• Introduzione
• Le norme generali
• Le norme particolari per l'emergenza in atto
• Il D.L. 10 maggio 2020, n. 30: epidemiologia e statistica sul SARS-COV-2.
• Modifiche ai trattamenti dati del FSE

Introduzione

La grande disponibilità di dati e la capacità di  trattarli rapidamente  è senza dubbio un fatto nuovo nella gestione di un’epidemia di questa portata.

Nel momento in cui sembra alle spalle la fase di maggior contagio e pericolo,  le analisi di dati  quanto più precisi e completi riguardo al contesto in cui la malattia si è diffusa, a chi è stato colpito, ha superato o al contrario è stato vittima del virus,  quali effetti collaterali ha subito (ritardi nelle cure,  perdite economiche, conseguenze psicologiche, modificazioni nelle abitudini e condizioni di vita…) sono indispensabili per supportare scientificamente  le scelte dei decisori. Questo è il compito degli studiosi oggi, in particolare degli epidemiologi. Il DL  10 maggio 2020,n. 30 ha lanciato un'indagine campionaria straordinaria per valutare questi dati.

In questo contesto le domande sono anche: quali sono le basi giuridiche che consentono oggi di trattare i dati utili per questo tipo di analisi? si possono condividere i dati? chi li puo’ trattare? Le regole previste dal GDPR e dal Codice privacy italiano per i trattamenti di dati sulla salute vengono meno nel momento in cui si gestisce l’emergenza?  

Le norme generali

Riguardo alla protezione dei dati personali l’Autorità garante europea (EDPB, European Data Protection Board) ha dichiarato  il 19 marzo 2020 che, anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati. L'emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza. Le norme ordinarie consentono già, in particolare all’autorità pubblica, di trattare i dati  personali in un contesto come quello relativo alla SARS-COV2, ma i diritti fondamentali non vengono meno.  Un esempio fra i tanti: resta invariato il divieto di pubblicare e diffondere dati personali sulla salute,  compresi quelli delle persone risultate positive al COVID-19. E’ chiaro, al contrario, che i dati sanitari del singolo soggetto possono sempre essere usati da chi lo sta curando, e che il complesso della Protezione civile può ugualmente accedere ai dati –sempre nella misura strettamente necessaria – per salvaguardare la salute individuale e collettiva nella fase di emergenza senza chiedere il consenso.

Il regolamento europeo Reg. (Ue) 2016/679 prevede che, in ambito sanitario pubblico, si possono trattare i dati senza consenso se

• il trattamento è necessario per motivi di interesse pubblico rilevante, sulla base del diritto europeo o nazionale (art. 9, par. 2, lett. g; C55 e C56)
• il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica (es. protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici) (art. 9, par. 2, lett. i); C54)
• Il trattamento è necessario per perseguire finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, se i dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale (art. 9, par. 2, lett. h e par. 3, C.53)

Secondo il Codice italiano (D.Lgs.196/2003), la base giuridica prevista per i trattamenti necessari per esecuzione di compiti di interesse pubblico o connesso a pubblici poteri di cui è investito il titolare del trattamento è esclusivamente una norma di legge e, se previsto dalla legge, un regolamento. I trattamenti di dati personali anche  nella fase di emergenza devono quindi avere una norma di legge che li prevede.  

Vale quindi in primo luogo l’art  2 sexies del Codice che prevede fra i  trattamenti di dati particolari per motivi di interesse pubblico rilevante: alla lettera u) sono indicati quelli per "compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonche' compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumita' fisica;”   

Riguardo all’riuso di dati per la ricerca (questo è il caso di tutta la ricerca epidemiologica intorno al Covid19,  in cui i dati da interpretare sono quelli raccolti per finalità di emergenza, di cura, di sorveglianza degli individui, e quelli disponibili nei database sanitari (e non) correnti, generati per lo più per scopi amministrativi) la norma europea rinvia alle norme  nazionali, nel nostro caso, si tratta degli artt. 110 e 110 bis del Codice, (vedi gli articoli) precisando  che, (art.9, paragrafo 2, lettera j) e art 89 del Regolamento europeo)  è necessario trattare i dati per scopi di ricerca con appropriate misure di protezione e con grande attenzione a trattarli solamente nella misura minima indispensabile.  Lo stesso articolo prescrive di applicare tecniche di pseudonimizzazione ogni volta che ciò è compatibile con gli scopi della ricerca.

Pseudonimizzare i dati, sostituendo le informazioni identificative con  un codice non direttamente riconducibile ai soggetti permette di linkare le basi dati e condurre le  analisi necessarie. Questa tecnica era prevista già  dal 2006 nei regolamenti regionali  (ex art 20 e 21 del Codice privacy) per  i trattamenti dei dati personali delle regioni per scopi di governo del sistema sanitario (Scheda 12) . Per questi scopi è necessario che l’ufficio che detiene la chiave di codifica (che consente anche la re identificazione dei record) sia diverso da quello che analizza i dati. Dal momento che  questo sistema già è funzionante in molte regioni,  e rispettoso dell’art 89 del GDPR, si potrebbero aggiungere le informazioni raccolte  per l’epidemia SARS COV2 ai database regionali sanitari correnti così pseudonimizzati e utilizzarli, con le medesime cautele, nell’ambito dei medesimi servizi sanitari pubblici, per gli scopi dell’emergenza.

Le norme particolari per l'emergenza in atto

Nella fase emergenziale però vi sono ulteriori provvedimenti e norme che consentono di trattare i dati personali per gli studi del caso, senza acquisire il consenso.

L’ EDPB (European Data Protection Board) il 21 aprile 2020 nella 23esima sessione plenaria ha  definito le Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca nel contesto dell’emergenza legata al COVID-19  (vai alle Linee guida-english version)  

(https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf )

Nelle Linee-guida si chiarisce come il Regolamento Europeo contenga numerose disposizioni in merito al trattamento dei dati relativi alla salute per finalità di ricerca scientifica, che trovano applicazione anche nel contesto della pandemia dovuta al COVID-19 soprattutto per quanto concerne il requisito del consenso e le norme nazionali rispettivamente applicabili. Il Regolamento prevede la possibilità di trattare alcune categorie particolari di dati personali (come i dati relativi alla salute) se ciò risulta necessario per perseguire scopi di ricerca scientifica.

Andrea Jelinek, la Presidente del Comitato, ha dichiarato quanto segue: “Attualmente la lotta al COVID-19 è pieno svolgimento, e gli studiosi sperano di arrivare quanto prima a risultati utili. Il Regolamento non pone alcun ostacolo alla ricerca scientifica, bensì consente il trattamento di dati relativi alla salute nel rispetto dei principi di liceità per supportare l’obiettivo finale dell’individuazione di un vaccino o di terapie contro il COVID-19”.

Le linee guida sottolineano l’importanza di  curare la protezione dei dati sin dalla progettazione dei sistemi e delle ricerche, in modo da garantire  il maggior grado di sicurezza in tutte le fasi, in particolar modo quando i dati vengono trasferiti e condivisi fra strutture diverse. La pseudonimizzazione è indiata come un buon mezzodi protezione  nelle fasi di trattamento dei dati per questi scopi.

Il Codice della protezione civile,  Decreto legislativo 2 gennaio 2018 n. 1, definisce un quadro normativo generale entro cui  si opera durante le  emergenze.

Il Codice in particolare definisce che “Sono attività di protezione civile quelle volte alla previsione, prevenzione e mitigazione dei rischi, alla gestione delle emergenze e al loro superamento.”  Indica che il Servizio nazionale della protezione civile è costituito dallo Stato, dalle  Regioni e province autonome, dai Comuni  e dalle Città metropolitane ossia chi governa a vario livello le comunità. Il SSN è una delle strutture operative, così come il volontariato, la Croce Rossa,  i Vigili del Fuoco, l’Agenzia protezione ambiente…e possono essere individuati centri di competenza specifici secondo le  necessità e le competenze scientifiche di ciascuno e coinvolti i Ministeri e le loro strutture, secondo necessità.

L’ Art. 4 del Codice  indica che le strutture  che detengono o gestiscono informazioni utili per le finalità della protezione civile, sono tenute ad assicurarne la circolazione e diffusione nell'ambito del Servizio stesso, nel rispetto delle vigenti disposizioni in materia di trasparenza e di protezione dei dati personali, ove non coperte da segreto di Stato, ovvero non attinenti all'ordine e alla sicurezza pubblica nonché alla prevenzione e repressione di reati.

I poteri di  emanare delle norme di legge (Ordinanze di protezione civile) è ampio ma non assoluto: esse si adottano in deroga ad ogni disposizione vigente, nei limiti e con le modalità indicati nella deliberazione dello stato di emergenza e nel rispetto dei principi generali dell'ordinamento giuridico e delle norme dell'Unione europea. Le ordinanze sono emanate acquisita l'intesa delle Regioni e Province autonome territorialmente interessate e, ove rechino deroghe alle leggi vigenti, devono contenere l'indicazione delle principali norme a cui si intende derogare e devono essere specificamente motivate.

I Decreti Legge emanati dal Governo in questa fase poggiano su analoghi presupposti: riguardo all’utilizzo dei dati personali, una prima norma di legge  è contenuta nella legge di conversione del DL 17 marzo 2020 (legge 24.4.2020, n.27) L' art 17 bis (vedi l'articolo) che indica che i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti che in ambito sanitario devono monitorare e garantire l’esecuzione delle misure disposte per fronteggiare l’emergenza, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche di natura particolare e giudiziari, che risultino necessari all’espletamento delle funzioni ad essi attribuite nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. Quando verrà dichiarata la fine dello stato di emergenza  dovranno essere adottate ”misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali“.

Rientra fra  i provvedimenti di emergenza anche il bando di ricerca straordinario del Ministero della Salute emesso il 1 aprile 2020 per selezionare progetti con la  finalità di acquisire rapidamente conoscenze in relazione a potenziali misure cliniche e di sanità pubblica che possono essere utilizzate immediatamente per migliorare la salute dei pazienti per contenere la diffusione di SARS-CoV-2 e comprendere la patogenesi del COVID-19, consentendone la sua gestione e la sua risoluzione . Il trattamento dati  sarà effettuato secondo l'art 110 del Codice, sulla base del progetto in forza di legge dal momento che si tratta di ricerca corrente  del Ministero.

Il D.L. 10 maggio 2020, n. 30: epidemiologia e statistica sul SARS-COV-2.

Il Decreto Legge 10 maggio 2020, n 30 ha disposto una nuova indagine campionaria condotta congiuntamente da Ministero della Salute e ISTAT, che consentirà di studiare approfonditamente un campione di soggetti, che verranno sottoposti a indagine sierologica e sorveglianza, per definire le migliori strategie per affrontare la crisi.Il Decreto, che ha ricevuto il parere favorevole del Garante privacy, illustra l’intero disegno dello studio che coinvolge Croce Rossa Italiana, regioni e province autonome e  laboratori dell’ospedale  Spallanzani; definisce che “le  regioni  e le province autonome, ove risulti necessario per finalita' di analisi  e programmazione nell'ambito dell'emergenza  epidemiologica  in  corso, hanno accesso ai dati dei propri assistiti, in forma  individuale  ma pseudonimizzata, in modo tale da consentire il collegamento  nel  tempo  delle  informazioni  riferite  ai  medesimi individui. Le regioni potranno altresì accedere ai dati delle altre regioni per i necessari confronti, ma solamente in forma anonima o aggregata. In tal modo la norma di legge risponde alla domanda sulla possibilità di utilizzare i dati statistici per lo scopo di fronteggiare l’emergenza. Studi ulteriori saranno possibili purchè condotti in accordo e collaborazione con il Ministero della Salute che ne garantirà la rispondenza ai principi che abbiamo illustrato e conferirà l’autorevolezza necessaria.Il Decreto legge, applicabile dall’11 maggio, e' stato convertito iln legge  il 2 luglio 2020 (legge n. 72)con  poche modifiche.

Al prof Giuseppe Costa, coordinatore della rete dei servizi epidemiologia del Piemonte e consulente del Ministero, abbiamo chiesto un commento a caldo, all’indomani della pubblicazione del decreto:  “Si tratta della prima Health Examination Survey che si fa a livello di popolazione in Italia, mirata alla valutazione delle disuguaglianze nella diffusione dell’infezione da SARS-COV2. Considerate le circostanze concitate della fase più acuta dell’emergenza  in cui l’indagine è stata progettata,  si tratta di una iniziativa di  lodevole qualità  per disegno campionario, per impostazione longitudinale, per efficienza di uso integrato di dati di interviste di analisi sierologiche e dati tracciabili nei sistemi informativi sanitari.”

In allegato il  testo del decreto, che, per la sua chiarezza, merita di essere esaminato anche dai “non addetti ai lavori”.

Per ulteriori approfondimenti e aggiornamenti si suggerisce di consultare la pagina dedicata  alle norme emanate sul sito del Garante Privacy- covid-19

Modifiche ai trattamenti dati del FSE

Il decreto del 19 maggio 2020, n 34, convertito il 17 luglio  2020 legge n 77 ha infine introdotto  novita' nella gestione dei dati del FSE: ora non è richiesto il consenso per alimentarlo,  ma si conservano le garanzie per la sua consultazione nel momento ella cura e per l'uso dei dati  per scopi scientifici previa anonimizzazione.  Il Garante ha  sintetizzato il quadro normativo  in una infografica. Per la norma di legge, (art 11 del DL 34/2020) rinviamo al testo coordinato con le modifiche pubblicato sulla Gazzetta Ufficiale del 18 luglio 2020.

Codice della protezione civile (testo vigente) D.L. 10 maggio 2020, n 30 - la survey su SARS-COV2 (testo vigente)