La CNIL (Commission Nationale de l’informatique et des libertés), Autorità Garante Francese, ha aperto una consultazione pubblica, con scadenza fissata per il prossimo 2 aprile, per la creazione di un “data warehouse” di dati sanitari. Vediamo per quali scopi e quali spunti di riflessione possiamo trarre rispetto al panorama privacy italiano.
Indice degli argomenti
Cos’è un data warehouse?
Un “data warehouse” è una banca dati, costituita da un insieme di dati aggregati provenienti da più fonti, avente, tra le altre, la funzione di agevolare la gestione una gran mole di dati e la relativa analisi.
Scopo della consultazione aperta dal Garante francese
La consultazione aperta dalla CNIL ha lo scopo di creare uno standard per tutti i soggetti interessati alla creazione di archivi di dati sanitari, quindi tutti i soggetti pubblici e privati operanti in campo sanitario, e può avere importanti risvolti per chi decida di aderirvi.
I vantaggi dell’adesione a questo standard
L’adesione allo standard comporterà la possibilità, per gli operatori, di considerare i trattamenti effettuati in conformità allo stesso adeguati a quanto richiesto dalla CNIL, e quindi non più soggetti ad autorizzazione (prevista in Francia); i trattamenti che se ne discosteranno dovranno invece giustificare tale scelta al fine di poter ottenere un’autorizzazione.
Inoltre, l’adesione allo standard permetterà agli operatori di utilizzare i dati raccolti per finalità di ricerca e studio in campo sanitario e più in generale fornirà una base solida e “validata” dall’Autorità Garante nazionale su tempi e modalità di conservazione dei dati.
Ha senso replicare l’iniziativa della CNIL in Italia?
Pur non ritenendo probabile che un’iniziativa di tale portata venga replicata in Italia, a mio parere i vantaggi nel ricorrervi sarebbe indubbi, per molteplici ragioni.
Fare chiarezza nel settore sanitario
Il settore sanitario, del quale spesso mi sono occupato nei precedenti articoli e nell’ambito del quale lavoro, ha, senza alcun dubbio, bisogno di tutto il supporto possibile dall’Autorità Garante, per la “sensibilità” dei dati che ne sono oggetto e per la le conseguenze che una violazione potrebbe comportare in questo ambito per l’interessato in termini di reputazione, immagine e via dicendo.
Adottare una posizione comune in materia di data retention
Uno standard comune per la creazione di un data warehouse sanitario consentirebbe di fare il punto sulla questione relativa alla data retention, materia rimasta spesso oscura per gli operatori sanitari.
La tematica dei tempi di conservazione, fin dalla piena applicazione del GDPR, risalente ormai a maggio 2018, è risultata fra le più ostiche da affrontare, oscillando fra la ritrosia dei titolari delle strutture sanitarie rispetto all’obbligo di cancellare i dati personali in loro possesso e il disorientamento causato dalla difficoltà di individuare un criterio per la determinazione dei termini ‘massimi’ di conservazione del dato.
Come già segnalato in passato, uno strumento utile per districarsi nella tematica dei tempi di conservazione è il Prontuario di selezione per gli archivi delle aziende sanitarie locali e delle aziende ospedaliere, sul quale sono riportati tutti i principali documenti sanitari e contabili, con i relativi tempi di conservazione “minimi”.
Per quanto riguarda invece i tempi di conservazione “massimi”, cui fa riferimento il GDPR, il consiglio rimane quello di realizzare una data retention di concerto con il personale sanitario della struttura, che potrà dare indicazioni sulla conservazione del dato sanitario sulla base delle esigenze di cura del paziente; in altre parole se il referto di un particolare tipo di esame svolto dal paziente ha un’utilità per il personale medico per un periodo di tre anni, è opportuno che si scelga quello come tempo di conservazione massimo, ancorandolo alle finalità di cura del paziente.
È di tutta evidenza che un intervento, da parte del Garante, in una materia che è al tempo stesso ‘nuova’ e complessa, faciliterebbe non poco il lavoro degli operatori sanitari, che potrebbero finalmente avere delle comuni linee guida sulla gestione dei tempi di conservazione e aderire alle stesse per essere certi di conformarsi al GDPR.
Una gestione più agevole della DPIA
La valutazione d’impatto è un altro tema caldo, che una consultazione comune potrebbe rendere di più facile comprensione.
Si segnalano, infatti, negli ultimi anni, una serie di richieste di pareri al Garante, che hanno riguardato il trattamento e l’archiviazione di dati sanitari, sui quali spesso i rilievi mossi dal Garante si sono concentrati sulla presenza o meno di una valutazione di impatto da parte del Titolare o sull’ insufficiente approfondimento della stessa.
Anche in questo campo, sapere che la creazione di un archivio di dati particolari comporti in ogni caso la necessità di procedere, in via preventiva, ad una valutazione d’impatto e magari avere anche delle indicazioni specifiche sugli aspetti da non trascurare, eviterebbe la tendenza, più volte riscontrata, che porta gli operatori sanitari a navigare a vista e adottare soluzioni spesso discutibili, nel tentativo di risultare conformi al GDPR.
Conclusioni
Il GDPR ha introdotto il principio dell’accountability, che ha rappresentato una sorta di rivoluzione, in particolare per paesi come il nostro abituati a fare molto affidamento sul dettame normativo (le misure minime del D.lgs. 196/03) al fine di “rispettare la privacy”.
Ritengo che un sistema improntato sulla responsabilizzazione del Titolare vada considerato un sistema migliore e più maturo, in quanto concede al titolare del trattamento ampio margine di manovra, rimanendo all’interno dei confini tracciati dal GDPR.
Tuttavia, ci sono determinati ambiti, e quello sanitario è forse il principale, in cui questa discrezionalità dovrebbe essere, per quanto possibile, limitata, al fine di garantire una maggior tutela all’interessato, ed è perciò necessaria la massima collaborazione tra gli addetti ai lavori e l’Autorità Garante.
