di Mauro VITACCA
In coerenza con l’approccio della gestione del rischio che caratterizza tutto l’impianto del GDPR, l’art. 35 impone al titolare di effettuare una valutazione di impatto (o DPIA – Data Protection Impact Assessment) allorché un tipo di trattamento o più trattamenti simili fra di loro, possono costituire un rischio elevato per i diritti e le libertà delle persone fisiche.
Può essere superfluo ricordare, anche se non è mai scontato, che una seria valutazione del rischio deve essere calata nella realtà concreta aziendale/istituzionale del titolare, tanto che lo stesso art. 35 richiama la necessità di una valutazione di impatto “allorché [il trattamento] prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento”.
Innanzitutto, ci vengono in aiuto le linee guida del Gruppo di lavoro art. 29 (WP29) che, nella versione del 4/10/2017, individua nove casi, che qui richiamiamo sinteticamente, in cui è richiesta una DPIA:
- Valutazione o assegnazione di un punteggio;
- Processo di decisione automatizzato;
- Monitoraggio sistematico;
- Dati sensibili o aventi carattere altamente personale;
- Trattamento dei dati su larga scala;
- Corrispondenze o combinazione di insiemi di dati;
- Dati relativi a categorie di interessati “vulnerabili”;
- Uso innovativo o applicazioni di nuove soluzioni tecnologiche od organizzative;
- Quando il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contatto.
Le linee guida predisposte dal Politecnico di Milano(1) prevedono inoltre che, nell’ottica di assicurare i principi di privacy by design e privacy by default, è opportuno procedere alla redazione di una DPIA nei seguenti casi: nuovi processi / attività aziendali per effetto dei quali sono introdotti nuovi trattamenti; nuovi servizi informatici, sviluppati in ambito progettuale, che insistono sui trattamenti esistenti o che introducono essi stessi un nuovo trattamento; cambiamenti significativi a livello organizzativo, con effetti sui processi e relativi trattamenti; variazioni significative dei trattamenti in essere; cambiamenti rilevanti sui servizi informatici che supportano trattamenti esistenti .
In ambito sanitario – sociosanitario non si può prescindere quindi dalle particolarità di tale contesto. A parte i casi evidenti riconducibili al trattamento su larga scala di dati sensibili, e/o relativi a categorie di interessati “vulnerabili” (minori, anziani, non autosufficienti, pazienti affetti da patologie invalidanti ecc.), l’intenso utilizzo di tecnologie avanzate in ambito sanitario pone spesso la necessità di una DPIA preventiva. Gli esempi possono essere innumerevoli: si pensi allo sviluppo delle prestazioni in telemedicina ed alla rilevazione di dati e parametri vitali con monitoraggio a distanza o mediante wearable device; senza arrivare ai casi di utilizzo dell’intelligenza artificiale per l’individuazione di terapie personalizzate legate soprattutto agli studi sul DNA, si pensi all’adozione di tecniche di machine learning nell’individuazione di gruppi di pazienti che hanno una maggiore o minore propensione a sviluppare determinate patologie, o che, correlando dati clinici con dati relativi gli stili di vita, dati anamnestici e antropometrici possono individuare criteri di appropriatezza nell’esecuzione o meno di prestazioni sanitarie. Si pensi ancora a dispositivi IoT applicabili su strumenti di esercizio per la riabilitazione o per rilevare dati biometrici su applicazioni finalizzate alla pateint-safety. Sono tutti esempi di acquisizione di dati, non necessariamente solo sanitari, che incidono, principalmente sul diritto alla salute, sulla libertà di scelta del paziente e su ambiti di vita quotidiana che vanno anche al di là degli eventi di assistenza o cura.
Le linee guida del WP29 esemplificano le fasi del processo iterativo di una DPIA prevedendo le varie fasi di descrizione del trattamento, valutazione della necessità e della proporzionalità, le misure previste per dimostrare la conformità, la valutazione dei rischi per i diritti e le libertà, le misure previste per affrontare i rischi, la documentazione di supporto, il monitoraggio e il riesame.
Vale quindi la pena soffermarsi su alcuni aspetti particolarmente significativi:
Descrizione del trattamento: in questa fase occorre soffermarsi sui diversi soggetti coinvolti (titolare ed eventuali contitolari, outsourcer responsabili, designati e autorizzati interni, amministratori di sistema), sulla tipologia dati trattati, sulle piattaforme tecnologiche utilizzate. L’individuazione dei soggetti coinvolti e la definizione dei livelli di responsabilità è spesso tutt’altro che scontata in virtù della necessità di condivisione dei dati tra i diversi soggetti coinvolti. Si pensi ad esempio alle necessità di condivisione dei dati nell’ambito delle attività di ricerca o lungo tutta la filiera dei processi di presa in carico dei pazienti (Medico di base, programmi di screening, diagnostica e specialistica ambulatoriale, ricovero programmato o accesso al PS, gestione della fase post-acuta, riabilitazione, gestione della cronicità, assistenza domiciliare ecc.); si pensi ancora alla gestione del c.d. “debito informativo” tra erogatori convenzionati e le autorità deputate a compiti di programmazione e controllo, piuttosto che alla necessità sempre più impellente di rafforzare il sistema informativo sanitario nazionale per far sì che possa rispondere alle esigenze di trasparenza e accesso ai cittadini (es. Fasciolo sanitario elettronico) piuttosto che a quelle di programmazione, prevenzione, studio e controllo epidemiologico.
Valutazione della necessità e proporzionalità del trattamento: in questa fase, dopo aver individuato possibili standard/linee guida di riferimento (es. linee guida diagnostica per immagini, Linee guida in materia di dossier sanitario, Linee guida referti online, raccomandazioni ministeriali per la sicurezza del trasporto materiali infettivi e campioni diagnostici, requisiti di cui all’autorizzazione generale al trattamento dei dati genetici – 15 dicembre 2016 ecc.) e descritto il ciclo di vita dei dati (ponendoli in relazione con la base giuridica, la finalità e l’eventuale riutilizzo per altre finalità) la valutazione della proporzionalità va analizzata in termini di quantità, frequenza, persistenza di raccolta dei dati e ampiezza geografica dell’area di raccolta (si pensi ad esempio ad un titolare che opera si più presidi territoriali).
La valutazione dei rischi: è naturalmente la fase più saliente della DPIA in particolare nella fase di individuazione delle minacce. È in questa fase, inoltre, che si evidenzia la necessità che di far sì che la predisposizione del registro dei trattamenti non sia un mero esercizio formale, ma che sia l’esito di un’attenta valutazione del contesto organizzativo di riferimento e dei processi aziendali da cui le attività di trattamento dei dati scaturiscono.
Le minacce possono essere considerate conseguenti dalla combinazione dei seguenti elementi che stanno all’origine delle cause dei possibili incidenti:
- Risorsa/Supporto: hardware, software, infrastruttura, personale, fisica;
- Azione: uso anomalo, guasto, atto doloso, sottrazione, errore;
- Rischio dato: perdita di integrità, perdita di confidenzialità, perdita di riservatezza.
Per cui, a puro titolo di esempio, la minaccia della cancellazione di un dato è conseguenza di un uso errato (azione) di un software (risorsa/supporto) che agisce sull’integrità/disponibilità del dato; la minaccia di accesso abusivo alla rete è conseguenza di un atto doloso (azione) perpetrata su un’infrastruttura di rete (risorsa) che agisce sulla confidenzialità del dato.
Tuttavia, l’analisi delle minacce non può limitari al mero “rischio dato” di perdita della integrità, disponibilità e confidenzialità, ma si deve spingere a prendere in considerazione quale effetto questo rischio può a sua volta avere per i diritti e le libertà delle persone fisiche. Si pone quindi la necessità di un approccio multidisciplinare che ponga il focus su più aspetti: processi, risorse, esercizio dei diritti degli interessati, il rischio dei singoli interessati ad essere individuati in uno specifico trattamento.
Il focus sui processi ci consente di mettere in relazione le attività svolte, i dati trattati, le risorse (organizzative e tecnologiche) favorendo un approccio multidisciplinare sempre più indispensabile e che pertanto deve abbracciare gli aspetti legati alla sicurezza del paziente, di continuità operativa e di cybersecurity che rendono evidenti le minacce in caso di compromissione della integrità, disponibilità, riservatezza dei dati nonché della capacità di resilienza dei sistemi (rif. art. 32 del GDPR).
L’Health Technology Assessment (HTA)(2) si può definire come “la complessiva e sistematica valutazione multidisciplinare (descrizione, esame e giudizio) delle conseguenze assistenziali, economiche, sociali ed etiche provocate in modo diretto e indiretto, nel breve e nel lungo periodo, dalle tecnologie sanitarie esistenti e da quelle di nuova introduzione” stante l’evidente impatto che soluzioni digitali possono avere sulla sicurezza dei pazienti, sull’efficacia delle cure e sull’efficienza ed economicità dei processi di cura. Una valutazione HTA, infatti, dovrebbe superare la separazione che spesso si riscontra tra il settore ICT ed il resto dell’organizzazione vista semplicemente come mero “cliente interno” e comprendere i seguenti aspetti(3):
- Analisi del problema di salute e caratteristiche della soluzione digitale
- Sicurezza, non solo dal punto di vista tecnologico ma anche sanitario e organizzativo
- Efficacia clinica
- Protezione dei dati personali
- Prospettiva dei pazienti
- Aspetti economici
- Aspetti organizzativi, ed integrazione dei dati e dei processi
- Aspetti socioculturali, etici e legali
Più in generale sul versante cybersecurity, oltre alle note misure minime di sicurezza AgID per le PPAA, un interessante riferimento è il Framework Nazionale per la Cybersecurity e la Data Protection(4), realizzato in collaborazione con il Garante per la protezione dei dati, per supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber.
Nell’ambito sanitario i diritti che assumono maggiore rilievo sono quelli del diritto di accesso, di oscuramento nell’ambito della gestione del dossier sanitario e di revoca del consenso, laddove questo sia stato dato in precedenza per finalità ulteriori rispetto a quello di cura (es. per finalità di ricerca). È interessante rilevare che lo stesso Framework del CINI, tra i livelli di controlli attivabili, la categoria (DP-ID.DM): “i dati personali sono trattati attraverso processi definiti, in coerenza con le normative di riferimento” e la sottocategoria DP-ID.DM-4: “Sono definiti, implementati e documentati i processi per l’esercizio dei diritti (accesso, rettifica, cancellazione, ecc.) dell’interessato”.
Le attività di ricerca svolte da strutture sanitarie differenti dagli IRCCS (Istituti di ricovero e cura a carattere scientifico) comportano il riutilizzo dei dati originariamente raccolti per finalità di diagnosi e cura. Il riferimento all’art. 89 del GDPR chiarisce che presupposto fondamentale per procedere al trattamento ulteriore è l’adozione di adeguate garanzie per i diritti e le libertà fondamentali dell’interessato, ovvero di misure tecniche ed organizzative idonee a perseguire il principio minimizzazione dei dati, le quali possono includere la pseudonimizzazione.
In proposito il Garante ha approvato un “Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica” che fa a sua volta diretto riferimento al parere 05/2014 del WP Articolo 29 relativo alle tecniche di anonimizzazione che tuttavia raccomanda di prestare particolare attenzione quando si decide di applicare una determinata tecnica alla situazione specifica o di ricorrere a un insieme di tecniche di anonimizzazione al fine di accrescere l’affidabilità dell’esito. Pertanto, spesso non vi è altra soluzione che procedere a pseudonimizzazione.
to be continued 1/2
Intervento del Dr. Mauro Vitacca Compliance Manager c/o Fondazione Opera San Camillo – Milano
LEGGI QUI l’articolo successivo 2/2, DPIA: Come fare per individuare le minacce in ambito sanitario
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Linee guida per la Data Protection Impact Assessment – Osservatorio Information Security & Privacy – Politecnico School of Management pag. 19
(2) Società Italiana di HTA. La Carta di Trento.
(3) Health Technology Assessment nella sanità digitale: metodologie, rischi e prospettive, Fabrizio Massimo Ferrara, Agenda digitale 31 agosto 2021
(4) Framework Nazionale per la Cyber Security e la Data Protection, Metodologia per il cybersecurity assessment