La circolazione dei dati sanitari oltre i confini europe

Sulla base dei principi e delle regole appena illustrate, il trattamento in

cloud di dati sensibili presenta particolari problematiche di sicurezza in caso

del loro trasferimento oltre i confini europei. In base alla disciplina contenu- ta nel D.lgs. 196/03 la circolazione dei dati personali può avvenire sostan- zialmente in due differenti modi: con la “diffusione”, quando i destinatari dei dati sono indeterminati e indeterminabili, ovvero con la “comunicazio- ne”, quando avviene verso soggetti determinati. Nel primo caso, sia in ambi- to nazionale che europeo, sussiste un divieto generale ed assoluto di diffu- sione dei dati sanitari20, mentre per i dati oggetto di comunicazione è neces- sario distinguere quando il trasferimento avvenga all‟interno dell‟Unione Europea (o dello Spazio Economico Europeo) o in territorio extra-europeo. In generale, quando la comunicazione tra soggetti determinati o la trasmis- sione (se effettuata dal titolare al responsabile) avviene tra soggetti determi- nati i dati sanitari devono circolare in forma cifrata21.

La comunicazione di dati sanitari è già stata oggetto di approfondimento da parte del Garante Privacy in occasione della stesura delle Linee guida in materia di referti on-line, emanate con provvedimento del 25 giugno 200922. Le considerazioni svolte in quella sede sono a tutti gli effetti applicabili an- che nell‟ambito degli scenari del cloud. In particolare, osservava il Garante, in caso di trasmissione dei dati tra il server del titolare del trattamento (la struttura sanitaria pubblica) e il client dell‟interessato (utente o paziente), questa deve avvenire attraverso protocolli di comunicazione sicuri, basati

20 _{Art. 22, comma 8, D. Lgs. 30 giugno 2003, n. 196.} 21 _{D.lgs. 196/03, All. b) n. 24.}

22

Il provvedimento è consultabile al seguente link http://www.garanteprivacy.it/web/ guest/home/docweb/-/docweb-display/docweb/1630271

132 sull'utilizzo di standard crittografici per la comunicazione elettronica dei da- ti, con la certificazione digitale dell‟identità dei sistemi che erogano il servi- zio in rete (es. protocolli https ssl – Secure Socket Layer). Inoltre, quando sono trasmessi documenti allegati contenenti dati sanitari (come, ad esem- pio, il referto on-line) è necessario l‟utilizzo di password o di chiavi critto- grafiche per l‟apertura del file, da comunicare al destinatario tramite canali diversi da quelli usati per la trasmissione dei dati. Oltre all‟obbligo di adotta- re tecniche idonee ad evitare l‟acquisizione non autorizzata del dato durante la consultazione del documento tramite sistemi di caching locali o centraliz- zati, il Garante ha prescritto anche l‟uso di idonei sistemi di autenticazione informatica (credenziali o, preferibilmente, tramite procedure di “strong au-

thentication”) affinché sia consentita l‟individuazione sicura del destinatario

della comunicazione stessa23.

Per quanto concerne la circolazione dei dati sanitari all‟interno dell‟Unione Europea e dello Spazio Economico Europeo non sono richiesti particolari requisiti, mentre nel caso di circolazione verso territori extra UE affinché l‟attività possa considerarsi lecita è necessario verificare la sussi- stenza di alcune condizioni24.

In primo luogo occorre verificare il livello di adeguatezza del Paese de- stinatario dei dati sanitari. Con ciò si intende che le regole poste a tutela dei dati personali in vigore nel Paese extra UE siano adeguate ai livelli di prote- zione richiesti nell‟Unione Europea e, in caso positivo, potrà procedersi al trasferimento. La valutazione in ordine al livello di adeguatezza è svolta dal- la Commissione Europea, coadiuvata dalle verifiche effettuate dal Gruppo di Lavoro ex Art. 29 per la protezione dei dati dell‟Unione Europea25

.

23_{Ad esempio, per l‟invio del referto on-line via e-mail al paziente è richiesto quantomeno che}

si proceda alla convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line.

24 _{In base all‟art. 45 del D.lgs. 196/03, il trasferimento dei dati da un Paese UE verso paesi terzi}

(non appartenenti all‟UE o allo SEE, quali la Norvegia, Islanda e Liechtenstein) è vietato, anche se temporaneo (cfr. anche l‟art. 25, comma 1, Dir. 95/46/CE).

25 _{Attualmente i paesi con un livello di adeguatezza idoneo sono: Andorra, Argentina, Australia,}

Canada, Guernsey, Isola di Man, Isole Far Oer, Israele, Isola di Jersey, Nuova Zelanda, Principato di Monaco, Svizzera, Uruguay. Per gli Stati Uniti, vigeva il sistema Safe Harbor, che, con Decisione della Commissione Europea 2000/520/CE del 26 luglio 2000, fu definito di livello adeguato per la protezione dei dati personali trasferiti verso gli USA. Come si dirà meglio nel prosieguo, il 6 ottobre 2015, la Corte di Giustizia dell‟Unione Europea ha invalidato la suddetta Decisione 2000/520/CE.

133 Al contrario, nel caso in cui non vi sia giudizio di adeguatezza, affinché possa essere effettuato il trasferimento dei dati sanitari occorre rispettare particolari requisiti e adottare specifiche misure ed accorgimenti. In partico- lare, è necessario acquisire il consenso scritto dell‟interessato, che deve esse- re specifico e ulteriore rispetto al consenso per altre operazioni di trattamen- to del dato26. Tuttavia, non è richiesto il consenso: nell‟ipotesi in cui il tra- sferimento “sia necessario per l’esecuzione di obblighi derivanti da un con-

tratto del quale è parte l’interessato; per l’adempimento, prima della con- clusione del contratto, a specifiche richieste dell’interessato; ai fini della conclusione o dell’esecuzione di un contratto stipulato a favore dell’interessato”27

.

Il trasferimento extra-UE è altresì consentito, senza il consenso dell‟interessato, quando è “necessario per la salvaguardia di un interesse

pubblico rilevante individuato con legge o con regolamento o, se il trasferi- mento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21”28. Allo stesso modo, non è necessario il consenso quando il trasferimento è effettuato al fine di salvaguardare la vita o l‟incolumità fisica di un terzo o dell‟interessato29

.

Al di fuori delle ipotesi sopra menzionate, il trasferimento dei dati fuori dal territorio comunitario è consentito, su autorizzazione del Garante, a con- dizione che siano adottate particolari clausole o modelli contrattuali che of- frano adeguate garanzie per l‟interessato e che siano vincolanti per il desti- natario dei dati da trasferire30. In particolare, possono essere utilizzati i mo- delli contrattuali ad hoc elaborati dal Garante, le cosiddette Binding Corpo-

rate Rules (BCR)31, applicabili tra società appartenenti allo stesso gruppo, nel caso di multinazionali aventi sedi in Stati diversi e, infine, i modelli con- trattuali elaborati dalla Commissione Europea.

26

Art. 43, comma 1, lett. a), D. Lgs. 30 giugno 2003, n. 196.

27 _{Art. 43, comma 1, lett. b), D. Lgs. 30 giugno 2003, n. 196} 28 _{Art. 43, comma 1, lett. c), D. Lgs. 30 giugno 2003, n. 196.} 29 _{Art. 43, comma 1, lett. d), D. Lgs. 30 giugno 2003, n. 196} 30 _{Art. 44, D. Lgs. 30 giugno 2003, n. 196}

31 _{Le Binding Corporate Rules sono documenti nei quali sono specificate le regole (rules) che}

disciplinano i livelli di tutela dei dati personali in modo vincolante (binding) per tutte le società facenti parte di un medesimo gruppo (corporate). L‟uso delle BCR deve essere sempre autorizzato dal Garante.

134

2.2 La più recente disciplina europea in materia di trasferi-