Il Garante per la protezione dei dati personali ha compiuto 20 anni a maggio. Vent’anni che hanno visto la maggiore rivoluzione tecnologica della Storia e durante i quali l’Autorità ha fatto un enorme lavoro per mantenere il quadro regolatorio al passo con le trasformazioni in atto.
Poiché il trattamento dei dati personali è fortemente influenzato dalle possibilità offerte della tecnologia, la sua evoluzione offre continuamente nuove opportunità ma amplifica anche l’impatto potenziale sui diritti dell’interessato.
La “datizzazione” dell’esistenza umana, la trasformazione cioè di ogni aspetto della nostra vita quotidiana in dati e informazioni (ad es. quanti passi ho fatto in una giornata, quante scale ho salito, quante calorie ho bruciato, quante ore ho dormito) consente non solo di avere a disposizione enormi quantità di informazioni dettagliate e costantemente aggiornate su quasi ogni aspetto della vita delle persone (big data), espandendo enormemente le possibilità di analisi su gusti, interessi, abitudini, condizione fisica e stato di salute, ma anche (e sempre di più) di provare a “indovinarne” i comportamenti, le scelte e le decisioni future (anche grazie all’uso dell’intelligenza artificiale).
L’innovazione guidata dai dati (Data driven innovation -DDI) porta con se enormi vantaggi, spesso molto ben pubblicizzati, ma comporta inevitabilmente anche un considerevole aumento dei rischi connessi alla sicurezza e alla protezione dei dati che spesso invece rimangono in ombra[1].
E’ invece essenziale tenere sempre in considerazione che, all’aumentare della quantità e del grado di sensibilità dei dati personali trattati, cresce proporzionalmente anche il rischio che, dal loro trattamento, possano derivare danni per gli interessati, che possono produrre conseguenze molto gravi sia dal punto di vista patrimoniale che non patrimoniale (discriminazioni nei rapporti contrattuali o sul luogo di lavoro, stigmatizzazione e perdita di reputazione).
Nella narrazione sui temi dell’innovazione tecnologica si tende invece a evidenziare spesso quasi esclusivamente tutti i vantaggi promessi dalla DDI, liquidando questa seconda (scomoda) faccia della medaglia con laconiche espressioni del tipo “a fronte degli irrinunciabili vantaggi potrebbero esserci alcuni problemi di privacy”, senza però una reale intenzione (e voglia) di approfondire le possibili soluzioni o contromisure.
Occorre invece andare oltre, investendo adeguate energie nell’individuazione di soluzioni che consentano di rispettare, anche in questi nuovi scenari, i diritti delle persone, assicurandosi così che lo sviluppo tecnologico avvenga in un clima di fiducia da parte di tutti i soggetti coinvolti[2]. Questa rappresenta ormai una condizione essenziale e irrinunciabile nell’interesse di tutti coloro ai quali sta veramente a cuore lo sviluppo armonico ed equilibrato della società: non si può pensare infatti di poter prendere tutti i vantaggi, senza farsi carico dei problemi, semplicemente perché è costoso e faticoso.
In questo contesto è quindi fondamentale individuare rapidamente modi nuovi di applicare i principi della protezione dei dati alla mutata realtà, per assicurare sempre il rispetto dei diritti degli interessati avendo come riferimento, in primo luogo, il nuovo quadro regolatorio europeo contenuto nel Regolamento 2016/679/UE.
Tra i nuovi principi in esso contenuti appare rilevante quello definito “privacy by design” che, nell’ottica di garantire uno sviluppo tecnologico più equilibrato, incoraggia espressamente gli sviluppatori di prodotti, servizi e applicazioni a tenere conto del diritto alla protezione dei dati sin dalla fase di progettazione[3]. Ciò nel presupposto che la tutela è molto più efficace se gli strumenti (hardware e software) utilizzati per il trattamento dei dati personali sono concepiti, sin dall’origine, per un uso responsabile dei dati applicando il criterio della minimizzazione e tecniche di pseudonimizzazione degli stessi, riducendo così i rischi del trattamento e, conseguentemente, l’impatto sui diritti degli interessati. Considerare l’impatto privacy delle tecnologie, sin dalla progettazione, è anche un criterio di efficienza in quanto evita interventi successivi che potrebbero rallentarne, anche considerevolmente, lo sviluppo con conseguenti riflessi negativi in termini di costi.
In altri termini, ricerca e sviluppo tecnologico possono essere la chiave anche per la tutela del diritto fondamentale alla protezione dei dati personali attraverso lo sviluppo delle cosiddette Privacy enhanced technologies (PETs)[4]. In questo contesto il Garante può dare un importante contributo spingendo il settore pubblico e, in particolare l’ambito sanitario, a far tesoro dell’indicazione riportata nel considerando n. 78 del Regolamento 2016/679/UE secondo la quale “i principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”, in modo che la privacy by design diventi un elemento essenziale nella selezione delle forniture di beni o servizi deputati al trattamento dei dati personali per la Pubblica amministrazione e per la Sanità.
In questo complesso scenario una particolare attenzione merita il trattamento dei dati in ambito sanitario che costituisce uno dei contesti più delicati in ragione della natura “ultrasensibile” dei dati che attengono allo stato di salute degli interessati, dati rispetto ai quali l’aspettativa di riservatezza e confidenzialità è, tradizionalmente, molto elevata e la legge garantisce i più alti livelli di protezione.
Qui è necessario che, in primo luogo, tutti gli operatori del sistema sanitario comprendano che esercitare la professione sanitaria oggi vuol dire non solo curare le persone, ma prendersi anche cura dei loro dati. Le due cose non sono più scindibili. In un sistema sanitario sempre più “dipendente” dai dati personali trattati attraverso molteplici strumenti (fascicolo sanitario elettronico, sistemi di diagnostica, telemedicina, dispositivi medici, ecc.) il pieno rispetto dei principi di protezione dati (tra i quali quelli di liceità, correttezza, trasparenza, esattezza, integrità e sicurezza) rappresenta ormai una condizione indispensabile per il corretto svolgimento della professione medica (come peraltro già espressamente previsto del Codice di deontologia medica[5]).
Occorre considerare inoltre che i dati sanitari (e il loro elevato potenziale informativo) sono oggetto di enormi interessi, talvolta illeciti. Non è un caso infatti che l’obiettivo dei più recenti attacchi informatici siano stati proprio i sistemi informativi di aziende sanitarie e ospedali bloccando, anche solo temporaneamente, l’accesso ai dati sanitari con finalità estorsive[6].
Se la sicurezza cibernetica è quindi un tema sempre più critico nel contesto del trattamento dei dati, in particolare nel settore della sanità digitale, non è però quello più insidioso. La disponibilità di grandi quantità di dati e la facilità di condivisione degli stessi non deve infatti indurre i titolari del trattamento ad assumere decisioni che, ove si rivelassero non conformi alla disciplina della protezione dei dati personali, potrebbero incidere in modo rilevante sui i diritti degli interessati. Un grave errore concettuale da evitare è che non basta l’eliminazione dei dati identificativi diretti da un dataset per far perdere allo stesso la qualifica di “insieme di dati personali”. Secondo il Regolamento 2016/679/UE infatti anche un numero, un simbolo o un elemento specifico, attribuito a una persona fisica per identificarla in modo univoco a fini sanitari, rientra nella nozione di dato personale relativo alla salute ed è quindi pienamente soggetto alla disciplina di protezione dati[7].
Il Regolamento europeo prevede inoltre che i dati sulla Salute possono essere usati solo per finalità connesse alla Salute (finalità di cura), per la supervisione del Sistema sanitario nazionale (finalità di governo) e per la ricerca nel pubblico interesse[8] ma lascia agli Stati membri la possibilità di mantenere o introdurre condizioni particolari o ulteriori limiti per il trattamento.
In questo, come in altri ambiti, vi è quindi uno spazio per un mirato intervento, da parte del legislatore nazionale, volto ad adattare le disposizioni normative interne al nuovo quadro europeo e a ridurre gli inevitabili margini di incertezza che potrebbero determinarsi con riferimento alla regolamentazione preesistente.
Pur in un quadro, per certi versi ancora incompleto, il Garante ha avviato un’attività di supporto per i titolari del trattamento, appartenenti al settore pubblico e privato, volta a sostenerli nel complesso processo di cambiamento in corso, in vista della definitiva applicazione delle nuove regole, a partire dal 25 maggio 2018.
Per questo, il 25 maggio scorso è stata inviata una comunicazione ai vertici della Pubblica Amministrazione (Ministeri ed enti centrali, Regioni e Autorità indipendenti), per sensibilizzarli sulla circostanza che manca ormai meno di un anno alla scadenza del periodo transitorio e che occorre quindi effettuare uno sforzo straordinario per completare, entro quella data, le operazioni necessarie a rendere conformi al Regolamento europeo i trattamenti dei dati già in corso.
Nell’invitare i referenti degli Enti a partecipare a un confronto presso la sede dell’Autorità, il Garante ha indicato alla PA tre priorità: identificazione del responsabile della protezione dei dati personali (privacy officer); implementazione delle procedure interne per l’istituzione dei registri dei trattamenti; definizione delle procedure necessarie alla rilevazione, registrazione e comunicazione, quando necessario, delle violazioni dei dati personali (data breach)[9].
Gli incontri, tenutisi nel mese di giugno, costituiscono solo l’avvio di un dialogo volto a creare le condizioni per una transizione positiva che consenta di affrontare, nel modo migliore, le complesse sfide che ci aspettano.
*L’autore scrive a titolo personale. Le opinioni espresse nell’articolo non impegnano l’Autorità Garante della Privacy
_____________________________________________________________________
