Per ottenere diagnosi più accurate un dispositivo medico strumentale ad alta tecnologia può raccogliere i dati particolari del paziente. E trasmetterli al di fuori della struttura ospedaliera e talvolta del territorio dell’Unione. Vediamo come il GDPR affronta questi casi.
Sanità digitale, l'”export” di dati
Quando si affronta il GDPR si parla sovente dell’aspetto organizzativo, ma uno dei temi più interessanti è rappresentato dalla concreta disponibilità – per gli interessati – dei diritti collegati ai propri dati personali.
In primis va chiarito che una delle finalità del GDPR è quella della protezione della persona fisica, intesa come persona che dev’essere tutelata quando vengono trattati dati che le si riferiscono, ma può capitare che l’interessato – nel trasferimento dei propri dati verso paesi terzi – possa decidere di “lasciar andare” i propri dati personali particolari verso paesi che non riescono a garantire la sicurezza dei dati trattati, perdendo così il controllo sugli stessi nonché la possibilità di esercitare i diritti ad essi collegati.
Da quanto detto si può ragionevolmente affermare che il GDPR mira anche a strutturare una solida consapevolezza del soggetto interessato circa le conseguenze derivanti dalle proprie decisioni – che devono essere anticipate dalla presentazione ai soggetti di informative granulari – relative al trattamento dei propri dati personali.
Medicina, GDPR e territorio
A questo punto appare utile individuare quale sia il campo di applicazione del GDPR e quali tipi di dati sono sottoposti alle tutele da esso garantite. All’art. 3, del capitolo 1, è stabilito l’ambito di applicazione territoriale. Più precisamente il GDPR si applica in due casi:
- Quando il trattamento è effettuato da un soggetto (titolare o responsabile) che è stabilito nel territorio dell’Unione (o in un luogo soggetto al diritto di uno Stato membro in forza del diritto internazionale pubblico), indipendentemente dal fatto che il trattamento sia o meno effettuato nell’Unione;
- Quando il trattamento è effettuato da un soggetto (titolare o responsabile) che non è stabilito nell’Unione ma riguarda soggetti che si trovano nell’Unione – a prescindere dal fatto che siano o meno cittadini – purché il trattamento riguardi:
l’offerta, anche gratuita, di beni o servizi; il monitoraggio del comportamento dei soggetti interessati.
Tale impostazione rappresenta una delle maggiori innovazioni del Regolamento rispetto alla Direttiva 95/46 il cui ambito applicativo era limitato ai confini dell’Unione o che gli strumenti tecnologici utilizzati per il trattamento fossero situati nell’Unione.
Con il GDPR, al contrario, non ha alcuna importanza il luogo in cui il trattamento sia effettuato: ciò che rileva, ai fini dell’applicazione dello stesso, è il luogo in cui l’impresa è stabilita oppure il luogo in cui si trovano i soggetti interessati dal trattamento (anche il concetto di cittadinanza perde incisività, atteso che il GDPR è applicabile a tutti gli interessati che si trovano nel territorio dell’Unione).
Il soggetto interessato che venga a contatto con il Sistema Sanitario Nazionale e si sottoponga ad esami strumentali presso un Ospedale situato sul territorio, può vedere coinvolti nel trasferimento presso paesi extra UE i propri dati personali particolari, per ragioni di accuratezza diagnostica o per finalità statistiche.
Trasferimento dati verso Paesi terzi
Al trasferimento del dato verso paesi terzi, il Regolamento dedica l’intero capo V ai trasferimenti transfrontalieri di dati personali. Il “trasferimento” del dato può essere definito come un atto che ha la finalità di trasferire dati personali verso un paese terzo. Pertanto saremo in presenza di un trasferimento tutte le volte che un Titolare/responsabile, stabilito sul territorio dell’Unione, trasmetta un dato personale ad un Titolare/responsabile stabilito in un paese terzo extra UE.
Come precedentemente detto, il fatto stesso che l’esame strumentale venga svolto su soggetti che si trovano nel territorio dell’Unione al momento della raccolta, sottopone tale dato alla protezione fornita dal Regolamento. Risulterà pertanto necessario sottoporre all’interessato una informativa ad hoc che gli consenta di essere consapevole della destinazione dei propri dati particolari e, pertanto, di poter esercitare sugli stessi il propri diritti previsti dal GDPR.
In particolare la disciplina dei flussi di dati al di fuori dell’UE è contenuta nell’art. 44 del Regolamento che prevede che il trasferimento di dati personali verso paesi terzi può avvenire soltanto a condizione che il livello di protezione non sia pregiudicato.
Trasferimento dati, le garanzie
A tal fine può rilevare l’adeguatezza (adottata con Decisione dalla Commissione ai sensi dell’art. 45) del paese terzo verso cui il dato viene trasferito e, laddove essa manchi, il dato potrà essere trasmesso rispettando le “garanzie adeguate” previste all’art. 46 del Regolamento.
Ciò non toglie che il soggetto interessato possa acconsentire, come da art. 49, par. 1, lett. A): “in mancanza di una decisione di adeguatezza […] è ammesso il trasferimento all’estero di dati personali verso un paese terzo […] se l’interessato a) abbia esplicitamente acconsentito al trasferimento […]”.
La trasmissione del dato deve essere autorizzata dall’interessato a mezzo di uno specifico consenso e, in mancanza, il dispositivo medico strumentale dovrà garantire l’assoluto anonimato della persona che si sottopone ad esami, rendendo così impossibile ricondurre lo specifico esame al soggetto interessato che vi si sottopone.
Normalmente, nell’erogazione di prestazioni sanitarie non è quindi necessaria la base giuridica del consenso per il trattamento dei dati personali, ma se vengono trattati dati sanitari con modalità particolari, ci sarà bisogno di richiedere il consenso quale base legittimante di quel trattamento.
Il GDPR non dev’essere vista come norma monolitica, inderogabile e imperativa ma come Regolamento finalizzato ad una sicura “libera circolazione” per l’accrescimento del benessere sociale generale, così come si evince dalla lettura dell’articolato e dei considerando, cioè le motivazioni dell’articolato del GDPR.
Ed è proprio da tale conclusione che si comprende l’importanza della raccolta e del flusso dei dati relativo al settore dei dispositivi medico sanitari che contribuiscono ad accrescere la precisione diagnostica ed a raccogliere importanti dati statistici in ambito sanitario.
