Guarantor for the protection of personal data: Opinion to the Autonomous Province of Trento on a draft regulation concerning initiative medicine in the provincial health service - Provision n. 175 of 1 October 2020
Premise
Il Garante per la protezione dei dati personali ha espresso nuovamente il proprio parere sul tema della medicina di iniziativa, a seguito di una richiesta di valutazione, da parte della provincia autonoma di Trento, di uno schema di regolamento dalla stessa predisposto ed avente ad oggetto proprio la disciplina della medicina di iniziativa.
La medicina di iniziativa non è altro che un modello di assistenza che il servizio sanitario può svolgere a favore dei suoi assistiti, prevalentemente soggetti a patologie croniche, in cui il medico non attende che il paziente si rechi presso di lui per comunicargli l’esistenza della malattia o il suo peggioramento, ma anticipa il paziente stesso attraverso una valutazione preventiva della sua condizione di salute e quindi attraverso la individuazione dei trattamenti adeguati e differenziati della malattia a seconda degli esiti della preventiva valutazione effettuata.
Come detto, la provincia autonoma di Trento è tornata nuovamente sul tema attraverso uno schema di regolamento con cui disciplina alcune modalità di svolgimento della medicina di iniziativa del servizio sanitario provinciale, anche attraverso l’uso di sistemi tecnologici predittivi.
A tal proposito, la provincia, già lo scorso maggio, era già intervenuta sul tema attraverso un altro schema di regolamento che aveva sottoposto al parere del garante, il quale ultimo aveva ritenuto che il provvedimento della provincia di Trento presentasse diverse criticità. In particular, tali criticità erano legate al fatto che i trattamenti di dati disciplinati dal provvedimento perseguivano più finalità (Which: quella statistica, quella di cura, quella amministrativa), che pertanto si fondavano su diversi presupposti di liceità e prevedevano delle misure di tutela dei diritti degli interessati diverse. However, secondo il Garante, l’atto normativo a suo tempo esaminato, per com’era formulato, non permetteva di garantire delle adeguate misure di tutela.
Il Garante si è quindi nuovamente espresso sul tema, analizzando il nuovo schema di regolamento della provincia, ed ha evidenziato che anche rispetto al nuovo provvedimento della Provincia sussistono delle perplessità.
Il parere del Garante
Preliminarmente il Garante evidenzia come il regolamento proposto dalla Provincia prevede che vengano acquisiti, per lo svolgimento delle attività di medicina di iniziativa, anche dei dati che riguardano le dipendenze dei soggetti interessati, nonché quelli relativi all’interruzione volontaria di gravidanza e alla maternità nonché i dati contenuti nel registro tumori. A tal proposito, il Garante rileva come le informazioni e i dati di cui sopra ricevono una tutela rafforzata da parte dell’ordinamento, prevista anche in specifiche disposizioni di legge. Allo stesso modo, lo schema di regolamento prevede anche il trattamento di dati che riguardano gli accertamenti medico-legale effettuati sugli interessati nonché i dati relativi agli accertamenti medici effettuati dal medico competente del lavoro. Anche in questo caso sussistono, evidenzia il garante, delle disposizioni normative specifiche a tutela dei dati del trattamento dei dati in queste materie. In considerazione di ciò, il Garante esorta la provincia di Trento a fare in modo che il trattamento dei suddetti dati venga effettuato rispettando anche le disposizioni normative di settore (e non soltanto quella in materia di privacy).
Ciò detto, il Garante ha analizzato la criticità relativa alla individuazione delle finalità che la provincia intende perseguire attraverso i trattamenti di dati oggetto dello schema di regolamento.
A tal proposito, il garante ha evidenziato come nello schema di regolamento l’attività di stratificazioni degli assistiti, da un punto di vista sanitario, viene effettuata attraverso l’uso di un algoritmo con cui sono elaborati i dati sanitari degli interessati che sono contenuti all’interno dei sistemi informativi sanitari provinciale. Pertanto la finalità del trattamento non sembra più essere quella di scopo statistico (come la provincia autonoma di Trento aveva invece indicato nel precedente regolamento di maggio), ma soltanto una finalità di carattere amministrativo, cioè mirata a programmare, pianificare e controllare i rapporti fra la pubblica amministrazione e i soggetti convenzionati con il servizio sanitario nazionale.
Tale attività, viene precisato nello schema di regolamento, verrà effettuata attraverso strumenti di intelligenza artificiale.
A tal proposito, il Garante ritiene che sia necessario chiarire quali sono la logica e le modalità attraverso cui l’intelligenza artificiale effettuerà l’attività di stratificazione degli interessati: in altri termini, dovrà essere chiarito da parte del titolare del trattamento come verrà usato l’algoritmo e quale sarà la sua logica per effettuare le analisi dei dati. A tal fine, il garante sollecita l’amministrazione provinciale a effettuare una valutazione di impatto del trattamento, all’interno della quale dovranno essere evidenziate la logica e le modalità con cui opererà l’algoritmo nonché dovranno essere individuate le misure necessarie per escludere o minimizzare i rischi che l’uso dell’intelligenza artificiale comporta sul trattamento dati.
Secondly, il garante ha evidenziato come le operazioni di trattamento che verranno effettuate dall’amministrazione provinciale nell’ambito della medicina di iniziativa disciplinata dal regolamento, dovranno essere maggiormente contestualizzate, al fine di chiarire meglio la effettiva necessità del trattamento, soprattutto per quelle operazioni più rischiose per gli interessati quali, ad esempio, l’interconnessione, il raffronto e la comunicazione dei dati.
Thirdly, il garante analizza l’articolo dello schema di regolamento avente ad oggetto i cosiddetti dati anonimi, il quale prevede che la diffusione dei dati avvenga attraverso modalità che non rendono identificabili gli interessati (in ottemperanza al divieto di diffusione dei dati sulla salute previsto dal codice privacy). A tal fine, il garante ritiene necessario che all’interno dello schema di regolamento venga precisato che i dati potranno essere diffusi soltanto anonimizzati oppure in una forma che non consenta comunque di risalire all’identità degli interessati. A tal fine, il garante precisa che all’interno della valutazione di impatto dovranno essere indicate le modalità per evitare la re-identificazione dell’interessato.
Finally, il garante ha affrontato i profili legati alla sicurezza dei trattamenti disciplinati dallo schema di regolamento.
A tal proposito, il garante ha evidenziato la necessità che lo schema di regolamento venga integrato con le seguenti misure di sicurezza:

sia quelle aventi carattere tecnico, volte a proteggere le password degli incaricati da usare per accedere ai sistemi informativi, Which, esemplifica il garante, l’uso di algoritmi crittografici, nonché l’implementazione di misure di difesa per attacchi informatici e di misure fisiche di protezione dei locali dove sono contenuti i sistemi informatici al fine di impedire l’accesso a soggetti non autorizzati,
sia quelle aventi carattere organizzativo, quali le istruzioni rivolte agli incaricati dei trattamenti di non lasciare documenti incustoditi o le postazioni di lavoro senza la protezione della password di accesso;
finally, il garante suggerisce alla provincia autonoma di Trento di specificare i dati che vengono registrati nei file di log di controllo degli accessi, per evitare trattamenti eccedenti di dati, nonché di rafforzare la sicurezza dei file di log attraverso misure che permettano l’integrità e l’inalterabilità delle stesse e la protezione contro usi impropri o accessi da parte di soggetti non autorizzati.

Il garante ha, then, concluso la sua valutazione sullo schema di provvedimento analizzato, esprimendo parere favorevole alla condizione che la provincia autonoma di Trento recepisca le suddette osservazioni formulate dal garante.
Recommended volume

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…

32,00 € 30,40 € Buy

your www.maggiolieditore.it

Become an author of Diritto.it
Find out more!

You may also be interested

È illegittimo l’uso dei dati contenuti nei certificati di malattia dei lavoratori per alimentare un software predittivo delle assenze ingiustificate per malattia

di Muia’ Pier Paolo
19 February 2019

Privacy: dal Regolamento (EU) 2016/679 al D. Decree. n. 101/2018

di Lucia Lipari
7 February 2019

Lavoro e privacy: l’impatto della tecnologia

by editorial staff
3 July 2020

The retention period of personal data must be commensurate with the purpose pursued with the processing

di Muia’ Pier Paolo
28 May 2020

The post Il Garante privacy torna a esprimere il proprio parere sulla regolamentazione della medicina di iniziativa da parte della Provincia autonoma di Trento appeared first on Diritto.it.
Source: Diritto.it