Trattamento dei dati genetici, biometrici e sanitari: ecco le misure di garanzie - Cyber Security 360

L'approfondimento

Trattamento dei dati genetici, biometrici e sanitari: ecco le misure di garanzie

Per la loro particolare delicatezza, i dati biometrici, legati alla salute o genetici richiedono misure di garanzia per essere adeguatamente trattati secondo il GDPR: vediamo cosa prevede la normativa

05 Mar 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer


Nell’ambito delle attività di trattamento dei dati genetici, biometrici e relativi alla salute, in ragione della particolare sensibilità, è richiesta l’adozione di misure di garanzia.

Queste devono essere rivolte alla maggiore protezione dei diritti e delle libertà fondamentali dell’interessato a completamento della base giuridica per il trattamento di dati di categorie particolari. L’individuazione di tali misure è derogata dal GDPR agli ordinamenti dei singoli Stati membri, e in Italia sarà adottata con provvedimento del Garante.

Dati biometrici, sanitari e genetici: le particolari tutele

Dopo aver indicato le basi fondanti la liceità delle attività di trattamento di categorie particolari di dati, l’art. 9.4 GDPR[1] introduce, limitatamente al trattamento dei dati genetici, biometrici e relativi alla salute, la possibilità per ciascuno degli Stati membri di introdurre ulteriori condizioni. Tale disposizione consente in tal modo l’individuazione di una serie di misure specifiche (in quanto collegate a finalità e categorie di dati) e appropriate (in quanto idonee a fornire una tutela effettiva) a protezione dei diritti fondamentali degli interessati e dei dati personali[2].

Le misure così individuate non devono però costituire un ostacolo alla libera circolazione dei dati all’interno del territorio dell’Unione, conformemente con il dettato dell’art. 1.3 GDPR per cui la libera circolazione dei dati personali all’interno dell’Unione non può trovare né limitazioni né divieti derivanti dalla normativa in materia di protezione dei dati personali.

La delega è stata recepita in sede di riforma del Codice Privacy con l’introduzione dell’art. 2-septies, rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, il quale pone a carico del Garante il compito di individuare così le ulteriori condizioni, dette misure di garanzia, tramite un provvedimento a cadenza almeno biennale adottato a seguito di una consultazione pubblica della durata di un periodo non inferiore a sessanta giorni.

Il provvedimento del Garante, secondo la relazione di accompagnamento al d.lgs. 101/2018[3] e il secondo comma dell’art. 2-septies, deve tenere in particolare considerazione lo “stato dell’arte”, ovverosia:

  • sul piano normativo: linee guida, raccomandazioni e migliori prassi pubblicate dal Comitato europeo per la protezione dei dati;
  • sul piano tecnologico: l’evoluzione tecnico-scientifica del settore;

nonché il più volte richiamato interesse alla libera circolazione dei dati all’interno del territorio dell’Unione. Circa il contenuto, invece, la relazione indica espressamente l’esigenza di individuare tanto delle misure di carattere tecnico ed organizzativo quanto delle misure di sicurezza, rapportate sia alle categorie di dati sia alle finalità di trattamento perseguite.

A tale riguardo, il quinto comma dell’art. 2-septies richiama a titolo esemplificativo:

  • misure di sicurezza consistenti nella cifratura e nella pseudonimizzazione;
  • misure a garanzia della minimizzazione dei dati;
  • modalità specifiche di accesso selettivo ai dati;
  • modalità per rendere le informazioni agli interessati;
  • modalità per consentire l’effettivo esercizio dei diritti da parte degli interessati.
WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

I presidi così individuati, pertanto, riguarderanno la conformità ai principi del GDPR, la sicurezza dei trattamenti e la tutela degli interessati, e avranno la funzione di integrare la base giuridica individuata per il trattamento di categorie particolari di dati personali.

Le misure dell’abrogato art. 83 Codice privacy

Nell’ambito delle prestazioni del medico di medicina generale, del pediatra o altrimenti da parte di strutture pubbliche e private che erogano prestazioni sanitarie o socio-assistenziali l’impianto normativo del Codice prevedeva già alcune “misure per il rispetto dei diritti degli interessati” con l’abrogato art. 83.

Tali misure erano rivolte a garantire il rispetto di diritti, libertà fondamentali e dignità degli interessati andando a f0rnire effettività al segreto professionale, e comprendevano l’adozione dei seguenti presidi minimi:

  • soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad adempimenti amministrativi preceduti da un periodo di attesa all’interno di strutture, un ordine di precedenza e di chiamata degli interessati prescindendo dalla loro individuazione nominativa;
  • l’istituzione di appropriate distanze di cortesia, tenendo conto dell’eventuale uso di apparati vocali o di barriere;
  • soluzioni tali da prevenire, durante colloqui, l’indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute;
  • cautele volte ad evitare che le prestazioni sanitarie, ivi compresa l’eventuale documentazione di anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti;
  • il rispetto della dignità dell’interessato in occasione della prestazione medica e in ogni operazione di trattamento dei dati;
  • la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa essere data correttamente notizia o conferma anche telefonica, ai soli terzi legittimati, di una prestazione di pronto soccorso;
  • la formale previsione, in conformità agli ordinamenti interni delle strutture ospedaliere e territoriali, di adeguate modalità per informare i terzi legittimati in occasione di visite sulla dislocazione degli interessati nell’ambito dei reparti, informandone previamente gli interessati e rispettando eventuali loro contrarie manifestazioni legittime di volontà;
  • la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute;
  • la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

Tali presidi, oltre ad essere utili riferimenti per lo svolgimento di audit per verificare il rispetto degli artt. 24 e 32 GDPR, non possono che continuare a trovare applicazione in quanto compatibili con il GDPR per effetto delle disposizioni transitorie di cui all’art. 22 comma 11 d.lgs. 101/2018[4].

La violazione delle misure di garanzia

Dal momento che le misure di garanzia avranno il ruolo di fondare la liceità delle attività di trattamento di dati genetici, biometrici e relativi alla salute, la violazione delle relative prescrizioni non può che comportare un trattamento illecito di dati personali.

In sede di responsabilità penale, il riformato art. 167 del Codice, infatti, prevede il delitto di trattamento illecito di dati personali e al secondo comma introduce la fattispecie specifica consistente nel trattamento di dati personali in violazione delle misure di garanzia di cui all’art. 2-septies del Codice. La violazione delle misure di garanzia, inoltre, non può che comportare una responsabilità amministrativa per effetto della violazione dell’art. 9 GDPR, con la possibilità per l’autorità di controllo di irrogare la sanzione pecuniaria per le violazioni più gravi[5] ai sensi dell’art. 83.5 GDPR oltre che, ovviamente, di esercitare tutti i poteri correttivi richiamati dall’art. 58.2 GDPR.

Ultima, ma non di minore importanza, è anche la responsabilità civile qualora dalla violazione di una o più delle misure di garanzia derivi un danno per gli interessati. Coerentemente con l’impianto di responsabilità introdotto dal GDPR[6], infatti, anche nell’ipotesi di porzioni di attività di trattamento delegate a responsabili del trattamento correttamente designati non può che sussistere una responsabilità risarcitoria salvo prova della non imputabilità del danno.

Conclusioni

All’interno di più provvedimenti[7], l’Autorità Garante per la protezione dei dati personali ha già espressamente riconosciuto l’esigenza di completare il quadro normativo applicabile ai dati biometrici, genetici e relativi alla salute mediante l’individuazione delle misure di garanzia (assieme alla promozione di regole deontologiche), ma a fronte delle continue proroghe per la nomina dei membri del nuovo Collegio è lecito per tutti gli operatori chiedersi se tale provvedimento possa essere riconducibile agli affari correnti e dunque auspicabilmente adottabile dall’attuale Garante, o se altrimenti non possa che essere uno dei primi provvedimenti che saranno adottati a fronte delle nuove elezioni. In ogni caso, la speranza è che l’agenda sia quella del 2020.

NOTE

[1] «Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.»

[2] Così, il considerando n. 53 GDPR.

[3] Disponibile sul sito della Camera

[4] «Le disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, relative al trattamento di dati genetici, biometrici o relativi alla salute continuano a trovare applicazione, in quanto compatibili con il Regolamento (UE) 2016/679, sino all’adozione delle corrispondenti misure di garanzia di cui all’articolo 2-septies del citato codice, introdotto dall’articolo 2, comma 1, lett. e) del presente decreto.»

[5] E dunque: sanzioni fino a 20 milioni di euro o il 4% del fatturato mondiale annuo.

[6] Rif. art. 82 GDPR, rubricato “Diritto al risarcimento e responsabilità”.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

[7] Quali, ad esempio questo e questo.

@RIPRODUZIONE RISERVATA