DA DOTTNET DEL 25/03/2019 Il consenso non è più necessario per le finalità di cura. Niente responsabile protezione dati per il libero professionista
I medici potranno trattare i dati dei pazienti per finalità di cura senza dover richiedere il loro consenso, ma dovranno comunque fornire loro informazioni complete sull’ uso dei dati. Il medico che opera come libero professionista non è tenuto a nominare il responsabile della protezione dati; tutti gli operatori del settore dovranno tenere un registro dei trattamenti dei dati. Questi i principali chiarimenti forniti dal Garante della privacy a cittadini, medici, Asl e soggetti privati, sulle novità introdotte in ambito sanitario dal Regolamento Ue in materia di protezione dei dati e dalla normativa nazionale. Il provvedimento generale, adottato dall’ Autorità, intende favorire un’ interpretazione uniforme della nuova disciplina, ancora in fase transitoria, e supportare gli operatori con informazioni utili alla sua corretta attuazione. Il Garante ha chiarito, ad esempio, che il professionista sanitario, come il medico, soggetto al segreto professionale non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria. E’ invece richiesto il consenso o una differente base giuridica quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità. Ne sono un esempio i trattamenti di dati sulla salute connessi all’ uso di app mediche, ad eccezione di quelle per la telemedicina, quelli effettuati per la fidelizzazione della clientela come quelli praticati da alcune farmacie o parafarmacie, oppure per finalità promozionali, commerciali o elettorali. L’ Autorità ricorda che, sulla base dell’ attuale normativa che regola il settore, permane la necessità di acquisire il consenso anche per il trattamento dei dati relativo al fascicolo sanitario elettronico o per la consultazione dei referti online. Nel documento del Garante sono forniti chiarimenti anche in merito all’ informativa agli interessati, che deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro. Essa deve contenere maggiori informazioni a tutela dell’ interessato quali, ad esempio, quelle relative ai tempi di conservazione dei dati, che – se non sono specificati dalla normativa di settore – dovranno comunque essere individuati dal titolare, ad esempio il medico specialista o l’ ospedale. Il Garante dedica una sezione anche al Responsabile per la protezione dei dati. Sono tenuti alla nomina tutti gli organismi pubblici, nonché gli operatori privati che effettuano trattamenti di dati sanitari su larga scala, quali le case di cura. Non sono invece tenuti alla sua nomina i liberi professionisti o altri soggetti, come le farmacie, che non effettuano trattamenti su larga scala. L’ Autorità infine chiarisce che è obbligatorio per tutti gli operatori sanitari tenere un registro nel quale sono elencate le attività di trattamento effettuate sui dati dei pazienti. Tale documento rappresenta, in ogni caso, un elemento essenziale per il governo dei trattamenti e per l’ efficace individuazione di quelli a maggior rischio, anche per dimostrare il rispetto del principio di responsabilizzazione. Le app Al Le applicazioni dell’ intelligenza artificiale devono rispettare i diritti fondamentali, incluso quello alla protezione dei dati; sviluppatori, produttori e fornitori di servizi devono valutare preventivamente i possibili rischi, adottando un approccio di tipo precauzionale; necessarie precise prescrizioni nelle procedure di appalto pubblico. Queste alcune delle indicazioni delle linee guida presentate nel corso della Giornata della Protezione dei dati 2019 dal Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, che dal 2016 è presieduto dalla rappresentante del Garante della privacy italiano. Le linee-guida si rivolgono a decisori pubblici, sviluppatori e fornitori di servizi basati sull’ AI, come quelli utilizzati nell’ ambito della domotica, delle smart cities, della sanità e della prevenzione del crimine. In particolare, sono evidenziati i principi da rispettare affinché l’ impiego di tale tecnologia avvenga nel rispetto dei principi della nuova Convenzione adottata nel 2018 e già firmata da 26 Paesi tra cui l’ Italia. Si sottolinea, innanzi tutto, che ogni progetto basato sull’ intelligenza artificiale dovrebbe rispettare la dignità umana e le libertà fondamentali, nonché i principi base di liceità, correttezza, specificazione della finalità, proporzionalità del trattamento, protezione dei dati fin dalla progettazione (privacy by design) e protezione per impostazione predefinita (privacy by default), responsabilità e dimostrazione della conformità (accountability), trasparenza, sicurezza dei dati e gestione dei rischi. Tra i punti cardine del documento si segnala la necessità di adottare un approccio fondato sulla preventiva valutazione dell’ impatto che sistemi, software e dispositivi basati sull’ intelligenza artificiale possono avere su diritti fondamentali, nonché sulla minimizzazione dei relativi rischi per le persone evitando, tra l’ altro, potenziali pregiudizi (bias) ed altri effetti discriminatori, come quelli basati sulla differenza di genere o sulle minoranze etniche. Il Comitato consultivo rimarca, tra l’ altro, l’ opportunità di inserire nel processo di valutazione nuove ”forme partecipatorie”, basate sul coinvolgimento di individui e di gruppi potenzialmente colpiti dagli effetti dell’ AI. Varie le indicazioni anche per la pubblica amministrazione che dovrebbe, ad esempio, predisporre procedure di appalto pubblico dove si impongano a sviluppatori, produttori e fornitori di servizi di AI, specifici obblighi di trasparenza, la valutazione preliminare dell’ impatto del trattamento dei dati sui diritti umani e sulle libertà fondamentali, e l’ obbligo di vigilanza sugli algoritmi, in particolare sugli effetti negativi e sulle conseguenze derivanti dalle applicazioni AI.
Scarica il documento del garante.