiva che ci offre è quella del Regolamento, dando l’occasione di segnalare proprio che il paragrafo 5 dell’art. 40 del Regolamento, a tal proposito, prevede che le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la modifica o la proroga all’autorità di controllo competente territorialmente.
L’autorità di controllo esprime un parere sulla conformità al Regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate.
Ai sensi del successivo paragrafo 6, qualora il progetto di codice, la modifica o la proroga siano approvati, l’autorità di controllo registra e pubblica il codice, ma solo se il codice di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri.
Altrimenti, qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri (come sarebbe normale nell’ambito delle app m-health ed in considerazione dell’importanza sempre più grande che il Digital Single Market è destinato ad assumere nella U.E.), prima di approvare il progetto, la modifica o la proroga, l’autorità di controllo competente territorialmente lo sottopone al comitato europeo per la protezione dei dati, il quale formula un parere sulla conformità al Regolamento Privacy del progetto di codice, della modifica o della proroga o sulla previsione di adeguate garanzie.
Molto rilevante è anche la previsione del paragrafo 9, sempre dell’art. 40, secondo la quale la Commissione Europea può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la proroga approvati, che le sono stati sottoposti, abbiano validità generale all’interno dell’Unione. A tali codici la Commissione provvede a dare un’adeguata pubblicità, come pure il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati, rendendoli pubblici mediante mezzi appropriati.
Per tornare al merito della lettera del WP29 dello scorso aprile, oltre ad alcune considerazioni generali, entrando nello specifico dei dati sanitari, il testo suggerisce un riesame del codice alla luce delle disposizioni pertinenti del Regolamento Europeo sulla corretta definizione di dati sanitari, in quanto, in particolare, si dovrebbe riconsiderare la soglia specificata nel codice, che comprenderebbe anche i dati sullo stile di vita (rilevanti, invece, in tale ambito solo se “intrinsecamente legati” alla salute di un individuo o in presenza di un “chiaro e stretto legame” con lo stato di salute di una persona).
La lettera prosegue indicando alcuni punti specifici e relativi alle diverse sezioni di cui si compone il codice di condotta:
– Modello di Governance e monitoraggio: il WP29 raccomanda ai redattori del codice di aggiungere ulteriori dettagli per illustrare come gli organi di governo controllano i titolari e i responsabili del trattamento che si sono impegnati ad applicare il codice. In particolare, il codice dovrebbe definire chiaramente sanzioni e rimedi concreti nonché i meccanismi di risoluzione delle controversie necessari nell’ambito di un modello di governance credibile, aumentando la trasparenza delle informazioni (ad esempio rendere pubbliche informazioni sulle violazioni del codice e chiarire come le autorità nazionali di protezione dei dati saranno informate sulle violazioni del codice). Sarebbe utile anche fornire ulteriori informazioni sui criteri per il monitoraggio periodico, incluso il timing, il numero minimo di app che verranno formalmente oggetto di revisione da parte dell’organismo di monitoraggio e la metodologia utilizzata per valutare tali applicazioni. Il codice deve chiarire come i diversi organi di governo individuati mantengono la loro indipendenza, imparzialità e trasparenza nonché i criteri di scelta dei membri del panel.
– Linee guida pratiche per titolari del trattamento: poiché l’elaborazione dei dati personali nella maggior parte delle applicazioni m-health è basata quasi esclusivamente sul consenso dell’interessato, il WP29 rappresenta la propria preoccupazione sul fatto che il consenso potrebbe non essere sempre liberamente dato dalle persone, in particolare se l’utilizzo dell’applicazione è stato raccomandato a loro (sotto forma di prescrizione ad esempio). Pertanto, il WP29 raccomanda che il Codice riconosca che esistono altre condizioni, oltre al consenso, che rendono l’elaborazione dei dati corretta e legale.
– Principi di protezione dati personali: particolarmente pertinenti a tale riguardo sono i riferimenti alla limitazione e alla compatibilità degli usi secondari dei dati sanitari e alla necessità di salvaguardie per i soggetti interessati (vale a dire maggiore trasparenza, inclusa una facile possibilità di opposizione e l’uso di tecniche di crittografia o pseudonimizzazione).
– Informazione, trasparenza e diritti degli interessati: il WP29 ritiene che i termini “titolare del trattamento” e “responsabile del trattamento” debbano essere rafforzati per chiarire i ruoli e le responsabilità esatte degli sviluppatori dell’applicazione in relazione ai requisiti della legislazione europea e nazionale di attuazione. Il codice deve fornire informazioni sufficienti o esempi pratici su come i soggetti interessati possano esercitare i propri diritti e su come i responsabili e i titolari dovrebbero rispettare i loro obblighi relativi ai diritti dei soggetti interessati (specie per il futuro diritto alla portabilità dei dati).
– Sicurezza: il codice dovrebbe includere ulteriori dettagli ed esempi pertinenti su come gli sviluppatori di app possono integrare nel loro processo di sviluppo la “privacy by design” e la “privacy by default” nonché essere attenti alle restrizioni legali relative ai periodi di conservazione.
Il WP29 accoglie con favore il fatto che il codice consiglia di utilizzare in modo efficace la crittografia dei dati elaborati, ma suggerisce di affrontare anche la questione della trasmissione sicura, in quanto ciò non implica solo la crittografia, ma anche un’autenticazione forte. A questo proposito, il WP29 desidera sottolineare che il codice non tiene adeguatamente in considerazione i casi in cui gli utenti vorrebbero consentire a terzi (ad es. i loro medici personali) di accedere ai loro dati.
– Marketing: è opportuno rafforzare la sezione sugli annunci pubblicitari per chiarire la base giuridica e i requisiti per l’elaborazione di dati a fini di marketing.
– Trasferimento dei dati verso paesi terzi: il codice dovrebbe comunque richiedere che siano fornite informazioni sulle modalità di trasferimento dei dati.
– Violazione di dati personali: nel valutare se i dati violati sono considerabili dati personali, occorre tener conto delle definizioni della direttiva 95/46, ma soprattutto, ormai, del Regolamento 679/16.
In conclusione, l’obiettivo cui dovrebbe tendere l’applicazione di un codice siffatto dovrebbe essere quello di assicurare che gli utenti delle app mediche si sentano particolarmente sicuri circa l’uso appropriato dei loro dati, potendo conoscere in maniera trasparente le regole più stringenti ed i superiori livelli di tutela che un codice di condotta può permettere di raggiungere ai soggetti che si impegnano a rispettarlo, rafforzando, così, il quadro normativo armonizzato di un settore che necessita di un livello sovranazionale.
(*) reperibile all’indirizzo internet http://ec.europa.eu/newsroom/document.cfm?doc_id=44371
