Ogni giorno, aziende e operatori si confrontano su un doppio fronte: da un lato,…
Tratto da About Pharma and Medical Devices
Gdpr alla mano, se una società sostiene lo sviluppo di piattaforme digitali e applicativi, ingerendosi nella determinazione dei mezzi essenziali, dovrebbe considerarsi come titolare del trattamento dati effettuato per finalità diverse da quelle legate all'assistenza sanitaria.
Ridurre le distanze imposte dalle misure di contenimento del contagio per garantire ai pazienti la regolare erogazione di servizi di assistenza sanitaria: è questa la ragione del crescente interesse del mondo della sanità – ministero della Salute compreso – per la telemedicina e per gli applicativi e gli altri strumenti a questa connessi.
Già prima della pandemia molte aziende farmaceutiche avevano finanziato o sviluppato direttamente soluzioni tecnologiche destinate a essere utilizzate da organizzazioni o professionisti sanitari per l’erogazione di prestazioni di telemedicina a favore di pazienti, allo scopo di migliorare l’engagement dei pazienti o, nel complesso, rendere più immediato ed efficiente il patient journey. Gli ambiti di applicazione di queste soluzioni tecnologiche, come anche i tipi di servizi erogati attraverso di esse, sono stati i più diversi: dal monitoraggio a distanza dello stato di salute di pazienti affetti da patologie croniche alla valutazione dell’efficacia di trattamenti alla pratica sanitaria routinaria.
Al di là delle intrinseche differenze tra una soluzione tecnologica e l’altra, tutte condividono alcuni aspetti problematici di fondo che sono per lo più legati all’allocazione delle responsabilità dei trattamenti di dati personali effettuati attraverso di esse.
Ruoli e responsabilità relativi al trattamento dei dati personali
Come noto, il Regolamento UE 2016/679 (“Gdpr”) assegna responsabilità diverse a seconda del ruolo in cui agisce ciascun soggetto coinvolto nel trattamento. In generale, ai sensi del Gdpr, un soggetto può agire come interessato, come titolare, come responsabile o come persona autorizzata (dal titolare o dal responsabile) al trattamento.
L’interessato, come è noto, è la persona fisica a cui si riferiscono i dati personali (articolo 4 comma 1 del Gdpr).
Il titolare è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che […] determina le finalità e i mezzi del trattamento di dati personali” (articolo 4 comma 7). Il responsabile è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (articolo 4 comma 8). Infine, si definisce come persona autorizzata al trattamento “la persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”( articolo 4 comma 10).
Il disegno, la progettazione, lo sviluppo e la successiva gestione di soluzioni tecnologiche del tipo descritto sopra coinvolgono in genere pazienti, organizzazioni e professionisti sanitari, sviluppatori o comunque fornitori di servizi informatici e aziende farmaceutiche.
Dei molti schemi contrattuali che possono essere in astratto ipotizzati per regolare le relazioni tra le categorie di soggetti indicati sopra, quello che più frequentemente viene impiegato nella prassi prevede che l’azienda farmaceutica finanzi o commissioni a un fornitore tecnologico (Provider) lo sviluppo e di regola anche la manutenzione di un applicativo (il software e la relativa piattaforma informatica) da concedere in licenza a organizzazioni sanitarie (o a singoli professionisti sanitari) per l’erogazione di prestazioni di telemedicina a favore di pazienti.
Sulla base di questo schema è possibile a ricostruire i ruoli previsti dalla normativa in materia di protezione dei dati personali, descritti in precedenza.
La posizione del paziente
Nel contesto dei trattamenti di dati personali effettuati attraverso gli applicativi in discorso, il paziente è, di regola, l’interessato e cioè il soggetto a cui si riferiscono i dati personali oggetto del trattamento. Può darsi però il caso che gli applicativi (o le app per dispositivi mobili a questi collegate) offrano al paziente la possibilità di utilizzarle per scopi suoi personali (ad esempio, per archiviare documenti o per registrare dati a cui nessun altro può accedere). In questa ipotesi, laddove rimanesse interamente soggetto al suo controllo, il trattamento effettuato dall’interessato ricadrebbe nell’ambito delle attività per fini personali o familiari, in relazione alle quali il Gdpr non trova applicazione. Se, tuttavia, un soggetto terzo – ad esempio il provider – effettuasse una qualche attività di trattamento per conto dell’interessato (la mera conservazione dei dati, ad esempio), tale soggetto dovrebbe essere considerato come autonomo titolare del trattamento.
Questo prevedono, infatti, le “Linee guida sul diritto alla portabilità dei dati” nella versione emendata e adottata il 5 aprile 2017 dal WP29 e approvata dallo European Data Protection Board durante la seduta del 25 maggio 2018.
La posizione delle organizzazioni e dei professionisti sanitari
Ai fini della qualificazione ai fini privacy di organizzazioni e professionisti sanitari, è opportuno distinguere il caso in cui l’operatore sanitario utilizzi gli applicativi quale libero professionista dal caso in cui li utilizzi quale dipendente o collaboratore di un’organizzazione sanitaria.
Il titolare dei trattamenti di dati personali effettuati attraverso gli applicativi (rectius, dei trattamenti effettuati per finalità di assistenza sanitaria) sarebbe, nel primo caso, il singolo professionista sanitario mentre, nel secondo, l’organizzazione sanitaria (e i professionisti sanitari legati a questa da un contratto di lavoro o di collaborazione agirebbero quali persone autorizzate al trattamento). I professionisti sanitari che, ai fini della registrazione e dell’utilizzo degli applicativi, inseriscono al loro interno i propri dati personali agiscono altresì in qualità di interessati.
La posizione del provider
Più complessa è la posizione del provider. Nella misura in cui il provider, oltre al disegno, la progettazione e lo sviluppo dell’applicativo, offra anche servizi di assistenza tecnica e manutenzione (correttiva, adeguativa o evolutiva), questo agirebbe, sicuramente, nell’ambito dei trattamenti di dati personali effettuati da organizzazioni e professionisti sanitari per finalità di assistenza sanitaria, quale responsabile del trattamento di tali organizzazioni o professionisti sanitari. Ma le attività di trattamento che svolge il provider potrebbero non esaurirsi qui e, in genere, così è.
I dati sono trattati, infatti, oltre che per finalità di assistenza sanitaria, anche per consentire agli utenti di registrarsi all’applicativo e garantirne il funzionamento e, come spesso accade, per condurre indagini statistiche o ricerche di mercato. In questo caso la qualificazione a fini privacy del provider è legata a doppio filo a quella dell’azienda farmaceutica che ha commissionato l’applicativo. Se, infatti, si potesse escludere in assoluto il coinvolgimento dell’azienda farmaceutica nei trattamenti di dati personali effettuati attraverso l’applicativo, allora il provider assumerebbe, in relazione a questi trattamenti, il ruolo di titolare (esclusivo) del trattamento. Se, al contrario, l’azienda farmaceutica dovesse essere qualificata come titolare, il provider potrebbe assumere, a seconda dei contenuti dell’accordo raggiunto con l’azienda farmaceutica, o il ruolo di responsabile di questa o quello di contitolare.
La posizione dell'azienda farmaceutica
Venendo quindi alla posizione dell’azienda farmaceutica in relazione ai trattamento di cui si diceva sopra, la verifica circa la sua potenziale qualificazione come titolare deve essere condotta alla stregua della definizione di titolare – di cui all’articolo 3, commi 1 e 7 del Gdpr – e dei criteri enucleati dallo European Data Protection Board (di seguito l’“Edpb”) a mezzo delle “Guidelines 07/2020 on the concepts of controller and processor in the Gdpr” adottate lo scorso 2 settembre (di seguito le “Linee Guida”). Le Linee Guida scompongono e analizzano separatamente i singoli elementi che concorrono a definire il concetto di titolare. Per quel che qui interessa, vale la pena soffermarsi su cosa si intenda con il fatto che un titolare del trattamento è tale in quanto “determina le finalità e i mezzi del trattamento di dati personali”.
L’espressione “determina” si riferisce all’intensità dei poteri esercitati dal titolare in ordine al perché e al come del trattamento. Ciò che emerge dalle Linee Guida è che il potere del titolare si caratterizza per essere un potere assoluto, non soggetto a limitazioni o condizioni, e perciò idoneo a determinare, da solo, perché e come un trattamento deve essere effettuato. Per valutare l’intensità del potere esercitato dal titolare, laddove non sia la legge ad attribuire tale potere, può farsi riferimento a come le parti di un contratto abbiano definito i rispettivi ruoli e responsabilità. Le Linee Guida precisano, tuttavia, che la qualificazione di una parte come titolare non vale ad esonerare l’altra dagli obblighi previsti dal GDPR per i titolari, laddove le circostanze di fatto evidenziassero che è quest’ultima ad aver determinato finalità e mezzi del trattamento.
Le finalità e i mezzi del trattamento costituiscono appunto l’oggetto del potere esercitato dal titolare. Le Linee Guida, oltre a prevedere che la decisione del titolare deve riguardare sia finalità che mezzi e non solo uno dei due aspetti, introducono la distinzione tra mezzi essenziali (ad esempio, le categorie di dati personali da trattare, la durata del trattamento, le categorie di destinatari, le categorie di interessati, etc.) e mezzi non essenziali (ad esempio, la definizione nel dettaglio delle misure di sicurezza) ammettendo, per questa via, che altri soggetti – diversi dal titolare – possano contribuire a determinare i mezzi del trattamento (ma soltanto quelli non essenziali) senza che questo comporti l’assunzione del ruolo di titolare.
Da ultimo, le Linee Guida prendono posizione su alcuni casi oggetto di dubbi interpretativi circa il ruolo di quei soggetti che commissionino ad un terzo la raccolta e la successiva elaborazione di dati personali per finalità di ricerca o statistiche, senza avere mai accesso o comunque trattare i dati personali raccolti, ricevendo dal fornitore del servizio unicamente dati anonimi. In questo caso, il committente – a parere dell’EDPB – agirebbe comunque come titolare, avendo lui determinato finalità e mezzi del trattamento. In tale contesto, ci permettiamo di sottolineare la necessità di non acquisire acriticamente la posizione assunta dalle Linee Guida ma, al contrario, di declinare tale posizione in ciascun caso concreto, in cui sarà quindi opportuno valutare la misura in cui finalità e mezzi siano effettivamente determinati dal committente o meno: ad esempio, laddove il committente si limiti a sostanzialmente finanziare la raccolta commissionandola al terzo (ad es. ad un istituto di ricovero e cura a carattere scientifico) rimettendo a tale terzo proprio la determinazione, se non delle finalità, quanto meno dei mezzi essenziali dei trattamenti da effettuarsi in vista della successiva anonimizzazione dei dati personali raccolti e poi della loro trasmissione, in forma anonimizzata, al committente, ebbene in quei casi si potrebbe concludere che il committente non vada ad assumere la posizione di titolare del trattamento, posizione che rimarrà assunta dal terzo.
Al contrario, si potrebbe concludere che se l’azienda farmaceutica finanzi lo sviluppo dell’applicativo e si ingerisca nella determinazione dei mezzi essenziali, dovrebbe considerarsi come titolare del trattamento effettuato per finalità diverse da quelle legate all’assistenza sanitaria, finalità che di regola si riconducono a ricerca, sviluppo o promozione dei propri farmaci o, in genere, delle proprie attività imprenditoriali.
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati e Giulio Uras.
