Quali sono gli obblighi per le strutture sanitarie che nello svolgimento della propria attività aziendale effettuano un trattamento di dati genetici? Come possiamo declinare i principi generali stabiliti dal GDPR e dal codice privacy novellato nell’attività concreta dell’organizzazione aziendale, anche in riferimento all’importante e recente provvedimento del Garante per la protezione dei dati personali?[1]
Sono questi gli interrogativi che si pone un’azienda la quale attribuisce alla propria attività economica non puramente una mera connotazione economicistica basata esclusivamente sul profitto ma anche, per così dire, etica intesa come rispetto delle persone fisiche non come entità astratte. Tali realtà devono raggiungere un elevato standard qualitativo e di conformità alle norme in materia di protezione dei dati personali.
Indice degli argomenti
La nozione di dato genetico
Il Legislatore eurounitario, nel GDPR, definisce come dati genetici quei “dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”.
Ancora, nel considerando n. 34 del GDPR, si precisa che per dati genetici si intendono quei dati personali relativi “alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti”.
I dati genetici si riconducono alla categoria dei dati particolari di cui è vietato il trattamento salvo risulti aderente ad una delle eccezioni definite dall’art. 9, par. 2, del GDPR. Tale elenco ha carattere esaustivo e tassativo, non suscettibile di ampliamento da parte dei privati. Non sarebbe ammissibile, e lecito, un trattamento di tali dati personali per esigenze, necessità e finalità ulteriori rispetto a quelle cristallizzate in tale articolo. Considerato il rango di tali diritti, il margine di interpretazione creativa per il giurista in tali casi è nullo.
Ebbene, precisata la nozione di “dato genetico”, le strutture sanitarie ed i laboratori, privati e convenzionati, dovranno far fronte ad una serie di adempimenti definiti dal Garante per la protezione dei dati personali.
Trattamento di dati genetici: le misure organizzative
In considerazione della delicatezza dei dati oggetto del trattamento analizzato, possiamo elencare, viste le prescrizioni del Garante Privacy, quali siano le misure organizzative necessarie che dovrebbero essere adottate.
In primo luogo, per la custodia e per la sicurezza dei dati genetici dovrebbe essere redatta e adottata una procedura specifica d’identificazione di accesso ai locali delle persone autorizzate al trattamento, nel rigoroso rispetto dei principi fondamentali contenuti nella normativa di settore al fine di garantirne la confidenzialità, l’integrità e la disponibilità dei dati personali degli interessati.
L’accesso ai locali dovrebbe essere di norma controllato da un responsabile e consentito preferibilmente solo a soggetti interni all’organizzazione aziendale, preventivamente identificati e autorizzati dalla Direzione.
L’accesso ai suddetti locali, e il successivo trattamento dei dati genetici, saranno necessari esclusivamente per finalità connesse all’adempimento delle mansioni lavorative degli autorizzati.
Di conseguenza, dovrebbe essere vietato l’accesso a soggetti esterni all’organizzazione, al pubblico, e dopo l’orario d’ufficio a meno che tali soggetti non siano stati specificatamente identificati, autorizzati all’accesso, che l’attività non sia finalizzata all’espletamento della propria mansione lavorativa e che tale evento venga registrato.
Particolare attenzione dovrà poi essere prestata da quelle organizzazioni che dispongono di “punti di accesso” distribuiti sul territorio e che tale processo aziendale sia affidato in outsourcing.
In tali casi, appare necessario definire una procedura attinente alla conservazione, l’utilizzo e, in particolare, al trasporto dei campioni biologici, con modalità volte a garantirne la qualità, l’integrità, la disponibilità e la tracciabilità degli stessi. Il documento interno dovrà, pertanto, contenere delle rigide regole atte a definire le misure tecniche adottate dall’organizzazione aziendale.
Occorrerebbe, inoltre, individuare appropriate istruzioni per il personale autorizzato, andando ad individuare le corrette modalità e cautele rapportate al contesto nel quale è effettuato il trattamento dei dati.
Trattamento di dati genetici: le misure tecniche
Il rispetto di adeguate misure tecniche da parte dell’organizzazione che procede al trattamento di dati genetici è di fondamentale importanza.
Occorre garantire un trasferimento sicuro dei dati genetici in formato elettronico.
I documenti che li contengono dovranno essere trasmessi esclusivamente con posta elettronica certificata, previa cifratura delle informazioni (da realizzarsi con firma digitale), trasmettendo la chiave crittografica mediante canali di comunicazione differenti.
Il ricorso a canali di comunicazione di tipo web application è ammissibile, esclusivamente, previa verifica e certificazione sui protocolli di comunicazione sicuri, sull’identità digitale del server che eroga il servizio e sulla postazione client da cui si effettua l’accesso ai dati.
Il titolare del trattamento dovrà adeguare i sistemi di autenticazione basandoli sull’uso combinato di informazioni note ai soggetti all’uopo designati e di dispositivi compliant, anche biometrici; questi ultimi, dovranno essere personali e utilizzati, esclusivamente, per la consultazione dei dati genetici trattati con strumenti elettronici.
Come prescritto dall’Autorità Garante per la protezione dei dati personali, i dati contenuti in elenchi, registri o banche dati, debbono essere trattati con tecniche di cifratura o di pseudonimizzazione, o prediligere altre soluzioni che li rendano temporaneamente inintelligibili, anche a chi è autorizzato ad accedervi, e che permettano l’identificazione degli interessati solo in caso di necessità; in tal modo, sarà possibile ridurre al minimo i rischi di conoscenza accidentale e di accesso abusivo o non autorizzato.
Ma non solo: laddove gli elenchi, i registri o le banche dati, siano conservati con strumenti elettronici e contengano anche dati riguardanti la genealogia o lo stato di salute degli interessati, le predette tecniche devono consentire, altresì, il trattamento disgiunto dei dati genetici e sanitari dagli altri dati personali che permettono di identificare direttamente le persone interessate.
Appare dirimente l’avvenuto potenziamento del sistema informatico aziendale, con un proporzionato livello di criptazione (chiave d’accesso forte, funzione di hash ecc.) e cifrare i dati genetici ivi contenuti. In questo modo, il dispositivo affidato all’autorizzato potrà essere ritenuto sicuro e, inoltre, le informazioni contenute in quel file saranno mascherate, protette e rese illeggibili.
In tal modo, solo le persone che avranno a disposizione la doppia chiave d’accesso personale potranno accedere al sistema, visualizzare il file e leggerne il contenuto. In alternativa a quanto descritto, è l’utilizzo del token; quest’ultimo è adoperato solitamente per criptare i dati finanziari e basato sull’impiego di un meccanismo di crittografia univoca o sull’assegnazione, tramite una funzione indicizzata, di un numero sequenziale o di un numero generato casualmente non derivante esattamente dai dati originali.
In ogni caso, occorrerà sempre assicurare un controllo costante degli accessi al database e di eventuali anomalie, implementando un efficiente sistema di audit log e un rinnovo periodico delle chiavi di accesso.
Trattamento di dati genetici: diritti degli interessati
Nel caso di trattamento dei dati genetici per finalità di cura dell’interessato, è necessario, da parte delle strutture sanitarie e dei laboratori di analisi anche convenzionati, descrivere in maniera dettagliata un’informativa ex art. 13 GDPR. Quest’ultima dovrà essere chiara, scritta con un linguaggio semplice e ben comprensibile, in considerazione della complessità della materia trattata (dati genetici).
Il rispetto del principio di granularità verrà perseguito con la predisposizione di informative specifiche per tutti i trattamenti effettuati. Pertanto, una struttura sanitaria accountable, dovrà distinguere, ad esempio, i trattamenti dei dati personali effettuati relativi all’erogazione della prestazione sanitaria, la possibilità di usufruire del servizio del referto online, la costituzione e l’implementazione del DSE (Dossier Sanitario Elettronico).
Il consenso dell’interessato per il trattamento di dati genetici è necessario, come riportato dal citato provvedimento del Garante privacy, nell’ipotesi di:
- finalità di tutela della salute di un soggetto terzo;
- lo svolgimento di test genetici nell’ambito delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria, salvo che un’espressa disposizione di legge, o un provvedimento dell’autorità giudiziaria in conformità alla legge, disponga altrimenti;
- i trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca o di ricongiungimento familiare. In questi casi, all’interessato è richiesto di dichiarare se vuole conoscere o meno i risultati dell’esame o della ricerca, comprese eventuali notizie inattese che lo riguardano, qualora queste ultime rappresentino per l’interessato un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte;
- finalità di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all’art. 9 del Regolamento.
All’interessato deve garantirsi, altresì, un supporto specialistico da parte di un consulente genetista, la cui attività coinvolge aspetti di tipo sociale e medico.
Conclusioni
In merito a quanto detto è di fondamentale importanza il rispetto della normativa in materia di protezione dei dati personali, in un settore delicato e intimo com’è quello sanitario, ove l’interessato si trova in una condizione di fragilità e il contatto umano, con i professionisti del settore, appare imprescindibile e non sostituibile neanche dalle più avanzate soluzioni tecnologiche, che sono del tutto inidonee a garantire quel livello essenziale di empatia che si crea tra professionista e paziente.
Le strutture sanitarie pubbliche o accreditate istituzionalmente, pertanto, devono garantire accanto all’implementazione di eventuali nuove soluzioni tecnologiche il necessario rispetto del diritto fondamentale alla protezione dei dati personali in una visione umana, etica e integrata, ponendo come stella polare la dignità del paziente, la quale, potremmo dire, non è merce negoziabile.
Allora, possiamo ben riprendere l’auspicio contenuto in un noto testo di Bobbio[2] (“Per una nuova età dei diritti”) per una rinnovata centralità dell’uomo persona fisica e dei suoi diritti soggettivi, inalienabili e riteniamo indisponibili.
Il provvedimento del Garante in materia di trattamento di dati genetici si pone in tale solco e richiama le strutture sanitarie che trattano tali dati particolari ad un rigoroso rispetto di quanto ivi descritto.
NOTE
- Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 – 5 giugno 2019 ↑
- 2 L’età dei diritti, Einaudi, Torino, 1990. ↑
