Trasferimento di dati clinici e GDPR

Share on FacebookTweet about this on TwitterPin on PinterestShare on Google+Share on LinkedIn

I dati clinici di un paziente vengono spesso condivisi tra più soggetti, che possono essere medici, reparti di ospedali, assicurazioni. Possono addirittura essere registrati in app per smartphone, come quelle che contano i passi e che abbiamo quasi tutti.

Per capire come il GDPR intervenga nel trasferimento di dati clinici facciamo un esempio pratico. Un paziente italiano, mentre corre nel parco, ha un piccolo mancamento, quindi si reca in pronto soccorso. Arrivato lì fa una serie di esami e viene visitato da uno o più medici. Esce con l’indicazione di recarsi da uno specialista per approfondire la causa del malore. Il paziente di reca dallo  specialista, il quale, necessitando di un consulto, decide di condividere le informazioni con un altro specialista, che può trovarsi anche al di fuori del proprio stato di appartenenza o dell’UE. Infine di tutto questo viene informato anche il medico di famiglia. In situazioni come questa entra sempre in gioco la privacy, quindi il GDPR, poiché c’è una “divulgazione di dati personali” ad un destinatario.

Il destinatario può essere una persona fisica, una persona giuridica, un ente, un’autorità pubblica ai quali vengono comunicati dati personali. Nel nostro esempio il paziente comunica i propri dati al medico di pronto soccorso. Egli li condivide insieme ai dati clinici  che ha rilevato con lo specialista, il quale a sua volta li trasmette al collega che gli fornisce un’opinione. Tutti poi le renderanno disponibili al medico di famiglia del paziente, che è il punto di riferimento per ogni questione medica. In questo caso i dati non vengono trasmessi dal diretto interessato, cioè il paziente, ma dal ricevitore dei dati. Il ricevitore è diventato quindi controllore dei dati.

L’articolo 14 del GDPR stabilisce che qualora i dati personali non siano ottenuti dall’interessato (il paziente), il titolare del trattamento è comunque obbligato a fornire all’interessato una serie di informazioni.  Tuttavia, l’art. 14 prevede alcune eccezioni. Tale obbligo infatti non si applica se l’interessato dispone già delle informazioni, se fornire le informazioni si dimostra impossibile o comporterebbe uno sforzo sproporzionato, se l’ottenimento o la divulgazione delle informazioni è previsto dalla legge dell’UE o dello stato membro cui è soggetto il titolare del trattamento o se i dati personali debbano rimanere riservati poiché soggetti ad obbligo di segreto professionale. In questo caso, essendo i medici tenuti al segreto professionale, si applica l’eccezione indicata dall’articolo 14, quindi non è necessario informare l’interessato del trasferimento dei propri dati ai diversi soggetti che intervengono nella sua cura. Essi però devono comunque garantire la sicurezza dei dati e tenere registri delle categorie di destinatari in base all’articolo 30 (del GDPR) al fine di dimostrare la conformità con il GDPR su richiesta dell’autorità nazionale di vigilanza. Se una società che elabora dati sanitari, come l’azienda che ha sviluppato l’app per lo smartphone che misura i battiti, desidera divulgare informazioni ad un destinatario, le esenzioni dell’articolo 14 non si applicano. Ciò significa che il destinatario deve fornire all’interessato informazioni comprendenti l’identità e i dati di contatto del (nuovo) controllore, lo scopo del trattamento, le categorie di dati personali in questione, i destinatari, ecc.

Cosa succede se i dati vengono comunicati al di fuori dellUE? Nel caso del nostro paziente il suo percorso medico rimane all’interno dell’UE. Se egli dovesse cercare assistenza medica al di fuori dell’UE e la sua cartella clinica fosse quindi trasferita al di fuori dell’UE, si applicherebbero le disposizioni del capitolo V del GDPR. Questo capitolo prevede disposizioni sui trasferimenti di dati personali verso paesi terzi, ovvero al di fuori dell’UE.

Il principio generale per i trasferimenti è che le disposizioni del presente capitolo devono essere rispettate dal responsabile del trattamento o dall’incaricato del trattamento al fine di garantire un livello di protezione simile a quello previsto dal GDPR dopo il trasferimento dei dati. La Commissione europea decide se un paese terzo garantisce un livello adeguato di protezione (articolo 45). Se non vi è alcuna decisione in merito da parte della Commissione, i trasferimenti possono essere effettuati solo se vengono fornite garanzie adeguate e se sono disponibili diritti esecutivi relativi ai dati e sono disponibili rimedi giuridici efficaci (articolo 46). Se non vi è alcuna decisione da parte della Commissione e non vi sono misure di salvaguardia, il trasferimento può comunque aver luogo se una delle condizioni di cui all’articolo 49 è soddisfatta. Ciò include ad esempio il consenso esplicito al trasferimento proposto dall’interessato.
Tuttavia, questo non è l’unico modo in cui i dati possono essere trasferiti all’estero. A causa della natura stessa delle moderne tecnologie, i dati non sono necessariamente vincolati dai confini dei paesi o dell’UE. I dati possono essere localizzati, archiviati ed elaborati in qualsiasi parte del mondo. Ciò solleva nuove sfide e preoccupazioni per quanto riguarda la protezione dei dati personali, in particolare per i flussi di dati da e verso paesi al di fuori dell’UE. Pertanto, l’articolo 3 stabilisce che il GDPR si applica al trattamento dei dati personali degli interessati che si trovano nell’UE da un responsabile o incaricato del trattamento non stabilito nell’UE se le attività di trattamento riguardano l’offerta di beni o servizi o il monitoraggio del comportamento degli interessati. Pertanto, il GDPR, comprese le ulteriori regole di protezione per i dati sensibili, si applica anche a una società di software che ha sviluppato la app per contare i passi che si trova al di fuori dell’UE se essa tratta dati personali di persone interessate all’interno dell’UE. L’app in esecuzione sul cellulare, anche se realizzata da una società che non ha sede nella UE, deve quindi essere conforme al GDPR.

Riassumendo abbiamo visto che il trasferimento di dati sanitari nell’UE è possibile senza il consenso dell’interessato se sono coinvolti soggetti obbligati al segreto professionale. Ci sono anche altre eccezioni previste dal GDPR che non obbligano a richiedere il consenso. Questo non esonera i soggetti dal redigere un elenco dettagliato dei trattamenti.  Per quanto riguarda il trasferimento al di fuori dell’UE se lo Stato in cui vengono trasferiti fa parte degli Stati che forniscono adeguate garanzie di salvaguardia dei dati non ci sono problemi, altrimenti si possono trasferire ma è necessario che vengano garantite una serie di sicurezze sui dati. Questo perché il GDPR si occupa di garantire la sicurezza di tutti i dati personali dei soggetti della UE. Gli stati esterni devono quindi uniformarsi ad esso.

 

Se ti occupi di dati clinici o studi clinici visita il nostro portale dedicato alle CRF elettroniche (eCRF). Faremo in modo di esserti utili …