Contitolarità nel trattamento dati in Sanità: linee guida e misure organizzative

Molto spesso, soprattutto nel settore della sanità privata, i consulenti si imbattono in situazioni in cui il trattamento dei dati viene gestito da due soggetti con le medesime capacità giuridiche (“contitolarietà”), rientranti a pieno titolo nell’ipotesi prevista dall’art. 26 del GDPR.

È opportuno, quindi, individuare e fornire un metodo di lavoro nei casi in cui sussista un rapporto fondato sulla determinazione congiunta di “finalità e mezzi del trattamento” dei dati; ciò può avvenire, ad esempio, tra un fornitore di servizi esterni ed un centro diagnostico (un consorzio del quale faccia parte il centro diagnostico) pur esso identificato come titolare dei dati particolari.

Contitolarità nel trattamento dati: obblighi e rapporti di collaborazione

L’accordo regolamentare richiesto dal legislatore comunitario tra i soggetti identificati come parti del rapporto di co-titolarità, dovrebbe contenere in prima istanza una serie di premesse legate:

• ai termini e le espressioni utilizzate nell’accordo: a tali termini occorre dare il significato loro attribuito dal Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (“GDPR”);
• identificare con estrema precisione il trattamento di dati personali consistente nell’esecuzione di vari tipi di operazioni sulle categorie di dati personali: si tratta di dati personali comuni e particolari (sensibili) relativi ai rapporti professionali descritti negli allegati relativi alla natura dei rapporti intercorrenti tra I soggetti cointeressati del trattamento;
• specificare quali siano le attività oggetto del rapporto di contitolarità e quali quelle che non vi rientrano.

In seconda battuta, appare imprescindibile stigmatizzare quali siano i servizi offerti e, pertanto, è necessario esaminare il flusso utenti/soggetti coinvolti nel medesimo trattamento, come ad esempio i momenti che concernono:

• accettazione del paziente;
• inserimento codice fiscale per verifica anagrafica;
• stampa e firma consensi;
• erogazione servizio sanitario;
• consegna referti;
• verifica identità delegati al ritiro;
• archiviazione cartella utente.

Per quanto riguarda il momento del rilascio delle informative ai richiedenti la prestazione sanitaria, le parti determinano in modo chiaro le rispettive responsabilità per l’adempimento degli obblighi derivanti dal GDPR, in particolare per quanto riguarda l’esercizio dei diritti dell’interessato e la comunicazione di informazioni da fornire all’interessato con l’informativa (artt. 13 e 14 GDPR).

Le parti identificano i metodi e le misure più appropriate per garantire che tutte le operazioni di trattamento siano conformi ai principi generali di cui all’articolo 5 del GDPR e alla legislazione nazionale dello Stato membro in cui viene effettuato il trattamento, con particolare riferimento ai principi di liceità, correttezza e trasparenza nei confronti degli interessati, così come la limitazione delle finalità, la minimizzazione dei dati e l’accuratezza del trattamento.

Ogni contitolare che raccoglie dati personali direttamente dall’interessato garantirà:

• di fornire all’interessato un’informativa sulla protezione dei dati in conformità alle prescrizioni dell’articolo 13 del GDPR, avendo cura di specificare oltre all’ambito del trattamento (per il quale esiste una co-titolarità), anche l’ambito del trattamento che riguarda la titolarità autonoma dell’altra parte;
• di ottenere il consenso dell’interessato in conformità con le disposizioni del GDPR e mettere a disposizione dell’altra parte tutti i documenti che confermano la comunicazione dell’informativa e l’eventuale consenso ottenuto.

Ogni contitolare che raccoglie dati personali da terzi diversi dagli interessati, si assicurerà:

• di fornire all’interessato un’informativa sulla protezione dei dati in conformità alle prescrizioni dell’articolo 14 del GDPR, avendo cura di specificare l’ambito del trattamento (per il quale esiste una co-titolarità) così come l’ambito del trattamento che riguarda la titolarità autonoma dell’altra parte;
• di ottenere, ove applicabile, il consenso dell’interessato in conformità con le disposizioni del GDPR e mettere a disposizione dell’altra parte tutti i documenti che confermano la comunicazione e l’eventuale consenso ottenuto.

Il co-titolare che riceve la richiesta, informa l’interessato dei termini essenziali dell’accordo fornendo anche una copia completa o sintetizzata del testo. Ciascuna parte garantisce e rende effettivi i diritti di cui agli articoli 15 (diritto di accesso), 16 (diritto alla rettifica), 17 (diritto alla cancellazione), 18 (diritto alla limitazione del trattamento), 19 (obbligo di notifica relativo al diritto alla rettifica o cancellazione di dati personali o restrizione del trattamento), 20 (portabilità dei dati), 21 (diritto di opposizione), indipendentemente dal fatto che tali diritti verranno esercitati da uno degli interessati. Le parti concordano in buona fede la designazione di un unico riferimento comune come punto di contatto per le persone interessate.

In ogni caso, ciascuna parte, sebbene non direttamente sollecitata a trattare le istanze degli interessati che esercitano i propri diritti, coopererà con l’altra parte che riceve le richieste di tali interessati, al fine di garantire il completo soddisfacimento alle richieste degli interessati, purché in linea con la normativa applicabile. In caso contrario, la parte che ha determinato, con la sua condotta negligente, un inadempimento in tal senso, è esposta al ricorso legale dell’altra parte come risultato della perdita economica (compresi i costi legali) sofferta da quest’ultima in conseguenza dell’azione di risarcimento dei danni intrapresa dall’interessato contro di essa.

Le parti supervisionano, ciascuna nell’ambito della propria organizzazione, il trattamento dei dati, anche attraverso la predisposizione dei ruoli soggettivi di data protection previsti dal GDPR come:

• i responsabili del trattamento dei dati, vincolandoli ad osservare i requisiti dell’articolo 28 del GDPR;
• gli incaricati del trattamento, che agiscono sotto l’autorità del titolare o dei responsabili del trattamento e ai quali sono fornite le istruzioni per l’uso di sole informazioni inerenti ai compiti loro assegnati, conformemente all’articolo 29 del GDPR.

Le linee guida e le misure organizzative dei co-titolari

Entrambi i contraenti nominano, ognuno per il proprio ambito di competenza, un responsabile della protezione dei dati (RPD o DPO) ai sensi dell’articolo 37 del GDPR, e lo scopo della supervisione da questi esercitata riguarda anche il trattamento di dati; è chiaro che la parte interessata procede alla selezione del candidato, alla sua nomina e all’attribuzione delle sue funzioni, dopo consultazione con l’altra parte. In caso di disaccordo, la parte che nomina il DPO/RPD motiverà per iscritto i motivi della sua scelta all’altra parte. Al contrario, nel caso in cui le caratteristiche del trattamento dei dati richiedano una nomina obbligatoria del DPO/RPD, la selezione del candidato, la designazione e l’attribuzione delle sue funzioni saranno decisi mediante un accordo reciproco tra le parti.

Le parti, inoltre, collaborano in buona fede all’esecuzione di una valutazione dell’adeguatezza del trattamento dei dati, sulla base di un’analisi preliminare dei rischi prospettati, al fine di identificare le misure tecniche e organizzative per ridurre al minimo il rischio identificato. Le parti riconoscono il reciproco impegno di far fronte ai problemi della protezione dei dati personali nell’ambito del trattamento fin dalla fase della progettazione, al fine di identificare problemi e soluzioni fin dall’inizio del processo di trattamento.

Se il risultato di tale valutazione mostra che esiste un alto rischio per i diritti e le libertà degli interessati nell’ambito del trattamento, le parti coopereranno in buona fede per la conduzione della valutazione d’impatto sulla protezione dei dati (DPIA), ai sensi dell’articolo 35 GDPR. Resta inteso che se la valutazione d’impatto dovesse evidenziare un alto rischio permanente, nonostante le misure di contenimento adottate, spetta a entrambe le parti procedere a una comunicazione preventiva all’Autorità di Controllo, in coordinamento tra esse.

Le parti stabiliscono, di comune accordo, anche le misure tecniche e organizzative idonee a garantire la minimizzazione dei rischi con riguardo al trattamento dei dati personali. Entrambe le parti supervisionano, anche mediante le rispettive organizzazioni interne, l’effettiva e continua adozione di tali misure. Questo mira ad assicurare che il trattamento avvenga nel rispetto di un’adeguata politica in materia di protezione dei dati, in linea con lo sviluppo normativo e tecnologico. Ciascuna parte notificherà immediatamente all’altra parte qualsiasi potenziale violazione di dati personali (data breach) relativa al trattamento dei dati, di cui la parte è venuta a conoscenza.

Le parti riconoscono che agiranno in buona fede per una cooperazione ottimale al fine di:

• rimediare adeguatamente alle conseguenze della violazione, limitando e minimizzando gli effetti dannosi;
• adottare tutte le misure necessarie per evitare il ripetersi di tali eventi pregiudizievoli;
• notificare la violazione dei dati personali all’Autorità di Controllo, senza alcun ritardo e, comunque, entro 72 ore dal momento in cui ne è venuta a conoscenza, insieme alle informazioni di cui all’articolo 33 GDPR; in particolare:

1. la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo dei soggetti interessati coinvolti nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
2. il nome del punto di contatto presso cui ottenere più informazioni;
3. descrizione delle probabili conseguenze della violazione dei dati personali;
4. descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi;
5. assicurare che queste informazioni possano essere fornite in fasi successive senza ingiustificato ritardo, se non è possibile fornire tali informazioni simultaneamente;
6. valutare se la violazione presenti un rischio elevato per i diritti e le libertà degli interessati, e in tal caso, inviare una comunicazione di violazione dei dati agli interessati senza ingiustificato ritardo;
7. documentare la violazione dei dati, le relative circostanze, le conseguenze e le misure adottate per rimediare alla situazione;
8. registrare questi documenti nel sistema di gestione documentale di cui all’articolo 1.12.

Le parti concordano quale tra di esse tiene la registrazione delle informazioni descrittive dei trattamenti (registro dei trattamenti) con le forme e le modalità stabilite nell’ articolo 30 del GDPR, nonché la relativa mappatura dei dati. Il registro aggiornato deve essere presentato su richiesta dell’Autorità di Controllo dalla parte che lo gestisce. Le parti, in qualità di co-titolari, concordano di centralizzare la documentazione relativa alle prove della loro conformità con il GDPR in relazione al trattamento dei dati presso la sede di uno dei contraenti.

In questo sistema viene incluso, in relazione al trattamento dei dati:

• il registro di cui all’ articolo 1.11 del presente Accordo, insieme alla mappatura dei dati;
• i contratti con i responsabili del trattamento, sub-responsabili e terze parti;
• l’autorizzazione data al responsabile del trattamento per la nomina di sub-responsabili;
• l’atto di designazione dell’eventuale RPD con i relativi compiti;
• le istruzioni scritte impartite alle persone incaricate del trattamento;
• la nomina scritta di un rappresentante di una o di entrambe le Parti nello Stato membro dell’UE;
• il registro delle violazioni dei dati personali di cui all’articolo 1.10 del presente Accordo.

Della gestione e la manutenzione del sistema di documentazione sarà onerata della parte incaricata alla raccolta e gestione, che riceverà la migliore cooperazione dell’altra parte. Sarà compito e responsabilità dell’altra parte comunicare e inoltrare alla parte che amministra il sistema di documentazione qualsiasi documento che certifichi la sua conformità al GDPR per quanto riguarda il trattamento dei dati.

Infine, per assicurare che la struttura organizzativa e le misure tecniche adottate rappresentino un controllo idoneo ed efficace del complesso sistema previsto dalla legge sulla protezione dei dati personali, ciascuna parte consente all’altra di verificare in qualsiasi momento, anche attraverso attività di audit, l’adeguatezza del sistema tecnico e organizzativo predisposto dall’altra parte, al fine di assicurare che le attività di trattamento soddisfino gli standard legislativi.