1 Marzo 2022
L’entrata in vigore del GDPR-General Data Protection Regulation (Reg. UE 679/2016) ha reso ancor più fondamentale per le aziende salvaguardare la protezione dei dati di clienti e stakeholders, creando, al tempo stesso, anche opportunità ed una maggiore consapevolezza in grado di migliorare l’efficienza, la sicurezza e la reddittività. Ne parliamo con l’avvocato Silvia Stefanelli, fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli. Esperta di diritto sanitario, con particolare competenza in ambito di sanità digitale, medical device, pubblicità sanitaria, contratti con la PA e, non ultimo, protezione dei dati.
La pandemia Covid-19 ci ha portato a una maggiore condivisione di esperienze e dati online, pensiamo all’uso del Green pass, agli incontri su Zoom o all’implementazione della telemedicina e molto altro ancora. Questo come sta facendo cambiare la sensibilità delle persone e quella del legislatore?
In questi mesi ci siamo dovuti confrontare con diversi cambiamenti delle nostre abitudini e modalità di azioni, una fra queste, per molte persone, è quella del passaggio allo smart working e con esso all’uso di sistemi digitali di connessione e condivisione di dati. Ma non solo, pensiamo ad esempio anche all’opportunità di tracciamento delle informazioni relative alla diffusione del contagio attraverso l’App Immuni e le polemiche che al suo lancio si sono innescate nel dibattito mediatico. L’utilizzo della App è stato molto contestato, portando alla ribalta proprio il tema della protezione del dato. Sicuramente, quindi, possiamo dire che la sensibilità dei cittadini è cresciuta, così come le istituzioni e le autorità individuate hanno aumentato il regime dei controlli sul rispetto della normativa privacy. Negli anni 2020 e 2021 si è registrato un aumento di sanzioni importanti da parte del Garante. Questa attenzione più alta si rispecchia nel comportamento delle aziende sanitarie e del settore salute con cui collaboro che negli ultimi tempi stanno lavorando con maggior impegno sulle azioni di miglioramento circa gestione dei propri dati aziendali; prova ne è che quest’anno si è molto alzata l’attenzione circa i contenuti delle relazione che inviamo a fine anno come DPO – Data protection officer.
Privacy: come sarà il 2022 della protezione dei dati?
Siamo in un momento in cui il quadro legislativo europeo, soprattutto a seguito dell’entrata in vigore del GDPR nel 2018, può dirsi per buona parte definito. Il sistema può essere considerato a regime e, per quanto concerne il settore dei dispositivi medici e diagnostici in vitro, il GDPR si interseca in maniera importante con il passaggio dalla Direttiva (MDD) ai Regolamenti 745/2017 e 746/2017 (MDR e IVDR). La rinnovata attenzione sulla sicurezza dei device prima dell’immissione in commercio e l’obbligo di dimostrare anche il beneficio clinico in capo al paziente, porta ad una crescita della necessità di trattare dati: oggi il rispetto dei Requisiti di Sicurezza e Prestazione dell’Allegato I del MDR si deve basare sulla Valutazione Clinica e quest’ultima si base sui dati clinici. Ora, la nozione di dato clinico del MDR è più ampia della nozione di dati personali del GDPR: ciò non toglie che buona parte dei dati clinici sono raccolti attraverso l’indagine clinica, la sorveglianza post commercializzazione e il PMCF (Post Market Clinical Follow UP), tutte attività peraltro che vengono svolte lungo tutto il ciclo di vita del dispositivo. In sostanza la raccolta di dati è divenuto uno dei cardini del sistema. Ciò è ancor più vero in questo momento, in cui i fabbricanti sono chiamati a “rafforzare” i loro fascicoli tecnici per passare dal certificato CE in MDD al certificato CE in MDR. Ne deriva che la conoscenza del GDPR e di come si trattano i dati diventa sempre più centrale per strutturare i nuovi processi all’interno dell’azienda. Per quanto riguarda poi il trattamento di dati in area sanitaria, il quadro giuridico già oggi vigente dovrebbe essere arricchito a livello europee attraverso la prossima emanazione di due Linee Guida, dedicate – rispettivamente – alla pseudonimizzazione, che consiste nel sostituire i dati identificativi (es. nome e cognome) con dati indirettamente identificativi (es. alias, numero di classificazione) e al trattamento dei dati per la ricerca scientifica e medica.
L’approccio europeo si differenzia rispetto a quello di altri mercati? Quali sono i suoi tratti caratterizzanti?
Il GDPR disciplina il tema della protezione dei dati in modo molto avanzato, prevedendo un sostanziale bilanciamento tra la tutela dei diritti della persona fisica e la libera circolazione dei dati, cioè la possibilità di usare tali dati. Tale approccio ha influenzato anche altri Paesi con cui l’Europa ha un saldo legame commerciale. L’America ha un forte principio di tutela della riservatezza della persona fisica, ma dall’altra parte una disciplina più blanda sul trattamento dei dati. Seppure in materia sanitaria l’America adottato l’Health Insurance Portability and Accountability Act del 1996 (HIPAA), che prevede tutele simili a quelle del GDPR, negli altri settori la disciplina americana consente alla pubblica amministrazione di acquisire e accedere ai dati delle aziende in maniera molto più pervasiva. Quindi un profilo da tenere in considerazione e su cui è intervenuta la Corte di Giustizia Europea con le sentenze Schrems è il trasferimento dei dati dalla Europa agli USA: l’ultima sentenza Schrems (luglio 2020), infatti, ha dichiarato invalido lo scudo UE-USA per la privacy (il c.d. Privacy Shield) relativo agli scambi transatlantici di dati personali a scopo commerciale tra Unione Europea e Stati Uniti: il tema è a tutt’oggi aperto e rappresenta molti profili di criticità.
Altri Paesi con peso commerciale importante come la Cina o l’India o paesi come la Russia stanno in questi ultimi anni iniziando ad aprire una riflessione in tema privacy, ma con standard meno avanzati. La Cina si è mossa nel 2021 verso una disciplina che però mette al centro una sovranità dello stato molto forte sui dati. La Russia dal 2006 si è orientata su una disciplina che blocca di fatto la circolazione del dato al di fuori dei confini del paese, mentre in India stanno elaborando una regolamentazione privacy molto simile al GDPR.
Quali sono le principali caratteristiche del GDPR e come cambia l’approccio per le aziende rispetto al passato?
Il GDPR si occupa non solo di proteggere la persona fisica, ma anche di agevolare la libera circolazione dei dati. Sotto questo profilo la disciplina europea non è affatto limitante, anzi contiene molti “strumenti giuridici” che favoriscono l’uso del dato. Solo a titolo di esempio, è pienamente ammesso di implementare e gestire processi di trattamento del dato che possono essere utilizzati anche per più finalità (dal marketing allo sviluppo del prodotto): l’importante è che l’interessato sia correttamente informato e sussista una corretta base giuridica. Un elemento che va tenuto in considerazione è che l’applicazione del GDPR comporta, di fatto, un’analisi del rischio del trattamento e l’implementazione di un sistema di gestione/mitigazione di tale rischio: capita la metodologia di approccio al tema, gli spazi di utilizzo del dato sono molto ampi.
Le imprese del settore salute, e nello specifico dei dispositivi medici e diagnostici in vitro, si trovano spesso a trattare i dati dei pazienti. Il GDPR è solo un adempimento che tutela la sicurezza di questi dati o anche un’opportunità di sviluppo?
Le aziende dovrebbero acquisire sempre di più consapevolezza di cosa si può fare con i dati. In ambito sanitario con le App e i software si possono raccogliere molti dati che possono (devono) servire per le attività di sorveglianza post commercializzazione, ma che possono anche essere utilizzate per altre finalità, quali ad esempio le ricerche di mercato. In pratica nello stesso flusso di trattamento dei dati potrebbero essere inserite finalità diverse che ampliano quelle prettamente regolatorie per spingersi a quelle di marketing o di ricerca e sviluppo. Le aziende potrebbero quindi progettare un processo di raccolta dati che preveda fin dalla sua architettura il consenso volontario per queste ulteriori finalità. Il dato è a tutti gli effetti un vero e proprio asset aziendale e il GDPR è una disciplina elastica che, con una adeguata consapevolezza dell’architettura, consente di strutturare operazioni aziendali a più livelli. E questo è un passaggio culturale essenziale per le imprese.
La cybersecurity per l’industria dei dispositivi medici con device sempre più connessi è diventata un requisito essenziale?
Il Piano nazionale di ripresa e resilienza (PNRR) nella Missione 6, dedicata alla salute, prevede un potenziamento della telemedicina e, più in generale, della digitalizzazione del nostro sistema sanitario con l’ausilio della tecnologia. Sono quindi innegabili le spinte che stanno convergendo verso una maggiore digitalizzazione del sistema sanitario: questo comporta però un aumento del rischio di attacchi informatici. In sanità poi la criticità di un attacco informatico non riguarda solo la violazione della riservatezza delle informazioni (che possono essere diffuse a seguito di un attacco), ma coinvolge un altro requisito fondamentale che è quello della disponibilità degli stessi dati. La disponibilità da dati in sanità è cardine: se un attacco cyber fa venire meno l’acceso ai dati da parte della struttura sanitaria che li usa per curare e assistere i pazienti, l’impatto sulla salute del paziente potrebbe essere letale. Per questo motivo in un sistema sempre più connesso i device devono essere progettati in modo da tenere alto il livello di sicurezza, anche tenendo conto della connessione con il sistema informatico ed informativo dell’ospedale. Su questo tema senza dubbio il MDR e la MDGC 2019-16 sulla cybersecurity rappresentano un livello molto avanzato di disciplina, il cui rispetto porterà ad un innalzamento della sicurezza dei dati in sanità.
Sui temi relativi alla privacy, dal 23 febbraio 2022 la nostra newsletter riservata agli associati si arricchisce di un nuovo contenuto dedicato al tema privacy e GDPR: una rubrica mensile disponibile ogni ultimo mercoledì del mese.
La rubrica, partendo dal focus su un tema di rilievo per il settore dei dispositivi medici fornirà un quadro sulle principali novità, a livello nazionale e internazionale, con rimando a documenti utili per coloro che all’interno delle aziende sono chiamati a implementare, gestire e manutenere l’intero processo.
Silvia Stefanelli
Avvocato fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli
