Il trattamento dei dati personali sanitari rappresenta un fronte a sé, nelle regole previste dal GDPR. Ma non sempre le indicazioni previste sono univoche. Un tema particolarmente “caldo” riguarda la nomina di un DPO e la stesura della valutazione d’impatto: sono obbligatori in tutti i casi? Ecco lo scenario che può presentarsi di fronte a un medico.
I temi del trattamento di categorie particolari di dati personali e di quello di dati personali relativi a condanne penali e reati vengono considerati così importanti dal Regolamento UE679/2016 da meritarsi, ciascuno, un Articolo specifico (il 9 ed il 10) all’interno dei 99 del GDPR.
Tra le categorie di dati particolari indicati dal paragrafo 1 dell’Articolo 9, sicuramente uno dei trattamenti più diffusi e con i quali si ha a che fare (purtroppo) molto spesso è quello relativo ai dati relativi alla salute degli interessati. Nell’art. 9, per poter operare il trattamento di queste tipologie di dati secondo le indicazioni del GDPR, sono previsti, oltre al consenso, altre 9 possibili modalità, legate alle motivazioni e agli obblighi in capo al titolare del trattamento.
Inoltre, i dati sanitari, come peraltro le altre categorie di dati particolari degli artt. 9 e 10, sono meritevoli, nel regolamento, di altre due “strumenti” di tutela:
*) La valutazione di Impatto (Art. 35)
*) La nomina del DPO (Art. 37)
Infatti, per il trattamento dei dati sanitari esiste l’obbligatorietà sia della stesura della valutazione di impatto (art. 35 – paragrafo 3 – comma b) come pure della nomina di un DPO (art. 37 – paragrafo 1 – comma b) “quando le attività principali del titolare del trattamento (o del responsabile del trattamento) consistono nel trattamento su “larga scala” di queste categorie particolari di dati personali”.
Quanto è chiaro il concetto di “larga scala”?
Il concetto di “larga scala” viene descritto in dettaglio nel considerando 91 che pur riferendosi esplicitamente allo strumento della valutazione di impatto, può essere ritenuto valido anche per il tema della nomina del DPO.
Nel Considerando si fa riferimento, per valutare se un trattamento è su larga scala, ad una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale; in particolare si esprime il concetto che “il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” .
Da questa lettura sembrerebbe quindi assolutamente esplicito e fuori di qualsiasi dubbio come il trattamento di dati svolto da un medico (e quindi anche da un Medico di Medicina Generale e da un pediatra di Libera Scelta) non sia effettuato su larga scala e, pertanto, non presenti l’obbligatorietà di una valutazione di impatto e – per estensione – della nomina di un DPO.
Le indicazioni di Articolo 29
Personalmente ritengo però che l’uguaglianza del considerando 91 “singolo medico = no larga scala” sia troppo generalista e in definitiva non valida se si leggono anche, per il concetto di “larga scala”, i chiarimenti del Gruppo di lavoro Articolo 29 per la protezione dei dati, presenti nel documento “Linee guida sui responsabili della protezione dei dati” – versione 5.4.2017 – e soprattutto se si applicano queste indicazioni alla specifica realtà italiana dei MMG e dei PLS.
Al punto 2.1.3 sul tema della definizione di un trattamento su larga scala il WP29 “raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala” tra cui “il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento”.
I Medici di Medicina Generale ed i Pediatri di Libera scelta sono, da questo punto di vista, medici assolutamente non assimilabili a medici che svolgono la loro attività in ambito esclusivamente libero professionale: mentre infatti ad esempio un cardiologo, un otorino in attività libero professionale fanno riferimento ad una base pazienti data solamente da quelli che necessitano, per il loro stato di salute, della loro attività libero professionale (che tra l’altro si suddividono tra i vari medici concorrenti) e quindi trattano i dati – genericamente – di decine/centinaia di pazienti, un MMG o un PLS svolgono la loro attività (ovvero trattano categorie di dati personali) su una base pazienti che, globalmente, è data dalla intera popolazione e quindi non solo su quelli che – in quel momento – necessitano della loro attività medica.
Infatti, un bambino appena nato – quindi solo per il fatto di essere nato – viene inserito nella lista dei pazienti di un Pediatra di Libera Scelta; superati i 6 anni (su base volontaria dei genitori) o i 14 anni (su base obbligatoria) passa a far parte dell’elenco pazienti di Medico di Medicina Generale a prescindere dal fatto che sia malato.
Meglio valutare caso per caso
Proprio in virtù di come viene costruita la loro lista di pazienti, un PLS e ancora di più un MMG (visto il massimale che vale anche 1,5 volte quello del PLS) possono trattare i dati personali di migliaia di pazienti (anche diverse migliaia, tenendo conto anche della conservazione dei dati per pazienti usciti dal loro ambito/consistenza pazienti, per un periodo congruo alle gestione di eventuali contenziosi di tipo civile/penale); pertanto reputo che sia quanto meno da valutare, caso per caso, se questo numero assoluto sia o no definibile come larga scala.
In tal senso, per assurdo, questo numero di dati di pazienti trattati può superare ampiamente quelli trattati da uno studio medico associato di liberi professionisti, per i quali invece, leggendo il considerando 91, è invece obbligatoria la Valutazione di Impatto e la nomina del DPO.
Inoltre, specialmente per i MMG e i PLS massimalisti (o vicini al massimale) che svolgono la loro attività convenzionata in piccoli paesi, il secondo elemento citato dal WP29, ossia la percentuale della popolazione di riferimento, potendo arrivare anche al 35-40% della popolazione (adulta o pediatrica) della cittadina, “spinge” verso il concetto di un trattamento su larga scala.
Per tali considerazioni mi sembra che la semplificazione sul concetto di larga scala per un singolo medico del considerando 91 non sia sempre valida in assoluto ma che debba essere valutata caso per caso, portandosi dietro quindi la valutazione circa la obbligatorietà per la stesura della Valutazione di Impatto e per la nomina di un DPO.
Tale chiave di lettura è stata ulteriormente validata anche dal Provvedimento del Garante n. 9058979 dell’11 ottobre 2018, dal titolo “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”.
In tale Provvedimento il Garante stila un elenco – non esaustivo – delle tipologie di trattamenti per i quali in Italia è necessario, obbligatoriamente, stilare una valutazione di impatto.
Andare “oltre” il GDPR
L’elenco dei trattamenti per i quali è obbligatorio produrre una Valutazione di impatto è riportato nell’Allegato 1 al Provvedimento: al punto 10 vengono indicati “Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse”.
In tale Provvedimento quindi il Garante italiano reputa necessario, per il trattamento di categorie particolari di dati personali, andare oltre il GDPR eliminando concretamente il concetto di larga scala per la stesura della Valutazione di Impatto: per questo motivo quindi, per tutti i medici italiani viene quindi definita l’obbligatorietà di questa documentazione.
Concludendo quindi, l’obbligatorietà della stesura della Valutazione di Impatto richiesta dal Garante come pure le considerazioni sul tema dei trattamenti su “larga scala” sul tema della obbligatorietà o meno della nomina del DPO, portano all’opportunità, per ogni medico italiano, di rivolgersi ad un esperto in materia, per valutare attentamente la propria posizione sul tema del GDPR ed essere in grado di motivare le scelte fatte in termini di adeguamento, secondo il principio della Accountability descritto all’art. 24 del GDPR.
