Uso dei dati anonimi

Dato che, fra le misure di sicurezza applicabili, è emersa quella dell’anonimizzazione, ho domandato a tali professionisti se i dati preventivamente anonimizzati da parte di terzi266_{possono o meno essere} utilizzati anche per ulteriori scopi267_{senza il consenso del titolare e senza} dar loro nessun avviso. A riguardo mi hanno fatto presente, confermando anche quello che era il mio pensiero, come tali dati, se concretamente ottenuti in modo anonimo, non necessitano di nessun consenso, in quanto non rientrano in materia di protezione dei dati personali. Mi hanno anche sottolineato come la situazione sia diversa nel caso in cui sia la Software house268_{ad anonimizzare i dati personali,} in quanto, qui, siamo nell’ambito di un’operazione di trattamento e di conseguenza sarà necessario informare il terzo il quale, per l’uso dei suoi dati, dovrà rilasciarne l’autorizzazione. E, per finire, mi hanno evidenziato come sarebbe maggiormente confacente stabilire contrattualmente determinate clausole per evitare qualsiasi obiezione da parte del titolare e quindi evitare ogni problema.

266 _{Ad esempio i clienti.}

267 _{Come per esempio per la Demo, ossia una prova, dimostrazione.}

268 _{Ossia la “casa di sviluppo”, nell’ICT è un azienda che si specifica in modo}

128

4.5.3 Competenze e certificazioni richieste ai fini delle misure tecniche e organizzative richiamate dal principio di accountability

Mi sono inoltre chiesta se in riferimento alle misure tecniche e organizzative richiamate dal principio di accountability occorrono specifiche competenze e nel caso come esse possono essere reperite e certificate. A chiarirmi le idee a riguardo, è stata la Dott.ssa Capoluongo, la quale mi ha sottolineato come per ciascuna area siano richieste competenze specifiche in quell’ambito, che potranno essere valutate sulla base di studi intrapresi, dei corsi /master seguiti e sicuramente verificate sul campo. Mentre, riguardo ad eventuali certificazioni, come già chiarito e trattato, alcuni titolari nell’affidare incarichi di consulenza/DPO richiedono la presenza di certificazioni, ma ribadisco che, ad oggi, ciò sia esclusivamente su base volontaria e non univoca.

4.6 PROTEZIONE DEI NOSTRI DATI

La “protezione dei nostri dati”, ossia il tema della information

security,269 _{è un argomento che ho già trattato nei capitoli precedenti,}

ma dato la sua importanza ho ritenuto utile acquisire, a riguardo, il parere degli esperti con i quali ho avuto modo di interloquire.

4.6.1 Quanto realmente siamo consapevoli dei diritti che abbiamo rispetto al trattamento dei nostri dati personali?

Riguardo tale tema mi sono appunto domandata quanto, oggi giorno, l’uomo, sia consapevole dei diritti che ha circa il trattamento dei suoi dati personali. Il Dottor. Busato mi ha sottolineato come l’attuale assetto normativo non tuteli i dati in quanto tali, ma i dati come strumento per

269 _{Sicurezza informatica.}

129

la protezione delle persone fisiche. Circa quest’ultima, il legislatore europeo ha previsto sia un apparato sanzionatorio severo contro eventuali violazioni ma soprattutto maggiori e più stringenti obblighi informativi verso gli interessati. Si tratta di una scelta assolutamente condivisibile. Data la peculiarità della materia, infatti, non vi sarebbe stato modo migliore per garantire la tutela se non quello di permettere un maggior controllo dell’interessato al trattamento, il quale viene di conseguenza dotato di strumenti idonei per contrastare eventuali comportamenti non conformi. Fatta questa premessa, il professionista sopra menzionato, mi ha evidenziato come il GDPR, ai suoi Art.5,7,12,13 e 14 in particolare, conferisca un accurata ed effettiva informazione circa tutti gli aspetti rilevanti del trattamento, indicando quali siano sia le informazioni da dare, sia le modalità di comunicarle. Sottolinea altresì come, avendo avuto la possibilità di constatarlo nel suo lavoro, tale consapevolezza cresca in maniera esponenziale quando alle informative viene data una forma schematica, mentre quando l’informativa viene redatta in “prosa” le informazioni, pur scritte in maniera intellegibile, fanno maggiormente fatica ad essere recepite e al contrario portano ad accrescerne la diffidenza. In ogni caso, ritiene, che i principi ispiratori della nuova normativa abbiano sicuramente fatto sì che per la maggior parte dei trattamenti, i soggetti siano ben consapevoli delle modalità di svolgimento degli stessi e delle relative conseguenze prima di conferire i dati e così facendo, riescono ad autodeterminarsi in merito. Illustra altresì come nel suo lavoro siano frequenti, ad esempio, le richieste di chi vuole capire come mai i propri dati verranno comunicati al destinatario Beta S.r.L. piuttosto che all’INPS oppure come siano frequenti anche le richieste di chi chiede chiarimenti sulle modalità di trattamento. Naturale conseguenza di ciò è che le richieste di far valere i propri diritti sono minori e per lo più legate alla portabilità dei dati nei trattamenti ove sia possibile.

130

Trattando di ciò nell’ambito sanitario, il Dottor. Busato, mi ha invece fatto presente come, per ovvie ragioni, tale settore sia molto particolare in quanto il soggetto, per prima cosa, è concentrato su altro e solo in secondo luogo impegnato nella comprensione di altre questioni. Detto ciò quindi è ben evidente come la gestione dei dati personali passi in secondo piano rispetto, ad esempio, alle questioni del consenso informato, alle dat e agli aspetti più squisitamente sanitari. A ciò devono unirsi due fattori:

 Il primo è rappresentato dal fatto che in ambito sanitario il consenso non è mai dovuto se non per specifiche finalità;  Il secondo perché, dato il settore, c’è una minor diffidenza

sul possibile uso improprio dei dati.

Tale situazione così come è stata delineata, aggiunge sempre tale professionista, è ben nota al Garante, il quale ha infatti disposto, che, ad esempio, la creazione di un Dossier Sanitario Elettronico o di un Fascicolo Sanitario Elettronico, costituisca un’autonoma finalità rispetto a quella sanitaria che non viene sorretta dalla liceità di cui all’Art.9, par.2, lett h) del GDPR e perciò va autorizzato con apposito consenso.

Ritengo di poter dire come questa misura, alla luce delle delucidazioni fornitemi dal più volte menzionato professionista, porterà nei prossimi anni, quando l’esigenza di una gestione telematica della sanità sarà ancora più pregnante, ad aumentare la consapevolezza e l’attenzione sul trattamento dei dati e sulla sua rilevanza ed importanza. Del resto, con l’informatizzazione della sanità si va verso un memoria illimitata sui dati sensibili e, ad oggi, non mi pare sia un tema sul quale vi sia ancora una piena consapevolezza.

A parere del Dottor. Balboni, invece, gli interessati sono ancora poco informati sui loro diritti privacy in generale e non solo circa i diritti in ambito privacy e sanità. Nonostante questo, però, mi ha anche

131

evidenziato come gli interessati siano più consapevoli anche solo di due anni fa.

Anche la Dott.ssa Capoluongo ha ammesso come in Italia, sul tema della protezione dei dati, ci sia ancora scarsissima sensibilità. La consapevolezza è davvero bassa, infatti basta leggere alcuni report sul punto per rendersene conto. Ad esempio, infatti, secondo il report Eurostat, solo il 28% degli utenti italiani riscontra qualche problema di privacy quando naviga in rete, ciò, quindi, significa che il restante 72% degli internauti270 _{non ha abbastanza consapevolezza da accorgersi che} quando sono sul web la loro riservatezza è sistematicamente messa a repentaglio. Ancora più spaventoso è vedere quanto poco valore viene dato alla password, vendute per poche decine di dollari sul mercato nero del web. Sempre la Dott.ssa Capoluogo, essendo specializzata anche nel settore sanitario, mi ha fatto presente come in sanità il problema si centuplichi a causa della sovrapposizione di diversi fattori, quali ad esempio:

 La delicatezza dei dati271_;

 La diffusione di una tecnologia utile ma sempre più invasiva;  La perenne connessione ed interconnessione dei dispositivi;  La scarsa preparazione in materia di privacy delle realtà

sanitarie;

 La scarsa consapevolezza del paziente;

 La redazione di informative non adeguate da parte dei titolari in ambito sanitario;

 La scarsa importanza data al consenso e al consenso informato272_;

 La scarsa chiarezza della normativa in ambito sanitario.

270 _{Termine composto da internet e da nauta con cui si designa il navigatore della}

rete.

271 _{Dati particolari.}

132

Il Dottor. Balboni infatti sottolinea come la sanità è forse quindi una delle aree peggiori insieme al marketing e alla profilazione da un punto di vista di consapevolezza e sensibilizzazione, basti infatti pensare all’IOT273 _{e alle wearable technology}274_{. Perennemente, infatti,}

indossiamo dispositivi che misurano qualsiasi dato relativo a noi, alla nostra salute, alle nostre abitudini, preferenze etc.

Anche il Dottor. Iaselli ribadisce come la materia sanitaria, in particolare, rimanga ancora molto trascurata per quanto riguarda il settore della protezione dei dati da parte di molte aziende e laboratori sanitari ed ovviamente questo aspetto crea grossi problemi di incomprensione da parte dei comuni cittadini in veste di pazienti, sebbene il GDPR abbia precisato molto bene quali siano le condizioni di liceità ed i principi da applicare anche nel mondo sanitario. Inoltre l’intervento della normativa di adeguamento e cioè il D.lgs 101/2018 ha chiarito molti dubbi, anche se, ad esempio, ancora in molti non hanno ancora capito che per il trattamento dei dati sanitari ormai non è più indispensabile il consenso dell’interessato275_{, essendo altre le condizioni} di liceità che contano ai sensi dell’Art. 6 e dell’Art. 9 del GDPR.

273 _{Telecomunicazione Internet delle Cose, ossia un neologismo che si riferisce}

all’estensione di Internet al mondo degli oggetti e e dei luoghi concreti.

274 _{Ossia quei dispositivi che permettono di distribuire sul nostro corpo funzioni per}

la raccolta e l’elaborazione dei dati.

275 _{L’Art.9 GDPR, lett h), non prevede infatti la necessità del consenso per il}

trattamento dei dati per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. Una volta quini che il cittadino ha deciso di sottoporsi ad una cura non occorre il consenso al trattamento dei suoi dati a fine di cura e diagnosi. La norma però prevede la possibilità per gli Stati membri di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute” (comma 4). Infatti, il legislatore italiano ha previsto misure di garanzia e regole deontologiche fissate dall’autorità di controllo nazionale e riviste a cadenze biennale.

133

4.6.2 Trasferimento degli Awareness agli interessati

Dopo aver trattato della consapevolezza nei confronti dei diritti che abbiamo rispetto al trattamento dei nostri dati personali, ho ritenuto opportuno domandare a tali esperti come tali Awareness vengono trasferiti agli interessati. La Dott.ssa Capoluongo ha fatto presente come l’unico mezzo per sensibilizzare è la formazione, la didattica e la diffusione dei concetti e principi che il Regolamento ha voluto proteggere e statuire, ad esempio mediante campagne del Garante o in tv/sui periodici. Come mi ha evidenziato il Dottor. Iaselli, una figura rilevante a riguardo è anche quello del DPO, il quale deve svolgere un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e deve contribuire a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni dei dati personali. Il Dottor. Balboni invece, a riguardo, dopo aver ammesso, come detto poso sopra, che gli interessati hanno scarsa consapevolezza dei loro diritti rispetto al trattamento dei loro dati, ha evidenziato come la Commissione EU ha bene chiaro il problema e, di conseguenza, sta rivolgendo attenzione e risorse per promuovere Awareness privacy attraverso le autorità di controllo locali e coinvolgendo associazioni rappresentative dei segmenti di riferimento276_.

In considerazione di quanto sopra ritengo pertanto di poter dire che vi sono i presupposti per poter raggiungere risultati migliori, ma non è concepibile alcuna sicurezza del trattamento se non nasce da parte di tutti gli operatori una reale coscienza di ciò che rappresenta la tutela del dato personale. Per concludere l’analisi di questo argomento, mi appare

134

significativa una considerazione di uno studio americano, secondo la quale, il primo firewall277 _{è proprio quello “umano”.}

4.7 VALUTAZIONE DI RISCHIO E VALUTAZIONE DI

IMPATTO

Un altro argomento sul quale ho ritenuto opportuno farmi rilasciare delle delucidazioni è quello della valutazione di rischio e valutazione di impatto. Già trattato nel primo capitolo mi sono chiesta se tali due terminologie fossero sinonimi o, in caso contrario, quale fosse la differenza. Acquisendo il parere di tali professionisti sono arrivata alla conclusione di come, nonostante non siano esattamente la stessa cosa, siano molto legati l’un l’altro. Infatti la valutazione dei rischi privacy è volta ad identificare quali siano i trattamenti a rischio elevato, ponendo attenzione in modo particolare sulla gravità e sulla probabilità dei danni di varia natura, sui quali poi porre in essere la valutazione di impatto privacy e quindi la verifica sulla conformità al GDPR. Premesso ciò e per concludere l’argomento a riguardo, mi sono chiesta se sia giusto dire che alla valutazione di impatto si proceda esclusivamente nel caso in cui dall’esame della valutazione dei rischi emergano rischi specifici. Gli esperti mi hanno sottolineato che la risposta è affermativa in quanto la valutazione d’impatto è obbligatoria solo nel caso in cui dalla valutazione del rischio privacy emerga che il rischio sia elevato.

277 _{“Muro tagliafuoco”, ossia una componente di difesa perimetrale di una rete}

informatica, capace di svolgere comunicazione fra due o più segmenti di rete, garantendo una protezione in termini di sicurezza informatica della rete stessa.

135

4.8 DIRITTO ALL’OBLIO

L’ultimo argomento che ho trattato con tali esperti è quello di uno dei diritti degli interessati, ossia il diritto all’oblio278_{. Come già trattato nel} primo capitolo, il GDPR consente all’interessato di ottenere la cancellazione dei propri dati quando non vi siano più motivi per conservarli. Premesso ciò mi sono chiesta se questo valga o meno anche in ambito sanitario, o meglio cosa accada in tale ambito nel caso in cui un paziente chieda la cancellazione dei suoi dati dal sistema, ma tali dati potrebbero costituire per la struttura una strumento per difendersi e quindi tale diritto all’oblio potrebbe apportare ad essa dei problemi giudiziari. I professionisti più volte interpellati nei paragrafi precedenti, nel rispondermi a come è possibile garantire tale diritto all’oblio richiesto dal paziente senza recare alcun pregiudizio al diritto di difesa del titolare del trattamento, mi hanno sottolineato come in realtà, tale diritto di cancellazione riguardi principalmente l’ambito dei social network. Nel caso da me citato di una cartella sanitaria, in quanto atto pubblico, mi hanno evidenziato come il titolare non sia tenuto ad ottemperare ad una simile richiesta, come emerge dal Considerando 65 del GDPR279_{. Nonostante questo però, resta inteso l’obbligo di garantire} riservatezza e segmentazione di accesso al dato, con riferimento anche alla normativa sul dossier sanitario.

278 _{Art 17 GDPR.}

279 _{Il Considerando 65 del GDPR ove dice che: “dovrebbe essere lecita l’ulteriore}

conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria”.

136

4.8 IL PENSIERO DEGLI ESPERTI E L’EVOLUZIONE

GIURISPRUDENZIALE

Pur non avendo la pretesa di aver esaustivamente chiarito ogni dubbio in merito alla materia e segnatamente agli argomenti che ho sottoposto alle valutazioni degli esperti in privacy sopra menzionati, che ringrazio per la completezza e la solerzia delle risposte fornitemi, ritengo comunque di aver messo a disposizione chiarimenti che possono costituire un valido contributo per tutti coloro che si trovano ad applicare concretamente il nuovo Regolamento.

Per concludere, occorre evidenziare, come l’intercorsa normativa europea comporti particolare attenzione applicativa da parte di tutti coloro che sono chiamati a conformarsi ad essa. Ciò anche in considerazione del passaggio tra le precedenti prassi, ormai consolidate nel tempo, e le nuove procedure che comportano anche diverse modalità organizzative, nuovi sistemi informativi e formativi per tutti coloro che sono chiamati ad applicarli. Occorrerà peraltro, a mio parere, verificare nel tempo quella che sarà l’evoluzione dell’interpretazione giurisprudenziale da parte della magistratura allorquando verranno giudicati casi concreti. In proposito, pur essendo pacifico che l’interpretazione del giudice è vincolante per le parti in causa, ma non per gli altri giudici, occorre evidenziare che comunque, come si suol dire, le sentenze determinano, nel sistema italiano280_{, un indirizzo} soprattutto se sono emesse dalla Suprema Corte di Cassazione.

280 _{Essendo un Paese di Civil law.}

137

CONCLUSIONI

Alla luce di quanto esposto nei quattro capitoli del presente lavoro posso concludere come la legislazione sulla privacy sia un tema molto vasto ed articolato, in costante perfezionamento e mutazione, soggetto a seguire un percorso instabile ed imprevedibile, ma soprattutto, smisurato e volubile. Detto ciò è evidente come, nonostante con il nuovo Regolamento sulla privacy – GDPR n.679/2016 vi sia stato di recente un notevole cambiamento in materia, non possiamo ritenere di essere giunti ad un “punto di arrivo”, in quanto si tratta di un processo dinamico in continua evoluzione. Premesso ciò è evidente come il suddetto tema rappresenti un paradigmatico esempio dell’evoluzione del diritto. Avendo studiato e analizzato, anche sul campo, grazie alla possibilità offertami dalla Fondazione Casa Cardinale Maffi-O.N.L.U.S, le intercorse e recenti innovazioni introdotte con il nuovo Regolamento, appare evidente che la normativa Europea costituisca un significativo passo in avanti che pone il nostro continente all’avanguardia, ciò nonostante appare altresì evidente che è comunque necessario ricercare sempre nuove soluzioni per rendere maggiormente efficace la protezione della tutela dei dati sensibili in un contesto sempre più globalizzato ed in continua trasformazione.

Naturalmente il GDPR, come ho avuto la possibilità di constatare personalmente nell’ambito della Fondazione Maffi, ha comportato per tutti sacrifici e ore di attività dirette all’adeguamento e alla rivisitazione del modello organizzativo. Lo sforzo compiuto non può peraltro essere inteso come un mero onere economico, pur presente, bensì come un investimento in grado di generare nel tempo sensibili miglioramenti sia sotto l’aspetto inerente i carichi di lavoro, sia sotto quello della salvaguardia, sicura ed efficiente, del diritto di ogni persona alla tutela dei dati di cui l’Azienda deve venire a conoscenza per l’espletamento

138

dei propri servizi e del corretto assolvimento delle gravose responsabilità che il titolare, il responsabile e tutti gli operatori assumono.

In questo momento storico di progresso tecnologico, ove la nostra società e la nostra economia si stanno rivoluzionando, sono sorte problematiche, anche e soprattutto in ambito sanitario. Questo perché, tale nuovo scenario, porta ad un maggior scambio di idee e ad una maggiore condivisione delle informazioni, all’interno di un ambito virtuale, denominato “spazio cibernetico”. In un tale contesto, cyber- attacchi, diffusione illecita di informazione, furti d’identità ed altro sono sempre più all’ordine del giorno, tanto che uno degli obiettivi principali del GDPR è proprio quello di cercare di limitare questi rischi. Come più volte ho cercato di sottolineare all’interno del mio lavoro e dato che non

esiste alcuna soluzione capace di risolvere completamente il problema,