Dalle novità introdotte dal nuovo Regolamento europeo sulla privacy ai rischi dei social network, il Dirigente del Dipartimento libertà pubbliche e sanità del Garante della Privacy, spiega a Sanità Informazione il ruolo dell’autorità nella protezione dei dati sensibili nel contesto sanitario
«Il contesto sanitario non ha mai digerito molto la protezione dei dati. D’altro canto, pensano i medici, a cosa serve visto che il giuramento di Ippocrate ci impone di osservare il segreto professionale?». Francesco Modafferi, dirigente del Dipartimento libertà pubbliche e sanità del Garante per la protezione dei dati personali, inizia così il suo intervento al convegno “La protezione dei dati personali: codice di condotta per la sanità”, organizzato nei giorni scorsi presso l’Università Cattolica del Sacro Cuore di Roma. Effettivamente, i medici che la pensano in questo modo non hanno tutti i torti. Il giuramento di Ippocrate prevede infatti un punto specifico dedicato alla protezione dei dati dei pazienti: «Consapevole dell’importanza e della solennità dell’atto che compio e dell’impegno che assumo, giuro di osservare il segreto professionale e di tutelare la riservatezza su tutto ciò che mi è confidato, che vedo o che ho veduto, inteso o intuito nell’esercizio della mia professione o in ragione del mio stato».
«Eppure – prosegue Modafferi dal palco – dal momento in cui i dati sanitari circolano su reti e banche dati ed escono, quindi, dagli studi medici e dagli ambulatori, la mera deontologia diventa insufficiente, e per la protezione dei dati sensibili si richiede molto di più». Ma quali sono i dati sensibili nel contesto sanitario? E in che modo allora vengono tutelati dalla normativa italiana ed europea? Glielo abbiamo chiesto a margine del convegno, iniziativa che ha visto coinvolte associazioni ed aziende per la definizione di un codice di condotta per la sanità.
Dottor Modafferi, quali sono i dati sensibili in sanità e come sono tutelati dalla legge?
«La nozione di dato sensibile riguarda i dati relativi alla salute, i dati genetici, i dati biometrici, i dati relativi alle opinioni politiche, agli orientamenti sessuali, quindi alla sfera più intima della persona. E proprio per questo motivo la regolazione in materia di protezione dei dati ne assicura il massimo della protezione, prevedendo che possano essere trattati solo per specifiche finalità ed una serie di misure di garanzia tese ad assicurare che le persone siano sempre tutelate in ogni aspetto collegato al trattamento dei loro dati».
Tra poco più di un mese entrerà in vigore il nuovo Regolamento europeo sulla protezione dei dati personali. Che cosa cambierà?
«Il trattamento di dati sensibili relativi alla salute in buona sostanza si muoverà in continuità con le regole attuali. Da questo punto di vista le novità che il Regolamento introduce non sono molto significative. Cambia l’approccio che i titolari del trattamento dovranno avere nel trattare i dati, un approccio nuovo che richiede una revisione dei modelli organizzativi e delle procedure per poter dimostrare all’autorità di controllo, quando ve ne fosse bisogno, che tutti i principi e tutti gli adempimenti del Regolamento sono stati rispettati. Questo è quello che il Regolamento definisce responsabilizzazione o accountability, che rappresenta probabilmente una delle più grosse novità del nuovo quadro regolatorio».
Questo convegno è finalizzato alla definizione di un codice di condotta per la sanità. Di che cosa si tratta e quali sono gli obiettivi che dovrebbe perseguire?
«Il codice di condotta è uno degli strumenti previsti dal nuovo Regolamento attraverso il quale tutti i soggetti che fanno parte di un unico contesto di trattamento, come il settore sanitario, possono definire dal basso delle regole per far sì che tutto ciò che viene fatto sia conforme alle previsioni del Regolamento. Le autorità di protezione dei dati devono incoraggiarne l’adozione e poi approvare la proposta dei soggetti coinvolti».
Cosa deve fare il Garante quando riceve segnalazioni che riguardano il trattamento dei dati sanitari?
«Per la delicatezza del dato, queste segnalazioni ricevono una maggiore attenzione da parte nostra. Viene quindi aperta un’istruttoria cui segue, se del caso, un’attività ispettiva per individuare gli elementi di prova della violazione. Il primo interesse è sempre quello di bloccare l’eventuale violazione in atto ed evitare che possa continuare ad arrecare pregiudizio alle persone coinvolte; dopodiché vanno accertate le responsabilità e, quando necessario, applicate le sanzioni».
Per concludere, il caso Cambridge Analyitica ha posto sotto gli occhi di tutti i rischi che si corrono pubblicando le proprie informazioni personali sui social network. Quali sono questi rischi e quali i consigli che può dare agli operatori sanitari e ai pazienti?
«La nostra società sta ormai andando in una direzione che prevede la condivisione più estrema delle informazioni personali, spesso non solo con le persone con cui si è in rapporti ma con chiunque. Ovviamente parlando di dati sulla salute quello che si può dire è limitare quanto possibile la diffusione di aspetti che attengono i dati sensibili, che proprio perché sono più sensibili e più delicati potrebbero rendere più gravi eventuali violazioni».
LEGGI ANCHE: LA SALUTE NELL’ERA DEI BIG DATA: MOLTE LE OPPORTUNITÀ, QUALI I RISCHI?
Articoli correlati
