Per gestire correttamente i trattamenti dei dati personali nel laboratorio di analisi cliniche, alla luce del GDPR, è importante tenere a mente alcune regole utili per l’osservanza di quanto prevede la normativa.
Le attività di laboratorio, infatti, hanno implicazioni privacy: fornisce ai propri utenti informazioni utili al fine di ridurre l’incertezza nelle decisioni che devono essere assunte per diagnosi, prognosi, e monitoraggio dello stato di malattia o di salute degli interessati.
Solitamente queste informazioni derivano dall’attività analitica su campioni provenienti da liquidi biologici e tissutali di origine umana o da materiali connessi alla patologia umana, nonché dall’importante funzione di consulenza che il servizio deve garantire soprattutto nelle fasi pre e post analitica (appropriatezza delle richieste, profili diagnostici, interpretazione dei dati).
Indice degli argomenti
Titolarità, responsabilità e contitolarità
Il laboratorio di analisi cliniche può operare tanto come titolare del trattamento, ossia la persona (fisica o) giuridica che determina le finalità e le modalità del trattamento dei dati; tanto come responsabile del trattamento, quando tratta i dati per conto di un titolare (ad esempio: esami di laboratorio per conto di una struttura sanitaria).
Operando come titolare del trattamento il laboratorio di analisi cliniche soggiace in particolar modo al principio di responsabilizzazione (accountability): il laboratorio di analisi cliniche è pienamente responsabile delle scelte e delle azioni messe in campo (Artt. 5.2 e 24 del GDPR), e deve “darne conto” agli interessati.
Operando come responsabile del trattamento, invece, il laboratorio di analisi cliniche soggiacerà a tutti gli obblighi previsti dagli Artt. 28 e 29 del GDPR nel rapporto con il titolare per conto del quale tratta i dati personali.
Il laboratorio di analisi cliniche potrebbe anche agire come contitolare del trattamento dei dati. Ai sensi dell’art. 26 del GDPR quando due o più titolari determinano congiuntamente le finalità e le modalità del trattamento, essi sono contitolari del trattamento.
La contitolarità viene sancita da un accordo interno che delinea le rispettive responsabilità in merito all’ottemperanza al GDPR.
Informazioni e diritti sui dati personali
Il laboratorio di analisi cliniche titolare del trattamento deve da un lato informare l’interessato circa i suoi diritti in materia di trattamento dei dati personali; dall’altro deve agevolare i diritti previsti dal GDPR nel modo più efficace possibile. Per l’art. 12 del GDPR è necessario:
- utilizzare un linguaggio semplice e chiaro con una forma intellegibile (facilmente comprensibile);
- utilizzare una forma concisa;
- utilizzare una forma trasparente (e veritiera);
- utilizzare una forma facilmente accessibile (affissioni, modulistiche, presenza su sito web del laboratorio ecc.).
Le informazioni rese ai sensi dell’Art. 13 del GDPR devono contenere:
- l’identità e i dati di contatto (reali e aggiornati) del titolare del trattamento (ad esempio: ragione sociale e dati di contatto del laboratorio di analisi cliniche);
- i dati di contatto del DPO;
- le finalità del trattamento;
- la base giuridica utilizzata per il trattamento dei dati (ad esempio: il consenso al trattamento dei dati);
- i destinatari del trattamento, ossia quale persona fisica, giuridica, autorità pubblica o organismo riceve comunicazione dei dati personali. È necessario specificare almeno la categoria di riferimento dei destinatari;
- il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali;
- il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo. È fondamentale stimare diversi periodi di conservazione per le diverse tipologie di dati trattati (anagrafici, relativi alla salute, genetici ecc.);
- i diritti dell’interessato sui suoi dati personali. Sono esercitati senza alcuna formalità e gratuitamente (salvo richieste reiterate, eccessive o infondate); il laboratorio di analisi cliniche titolare del trattamento deve ottemperare alle richieste senza ingiustificato ritardo, al massimo entro un mese dal ricevimento delle stesse (prorogato di due mesi in caso di richieste numerose o complesse). Infine, si risponde, ove possibile, alle richieste nella stessa loro forma: a richieste cartacee si risponde in maniera cartacea, a richieste elettroniche si risponde in maniera elettronica.
Ai sensi dell’art. 15 del GDPR l’interessato ha il diritto di ottenere gratuitamente dal laboratorio di analisi cliniche titolare del trattamento la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nelle “informazioni sul trattamento dei dati”.
Ai sensi dell’art. 16 del GDPR l’interessato ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.
Ai sensi dell’art. 17 del GDPR l’interessato ha il diritto alla cancellazione dei suoi dati:
- nel caso che non siano più necessari rispetto alle finalità di raccolta;
- nel caso revochi il suo consenso e manchino altre basi giuridiche;
- nel caso l’interessato si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso;
- nel caso i dati siano trattati illecitamente da parte del Titolare del trattamento;
- nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetto il titolare del trattamento.
In tutti questi casi il laboratorio di analisi cliniche titolare del trattamento dovrà procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo. Non si applica il diritto alla cancellazione quando:
- vi è un obbligo di legge da rispettare, un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investito il laboratorio di analisi cliniche titolare del trattamento;
- vi sono motivi di interesse pubblico nel settore della sanità pubblica;
- vi sono fini di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi;
- si è in presenza di accertamento, esercizio o difesa di un diritto in sede giudiziaria (Art. 24 Cost.).
Ai sensi dell’art. 18 del GDPR l’interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando:
- contesta l’esattezza dei dati personali;
- il trattamento è illecito;
- l’interessato ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché il laboratorio di analisi cliniche titolare del trattamento non abbia più bisogno di questi dati;
- infine, quando l’interessato si oppone al trattamento dei suoi dati.
Ai sensi dell’art. 20 del GDPR l’interessato ha il diritto alla portabilità dei suoi dati, ossia di ricevere dal laboratorio di analisi cliniche titolare del trattamento i dati personali che lo riguardano, e ha il diritto di chiedere al laboratorio di analisi cliniche titolare del trattamento di trasmetterli ad altro titolare del trattamento (ad esempio, una struttura sanitaria).
Il laboratorio di analisi cliniche titolare del trattamento deve consegnare i dati – o trasmetterli – in un formato strutturato, di uso comune e leggibile da dispositivo automatico. L’interessato può esercitare il diritto alla portabilità dei suoi dati a due condizioni:
- che vi sia la presenza di una base giuridica in alternativa tra consenso e contratto;
- che il trattamento sia effettuato con mezzi automatizzati (non è possibile la portabilità di dati contenuti in modulistica cartacea). Il diritto alla portabilità non pregiudica altri diritti di cui al GDPR.
Infine, ai sensi dell’Art. 21 del GDPR l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento avente come basi giuridiche l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ovvero il legittimo interesse del titolare del trattamento:
- le informazioni sul trattamento dei dati devono contenere la possibilità che l’interessato revochi il suo consenso – se utilizzato come base giuridica – in qualunque momento (e senza motivazioni). In questo caso è lecito il trattamento effettuato prima della revoca del consenso;
- le informazioni sul trattamento dei dati devono contenere il diritto di proporre reclamo presso un’Autorità di controllo (ad esempio, il Garante Privacy);
- le informazioni sul trattamento dei dati devono specificare se la comunicazione di dati personali (ai destinatari) è un obbligo di legge o contrattuale, se l’interessato ha l’obbligo di fornire tali dati e le possibili conseguenze nel caso in cui lo stesso non volesse procedere con la comunicazione;
- le informazioni sul trattamento dei dati devono specificare se è in atto un processo decisionale automatizzato (Art. 22 del GDPR), con la logica utilizzata, l’importanza e le conseguenze di tale trattamento.
Se il laboratorio di analisi cliniche titolare del trattamento avesse necessità di trattare ulteriormente i dati personali degli interessati per un’altra finalità, sarà necessario informar loro in merito a questo ulteriore trattamento.
Le basi giuridiche
Novità del Regolamento Europeo 2016/679 è la base giuridica di cui all’Art. 9.2 lett. h) del GDPR: è lecito il trattamento dei dati particolari per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali […] ovvero conformemente al contratto con un professionista della sanità […].
In questi casi non è necessario il consenso al trattamento dei dati personali, in quanto la liceità del trattamento è data da una delle “attività” tipizzate dall’Art. 9.2 lett. h) del GDPR.
A garanzia di quanto affermato vi è l’art. 9.3 GDPR, il quale dispone che è possibile utilizzare la base giuridica di cui all’Art. 9.2 h) solo se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale […] o da altra persona anch’essa soggetta all’obbligo di segretezza […].
“Sempreverde” è la base giuridica del consenso al trattamento dei dati, di cui agli Artt. 6.1 lett. a) e 9.1 lett. a) del GDPR).
Nel laboratorio di analisi cliniche è possibile utilizzare il consenso per diversi trattamenti e finalità, non rientranti nell’alveo dell’Art. 9.2 lett. h). Ad esempio, per comunicare con il paziente / cliente interessato tramite telefono, SMS, messaggistica istantanea ovvero per e-mail è necessario un autonomo consenso.
Per quanto attiene ai requisiti del consenso, ci si interfaccia con l’Art. 7 del GDPR. Tra le disposizioni:
- il laboratorio di analisi cliniche deve dimostrare che il paziente / cliente interessato ha prestato il proprio consenso;
- ad ogni finalità del trattamento deve esserci un autonomo consenso;
- il consenso deve essere comprensibile, facilmente accessibile, con linguaggio semplice e chiaro e chiaramente distinguibile da altre materie (e finalità);
- il consenso è revocabile con la stessa facilità con la quale è prestato, in qualsiasi momento;
- la revoca del consenso non pregiudica il trattamento posto in essere sino ad allora;
- il consenso è sempre informato.
Infine, il consenso deve essere esplicito (Art. 9.2 lett. a del GDPR). È possibile che il laboratorio di analisi cliniche possa trattare taluni dati personali mediante altre basi giuridiche:
- art. 9.2 lett. c) del GDPR quando il trattamento dei dati è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- art. 6.1 lett. b) del GDPR quando il trattamento è necessario all’esecuzione di un contratto in cui l’interessato è parte;
- art. 6.1 lett. c) del GDPR quando il trattamento è necessario per adempiere ad un obbligo legale cui è soggetto il laboratorio di analisi cliniche (ad esempio, invio di alcuni dati al SSR);
- art. 6.1 lett. e) del GDPR quando il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il laboratorio titolare del trattamento;
- art. 6.1 lett. f) del GDPR quando il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.
Il laboratorio di analisi cliniche titolare del trattamento valuta autonomamente le basi giuridiche da utilizzare, caso per caso.
Sicurezza del trattamento
L’art. 32 del GDPR dispone che per approntare delle adeguate misure di sicurezza il titolare del trattamento deve tener conto dello stato dell’arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un’analisi del rischio sui dati personali trattati).
Il tutto per garantire un livello di sicurezza adeguato al rischio. Tra le “soluzioni” che l’art. 32 del GDPR elenca – in maniera non esaustiva – vi sono:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico (ad esempio un backup);
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Inoltre, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Altro punto importante, il laboratorio di analisi cliniche titolare del trattamento fa sì che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso.
Il GDPR per il laboratorio di analisi: gestire un data breach
Cosa succede se il laboratorio di analisi cliniche subisce un data breach? Ai sensi degli Artt. 33 e 34 del GDPR, in caso di data breach il laboratorio di analisi cliniche deve, senza ingiustificato ritardo e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, notificare la violazione al Garante Privacy, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre le 72 ore è necessario allegare alla notifica il motivo del ritardo.
Ecco cosa contiene la notifica del data breach al Garante Privacy:
- descrizione dettagliata del data breach;
- categorie e numero approssimativo di interessati;
- categorie e numero approssimativo di registrazioni dei dati personali;
- dati di contatto del laboratorio di analisi cliniche per tutte le informazioni richieste dal Garante Privacy;
- descrizione delle probabili conseguenze del data breach;
- descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio.
In ogni caso, a prescindere dalla necessità di notifica o meno di un data breach, il laboratorio di analisi cliniche deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Tale documentazione consente al Garante Privacy di verificare il rispetto di quanto disposto dal GDPR.
La formazione del personale del laboratorio
Che si tratti del tecnico di laboratorio, di un collaboratore, ovvero del personale di segreteria, diverse figure professionali che compongono il laboratorio di analisi cliniche trattano o possono trattare dati personali.
L’art. 32.4 GDPR impone che chiunque agisca sotto l’autorità del titolare del trattamento, e abbia accesso ai dati personali, non tratti i dati se non è istruito in tal senso dal titolare del trattamento.
L’art. 2-quaterdecies del Codice Privacy afferma che il titolare del trattamento può prevedere, sotto la sua responsabilità e nell’ambito del suo assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità. Inoltre, il titolare sceglie le modalità più opportune per autorizzare al trattamento tali persone fisiche.
Da un lato il laboratorio di analisi cliniche può autorizzare come meglio crede (responsabilizzazione) il proprio personale al trattamento dei dati, mediante l’attribuzione di specifici compiti e funzioni; dall’altro tale personale deve essere istruito, ossia deve comprendere la reale portata dell’autorizzazione.
In altre parole, il personale autorizzato deve essere formato. La formazione del personale deve essere una priorità, in quanto avere degli operatori che comprendono l’importanza di trattare adeguatamente i dati personali espone a rischi privacy e di sicurezza nettamente minori, e questo è un indubbio vantaggio per qualunque titolare del trattamento.
Responsabili del trattamento
Quando il laboratorio di analisi cliniche opera in qualità di titolare del trattamento si rapporta con diversi soggetti esterni che trattano dati personali per suo conto.
Si prenda, ad esempio, il caso del commercialista che cura la gestione contabile ovvero la ditta che fornisce uno o più software dedicati. Un novero di diversi soggetti che possono, e in taluni casi devono, trattare dati personali.
In questo caso si parla di rapporto tra il laboratorio di analisi cliniche titolare del trattamento ed il terzo responsabile del trattamento, il quale tratta i dati per conto del titolare. Il loro rapporto è rigidamente disciplinato dagli artt. 28 e 29 GDPR.
Questo rapporto deve essere sancito da un contratto o da un altro atto giuridico che abbia la caratteristica di vincolare il titolare del trattamento al responsabile.
Per l’Art. 28 del GDPR il responsabile del trattamento deve fornire delle “garanzie sufficienti” di compliance al GDPR, tra le quali spiccano l’adozione di misure adeguate di sicurezza.
Il responsabile del trattamento non può ricorrere ad un “sub responsabile” senza la previa autorizzazione scritta del laboratorio di analisi cliniche titolare del trattamento.
Inoltre, l’autorizzazione del titolare può essere specifica o generale e, in quest’ultimo caso, il responsabile del trattamento informa il laboratorio di analisi cliniche titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri sub responsabili, dando così al titolare l’opportunità di opporsi a tali modifiche.
Ma quali sono i contenuti previsti dall’Art. 28 del GDPR? Eccoli in dettaglio:
- il responsabile tratta i dati personali soltanto su istruzione documentata del laboratorio di analisi cliniche titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale;
- il responsabile garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- il responsabile deve adottare tutte le misure di sicurezza adeguate richieste ai sensi dell’articolo 32 GDPR;
- il responsabile si impegna a rispettare quanto disposto per i sub responsabili del trattamento;
- il responsabile deve assistere il laboratorio di analisi cliniche titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dei pazienti / clienti interessati;
- il responsabile assiste il laboratorio di analisi cliniche titolare del trattamento nel garantire il rispetto degli obblighi di cui agli Artt. da 32 a 36 del GDPR (misure di sicurezza, data breach e valutazione di impatto),
- il responsabile – su scelta del laboratorio di analisi cliniche titolare – deve provvedere alla cancellazione o alla restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento; il responsabile deve, inoltre, cancellare le copie esistenti, salvo che la legge non preveda la conservazione dei dati;
- il responsabile deve mettere a disposizione del laboratorio di analisi cliniche titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e deve consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati direttamente dal laboratorio di analisi cliniche o da un altro soggetto da questi incaricato.
- il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione Europea, relative alla protezione dei dati.
Registro delle attività di trattamento
Caposaldo del GDPR è ciò che riguarda i registri delle attività di trattamento di cui all’art. 30 del GDPR.
Tutti i laboratori di analisi cliniche sono obbligati alla tenuta di tali registri. Il trattamento su base permanente di dati particolari, tra i quali spiccano i dati relativi alla salute, rende necessario quanto stabilito dall’art. 30 del GDPR.
I registri sono tenuti in forma scritta, ed aggiornati, sotto la responsabilità del titolare del trattamento. Se il laboratorio di analisi cliniche agisce in qualità di titolare del trattamento, è tenuto a rispettare quanto contenuto nell’art. 30.1 del GDPR:
- inserire il nome e i dati di contatto del titolare del trattamento: ragione sociale del laboratorio di analisi cliniche e dati di contatto (via, civico, CAP, città, provincia, contatto telefonico, mail ecc.). Nel caso il laboratorio di analisi cliniche sia contitolare del trattamento, inserirvi anche nome/i e dati di contatto del/i contitolare/i. Sarà necessario inserire anche i dati di contatto del DPO;
- delineare in maniera compiuta quali sono le finalità del trattamento dei dati poste in essere nel laboratorio di analisi cliniche;
- descrivere le categorie di interessati e le categorie di dati personali. Nella prima si inseriscono le categorie di interessati; nella seconda si inseriscono le categorie di dati personali trattati, come i dati personali non particolari (ad esempio anagrafici) e i dati particolari (ad esempio dati relativi la salute);
- descrivere le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (se del caso) i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, inserire i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49 del GDPR, la documentazione delle garanzie adeguate;
- inserire (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati, che non devono discostarsi da quanto previsto nelle informazioni sul trattamento dei dati. Sarà necessario valutare caso per caso la conservazione dei documenti e dei dati ivi contenuti;
- mettere in campo una descrizione generale delle misure di sicurezza tecniche e organizzative adottate di cui all’art. 32 del GDPR.
Nel caso in cui il laboratorio di analisi cliniche agisca in qualità di responsabile del trattamento, sarà tenuto a rispettare quanto contenuto nell’art. 30.2 del GDPR:
- il nome (ovvero ragione sociale) e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati (DPO);
- descrivere le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- ove applicabile, inserire i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49 del GDPR, la documentazione delle garanzie adeguate;
- mettere in campo una descrizione generale delle misure di sicurezza tecniche e organizzative adottate di cui all’art. 32 del GDPR.
La valutazione d’impatto
La valutazione d’impatto sulla protezione dei dati, di cui agli artt. 35 e 36 del GDPR, si configura come un’autonoma valutazione che il titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche.
È richiesta in particolar modo in tre casi:
- quando si procede ad una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- quando si è in presenza di un trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9.1 del GDPR (dati particolari), ovvero di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR;
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (ad esempio: videosorveglianza su larga scala).
Secondo le Linee Guida WP248 del Working Party 29 per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento.
Allorquando un laboratorio di analisi cliniche trattasse dati particolari su larga scala, sarà necessario procedere con una valutazione d’impatto. In base all’art. 35.7 del GDPR una valutazione d’impatto deve contenere:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
- nonché le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
GDPR e laboratorio di analisi cliniche: il ruolo del DPO
L’obbligo di nominare un DPO scatta, ai sensi dell’art. 37 del GDPR, solo nei seguenti casi:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del GDPR ovvero di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR.
Per la nomina di un DPO per il proprio laboratorio di analisi cliniche, sarà fondamentale affidarsi ad un soggetto che abbia una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art. 39 del GDPR (informare, fornire consulenza, sorvegliare l’osservanza del GDPR, sensibilizzare e formare il personale, fornire un parere sulla valutazione d’impatto, cooperare e fungere da punto di contatto con il Garante Privacy).
Inoltre, il DPO può essere un dipendente del laboratorio di analisi cliniche ovvero assolvere i suoi compiti in base a un contratto di servizi (ad esempio, con una società di consulenza che offre servizi DPO).
Il trasferimento all’estero dei dati
Infine, un’eventualità “non remota” per un laboratorio di analisi cliniche è il trasferimento all’estero dei dati, ovvero verso paesi extra UE ed extra SEE.
Nel caso un laboratorio di analisi cliniche abbia necessità di trasferire dei dati personali fuori dall’Unione Europea o fuori dallo Spazio Economico Europeo è necessario porre luce su tre condizioni alternative:
- presenza di una “decisione di adeguatezza”. Se il paese verso cui il laboratorio di analisi cliniche vuole trasferire i dati – allo stato attuale: Andorra, Argentina, Canada, Isole Faer Oer, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA;
- in assenza di una “decisione di adeguatezza”: il trasferimento dei dati personali deve essere effettuato sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea (quali ad esempio responsabili esterni o contitolari del trattamento), che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR);
- in assenza delle precedenti condizioni, l’art. 49 del GDPR, prevede alcune eccezioni – da utilizzare in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento.
In quest’ultimo caso, il trasferimento può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:
- l’utente (ad esempio il cliente) ha espresso esplicitamente il proprio consenso al trasferimento, una volta informato dal titolare dell’assenza delle condizioni precedenti e degli eventuali rischi;
- il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente (ad esempio il cliente) e il titolare stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente.