Revisione della Legge federale sulla protezione dati

Un’istantanea a pochi mesi dalla sua entrata in vigore

Introduzione e premessa

«Potendo, dei giuristi, si farebbe a meno. Invece, sono dappertutto (…) Viviamo come non mai in un’epoca giuridica» (Zagrebelsky 2021). Epoca giuridica che, si converrà, chiama a sè una sempre maggiore esigenza regolatoria o di compliance – termine abusato quanto moderno, dunque en vogue – che pretende di chinarsi con abbondanza anche sulle normative vigenti in materia di protezione dei dati.

Non basta più – dicono i bene informati – sciorinare i paragrafi delle imminenti proposte di modifica del quadro legale, ripercorrere i motivi che hanno spinto la politica a promuovere con tale impeto la digitalizzazione delle cure per stare al passo coi tempi. Bisogna cambiare “marcia”, implementare in maniera capillare quelle misure a tutela della protezione dei dati, troppe volte solo oggetto di slogan.

In questo panorama in itinere nascono figure nuove come quelle dei consulenti per la protezione dei dati o dei DPO (acronimo che sta per Data Protection Officer), volti nuovi che aiutano le strutture sanitarie – che per definizione trattano «dati personali degni di particolare protezione» (Art. 5 lett. c nLPD) – a conformarsi alle accresciute esigenze poste in questo complesso ambito normativo.

Nella Rivista per le Medical Humanities nr. 43/2019 (Dati sanitari tra protezione e condivisione, pag. 81-100, consultabile qui) uno degli autori aveva esposto un’istantanea sul tema della protezione dei dati in un contesto ospedaliero e sanitario che sempre meno sporadicamente stava tendendo alla condivisione, con la sanità elettronica (eHealth) e l’evoluzione tecnologica oggetto di un «progrès fulgurants au cours de la dernière décennie» (Guillod 2020), tale da motivare anche il legislatore alla necessità di rivedere le proprie normative.

Questo breve contributo, scritto a più mani dal legale e dal consulente della protezione dei dati dell’unico ospedale multisito svizzero – che pensa, cura e sogna in italiano ­– insieme alla Vicedirettrice dell’OSC, ha l’obiettivo di aggiornare i lettori sul quadro normativo nazionale, informarli sulle maggiori novità previste dall’introduzione della nuova LPD, ampiamente rimaneggiata rispetto al testo attuale, consci che l’Europa si è da oltre un lustro già dotato di uno strumento normativo (il GDPR) che ha rivoluzionato la percezione di responsabilizzazione dei titolari di banche dati.

 

La protezione e condivisione di dati nella crisi pandemica: qualcosa (o tutto) è cambiato

La recente crisi pandemica Covid ha convinto anche i più restii del fatto che sia la protezione sia la condivisione di dati particolarmente sensibili, come quelli sanitari, siano un processo inarrestabile, e come tale meritino tutela. La digitalizzazione dei dati, il loro richiamo incalzante a fini statistici e prospettici, ha raggiunto livelli mai osservati sinora.

La pandemia ha pure evidenziato una germogliante diffusione di dati, di grafici, di proiezioni, di scenari – solitamente riservati a scienziati e ricercatori dedicati – con una diffusione ed una capillarità dilatata. D’altronde, la pandemia – non da ultimo a causa dei distanziamenti sociali – ha portato ad un’impennata nell’uso del digitale in senso lato; le riunioni settimanali si sono trasformate in “zoomate” senza tregua, per il bengodi di coloro che da sempre sono a caccia di dati, di relazioni, di rete e di contatti, per il beneplacito della tracciabilità ad ogni costo.

Tale fenomeno ha stravolto, per gli anni a venire e verosimilmente per sempre, il nostro modo di lavorare, di ragionare, di entrare in relazione con gli altri e con noi stessi, di concepire la nostra privacy e l’importanza che attribuiamo alla protezione dei nostri dati personali. Basti citare l’istruzione fornita a distanza per i nostri giovani studenti, il contact tracing, lo smartworking. In men che non si dica, la pandemia Covid ha messo a dura prova alcuni dei nostri diritti fondamentali ritenuti intangibili – codificati nelle nostre Magnae Cartae, tra cui l’art. 13 della Costituzione federale, che tutela il nostro diritto alla privacy – che fino a quel momento non credevamo poter essere limitati da reali o presunti interessi pubblici ancor più preponderanti (nota bene, sulla base di normative fondate su piani pandemici o regolamentazioni un po’ arrugginiti).

Augurandoci di aver lasciato alle spalle il peggio, siamo ora tutti chiamati a tentare di (ri)bilanciare il delicato equilibrio tra privacy, salute, sicurezza e progresso sociale ed economico. Esercizio che richiede un processo di trasformazione e che mette in campo nuove forme di attività economiche e lavorative, all’interno di ecosistemi globalizzati e digitalizzati. Sforzo che ci domanda il modello di business data-driven, che per poter essere sostenibile deve privilegiare la trasparenza, la disponibilità e l’accesso ai dati sicuri, a tutela del singolo cittadino o paziente.

L’emergenza globale ha fatto sì che si premesse sull’acceleratore della digitalizzazione, favorendo al contempo una sorveglianza ed un monitoraggio delle persone, propri di uno stato d’emergenza, ma che – terminata la tempesta – si caldeggia possano tornare ad essere più appropriati, per non risultare ostativi del diritto umano alla privacy. E questo, mentre ricercatori clinici, esperti di ogni sorta e i governi fanno capo a quantità smisurate di dati (Big Data) al fine di determinare lo stato di diffusione delle malattie, favorire la scoperta di nuovi vaccini, tracciare il movimento delle persone per prevenire ulteriori focolai epidemici. Tramite raccolta di dati, certo, ma soprattutto facendo capo a nuovi sistemi digitali e applicativi (smartphone, social), sempre più presenti nelle nostre economie domestiche.

Del resto, come si anticipava nell’articolo del nr. 43 della Rivista per le Medical Humanities, da cui prende spunto questo complemento, l’espansione delle tecnologie digitali nell’ambito della salute è stata ed è tutt’ora oggetto di mirate strategie federali, quali ad esempio la strategia eHealth Svizzera del 2007 e la strategia Sanità 2020 del 2013. Pare che il nostro Paese non sia secondo (quasi) a nessuno in termini di infrastrutture digitali e di rete (connettività) e anche l’alfabetizzazione digitale della popolazione conosce uno sviluppo esponenziale: due fattori che favoriscono l’implementazione di nuove tecnologie digitali in generale e in campo sanitario in particolare.

 

Legge federale protezione dati: iter di revisione totale

La Legge federale sulla protezione dei dati del 1993 (nel seguito LPD), che fissa alcuni principi inderogabili in materia, è stata oggetto di una massiccia revisione, per rispondere anche all’entrata in vigore del nuovo Regolamento generale dell’UE sulla protezione dei dati. Un passo imprescindibile, insomma.

Negli intenti del legislatore federale, la LPD sarà «adeguata all’evoluzione tecnologica e sociale, aumentando in particolare la trasparenza dei trattamenti di dati e migliorando il controllo da parte delle persone interessate sui propri dati».

Dopo un lungo iter, nel giugno 2021 il Consiglio federale ha finalmente avviato la procedura di consultazione sulla revisione totale dell’ordinanza della legge sulla protezione dei dati. In parte a causa del persistere della crisi pandemica, l’entrata in vigore della Legge e della rispettiva Ordinanza è stata più volte procrastinata, ma è ora fissata al 1° settembre 2023.

 

Revisione totale LPD: le principali novità in pillole

Le principali novità della nuova LPD toccano ambiti e termini parzialmente nuovi per il panorama elvetico, quali la profilazione, i responsabili del trattamento, i concetti di privacy by design e privacy by default, il rafforzamento degli obblighi di informazione, l’estensione degli obblighi di comunicazione, la valutazione di impatto sulla protezione dei dati, la pronta notifica di violazioni della sicurezza di dati, come pure un aggiornato contesto sanzionatorio.

Le principali novità, raccontate in pillole, riguardano:

1. Protezione di dati di (sole) persone fisiche
La novità più rilevante è data dal fatto che la nLDP andrà a concentrarsi sulla protezione dei dati delle (sole) persone fisiche di cui vengono trattati i dati, compatibilmente al RGPD (o GDPR) europeo, e non più, come accaduto finora, dei dati delle persone giuridiche. Le imprese potranno invece continuare a far capo all’art. 28 del Codice civile.

2. L’introduzione del concetto di profilazione
Riferendoci all’art. 5 lett. f nLPD, con profilazione si intende il «trattamento automatizzato di dati personali consistente nell’utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l’affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona».

3. Privacy by design e by default
Con la crescente condivisione dei dati la mera protezione del dato ex post risulta antiquata. Le giuste cautele prudenziali vanno maggiormente poste sull’ex ante. Nella nLPD (art. 7) sono stati introdotti i principi di privacy by design (a valere quale protezione dei dati sin dalla progettazione; i dati devono venire cancellati o anonimizzati in maniera standardizzata) e di privacy by default (a significare la protezione dei dati per impostazione predefinita, in cui ci si dovrà limitare al solo trattamento di dati direttamente necessari allo scopo), che imporranno alle autorità e alle imprese di attuare una serie di misure tecniche ed organizzative adeguate.

4. Notifica di Data breach (violazioni della sicurezza dei dati)
L’art. 24 nLDP introduce l’obbligo di notificare all’IFPDT – «quanto prima» (neppure l’art. 15 della nuova Ordinanza sulla protezione dei dati (n-OPDa) definisce un termine più preciso entro il quale notificare la violazione) – un cosiddetto “data breach”, ossia una violazione della sicurezza dei dati, nella misura in cui essa comporti un rischio elevato per i diritti e le libertà fondamentali degli interessati, che, in determinati casi, devono essere a loro volta informati della avvenuta violazione. A titolo di confronto, il RGPD europeo prevede un obbligo di notifica più restrittivo e definisce scadenze molto serrate.

5. Consulente per la protezione dei dati
L’art. 10 nLPD prevede la facoltà – la sua designazione rimane per ora dunque facoltativa, a differenza del RGDP europeo – di nominare un consulente per la protezione dei dati personali. Lo stesso fungerà da consulente e formatore interno all’azienda e da interlocutore sia per gli interessati che per le autorità (tra cui l’IFPDT). Una delle sue mansioni è quella di esaminare quei trattamenti che necessitano di una valutazione d’impatto (cfr. art. 22 nLDP).

6. Responsabile del trattamento
L’obbligo di tenuta del registro delle attività di trattamento sia per il titolare che per il responsabile del trattamento deriva dall’art. 9 nLPD. Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.

7. Obblighi di informazione
La nLPD (art. 19 ss) precisa ed estende le informazioni minime che vanno fornite al privato interessato al momento dell’acquisizione dei dati personali. Inoltre, richiede di specificare meglio l’identità e i dati di contatto del titolare, lo scopo del trattamento e, di principio, pure i destinatari o categorie di destinatari ai quali vengono comunicati tali dati.

8. Valutazione di impatto
La legge evidenzia l’importanza di effettuare una valutazione d’impatto sulla protezione dei dati, qualora il trattamento comporti un rischio elevato per i diritti e le libertà degli interessati. Tale valutazione deve descrivere il trattamento previsto e i rischi che esso comporta, come pure indicare le misure adeguate tese a scongiurare tali rischi. Tale aspetto è previsto all’art. 22 nLPD.

9. Ruolo dell’IFPDT
La nLPD (art. 49) estende l’assegnazione all’IFPDT di poteri ispettivi, di accesso ai luoghi e ai documenti dell’organizzazione, per lo svolgimento delle inchieste necessarie. A ciò si aggiungerà una maggiore attività di consulenza e redazione di pareri.

10. Sanzioni
In caso di violazione della legge, essa prevede all’art. 60 ss., per le persone fisiche, sanzioni/multe sino a CHF 250’000.- (a fronte di un massimo di CHF 10’000.- attuali). Il mancato rispetto delle normative potrà dunque in futuro comportare conseguenze penali di ampia portata per coloro che non dovessero ossequiare tale legge.

 

Condivisione crescente tra i vari attori del settore socio-sanitario e l’Incaricato cantonale

Secondo l’adagio “insieme è meglio”, negli scorsi mesi si sono moltiplicati ed intensificati i contatti tra l’EOC e altre realtà affini, che pure sono assoggettate alle normative citate e che si vedranno confrontate con le imminenti necessità pratiche di implementazione.

Tra i partner che trattano dati personali degni di particolare protezione con maggiori complessità è da annoverare l’Organizzazione sociopsichiatrica cantonale (OSC), che da un lato è confrontata con un disposto legislativo formale cantonale – che a breve sarà pure oggetto di revisione nel solco della revisione federale – e dall’altro è alla ricerca di soluzioni di natura tecnica praticabili, nelle quali rimanga prioritario il coinvolgimento e la partecipazione responsabile di ogni collaboratrice e collaboratore.

A tal fine l’OSC ha costituito un gruppo di lavoro inter e multidisciplinare dedicato e rappresentativo di ogni servizio, con l’intento di approfondire lo stato dell’arte e la mappatura degli ambiti ritenuti sensibili e teso ad elaborare direttive che rispondano a quattro “esigenze chiave” della protezione dei dati, segnatamente: l’accesso, il trasferimento, l’archiviazione e la distruzione dei/ai dati. Attività che hanno evidenziato l’importanza e il valore aggiunto di scambi regolari di informazioni ed esperienze (apportatrici di buone pratiche) tra gli esperti del ramo delle varie strutture interessate.

Pure da segnalare la crescente collaborazione con l’Incaricato cantonale della protezione dati, con il quale sono in corso incontri tesi a favorire uno scambio di esperienze, casi d’uso e l’elaborazione di strumenti informativi in grado di predisporre gli utenti all’imminente cambiamento normativo – che sarà giocoforza pure “culturale” – ormai alle porte.

 

Conclusione e sguardo proteso al futuro

Già nell’ormai lontano 2004, nella prefazione al trattato Protezione dei dati e diritti dei cittadini – Riflessioni su una realtà in continua evoluzione del compianto dr. iur. Michele Albertini, il Giudice federale emerito Emilio Catenazzi ricordava che «la Costituzione federale protegge la persona dall’impiego abusivo dei suoi dati personali, ma perché questa protezione sia reale ed efficace occorre una chiara fissazione dei diritti del singolo, a cominciare da quelli che lo portano a farglieli conoscere».

Gli autori (si) sono convinti che solo una formazione continua e assidua, un confronto interdisciplinare – scevro di pregiudizi e basato su una sana condivisione di esperienze – potranno veramente salvaguardare le finalità della raccolta dei dati dei pazienti – per il loro bene – e garantire che non se ne abusi. Formazione come chiave di volta, misura promozionale e miglior strumento di protezione contro comportamenti inappropriati in ambito di protezione dei dati.

Perché, come amiamo ripetere nei nostri momenti formativi, sempre più richiesti quanto imprescindibili, il diritto alla privacy non è (più) un’opzione, un nice to have, ma una priorità di ogni singolo operatore sanitario e di ogni struttura sanitaria che interagisce, volente e nolente, nel processo di acquisizione di una sempre crescente pluralità di dati del paziente.

La protezione dei dati deve figurare tra le priorità di qualsiasi struttura sanitaria, per evitare che la questione sia confinata ad una intangibile complicanza tecnica o ad una fantasia da nerd informatico. Figurando, come già ricordava Albertini nel 2004, quale «espressione – trasversale – della componente informativa di tutte le garanzie istituzionali, alla ricerca del giusto equilibrio, mai palese, tra elaborazioni necessarie e legittime esigenze di protezione e sicurezza, al fine ultimo di accrescere (…) la fiducia reciproca tra Stato e cittadini nella complessa società odierna» (Albertini 2004: 128). Riflessioni conclusive attualissime, anche a distanza di quasi quattro lustri.

Bibliografia

M. Albertini, Protezione dei dati e diritti dei cittadini, CFPG, Helbing Lichtenhahn, Basel-Genf-München, 2004.

O. Guillod, Droit médical, Helbling Lichtenhahn, Basilea/Neuchâtel, 2020, p. 400 ss, note 480 ss.

G. Zagrebelsky, La Giustizia come professione, Einaudi, 2021, p. 7

4 pensieri su “Revisione della Legge federale sulla protezione dati

  1. Redboost dice:

    Simply wanna remark on few general things, The website design is perfect, the subject matter is very fantastic. “Good judgment comes from experience, and experience comes from bad judgment.” by Barry LePatner.

  2. uweed.ch dice:

    I am curious to find out what blog platform you have been using? I’m having some minor security problems with my latest site and I’d like to find something more secure. Do you have any solutions?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *