EN Contattaci

GDPR e dati sanitari: l'articolo 9 e il perimetro del trattamento

Il Regolamento (UE) 2016/679 si applica dal 25 maggio 2018: definizioni di dato sanitario, categorie particolari, deroghe dell'articolo 9, obblighi di DPO e DPIA, rapporto con il Codice Privacy italiano.

Digital HealthCompliance
Digital HealthCompliance GDPRDati SanitariArt. 9DPODPIACodice PrivacyGaranteDigital Health
AIHealth

AIHealth

Piattaforma clinica on-premise con LLM locali, RAG su dati FHIR/DICOM, supporto alla diagnosi, follow-up remoto. Architettura progettata per il percorso MDR.

Scopri AIHealth →Digital Health

Digital Health

Sviluppo di software medicale conforme agli standard normativi CE e MDR. Sistemi di supporto alle decisioni cliniche, integrazione AI nei flussi di lavoro clinici.

Scopri →

Il 25 maggio 2018

Il Regolamento (UE) 2016/679GDPR — è stato approvato dal Parlamento europeo e dal Consiglio il 27 aprile 2016, pubblicato in Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 e diventa direttamente applicabile in tutti gli Stati membri dal 25 maggio 2018. L’applicabilità diretta implica che non serve un atto nazionale di recepimento per la sua efficacia; gli Stati membri possono però mantenere o adottare disposizioni più specifiche su alcuni temi — tra cui, esplicitamente, il trattamento dei dati relativi alla salute.

In Italia il D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy) resta formalmente in vigore, in attesa del decreto di adeguamento che lo armonizzerà con il Regolamento. Il decreto — atteso come D.Lgs. 101/2018 — è ancora in iter parlamentare al momento in cui si scrive, ma il GDPR si applica comunque dal 25 maggio a prescindere dai tempi di completamento della normativa nazionale.

Cos’è un dato sanitario

L’art. 4(15) del GDPR definisce i dati relativi alla salute: “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Il Considerando 35 precisa che rientrano nella definizione, tra l’altro, le informazioni:

  • Su una persona fisica raccolte durante la registrazione o la prestazione di servizi sanitari
  • Identificative di una persona ai fini sanitari (numero o identificativo che serve a identificarla in modo univoco nel sistema)
  • Risultanti da esami o controlli su parti del corpo o sostanze biologiche
  • Relative a malattie, disabilità, rischio di malattia, anamnesi medica, trattamenti o stato fisiologico

Si aggiungono i dati genetici (art. 4(13)) e i dati biometrici intesi come dati trattati per identificare univocamente una persona (art. 4(14)) — entrambi trattati autonomamente dal Regolamento ma che spesso convivono con i dati sanitari.

L’articolo 9: divieto e deroghe

L’art. 9(1) stabilisce il principio generale del divieto di trattamento di categorie particolari di dati personali, che includono origine razziale/etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, biometrici identificativi, dati relativi alla salute, vita sessuale e orientamento sessuale.

L’art. 9(2) elenca dieci deroghe tassative. Per il settore sanitario le più rilevanti sono:

  • (a) consenso esplicito — valido ma problematico in contesto di cura: il consenso deve essere liberamente prestato, e lo squilibrio di potere tra paziente e struttura lo indebolisce come base giuridica autonoma; l’EDPB (ex WP29) ne scoraggia l’uso come base primaria nella cura
  • (h) finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale, gestione dei sistemi e servizi sanitari — la base giuridica principale per i trattamenti clinici. Richiede al par. 3 che il trattamento sia svolto da o sotto la responsabilità di un professionista soggetto al segreto professionale
  • (i) motivi di interesse pubblico nel settore della sanità pubblica — protezione da minacce transfrontaliere, qualità e sicurezza dell’assistenza; base tipica per i registri di patologia, i sistemi di sorveglianza epidemiologica, la farmacovigilanza
  • (j) archiviazione nel pubblico interesse, ricerca scientifica o storica, fini statistici — la base per gli studi osservazionali e i database di ricerca; richiede garanzie adeguate (pseudonimizzazione, minimizzazione, separazione dei dataset)
  • (g) motivi di interesse pubblico rilevante — richiede base normativa di diritto dell’Unione o dello Stato membro

Lo spazio di manovra degli Stati membri

L’art. 9(4) consente agli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni con riguardo al trattamento di dati genetici, biometrici e sanitari. L’Italia utilizzerà tipicamente questo spazio per mantenere alcune specificità del previgente Codice Privacy: la necessità di autorizzazioni generali del Garante (da sostituire con “prescrizioni generali” del Garante sotto il nuovo regime), l’obbligo di consenso per determinati trattamenti, vincoli specifici sui dati genetici.

Il D.Lgs. 101/2018 in arrivo dovrebbe introdurre nel Codice Privacy adeguato i nuovi articoli 2-sexies (trattamento per motivi di interesse pubblico rilevante, subordinato a disposizione di legge o regolamento) e 2-septies (dati genetici, biometrici e sanitari — sottoposti a misure di garanzia da definire con provvedimento del Garante aggiornato periodicamente).

Gli obblighi: DPO, DPIA, registro dei trattamenti

Il GDPR introduce — o rafforza — una serie di obblighi organizzativi. Per il settore sanitario i più rilevanti:

  • Data Protection Officer (DPO) — obbligatorio (art. 37) per autorità pubbliche (tutte le ASL/AO/IRCCS pubblici) e per titolari che trattano dati sanitari su larga scala. Le Linee guida WP243 chiariscono che un ospedale supera la soglia di “larga scala”
  • Data Protection Impact Assessment (DPIA) — valutazione d’impatto obbligatoria (art. 35) quando il trattamento comporta rischi elevati per i diritti e le libertà. Il trattamento sistematico di dati sanitari su larga scala è presunto ad alto rischio e richiede DPIA
  • Registro dei trattamenti (art. 30) — documentazione interna di tutti i trattamenti, obbligatoria per i titolari con più di 250 dipendenti e comunque per i trattamenti sistematici di categorie particolari
  • Privacy by Design e Privacy by Default (art. 25) — integrazione delle misure di protezione nella progettazione e configurazione predefinita dei sistemi
  • Data breach notification (art. 33-34) — notifica al Garante entro 72 ore dalla conoscenza di una violazione, e comunicazione all’interessato se il rischio è elevato
  • Accountability (art. 5(2) e 24) — principio generale di responsabilizzazione: dimostrare la conformità non basta eseguirla

Pseudonimizzazione, anonimizzazione, minimizzazione

L’art. 4(5) definisce la pseudonimizzazione: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente”. I dati pseudonimizzati restano dati personali e ricadono nel perimetro del GDPR, ma usufruiscono di una mitigation riconosciuta dal Regolamento come garanzia appropriata.

L’anonimizzazione non è definita dal GDPR ma è trattata dall’Opinion 05/2014 del WP29: un dato veramente anonimo non permette l’identificazione con mezzi ragionevolmente disponibili, né da solo né in combinazione con altri dati, e non è soggetto al GDPR. In pratica l’anonimizzazione robusta nei dataset sanitari è difficile — il risk-based approach, l’aggregazione e le tecniche di k-anonymity richiedono valutazioni accurate caso per caso.

La minimizzazione (art. 5(1)(c)) è un principio trasversale: trattare solo i dati necessari al raggiungimento della finalità. Ha conseguenze concrete sulle architetture — ad esempio nella separazione tra area di cura e area di ricerca.

Il Fascicolo Sanitario Elettronico e il GDPR

Il modello del FSE italiano — costruito tra 2012 e 2015 — incorpora già molti principi che il GDPR consolida: doppio consenso (all’alimentazione e all’accesso), oscuramento granulare, tracciatura degli accessi, log conservati per dieci anni. Il punto di raccordo tra DPCM 178/2015 e GDPR sarà oggetto di un aggiornamento delle Linee guida del Garante specifiche per il FSE, previsto nei mesi successivi all’applicazione del Regolamento.

Nel frattempo, le basi giuridiche applicabili al FSE si riconducono a:

  • Art. 9(2)(h) per le finalità di cura, con il duplice presidio: disposizione nazionale (art. 12 DL 179/2012 + DPCM 178/2015) e trattamento effettuato da professionisti soggetti a segreto
  • Art. 9(2)(i) per le finalità di sanità pubblica e programmazione
  • Art. 9(2)(j) con il consenso specifico dell’assistito per le finalità di ricerca, come già previsto dal DPCM

Trasferimenti extra-UE

Il Capo V (art. 44-50) disciplina i trasferimenti di dati personali verso Paesi terzi. Le basi legittime includono decisioni di adeguatezza della Commissione Europea, Standard Contractual Clauses, Binding Corporate Rules, e codici di condotta approvati. Il tema è cruciale per le infrastrutture cloud sanitarie che coinvolgono provider extra-UE.

Al maggio 2018 è operativo il Privacy Shield USA-UE (adottato nel luglio 2016) come meccanismo principale per i trasferimenti verso fornitori statunitensi. Il suo quadro è però già oggetto di contestazione in sede giurisdizionale, con esiti che potrebbero mutare lo scenario nei prossimi anni.

Sanzioni

L’art. 83 prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo, a seconda di quale sia il valore maggiore. La severità — e soprattutto la possibilità che le sanzioni siano parametrate al fatturato — rappresenta un cambiamento strutturale rispetto al regime precedente.

Cosa cambia nella pratica

Il GDPR non rivoluziona i principi del trattamento dei dati sanitari, già presenti nel Codice Privacy italiano del 2003 e nelle Linee guida Garante sul FSE del 2009, ma li armonizza a livello europeo, li rende azionabili con autorità di vigilanza coordinate (EDPB) e li accompagna con un regime sanzionatorio nuovo. Per gli enti del Servizio Sanitario Nazionale il lavoro concreto del 2018 è organizzativo più che tecnico:

  • Nomina e struttura del DPO
  • DPIA sui trattamenti strutturali (cartella clinica, FSE regionale, laboratori, PACS, farmacia)
  • Redazione e tenuta del registro dei trattamenti
  • Revisione delle informative e dei consensi
  • Formazione del personale
  • Rinegoziazione dei contratti con i responsabili del trattamento (fornitori IT, archivi documentali, provider cloud)

Il vero impatto tecnico — integrazione di meccanismi di portabilità, opposizione, cancellazione nei sistemi — emergerà nei mesi successivi, con l’interazione tra Regolamento, adeguamenti nazionali e orientamenti del Garante.

Riferimenti normativi: Regolamento (UE) 2016/679 (GDPR), artt. 4, 5, 6, 9, 25, 30, 33-34, 35, 37, 44-50, 83. D.Lgs. 196/2003 (in corso di adeguamento). Linee guida Garante privacy FSE 16 luglio 2009. WP29 Opinion 05/2014 sulle tecniche di anonimizzazione. WP29 Opinion 3/2015 su health data in mobile devices. WP243 Linee guida DPO.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi