L’individuazione dei ruoli privacy nel settore sanitario resta un tema molto delicato che spesso richiede attenta analisi, considerato che da ciò deriva non solo la distribuzione delle relative responsabilità, ma anche la possibilità per gli interessati di conoscere il soggetto cui potersi rivolgere per esercitare i diritti di cui agli artt. da 15 a 22 del Regolamento.
Abbiamo già affrontato la questione dei ruoli privacy nel particolare caso dei rapporti intercorrenti tra le strutture accreditate e le ASL.
Analizziamo oggi un’ordinanza ingiunzione emessa dall’Autorità Garante nell’anno 2022 che contiene interessanti indicazioni sui ruoli privacy individuati nell’ambito di un programma di screening svolto dalla Regione Lazio che vedeva coinvolte anche l’ASL di Rieti.
Le definizioni
Preme in primo luogo rammentare che, ai sensi del GDPR, il titolare del trattamento è il soggetto che adotta le decisioni di fondo sulle finalità e modalità di un trattamento effettuato in base a uno dei presupposti di liceità previsti dagli artt. 6 e 9 del Regolamento (cfr. “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato Europeo per la protezione dei dati, il 7 luglio 2021).
La figura del responsabile rimane invece “servente” al titolare, in quanto svolge operazioni di trattamento di dati personali su delega e per conto del titolare che lo individua verificandone le conoscenze specialistiche, l’affidabilità e le risorse messe in atto per garantire un adeguato livello di protezione dei dati, ne delimita i compiti e gli fornisce specifiche istruzioni sui trattamenti da effettuare.
Ai fini della corretta individuazione del ruolo di titolare o responsabile è fondamentale porsi da un punto di vista sostanziale e concreto: occorre infatti esaminare le attività che in concreto vengono svolte dai soggetti a vario titolo coinvolti nel trattamento. Troppo spesso, infatti, si ritiene che i “ruoli privacy” possano essere determinati in sede contrattuale o comunque sulla base di ragionamenti di convenienza con un approccio valutativo del tutto disgiunto dalla realtà senza considerare che non è possibile né diventare un Titolare né sottrarsi agli obblighi del Titolare addossandoli a un altro soggetto mediante contratto.
Il caso di specie
Veniamo ora al caso di specie esaminato dal Garante per la Protezione dei dati personali.
La Regione Lazio ha istituito il Sistema Informativo dei Programmi di screening oncologici che prevede la creazione di una piattaforma regionale messa a disposizione delle strutture di screening per la gestione e il monitoraggio di percorsi organizzati. Tale progetto comporta in sostanza che le ASL possono accedere alla piattaforma regionale per individuare gli interessati cui inviare gli inviti ai programmi di screening organizzati.
Una volta avviato il programma di screening, le ASL svolgono poi trattamenti di dati personali dei pazienti per la “normale” finalità di diagnosi e cura nell'ambito di percorsi diagnostico-terapeutici, ossia accettazione dell'utenza, raccolta dell'anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure diagnostiche, richiamo per analisi di follow up.
Nell’ambito del procedimento avviato dall’Autorità Garante nei confronti della Asl a seguito del reclamo di una interessata, gli enti hanno reso noto lo schema dei ruoli privacy sotteso alle attività di trattamento dei dati di cui sopra, così riassumibile:
- per il trattamento di dati finalizzato alla gestione e utilizzo del Sistema Informativo Unico Regionale degli Screening Oncologici, titolare del trattamento è la Regione Lazio;
- la società in-house che mette a disposizione e manutiene il software opera in qualità di responsabile del trattamento;
- per la visualizzazione dei dati personali finalizzata all'individuazione dei soggetti cui trasmettere gli inviti allo screening realizzati, le ASL assumono il ruolo di autorizzati ai sensi dell'art. 29 del GDPR; per tutte le altre attività di natura sanitaria (gestione dei referti delle visite realizzate per finalità di screening), le ASL invece detengono una propria ed autonoma titolarità.
Le indicazioni del Garante
Nell’esaminare approfonditamente il progetto, l’Autorità Garante non ha condiviso la ricostruzione della Regione ed anzi ha fornito una propria ricostruzione dei ruoli privacy assunti dai soggetti coinvolti nel trattamento dei dati per fini di svolgimento di campagne di screening.
L’Autorità ha innanzitutto rilevato profili di contraddittorietà nella ricostruzione operata dalla Regione, in particolare con riferimento all’individuazione delle ASL quali autorizzati al trattamento ex art. 29 GDPR per la finalità di individuazione dei soggetti cui trasmettere gli inviti allo screening realizzati.
Il Garante ha infatti rammentato che non è possibile designare le persone fisiche che operano esclusivamente presso società esterne al titolare e al responsabile del trattamento quali incaricati del trattamento, poiché le stesse non sono soggette alla “diretta autorità” del titolare o del responsabile del trattamento.
In secondo luogo, l’Autorità ha sottolineato che neppure la configurazione dei ruoli ri-determinata dalla Regione Lazio con apposita delibera appariva corretta.
Nella Delibera adottata dalla Regione veniva infatti previsto che quest’ultima assumesse il ruolo di titolare del trattamento, mentre la Asl assumeva il ruolo di responsabile del trattamento anche per tutte quelle finalità che sono perseguibili esclusivamente da parte delle aziende sanitarie, ossia “diagnosi e cura nell’ambito di percorsi diagnostico-terapeutici che prevedono la gestione dell’invito, raccolta dell’anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure, richiamo per analisi di follow up”.
Al riguardo, infatti, l’Autorità ha rappresentato che i dati individuali sulla salute raccolti nell’ambito delle campagne di screening possono essere trattati per finalità di diagnosi e cura solo dalle aziende sanitarie. Analogamente, alcune delle finalità perseguite dalla Regione (es. monitoraggio e valutazione della qualità del Programma di Screening o Adempimento degli obblighi informativi verso il Ministero della Salute) possono essere perseguite solo attraverso informazioni aggregate.
Nel caso di specie, pertanto, alla Regione sono attribuite funzioni di programmazione dell’offerta di prevenzione, mentre alle aziende sanitarie quella di erogazione della prestazione sanitaria. In relazione a tali finalità, spetta quindi alla Regione, in qualità di titolare del trattamento, di garantire che attraverso il sistema informativo i soggetti coinvolti a vario titolo nel trattamento accedano alle sole informazioni necessarie al perseguimento delle finalità legittimamente perseguite in qualità di autonomi titolari del trattamento, nel rispetto del principio di minimizzazione dei dati.
Conclusioni
Come evidenziato anche nel provvedimento in esame, la scorretta individuazione dei ruoli privacy può comportare a cascata che tutto ciò che sia messo in atto in relazione al trattamento dati sia altrettanto scorretto: a titolo meramente esemplificativo, si pensi alla responsabilità dello svolgimento della valutazione d’impatto (ove prevista), alla scelta della base giuridica che va determinata in relazione alla finalità perseguita, anche considerata la natura del titolare, la corretta redazione dell’informativa privacy e l’individuazione del soggetto tenuto a consegnarla, etc.
In conclusione, quindi, l’individuazione dei ruoli privacy nell’ambito di uno specifico trattamento di dati particolari è un momento fondamentale per la corretta gestione degli adempimenti e delle responsabilità previste dalla normativa in materia di protezione dei dati personali.
Rubrica "Privacy in Sanità: imparare dalle sanzioni"
Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.
