- info@stateofprivacy.it
- +39 06.696772416
- Contatti
Luca Bolognini (chair)
Presidente Istituto Italiano per la Privacy e la Valorizzazione dei Dati e Founding partner ICTLC Spa
Marco Asti
Digital Business Solution Lead Roche Diagnostics Italy
Giorgio Casati
Direttore Generale ASL ROMA 2
Sabrina Delle Curti
Group General Counsel Engineering Ingegneria Informatica SpA
Filomena Polito
Presidente APIHM
Maria Rita Sechi
dpo Università e Policlinico Campus Bio-medico di Roma
Giulio Siccardi
Dirigente AGENAS
Giuseppe Viggiano
Direttore generale Digitalizzazione, del sistema informativo sanitario e della statistica – Ministero della Salute
Selina Zipponi
Group dpo Dedalus
Garante
Claudio Filippi
dirigente Dipartimento REALTà PUBBLICHE
Olindo Lanzara
Assistente giuridico segreteria Pasquale Stanzione
Le 3 sfide e le 3 azioni identificate dal Tavolo.
RELAZIONE FINALE
Dal Tavolo Salute di “State of Privacy”, sono emerse le seguenti 3 sfide e 3 azioni correlate:
SFIDA 1 – Si pone l’obiettivo strategico di valorizzazione secondaria dei dati sanitari, mediante loro anonimizzazione, al fine di abilitare altre attività di ricerca scientifica e innovazione in ambiti differenti da quello medico, biomedico ed epidemiologico (es. per ricerca e sviluppo di IA).
AZIONE 1 – Si auspica l’emanazione, da parte del Garante, di un provvedimento generale ex art. 110-bis comma 3 del Codice Privacy, nel quale si fissino i requisiti e le migliori pratiche per l’anonimizzazione dei dati sanitari, e la conseguente valorizzazione dei dati così trasformati. Tale intervento sarebbe in linea con il Data Governance Act e con il Regolamento sullo Spazio Europeo dei Dati Sanitari proposti dalla Commissione Europea.
SFIDA 2 – In Italia, per trattare, senza il consenso dell’interessato, i dati sulla salute in progetti di ricerca scientifica in ambito medico, biomedico ed epidemiologico (ove non previsti espressamente dalla legge) è obbligatorio passare da una consultazione dell’Autorità, cioè da una sua autorizzazione speciale. Si tratta di un sistema più restrittivo della media europea e non realisticamente sostenibile, se si pensa che si stimano in decine di migliaia gli studi retrospettivi condotti, in Italia, ogni anno. Anche la recente interpretazione del Garante, relativa ai cosiddetti “consensi a fasi progressive”, potrebbe essere rivista con maggiore apertura, riconoscendo la validità di un consenso più ampio (cd. “broad consent”) per taluni settori della ricerca scientifica – non per singoli progetti – laddove si rispettino le norme deontologiche per la ricerca scientifica (Considerando 33 GDPR).
AZIONE 2 – Si suggerisce di proporre al legislatore l’emendamento dell’art. 110 del Codice Privacy, riportandolo a una formulazione più simile a quella ante-2018 e rendendolo già compatibile alla ventura disciplina dello European Health Data Space Act. Inoltre, si suggerisce al Garante di riconoscere la validità del “broad consent” dell’interessato, per trattamenti di dati in successivi progetti rientranti in interi settori di ricerca in ambito medico, biomedico ed epidemiologico (in armonia con il Cons. 33 GDPR): questa apertura potrebbe essere bilanciata e condizionata da stringenti misure di garanzia, prescritte dall’Autorità in un provvedimento ex art. 2-septies del Codice.
SFIDA 3 – Serve più certezza del diritto della privacy per le aziende sanitarie e i loro partner tecnologici, per assicurare l’efficiente ed efficace realizzazione di progetti di sanità innovativa (telemedicina, FSE 2.0, sistemi informativi integrati tra strutture e professionisti, reti territoriali, ecc.), in ottica di conseguimento degli obiettivi PNRR.
AZIONE 3 – Si propone il superamento dello strumento delle linee guida “di mero principio” e di livello solo europeo (tipicamente provenienti dal Comitato Europeo per la Protezione dei Dati), sia per la loro genericità sia perché l’ambito sanitario risente di specificità normative nazionali. A tal fine, si suggeriscono la redazione e il rilascio da parte del Garante italiano, sentiti i principali stakeholder, di “Schemi Pratici Standard” contenenti modelli di casi d’uso con istruzioni legali, tecniche, organizzative concrete e facilmente replicabili. Questi “Schemi Pratici Standard” sarebbero adottabili dalle aziende sanitarie e dai loro partner/fornitori, in progetti analoghi da realizzare sul territorio nazionale.
Garante per la Protezione dei Dati Personali
Garante per la Protezione dei Dati Personali