Italiano
L’applicazione della nuova normativa del GDPR nei settori pharma e healthcare è tutt’altro che semplice. Se c’è un ambito che, più di ogni altro, vede da sempre la privacy al centro di importanti riflessioni questo è proprio quello sanitario.
La questione si fonda su una dicotomia: da un latotutelare la riservatezza della persona (e quindi dei suoi dati personali sensibili) e, dall’altro, soddisfare necessità di garanzia e tutela del diritto costituzionale alla salute (del paziente e pubblica). Non solo, se si considerano i diritti dei pazienti alla luce degli interessi di mercato e delle esigenze di ricerca scientifica la matassa risulta ancora più complicata da sbrogliare. E con l’avvento della sanità digitale e l’esplosione dei Big Data la situazione si è fatta davvero spinosa.
I dati personali relativi alla salute dei cittadini secondo il GDPR
Per capire quale impatto possa avere il GDPR sul settore sanitario e fare chiarezza è dunque bene rileggerlo proprio alla luce delle specifiche necessità e caratteristiche operative, evidenziando i passaggi del Regolamento che esercitano un’azione diretta sulle attività di tutela della privacy nel pharma e nell’healthcare. Innanzitutto, c’è da fare una premessa. I dati pseudonimizzati (ovvero ottenuti attraverso l’abbinamento di un codice a ogni singolo nominativo a cui non si può risalire se non con specifiche credenziali) già in uso nelle aziende sanitarie soprattutto sul fronte digitale, sono ancora da considerarsi dati personali e pertanto oggetto di applicazione del GDPR.
Il Regolamento - tra le altre cose - specifica che tra i dati personali inerenti alla salute sono comprese tutte le informazioni sulla salute fisica e mentale (non solo presente ma anche passata e futura) e anche eventuali numeri, codici o simboli attraverso cui si possa identificare univocamente una persona a fini sanitari.
Le definizioni del GDPR che riguardano da vicino l’ambito sanitario
Nonostante il GDPR non preveda una disciplina specifica per il trattamento dei dati sanitari, all’interno dell’Articolo 4 esprime una precisa definizione per i dati che possono riguardare da vicino l’ambito sanitario e farmaceutico, come quelli relativi alla salute ma anche quelli genetici e biometrici.
Innanzi tutto, va detto che al punto n.1 il testo definisce «dato personale» qualsiasi informazione riguardante una persona fisica identificata o identificabile. E la normativa considera identificabile la persona fisica, direttamente o indirettamente, anche attraverso sue specifiche caratteristiche fisiche, psichiche, fisiologiche o genetiche.
Al punto n.13 si specificano i «dati genetici», come concernenti caratteristiche genetiche da cui si possano trarre informazioni inequivocabili sulla persona e che derivino, nello specifico, dall'analisi di campioni biologici.
I «dati biometrici» sono invece oggetto del punto n.14, dove vengono definiti come informazioni che, descrivendo le caratteristiche fisiche/fisiologiche/comportamentali di una persona fisica, permettano di identificarla in maniera inequivocabile (è, per esempio, il caso dell’immagine del volto ottenuta tramite facial recognition).
È poi al punto n.15 che viene specificata la definizione di «dati relativi alla salute», descritti come: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Il trattamento di questi ultimi, più di ogni altro, è al centro della questione privacy in ambito sanitario e farmaceutico.
Articolo 9 del GDPR: divieto al trattamento dei dati sanitari e casi di inapplicabilità
La gestione delle informazioni sanitarie viene citata all’interno dell’Articolo 9 del Regolamento, dove viene fatto divieto di trattare, tra gli altri, i dati personali che svelino caratteristiche genetiche, biometriche (che identifichino in modo univoco una persona) e i dati relativi alla salute. L’articolo in questione, al paragrafo n.2, specifica che tale divieto non è applicabile nel caso si debba cedere il passo a diritti di rango superiore. Questo aspetto interessa molto da vicino, come già accennato, l’ambito sanitario: viene infatti espressa la possibilità di trattare tali particolari tipologie di informazioni personali per finalità di interesse pubblico-sanitario, come nel caso di gravi minacce per la salute a carattere transfrontaliero o a garanzia di qualità e sicurezza dell'assistenza sanitaria, dei medicinali e dei dispositivi medici (ambito a cui possono afferire, per esempio, anche attività di ricerca scientifica, medicina preventiva o medicina del lavoro).
La questione del consenso e i diritti dei cittadini
Il GDPR non prevede che il consenso al trattamento dei dati debba essere obbligatoriamente attestato per iscritto. La normativa però stabilisce che tale consenso - sempre revocabile - debba essere espresso dall'interessato liberamente e in modo inequivocabile. Se il trattamento messo in atto è rivolto a diverse finalità, inoltre, il consenso deve essere espresso specificamente per ciascuna di esse. La normativa non ammette il consenso tacito o presunto (vietato quindi presentare moduli con caselle già spuntate).
L’ultimo punto da considerare in merito ai diritti dei cittadini è quello espresso nell’Articolo 17 del GDPR e dedicato al diritto alla cancellazione (conosciuto anche come diritto all'oblio). Qui si esprime il diritto dell’interessato a poter richiedere e ottenere che i propri dati personali vengano cancellati, in presenza di una serie di motivazioni. Tale diritto non sussiste nel caso in cui il trattamento sia necessario per motivi relativi alla salvaguardia della sanità pubblica in conformità a quanto specificato nel già citato articolo 9.
