Vuoi ricevere i nostri aggiornamenti?
Le app sanitarie: tra i benefici per il paziente e le problematiche giuridiche
Articolo pubblicato su Appalti & Sanità
Nel tema delle APP Sanitarie, occorre affrontare la questione della gestione dei dati.
Pacifico infatti che le volte che si parla di sanità o servizi in ambito sanitario un aspetto fondamentale è “come” vengono trattati i dati: la maggior parte di essi – se non tutti – sono infatti classificati come dati sensibili ai sensi dell’art.4 D. Lgs. 196/2003, in quanto idonei a rivelare lo stato di salute dell’interessato[1].
Nel caso delle APP in generale il problema del corretto trattamento dati è stato ampiamente affrontato a livello comunitario dal Gruppo di lavoro ex art. 29[2] nel parere 2/2013[3]. Nonostante il parere del Gruppo di Lavoro non si occupi direttamente delle APP mediche, gli accorgimenti previsti per le APP generiche costituiscono indubbiamente il giusto punto di partenza.
Vediamoli per punti.
A) legge applicabile
Un primo aspetto esaminato dal Gruppo di Lavoro riguarda l’individuazione del diritto applicabile alle APP. Possiamo infatti avere l’interessato (ovvero il soggetto che usa la APP e a cui i dati si riferiscono) in uno Stato, lo sviluppatore in un altro Stato, il produttore ubicato in un altro Stato ancora, etc.
Ed allora come faccio ad individuare quale diritto si applica e soprattutto se posso applicare il diritto UE?
Come noto a livello comunitario si applica la direttiva sulla protezione dei dati (95/46/CE) a cui si aggiungono la direttiva e-privacy (2002/58/CE, modificata dalla direttiva 2009/136/CE), tutte attuate in Italia dal D.lgs. 196/2003.
In base a tali norme, la direttiva comunitaria trova applicazione ogniqualvolta una parte coinvolta nello sviluppo, nella distribuzione e nel funzionamento di applicazioni sia qualificata responsabile del trattamento e si trovi in uno Stato dell’UE. Non è tuttavia l’unico requisito. Si applica anche la direttiva UE quando, per il trattamento dati, il Responsabile NON si trova nel teritorio UE, ma si ricorre a strumenti situati nel territorio UE. Ne consegue che l’applicazione della direttiva comunitaria appare altamente probabile.
B) Correttezza del trattamento
Dal punto di vista della correttezza del trattamento dati il Gruppo di Lavoro ex art. 29 pone l’attenzione su alcuni trattamento in particolare.
Innanzitutto evidenzia la necessità di identificare i ruoli dei soggetti coinvolti. Normalmente nella realizzazione di una APP possiamo trovare gli sviluppatori, i produttori della APP, le APP store o i rivenditori e le parti terze come gli sponsor, ma nel caso di APP mediche potremmo avere anche gli operatore sanitari.
Non esistono regole rigide, ma dovrà essere lo sviluppatore e impostare le regole per il trattamento dati con la APP che va a sviluppare ed è bene definire chi tra i soggetti coinvolti riveste il ruolo di titolare del trattamento, chi di responsabile e chi di incaricato[4].
Come sopra detto, l’individuazione del responsabile del trattamento può incidere anche sul diritto applicabile.
La definizione dei ruoli, nel contratto o anche semplicemente nell’informativa, consentirà di individuare le responsabilità in caso di trattamento illecito di dati.
Nel caso di APP mediche, andrà definito il ruolo degli operatori sanitari che eventualmente elaboreranno o raccoglieranno il dato.
C) consenso al trattamento
Conditio sine qua non di qualsiasi trattamento dati, resta poi il consenso preventivo all’installazione e al trattamento di dati personali dell’interessato.
Nel caso di una qualsiasi APP, il principale fondamento giuridico applicabile è il consenso., poiché con l’installazione di un’applicazione, nel dispositivo dell’utente finale vengono inserite delle informazioni e spesso le stesse APP accedo ai dati memorizzati sul dispositivo.
La validità del consenso necessita che consista in una “manifestazione di volontà libera, specifica e informata” (ai sensi della definizione all’articolo 2, lettera h), della direttiva sulla protezione dei dati, art. 23 del D.lgs. 196/2003)[5].
Nel contesto dei dispositivi intelligenti
- “libera” significa che l’utente deve poter scegliere se accettare o rifiutare il trattamento dei suoi dati personali. Quindi, se un’applicazione richiede il trattamento di dati personali, l’utente deve essere libero di accettare o rifiutare, senza trovarsi di fronte a uno schermo contenente un’unica opzione “Sì, accetto”, per completare l’installazione. In altre parore deve essere disponibile anche un’opzione “Cancella” o che comunque blocchi l’installazione.
- “Informata” significa che l’interessato deve disporre delle informazioni necessarie per formulare un proprio giudizio sull’opportunità di dare o meno il consenso. Ovviamente, per maggiore correttezza le informazioni devono essere disponibili prima di qualunque trattamento di dati personali, ivi compreso il trattamento che potrebbe avere luogo durante l’installazione, ad esempio per scopi di debugging o tracking.
- “Specifica” significa che la manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati. Per questo motivo, il semplice clic su un tasto “installa” non si può considerare un valido consenso per il trattamento di dati personali, poichè il consenso non può essere un’autorizzazione formulata genericamente.
In alcuni casi, gli utenti sono in grado di fornire un consenso cosìdetto granulare, laddove il consenso è richiesto per ciascun tipo di dati ai quali l’applicazione intende accedere.
Con il consenso granulare gli interessati possono verificare con esattezza quali funzioni comportano un trattamento e di quali dati. Un simile approccio soddisfa due importanti requisiti giuridici: in primo luogo quello di informare adeguatamente l’utente in merito a elementi importanti del servizio e in secondo luogo quello di chiedere il consenso specifico per ognuno di essi.[6]
L’approccio alternativo per cui lo sviluppatore chiede ai propri utenti di accettare una lunga serie di termini e condizioni e/o politiche sulla privacy non costituisce un consenso specifico.[7]
Ovviamente, anche qualora il consenso soddisfi tutti gli elementi sopra descritti, questo non consente l’autorizzazione a trattamenti sleali e illeciti. Se il trattamento è eccessivo e/o sproporzionato rispetto alla finalità, anche se l’utente vi ha acconsentito, lo sviluppatore dell’applicazione non disporrà di un fondamento giuridico valido, violando probabilmente la direttiva sulla protezione dei dati.
Nel caso poi di dati sullo stato di salute l’articolo 8 della direttiva sulla protezione dei dati, il consenso deve essere esplicito, mentre il Dl.gs. 196/2003 stabilisce al 4 comma dell’articolo 23 che “il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili”.
Indubbiamente nel caso delle APP, tale principio può in qualche modo essere interpretato in maniera estensiva, ma indubbiamente devono escludersi qualsiasi forma di consenso vincolato o che non siano espressioni di volontà dell’interessato.
Infine, gli utenti devono avere l’opportunità di revocare il loro consenso in modo semplice ed efficace.
D) Autorizzazione al trattamento
Per quanto riguarda il trattamento di dati sensibili, si segnala poi quanto previsto dall’art. 26:
“1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.”
3. Il comma 1 non si applica al trattamento:
a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;
b) dei dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria;
b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis. (1)
4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:
a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;
b) quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;
(….)”
Quindi oltre al consenso, per il trattamento di dati sensibili è richiesta anche l’autorizzazione del Garante.
Ad oggi, esistono delle autorizzazioni generali che consentono il trattamento dati sensibili a particolari categorie di dati.
Ad esempio l’Autorizzazione n. 2/2013 – Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale per gli esercenti le professioni sanitarie. Ovviamente il trattamento deve avvenire nel rispettosi quanto previsto dall’Autorizzazione stessa e che quindi al momento copre solo la tutela dell’incolumità pubblica.
Nel caso di una APP medica sarà necessario verificare se i trattamenti effettuati rientrano nell’autorizzazione indicata o se, viceversa, occorre procedere ad una richiesta di autorizzazione ad hoc.
Da ultimo si segnala che mentre per il trattamento di dati personali (quindi non dati sullo stato di salute) è possibile sfruttare i casi di esenzione previsti dall’art. 24 del D.lgs. 196/2003[8], questo non è possibile per il trattamento di dati sensibili.
E) misure organizzative e tecniche
Da ultimo, il Gruppo di lavoro, evidenzia l’obbligo per titolari e responsabili del trattamento di adottare misure organizzative e tecniche per garantire la protezione dei dati personali.
Naturalmente le misure devono essere prese da tutti i soggetti coinvolti e, ancora una volta, è importante stabilire ruoli e responsabilità per individuare gli obblighi di ciascuno.
A parere di chi scrive, poi, nel caso di APP mediche, le misure minime di sicurezza previste dal D.lgs. 196/2003 possono considerarsi unicamente un primo livello di tutela. Il titolare e responsabile del trattamento, al fine di tutelarsi da eventuali responsabilità, devono adottare e preoccuparsi di implementare misure idonee (art. 31 D.lgs. 196/2003)[9] in base ad un’accurata analisi dei rischi per il trattamento dati.
L’obiettivo dell’osservanza dell’obbligo di sicurezza dei trattamenti è duplice: autorizza gli utenti a controlli più rigorosi sui propri dati e rafforza la fiducia nelle entità che effettivamente gestiscono i dati degli utenti.
Per adempiere ai rispettivi obblighi di sicurezza, gli sviluppatori di applicazioni, gli app store, i produttori di OS e dispositivi e i terzi devono tenere conto dei principi di privacy by design e by default. Questo richiede una valutazione costante dei rischi esistenti e futuri per la protezione dei dati, nonché l’attuazione e la valutazione di misure di attenuazione efficaci, tra cui la minimizzazione dei dati.
F) dati genetici e biometrici
Da ultimo si segnala un ulteriore adempimento richiesto per il trattamento di dati genetici e biometrici. Questi ultimi possono essere “definiti proprietà biologiche, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche e/o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità.”[10]
Esempi tipici di dati biometrici sono le impronte digitali, la voce, la forma della manto, la struttura della retina, etc…
Per il trattamento di dati Biometrici il D.lgs. 196/2003 richiede l’effettuazione di una notifica al Garante (art. 37).
Quindi, ricapitolando, sotto il profilo privacy, gli aspetti da tenere in considerazione sono:
- le definizione di ruoli tra i soggetti che partecipano (sviluppatori, produttori, appStore o terzi);
- l’acquisizione di consenso libero, specifico e informato
- l’ottenimento di autorizzazione al trattamento dati, qualora non si rientri nelle autorizzazioni generali del Garante;
- notifica per il trattamento di dati genetici e biometrici.
A riprova, comunque dell’indubbio interesse che il trattamento dei dati attraverso le APP mediche suscita c’è l’indagine avviata dal Garante per la protezione dei dati personali[11] all’interno del “Privacy Sweep 2014″, un’iniziativa promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui il Garante italiano fa parte. L’indagine è stata condotta nel mese di maggio u.s. e i risultati verranno resi noti il prossimo autunno.
[1] La dottrina e giurisprudenza tende a qualificare i dati sullo stato di salute dato “super – sensibile” proprio a sottolinearne l’importanza e la delicatezza (Cassazione civile , sez. I, sentenza 08.07.2005 n° 14390).
[2] Il Gruppo è stato istituito dall’art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.
[3] Opinion 02/2013 on apps on smart devices, Adopted on 27 February 2013, http://194.242.234.211/documents/10160/2133805/WP202
[4] Articolo 4, Dlgs. 196/2003: f) “titolare“, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) “responsabile“, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) “incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;”
[5] Sul consenso al trattamento dati, vedi Parere 15/2011 del Gruppo di lavoro “articolo 29″ sulla definizione di consenso (luglio 2011), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_it.pdf.
[6] La necessità di adottare un consenso granulare è auspicato anche nel rapporto informativo FTC Mobile Privacy Disclosures, Building Trust Through Transparency, febbraio 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf.
[7] Il Parere del Gruppo di lavoro 29 propone alcuni esempi di consenso specifico, che possono diventare un utile riferimento, se ne riportano alcuni.
Un’applicazione fornisce informazioni sui ristoranti nelle vicinanze. Per l’installazione, lo sviluppatore deve ottenere il consenso. Per accedere ai dati di geolocalizzazione, lo sviluppatore deve chiede il consenso separatamente, ad esempio durante l’installazione o prima di accedere alla geolocalizzazione.
Analogamente, quando una app di comunicazione accede alla rubrica dei contatti, l’utente deve essere in grado di selezionare i contatti con i quali intende comunicare, invece di essere costretto a concedere l’accesso all’intera rubrica (compresi i contatti di persone che non utilizzano il servizio e non possono aver acconsentito al trattamento dei propri dati).
[8] Tra i casi di esenzione alla richiesta di consenso c’è l’ipotesi di trattamento dati per necessità di eseguire un contratto. Si pensi al caso di un utente che acconsente all’installazione di una app di mobile banking. Per adempiere a una richiesta di effettuazione di un pagamento la banca non deve chiedere il consenso separato dell’utente a divulgare il suo nome e numero di conto bancario al beneficiario del pagamento. Queste informazioni sono strettamente necessarie per eseguire il contratto con questo specifico utente e pertanto rientra nei casi di esenzione previsti dalla Direttiva e dal D.lgs. 196/2003.
[9] Art. 31. Obblighi di sicurezza: “1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”
Gruppo di lavoro ex art. 29,
[10] Parere 4/2007 sul concetto di dati personali http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_it.pdf .