COSA SUCCEDE QUANDO CARICO DATI SANITARI SU UNA PIATTAFORMA CLOUD?

In questi mesi stiamo visitando molte strutture sanitarie per verificare il rispetto degli adempimenti privacy previsti dalla normativa vigente.

Nel corso dell’esame uno degli aspetti più critici è il trasferimento di dati in Paesi extra UE senza il rispetto della normativa vigente. Il caso più semplice riscontrato è l’utilizzo di un server cloud dislocato in un Paese Extra Ue, anche solo in Svizzera o San Marino.

Invece, un caso più complesso, ma molto diffuso, è l’affidamento ad un fornitore statunitense, per esempio, la realizzazione di un manufatto o dispositivo medico su misura. Il dispositivo viene in effetti realizzato in un Paese extra UE, ma la struttura sanitaria committente come trasferisce i dati del paziente necessari per la sua costruzione?

La soluzione più diffusa prevede l’utilizzo delle tecnologia, attraverso ad esempio un trasferimento via web su di una piattaforma del fornitore nel paese, appunto, del fornitore.

Vediamo come fare per assicurare che l’operazione avvenga nel rispetto della normativa.

Il trasferimento di dati personali da paesi appartenenti all'UE verso Paesi "terzi" (non appartenenti all'UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione "adeguato".

L’adeguatezza del livello di protezione può essere fatto a “livello centrare” attraverso le decisioni della Commissione UE (articolo 25, comma 6, della Direttiva 95/46/CE). I Paesi per i quali è stata decretata l’adeguatezza è riportato sul sito del Garante 

Anche gli USA era stato emesso un decreto di adeguatezza il cosìdetto “Safe Harbor”, valido sino al mese di ottobre 2015 dopo la sentenza della Corte di Giustizia UE del 6 ottobre 2015 relativa alla causa C-362/14 e del Provvedimento del Garante 22 ottobre 2015.

In assenza di una decisione “centrale” sull’adeguatezza del livello di protezione dei dati del paese in cui s’intendono inviare i dati, il trasferimento è consentito nei casi che seguono:

1. Nei casi menzionati dall'articolo 26, comma 1, della Direttiva 95/46, ovvero:

"a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure

b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure

c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure

e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure

f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.”

Pertanto, il trasferimento può avvenire anche attraverso la mera acquisizione del consenso dell’interessato, ovvero del soggetto a cui i dati si riferiscono (ad esempio dei dipendenti). Tuttavia, a parere di chi scrive il mero consenso dell’interessato è un presupposto estremamente debole, anche perché il consenso può essere revocato in qualsiasi momento.

2. In presenza di un accordo di “esportazione” del dato ai sensi dell’articolo 26, comma 2 della Direttiva 95/46/CE.

La Commissione europea, in particolare, ai sensi dell'articolo 26(4) della Direttiva 95/46/CE, può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi. Si tratta di una delle deroghe (stabilite nel comma 2 dell'articolo 26 della Direttiva 95/46/CE) al divieto di effettuare il trasferimento verso Paesi che non offrono garanzie "adeguate" ai sensi della Direttiva 95/46/CE.

In poche parole, con tale contratto l'esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione.

Più precisamente ad oggi le clausole contrattuali utilizzabili, sono scaricabili sul sito della Commissione Ue.

In questo particolare momento, l’utilizzo di tali modelli di contratto sono, a parere di chi scrive, lo strumento più sicuro e veloce per regolarizzare il trasferimento dei dati .