Le linee guida del Comitato europeo per la protezione dei dati circa il trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza Covid-19

Le linee guida del Comitato europeo per la protezione dei dati circa il trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza Covid-19

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott. Gianfranco Maccarone

Comitato Europeo per la protezione dei dati: Linee-guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19 – 21 aprile 2020

Premessa

Il 21 aprile, il Comitato Europeo per la Protezione dei dati ha pubblicato un documento di soft law contenente le Linee-guida, finalizzate a chiarire le principali questioni giuridiche inerenti l’utilizzo dei dati personali, definiti all’art. 4, par. 15 GDPR,  attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, ai fini di ricerca scientifica in relazione alla presente emergenza Covid-19. I dati relativi alla salute, infatti, sono soggetti ad una protezione più elevata rispetto ad altre categorie di dati, stante il rischio di ripercussioni particolarmente negative sul soggetto cui si riferiscono.

Le Linee Guida, in particolare si riferiscono a:

  • La base giuridica del trattamento;
  • Le garanzie del trattamento;
  • I diritti dell’interessato.

In primo luogo, il Comitato evidenzia come il GDPR non osti all’adozione delle misure da adottare per contrastare la pandemia, stante l’elasticità delle disposizioni ivi contenute, che prevedono un’espressa deroga al divieto di trattamento dei dati relativi alla salute per assolvere alle finalità di ricerca scientifica; tuttavia, il Comitato evidenzia come sia imprescindibile trovare un giusto bilanciamento tra le norme sulla protezione dei dati e la libertà di scienza, nel rispetto dei diritti fondamentali riconosciuti dall’UE.

Successivamente, il Comitato specifica le fonti da cui possono essere ricavati i dati relativi alla salute ai sensi dell’art. 4 par. 15 GDPR:

  • Le cartelle cliniche, contenenti anamnesi e risultati di esami/trattamenti dei pazienti;
  • L’incrocio di dati atti a rivelare lo stato o i rischi per la salute;
  • Test di autovalutazione, nei quali il soggetto interessato fornisce direttamente le informazioni richieste;
  • dati personali non direttamente relativi alla salute, ma che diventano tali a seguito dell’elaborazione di un operatore sanitario in un contesto specifico.

Volume consigliato

RINEGOZIAZIONE E RISOLUZIONE DEI CONTRATTI IN EMERGENZA SANITARIA

RINEGOZIAZIONE E RISOLUZIONE DEI CONTRATTI IN EMERGENZA SANITARIA

Damiano Marinelli, Saverio Sabatini, 2020, Maggioli Editore

Il presente volume affronta le questioni relative alla possibilità di sospendere il pagamento di ratei e/o di canoni, avvero di sospendere il pagamento dei canoni di affitto o locazione e se sia possibile approfittare della crisi per risolvere contratti. Al netto di ipotesi patologiche o...



La base giuridica del trattamento

Procedendo nella trattazione, le Linee Guida spiegano cosa debba intendersi per “Trattamento ai fini di ricerca” e, allo scopo, evidenziano che pur in assenza di una specifica definizione data dalla normativa del GDPR, questo deve intendersi finalizzato alla ricerca scientifica ed interpretato restrittivamente, quale “un progetto di ricerca istituito conformemente alle pertinenti norme etiche e metodologiche settoriali, in conformità delle buone prassi”.

Inoltre, il Comitato evidenzia che i dati sanitari a fini di ricerca scientifica si distinguono in due tipologie a seconda delle finalità per la quale sono stati raccolti. La prima riguarda i dati raccolti direttamente per scopi di studio scientifico (cd. utilizzo primario); la seconda riguarda i dati raccolti inizialmente per altre finalità e successivamente oggetto di un trattamento ulteriore per finalità, appunto, scientifiche (cd. utilizzo secondario).

Tale distinzione rileva per determinare la base giuridica del trattamento, gli obblighi di informazione e l’applicazione dei limiti all’utilizzo previsto all’art. 5, par. 1 lett. b) GDPR.

In particolare, vengono distinte due basi giuridiche su cui il trattamento dei dati sulla salute può essere espletato lecitamente: il consenso e disposizioni di legge nazionali.

Per quanto attiene il consenso dell’interessato, viene specificato che questo deve esplicito, libero, specifico, informato ed inequivocabile, conformemente all’art. 6, par. 1, lett. a) e all’art. 9 par. 2, lett. a). Il consenso così manifestato resta comunque revocabile dall’interessato in ogni momento e, pertanto, in caso di ritiro del consenso il titolare deve cessare qualsiasi attività di trattamento e cancellare i dati raccolti, salvo previsione contrario che giustifichi un’ulteriore conservazione e trattamento.

Per quanto attiene, invece, alle disposizioni di legge dei singoli Stati, queste possono autorizzare il trattamento dei dati sanitari ai fini di ricerca in virtù della previsione contenuta all’art. 9 GDPR, tuttavia – specifica il Comitato – tali disposizioni devono essere proporzionate alle finalità perseguite e garantire la tutela e l’esercizio dei diritti dell’interessato.

I principi che deve rispettare il trattamento

Le Linee-Guida proseguono specificando i principi relativi alla protezione dei dati trattati per finalità scientifiche ed enucleano gli aspetti principali.

In tema di Principio di Trasparenza vengono richiamati gli artt. 13 e 14 del GDPR; viene così specificato che l’interessato deve essere avvertito individualmente e chiaramente che i suoi dati saranno trattati per finalità scientifiche, con espressa individuazione del titolare del trattamento che può essere tanto chi procede alla raccolta dei dati (utilizzo primario), quanto un terzo cui i dati sono trasmessi (utilizzo secondario per trattamento ulteriore). In tale secondo caso, oltre ad un’adeguata informativa circa le finalità ulteriori del trattamento, viene previsto un termine perentorio entro cui rendere l’informativa all’interessato che non può superare un mese dal momento in cui il trattamento è iniziato. Sono, tuttavia, previste quattro deroghe ai suddetti obblighi di informazione, ovvero: l’impossibilità, lo sforzo sproporzionato, pregiudizio al conseguimento degli obiettivi, la previsione espressa da parte del diritto dell’UE o dello Stato membro.

Per impossibilità, nella sua accezione più restrittiva, deve intendersi una situazione in cui non sia assolutamente possibile dialogare con l’interessato; in tal caso, se successivamente la comunicazione diventa possibile – specifica il Comitato – questa deve essere resa senza indugio.

Per sforzo sproporzionato, il documento rimanda al considerando 62 del GDPR che detta una serie di parametri volti a stabilire cosa debba intendersi per sforzo sproporzionato, con particolare riferimento al numero degli, interessati o alla risalenza nel tempo dei dati.

Per Grave Pregiudizio al conseguimento dell’obiettivo, si specifica che questa deroga si sostanzia nel grave pregiudizio che l’assolvimento degli obblighi previsti all’art. 14 GDPR potrebbe comportare per il raggiungimento delle finalità del trattamento.

Infine, le Linee-Guida esentano il titolare dagli obblighi di comunicazione nel caso in cui la comunicazione dei dati ed il relativo trattamento sia prevista espressamente da parte del diritto dell’UE o dello Stato membro.

Proseguendo nella trattazione dell’argomento, il Comitato specifica come gli operatori debbano eseguire il trattamento per finalità determinate, esplicite, legittime con delle modalità che non sia incompatibili con dette finalità e, in particolare, con modalità tecniche ed organizzative adeguate a garantire la sicurezza, l’integrità, la pseudoanonimizzazione e minimizzazione. Viene altresì specificato che i dati trattati dovrebbero essere conservati, conformemente agli interessi pubblici sottesi alla raccolta, per il tempo necessario a raggiungere la finalità dichiarata.

I diritti dell’interessato

In tema dei diritti dell’interessato, il Comitato si premura di specificare che questi non debbono considerarsi compressi né sospesi, nonostante l’emergenza Covid-19, tuttavia i singoli Stati membri possono operare le necessarie limitazioni, nel rispetto del principio di necessità, conformemente a quanto statuito dalla giurisprudenza comunitaria.

Da ultimo, le Linee-Guida affrontano il tema della cooperazione internazionale e dall’eventuale trasferimento dei dati raccolti dagli Stati membri a Paesi Terzi o Organizzazioni Internazionali, in considerazione della possibilità che il soggetto cessionaria abbia o meno una normativa adeguata a tutela dei dati personali. In proposito, il Comitato evidenzia che, oltre agli obblighi ed alle garanzie dovuti per qualsiasi trattamento di dati sensibili, sarà necessario – indipendentemente che i dati siano stati ottenuti direttamente o meno dall’interessato – che il soggetto cedente (“esportatore”) dia puntuale informativa all’interessato della cessione ad un paese terzo o ad un’organizzazione internazionale, sulla presenza o l’assenza di una decisione della Commissione Europea sul punto, sulle modalità della cessione, ovvero se questa si basi su adeguate garanzie previste all’art. 46 GDPR o su una delle deroghe previste all’art. 49 GDPR, da interpretarsi restrittivamente.

Volume consigliato

RINEGOZIAZIONE E RISOLUZIONE DEI CONTRATTI IN EMERGENZA SANITARIA

RINEGOZIAZIONE E RISOLUZIONE DEI CONTRATTI IN EMERGENZA SANITARIA

Damiano Marinelli, Saverio Sabatini, 2020, Maggioli Editore

Il presente volume affronta le questioni relative alla possibilità di sospendere il pagamento di ratei e/o di canoni, avvero di sospendere il pagamento dei canoni di affitto o locazione e se sia possibile approfittare della crisi per risolvere contratti. Al netto di ipotesi patologiche o...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!