Come gestire i dati sullo stato di salute ai tempi del Covid-19

Aggiornato il 03/11/2022

Le misure anti Covid-19, via via introdotte dalla normativa di emergenza di questi ultimi mesi, hanno fatto sì che si moltiplicassero le occasioni di raccolta di dati sullo stato di salute da parte di soggetti che generalmente non erano coinvolti in questo tipo di trattamento. Sulla legittimità di tali raccolte si è già detto in un precedente post sulla cultura del trattamento dei dati personali.

In questo ci soffermiamo sulle misure di sicurezza necessarie alla protezione di tali dati. 

Le misure di sicurezza a protezione dei dati secondo il GDPR 

Una delle novità del GDPR è costituita dal fatto che la scelta delle misure di sicurezza da adottare a protezione dei dati è affidata al titolare che decide tenendo conto dello stato dell’arte, dei costi, della natura dei dati, del contesto, delle finalità del trattamento e dei rischi per i diritti e le libertà delle persone che il trattamento può comportare.  

A ben vedere una norma analoga era contenuta anche nel vecchio Codice privacy che però prescriveva anche l’obbligo di adottare una serie di misure, cosiddette “minime”, che erano puntualmente descritte. Se il titolare avesse ritenuto tali misure insufficienti, avrebbe dovuto individuarne altre secondo la propria valutazione. In realtà nella maggior parte dei casi si ritenne che le misure minime bastassero a garantire la conformità alla legge e la facoltà riconosciuta al titolare rimase lettera morta. Tutto ciò portò all’omologazione al ribasso delle misure di sicurezza  che non solo erano “minime” perché il legislatore aveva sostanzialmente individuato un minimo comune denominatore tra le tante possibili, ma erano anche uguali per tutti i tipi di trattamento e tutti i tipi di dato, con qualche attenzione in più per quelli sensibili.  

Preso atto dell’impossibilità oggettiva di prescrivere le misure di sicurezza da adottare nei contesti più vari e per di più in continua evoluzione tecnologica, il legislatore europeo, riconoscendo il diritto dell’interessato alla protezione dei propri dati mediante adeguate misure di sicurezza, ha stabilito che sia il titolare a decidere quali adottare.  

Il titolare oggi ha, quindi, l’obbligo di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” ma la scelta di tali misure spetta a lui. Il suo compito è dunque quello di valutare la loro adeguatezza contemperando il rischio – determinato dalla natura dei dati, dal contesto e dallo scopo del trattamento – con lo stato dell’arte della tecnologia disponibile e dei suoi costi.  

Il richiamo ai costi della tecnologia è molto importante: ammettere che le misure per proteggere i dati possano essere scelte valutando anche questo aspetto vuole dire riconoscere che il livello di sicurezza può considerarsi adeguato anche nel caso in cui la scelta non cada sulla tecnologia più sicura a causa dei suoi costi. Il che naturalmente non giustifica tout court scelte al ribasso ma consente al titolare di tenere conto dei costi nelle sue decisioni. Se il richiamo a tale aspetto non fosse stato presente, il titolare avrebbe dovuto decidere per la modalità più adeguata a proteggere i dati anche se questa avesse comportato un investimento che non poteva sostenere. 

I rischi nel trattare i dati personali   

Dunque il titolare sceglie le misure di sicurezza per proteggere i dati adeguandole al rischio. Ma quali rischi deve considerare?  

Il Regolamento li menziona nel dettaglio riconoscendo all’interessato il diritto ad una protezione completa dei propri dati, a fronte di tutti i possibili rischi. Non si tratta, infatti, solo di preservare i dati da accessi abusivi ma di assicurare che essi non siano distrutti, persi, modificati o divulgati accidentalmente o abusivamente. Certo, si può obiettare che evitare la distruzione o la modifica dei dati è prima di tutto interesse del titolare (chi, ad esempio, vorrebbe perdere i dati dei propri pazienti?) ma se quest’ultimo può assumersi tutti i rischi sopportando eventuali danni derivanti da una condotta imprudente, tale condotta non è ammessa quando sono coinvolti i dati di persone fisiche.    

Del resto, se è sicuramente un rischio da evitare che l’informazione sullo stato di salute di una persona venga diffusa, lo è altrettanto che il dato relativo, ad esempio, all’allergia a determinati farmaci non risulti disponibile a colui che deve prescrivere una determinata terapia.  

Il titolare deve quindi valutare i rischi considerando la protezione dei dati a 360 gradi.

Quali sono le misure di sicurezza adeguate? 

Una volta individuati i rischi, si tratta, quindi, di scegliere le misure adeguate. Qui il Regolamento fornisce qualche spunto dicendo che “le misure comprendono, se del caso, 

a) la pseudonimizzazione (cioè il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive) e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.” 

L’elenco non è dei più omogenei: se la lettera a) e la d) individuano misure specifiche, la b) e c) sono molto generiche e non aggiungono nulla rispetto a quel che già sappiamo. E’ evidente, ad esempio, che se dobbiamo ridurre il rischio di accessi abusivi e di divulgazione accidentale o illegale dobbiamo adottare misure in grado di assicurare su base permanente la riservatezza dei dati.

Questo quanto scrive il Regolamento europeo. Tuttavia, le misure di sicurezza a protezione dei dati sullo stato di salute sono state oggetto di norme di legge, regolamenti, linee guida e standard internazionali a cui è possibile fare riferimento almeno come spunto di riflessione per individuare quelle adatte al caso.  

Nell’economia di questo post ci limitiamo alle norme di legge e alle linee guida del Garante. Tra questi il DPCM 178/15 in materia di fascicolo sanitario elettronico che all’articolo 23 descrive, anche con un certo dettaglio, le misure di sicurezza con cui debbono essere protetti i dati; le Linee guida del  Garante in materia di Dossier sanitario del 4 giugno 2015  e quelle in materia di referti online del 19 novembre 2009.   

In attesa delle misure di garanzia 

Quelle riportate nei provvedimenti citati sono disposizioni che riguardano i dati sanitari e non la più ampia categoria dei dati relativi allo stato di salute. Secondo il GDPR,  in tale categoria sono ricompresi i dati sulla persona fisica raccolti nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria; i numeri o i simboli attribuiti a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro. 

L’articolo 2 septies del Codice privacy stabilisce che i dati sullo stato di salute – intesi in questa ampia accezione -, i dati genetici e i dati biometrici, possono essere oggetto di trattamento in conformità alle misure di garanzia disposte dal Garante che dovranno individuare “le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, le misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati”. 

Le misure di garanzia sono in corso di redazione e quindi ad oggi non sono disponibili. Nel frattempo possiamo provare a mettere in fila le misure di sicurezza che proteggono i dati relativi alla salute ispirandoci alle disposizioni in materia di dati sanitari, pur consapevoli che i contesti e, quindi, i livelli di rischio possono essere evidentemente molto diversi. 

Per proteggere i dati relativi allo stato di salute si debbono considerare le seguenti misure di sicurezza: 

• idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento. Si dovrà valutare se adottare sistemi di strong authentication, ad esempio con modalità di autenticazione a due fattori;
• procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;
• individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute dagli altri dati personali; 
• tracciabilità degli accessi e delle operazioni effettuate;
• sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie;
• procedure di anonimizzazione degli elementi identificativi diretti quando non siano necessarie alle finalità del trattamento, ad esempio attraverso la sostituzione del codice fiscale con un codice identificativo anonimo;
• piani di continuità operativa e didisaster recovery. 

Nel caso in cui i dati siano consultabili via web, si prospetta il ricorso alle seguenti misure:   

• idonei sistemi di autenticazione e di autorizzazione per la consultazione;
• protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici;
• misure per evitare l’acquisizione delle informazioni in sistemi di caching;
• eventuale definizione della durata di disponibilità dell’informazione;
• possibilità di sottrarre alla consultazione determinati dati. 

Nel caso in cui i dati siano trasmessi via mail, invece, si possono seguire le seguenti indicazioni: 

• trasmissione dei dati nell’allegato e non nel corpo del testo;
• protezione dell’allegato mediante password o chiave crittografica;
• sistemi di convalida degli indirizzi mail. 

A queste misure specifiche si aggiungono quelle normalmente adottate a protezione dei dati, non ultimi firewall, antivirus etc. e quelle relative agli eventuali servizi cloud per i quali sarebbe necessaria una riflessione specifica. Ovviamente alle misure più strettamente tecniche si aggiungono quelle di tipo organizzativo come istruzioni, policies, avvertenze, etc. 

Conclusioni

Sebbene le misure sopra indicate costituiscano solo un punto di partenza per individuare quelle più adatte ai casi specifici, l’elenco mette in evidenza la cura che deve essere data alla protezione dei dati sullo stato di salute e la conseguente onerosità della loro gestione. L’impegno richiesto per la loro protezione dovrebbe, quindi, indurci a considerare con attenzione se sia effettivamente necessario raccogliere tali dati.  

Ad esempio, si potrebbe riflettere sulla prassi, purtroppo abbastanza diffusa, di registrare i dati della temperatura corporea di dipendenti anche quando rimanga inferiore alla soglia. Se l’assenza di una legge che prescriva un obbligo in tal senso non fosse sufficiente a convincerci a soprassedere, potrebbe costringerci a farlo la considerazione che tali dati richiedono misure non banali per la loro protezione, da valutare considerando i rischi connessi al loro trattamento.   

Prima di affrontare la questione della protezione dei dati è, quindi, opportuno verificare se vi sia un bisogno concreto di raccoglierli e trattarli. In questo modo sarà possibile concentrare gli sforzi, e conseguentemente anche l’impegno economico, dove ve ne sia effettiva necessità.