Il Garante Privacy su trattamento dei dati sanitari, piano ispettivo e intelligenza artificiale
Dati sanitari. Il Garante Privacy ha adottato un provvedimento generale in tema di trattamento dei dati sanitari a seguito delle novità introdotte dal Regolamento (UE) 2016/679 rivolto a cittadini, medici, asl e soggetti privati. Il provvedimento favorisce un’interpretazione uniforme della nuova disciplina, ancora in fase transitoria, e supporta gli operatori con informazioni utili alla sua corretta attuazione. Il Garante ha chiarito, ad esempio, che il professionista sanitario (come il medico), soggetto al segreto professionale, non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria. E’ invece richiesto il consenso, o una differente base giuridica, quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità.
Paino ispettivo. Il trattamento dei dati sanitari è uno dei settori su cui il Garante indagherà secondo il piano ispettivo per il primo semestre 2019, approvato nelle scorse settimane. Gli altri ambiti che finiranno sotto la lente dell’Autorità sono istituti di credito, sanità, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà, grandi banche dati pubbliche. L´attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, «riguarderà innanzitutto i trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti; i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; la gestione delle carte di fidelizzazione da parte delle aziende; il rilascio dell’identità digitale ai cittadini italiani (Spid); il Sistema Integrato di Microdati (Sim) dell’ISTAT». In particolare, saranno oggetto di accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app.
Privacy e intelligenza artificiale. Nel corso della Giornata della Protezione dei dati 2019, il Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione 108/1981), presieduto dal 2016 dalla rappresentante del Garante della privacy italiano, ha presentato le linee guida sull’applicazione dell’intelligenza artificiale che forniscono indicazioni fondamentali per «decisori pubblici, sviluppatori e fornitori di servizi basati sull’AI, come quelli utilizzati nell’ambito della domotica, delle smart cities, della sanità e della prevenzione del crimine». Tra i punti cardine delle linee guida si legge che «Le applicazioni dell’intelligenza artificiale (AI) devono rispettare i diritti fondamentali, incluso quello alla protezione dei dati. Sviluppatori, produttori e fornitori di servizi AI devono valutare preventivamente i possibili rischi, adottando un approccio di tipo “precauzionale”. Necessarie precise prescrizioni nelle procedure di appalto pubblico». Inoltre «si segnala la necessità di adottare un approccio fondato sulla preventiva valutazione dell’impatto che sistemi, software e dispositivi basati sull’intelligenza artificiale possono avere su diritti fondamentali, nonché sulla minimizzazione dei relativi rischi per le persone evitando, tra l’altro, potenziali pregiudizi (bias) ed altri effetti discriminatori, come quelli basati sulla differenza di genere o sulle minoranze etniche. Il Comitato consultivo rimarca, tra l’altro, l’opportunità di inserire nel processo di valutazione nuove “forme partecipatorie”, basate sul coinvolgimento di individui e di gruppi potenzialmente colpiti dagli effetti dell’AI».
Il caso del “braccialetto elettronico” per gli operatori ecologici. A conclusione di un procedimento aperto d’ufficio, il Garante ha chiesto ad una società di raccolta rifiuti operante in Toscana di utilizzare dispositivi elettronici alternativi che non ledano la dignità della persona. La società aveva infatti consegnato ai propri dipendenti dei dispositivi elettronici indossabili e dotati di un GPS per la lettura delle etichette elettroniche collocate sui cestini. Solo dopo l’istruttoria aperta dal Garante, era stato stipulato un accordo sindacale nel quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del GPS al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore. L’Autorità, «pur giudicando tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto necessario individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori».