La Regione, titolare del trattamento dei dati sanitari, risponde anche nel caso di trattamento illegittimo su richiesta del Ministero

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio
PDF

Il noto decreto legge n. 34 del 2020 ha previsto che il Ministero della Salute possa trattare dati personali anche relativi alla salute degli interessati per sviluppare dei sistemi predittivi dell’evoluzione delle necessità legate alla salute della popolazione italiana. Per permettere al Ministero di svolgere tale compito, il suddetto Decreto legge è stato modificato nel dicembre 2021, prevedendo che i dati personali relativi alla salute degli interessati, privati di elementi identificativi di questi ultimi, possano essere trattati dal Ministero e da altri Enti, tra cui le Regioni, relativamente ai propri assistiti. In considerazione di tali recenti modifiche, il Ministero della Salute ha coinvolto 8 regioni nelle attività finalizzate alla costruzione di modelli analitici che serviranno per la realizzazione del modello predittivo di cui al citato d.l. 34/2020, istituendo a tal fine un apposito gruppo di lavoro interistituzionale.

Il Garante per la protezione dei dati personali ha, quindi, svolto un’istruttoria finalizzata a conoscere l’attività di tale gruppo di lavoro e dei trattamenti effettuati anche dalle Regioni coinvolte, chiedendo a tal fine informazioni al Ministero, per valutare il rispetto della normativa in materia di privacy.

Il Ministero ha quindi comunicato al Garante di essersi limitato a recepire i dati statistici, relativi alla salute degli assistiti delle varie Regioni coinvolte, che erano già stati “aggregati” dalle Regioni medesime.

In considerazione di ciò, il Garante ha avviato un’istruttoria anche nei confronti delle regioni coinvolte, fra le quali la Lombardia, chiedendo loro informazioni in merito ai trattamenti effettuati nell’ambito delle attività promosse dal Ministero per realizzare il suddetto prototipo del modello predittivo.

>> Leggi il Provvedimento n. 65 del 24 febbraio 2022 del Garante per la protezione dei dati personali

La difesa della Regione Lombardia

La Regione Lombardia ha fatto presente al Garante che non ha trattato alcun dato identificativo diretto e che tutti i dati trattati sono stati pseudonomizzati con meccanismi di cifratura, limitandosi ad inviare al Ministero dei dati aggregati secondo i criteri di aggregazione che erano stati individuati dallo stesso Ministero. In tal modo, non è stato possibile neanche per il Ministero identificare, neanche in maniera indiretta, le persone cui si riferivano i suddetti dati.

In secondo luogo, la Regione ha evidenziato come sia stato proprio il Ministero a fornire alle Regioni coinvolte nel gruppo di lavoro un “tool”, cioè un modello di analisi, per fornire i dati in maniera aggregata e anonima, per garantire l’impossibilità di identificare i soggetti coinvolti. Inoltre, dopo l’invio dei dati, la Regione ha prontamente cancellato i report e lo stesso tool fornito dal Ministero, per impedire che si potesse replicare il trattamento di dati in questione.

Infine, la Regione ha evidenziato che il suddetto tool ha permesso solo una semplice aggregazione dei dati relativi alla salute, senza che vi sia stato l’uso di strumenti di intelligenza artificiale o algoritmi che abbiano preso una decisione riguardante i soggetti interessati, con la conseguenza che non vi è stato alcun profilo di discriminazione algoritmica.

Leggi anche:

Il parere del Garante

Il Garante ha ritenuto che, nella fattispecie in esame, vi fossero degli elementi idonei a configurare la violazione della normativa privacy da parte della Regione Lombardia, con riferimento al trattamento dei dati comunicati, anche se anonimi e in forma aggregata, al Ministero della Salute, in quanto effettuato in assenza di una idonea base giuridica e senza la preventiva effettuazione di una valutazione di impatto.

>> Leggi il Provvedimento n. 65 del 24 febbraio 2022 del Garante per la protezione dei dati personali

Con riferimento alla mancanza di una base giuridica del trattamento, la Regione ha rilevato come non abbia utilizzato i dati trattati per finalità relative al proprio perimetro di titolarità, ma si è semplicemente limitata a dare seguito all’iniziativa del Ministero della Salute ed assecondare le sue richieste di dati per la realizzazione del suddetto modello predittivo.

In ragione di ciò, secondo la Regione, quest’ultima non può essere considerata titolare del trattamento rispetto alle suddette operazioni ed inoltre non può essere ritenuta obbligata a compiere la preliminare valutazione di impatto del trattamento prevista dal GDPR (dovendo, invece, spettare tale obbligo all’effettivo titolare del trattamento e cioè il Ministero della Salute).

Preliminarmente il Garante ha ricordato che, nel nostro ordinamento, vige un principio generale di divieto di trattamento dei dati relativi alla salute, che viene meno soltanto in presenza di una delle eccezioni previste dal GDPR, fra le quali i motivi di interesse pubblico sulla base del diritto europeo o nazionale, e che sussiste un obbligo di compiere una valutazione di impatto preliminare nel caso in cui il titolare del trattamento voglia usare delle nuove tecnologie che possano presentare un rischio per le libertà e i diritti degli interessati.

Ciò premesso, il Garante ha ritenuto che la Regione Lombardia nel rispondere alle richieste di dati da parte del Ministero abbia comunque effettuato una elaborazione e una successiva aggregazione dei dati relativi alla salute dei propri cittadini che detiene nei propri sistemi informatici sanitari in qualità di titolare del trattamento.

Il fatto che il Ministero le abbia chiesto di effettuare le suddette operazioni di trattamento di cui la stessa Regione è titolare, con l’indicazione delle modalità con cui effettuare detto trattamento, non fa perdere alla Regione stessa la qualifica di titolare del trattamento e non trasferisce detta qualifica in capo al Ministero.

Pertanto, spetta al titolare del trattamento – che legittimamente detiene i dati di cui si tratta – valutare la legittimità della richiesta di trattamento proveniente dal soggetto terzo (nel caso di specie il Ministero) e quindi se sussiste una idonea base giuridica che giustifica le operazioni di trattamento che sono state richieste.

In considerazione di ciò, la Regione Lombardia avrebbe dovuto valutare che la richiesta di trattamento dei dati di cui la stessa aveva la disponibilità, proveniente dal Ministero, risultava carente di idonea base giuridica per il fatto che il trattamento richiesto era al di fuori delle finalità perseguibili dalla Regione stessa e delle funzioni alla stessa attribuite.

Infatti, secondo il Garante, la semplice richiesta proveniente dal Ministero di fornire dati relativi alla salute in possesso della Regione non può considerarsi di per sé una base giuridica idonea.

Come ulteriore conseguenza del permanere la qualifica di titolare del trattamento in capo alla Regione, deriva che quest’ultima avrebbe dovuto compiere la valutazione di impatto prevista dall’art. 35 del GPDR.

In conclusione, il Garante, tenuto conto comunque della buona fede della Regione e del fatto che i dati sono stati comunicati in forma anonimizzata e aggregata e cancellati subito dopo l’invio, si è limitato ad ammonire la Regione per la propria condotta illecita.

Ebook consigliato:

I rischi nel trattamento dei dati - e-Book in pdf

I rischi nel trattamento dei dati - e-Book in pdf

Michele Iaselli, 2021, Maggioli Editore

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA. Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a...



 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

  • Rimani aggiornato sulle novità del mondo del diritto
  • Leggi i commenti alle ultime sentenze in materia civile, penale, amministrativo
  • Acquista con lo sconto le novità editoriali – ebook, libri e corsi di formazione

Rimani sempre aggiornato iscrivendoti alle nostre newsletter!

Iscriviti alla newsletter di Diritto.it e