Applicazione del GDPR in ambito sanitario

L’applicazione del Regolamento 679/2016 in ambito sanitario configura una delicata contemperazione di diritti ed interessi il cui equilibrio è tutt’altro che scontato, in considerazione della progressiva evoluzione tecnologica della Società cd dell’informazione e della necessità di formare ed implementare una cultura della sicurezza dei trattamenti di dati personali “sanitari”.

Per dati sanitari devono intendersi quelle categorie di dati personali afferenti allo stato di salute dell’interessato e che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso.

Il considerando 35 del Regolamento chiarisce a tal proposito che tali dati comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

Più esplicitamente, tra le definizioni fornite dall’art. 4 n. 15 del Regolamento, si legge che i “dati relativi alla salute” sono dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Dunque i dati sanitari, come espressamente previsto dall’art. 9 del Regolamento, sono qualificati come dati particolarmente sensibili e degni di una specifica protezione (rafforzata secondo la Giurisprudenza di legittimità) al fine di prevenire potenziali minacce di violazione dei diritti, delle libertà fondamentali e della dignità della persona.

Tuttavia, il generale divieto di trattamento dei dati personali di cui all’art. 9 del Regolamento non opera per il settore sanitario in una serie di casi che sono comunque riconducibili all’erogazione della prestazione sanitaria complessivamente intesa, da intendersi quale base giuridica legittimante il trattamento.

Si pensi ad esempio ai casi in cui, sempre ai sensi dell’art. 9 del Regolamento, il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri, ovvero al caso in cui il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici.

Appare dunque imprescindibile che anche in ambito sanitario il Titolare del trattamento adotti, nell’ambito del generale principio di accountability introdotto dal Regolamento, misure di sicurezza tecniche ed organizzative dirette ad assicurare (in concreto ed in modo dimostrabile dal Titolare) un’adeguata protezione dei dati, con tecniche di pseudonimizzazione, anonimizzazione o cifratura.

La gestione della sicurezza del trattamento, nell’ambito degli innovativi concetti di privacy by design e privacy by default, si rivela particolarmente significativa in relazione al sempre più progressivo sviluppo della c.d. “sanità elettronica o digitale” che, a tendere consentirà di rendere sempre più efficiente e di qualità le prestazioni del moderno Servizio Sanitario Nazionale.

Le misure di sicurezza previste dall’art. 32 del Regolamento dovranno necessariamente valutarsi avuto riguardo al sempre più crescente flusso di dati sanitari generati dall’uso delle nuove tecnologie.

Sarà quindi sempre più auspicabile uno sviluppo progressivo dell’economia digitale pur contemperato da un sistema efficiente ed efficace di garanzie che assicuri certezza alla protezione dei dati personali e della dignità della persona.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Applicazione del GDPR in ambito sanitario

Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco