App mediche: Garante Privacy, serve più trasparenza nell’uso dei dati

mobile-health-550x400_cUna su due non fornisce agli utenti un’informativa prima del download o chiede dati eccessivi rispetto alle funzionalità offerte: serve più trasparenza nell’uso dei dati degli utenti che scaricano app mediche in Italia.

I risultati dell’indagine, avviata a maggio dal Garante Privacy per verificare il rispetto della normativa italiana sulla protezione dati da parte di applicazioni che utilizzano dati sanitari, mostrano come anche nel nostro Paese gli utenti non siano adeguatamente tutelati e troppe volte non siano messi in grado di esprimere un consenso libero e informato.

Quello delle app mediche è un settore in crescente sviluppo che presenta profili molto delicati per la privacy delle persone. L’azione del Garante si inserisce nell’ambito del “Privacy Sweep 2014”, l'”indagine a tappeto” promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di tutto il mondo e di cui il Garante italiano fa parte. La scelta tutta italiana di analizzare app del settore medico o di wellness è in linea con le preoccupazioni manifestate dall’Europa su questo tema. La Commissione Europea ha di recente avviato una consultazione sulla Mobile Health e ha pubblicato il Libro Verde sulle applicazioni sanitarie mobili (Green Paper on Mobile Health).

Una su due delle applicazioni mediche italiane e straniere analizzate dagli “sweepers” dell’Authority italiana, scelte a campione tra le più scaricate disponibili sulle varie piattaforme (Android, iOs, Windows, etc.):

  • non fornisce agli utenti un’informativa sull’uso dei dati preventiva all’installazione, oppure
  • dà informazioni generiche, o
  • chiede dati eccessivi rispetto alle funzionalità offerte.

In molti casi l’informativa privacy:

  • non viene adattata alle ridotte dimensioni del monitor, risultando così poco leggibile, o
  • viene collocata in sezioni riguardanti, ad esempio, le caratteristiche tecniche dello smarphone o del tablet

A seguito dell’esito dell’indagine, il Garante sta valutando le azioni da intraprendere, anche al fine di possibili interventi prescrittivi o sanzionatori.

A livello internazionale, l’iniziativa ha fatto crescere le preoccupazioni sulle app, che offrono funzionalità che vanno dai giochi al meteo, dalle news ai servizi bancari. I risultati dell’indagine hanno mostrato come vi sia una scarsa attenzione alla tutela degli utenti e la necessità che questi software, che raccolgono un’ingente mole di informazioni personali, rendano più trasparente e chiaro l’uso delle stesse.

Su un totale di oltre 1200 applicazioni esaminate, appena il 15% risulta dotato di un’informativa privacy realmente chiara. Nel 59% dei casi è stato difficile per le Autorità di protezione dati reperire un’informativa privacy prima dell’installazione.

Annunci

Privacy e trasparenza on line della Pa: le nuove Linee guida del Garante

pubblica-amministrazione-600x383Garanzie per i più deboli Sui siti on line della Pa solo dati esatti, aggiornati e indispensabili. Vietato diffondere informazioni sulla salute. Sì agli “open data”, ma senza pregiudicare i diritti delle persone. Garanzie per i più deboli.

Allo scopo di contemperare le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali nonché la dignità delle persone, il Garante privacy ha individuato un quadro organico e unitario di cautele e misure che le Pa devono adottare quando diffondono sui loro siti web dati personali dei cittadini.

Le Linee guida [doc. web n. 3134436], emanate alla luce del recente decreto legislativo n.33/2013, riguardano:

  • sia la pubblicazione di dati e documenti che le Pa devono mettere on line per finalità di trasparenza,
  • sia di quelli finalizzati a garantire altri obblighi di pubblicità degli atti amministrativi (es. pubblicazioni matrimoniali, deliberazioni sull’albo pretorio on line, avviso di deposito delle cartelle esattoriali etc.).

Su tali Linee guida (in corso di pubblicazione sulla G.U.) il Garante ha sentito il Dipartimento della funzione pubblica, l’Autorità nazionale anticorruzione (Anac) e l’Agenzia digitale.

Ecco in sintesi le principali misure indicate per la trasparenza on line.

Principi generali

Le Pa devono pubblicare solo dati esatti, aggiornati e contestualizzati.

Prima di mettere on line sui propri siti informazioni, atti e documenti amministrativi contenenti dati personali, le amministrazioni devono verificare che esista una norma di legge o di regolamento che ne preveda l’obbligo.

Le Pa devono pubblicare on line solo dati la cui pubblicazione risulti realmente necessaria. E’ sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale.

I dati sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico.

Occorre adottare misure per impedire la indicizzazione dei dati sensibili da parte dei motori di ricerca e il loro riutilizzo.

Qualora le Pa intendano pubblicare dati personali ulteriori rispetto a quelli individuati nel decreto legislativo n.33, devono procedere prima all’anonimizzazione di questi dati, evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

Open data e riutilizzo dei dati

I dati pubblicati on line non sono liberamente utilizzabili da chiunque per qualunque finalità.

L’obbligo previsto dalla normativa in materia di trasparenza on line della Pa di pubblicare dati in “formato aperto”, non comporta che tali dati siano anche “dati aperti”, cioè liberamente utilizzabili da chiunque per qualunque scopo. Il riutilizzo dei dati personali non deve pregiudicare, anche sulla scorta della direttiva europea in materia, il diritto alla privacy.

Le Pa dovranno quindi inserire nella sezione denominata “Amministrazione trasparente” sui propri siti web un alert con cui si informa il pubblico che i dati personali sono riutilizzabili in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto del norme sulla protezione dei dati personali.

I dati sensibili e giudiziari non possono essere riutilizzati.

Durata degli obblighi di pubblicazione

Il periodo di mantenimento on line dei dati è stato generalmente fissato in 5 anni dal decreto legislativo n.33. Sono previste però alcune deroghe, come nell’ipotesi in cui gli atti producano i loro effetti oltre questa scadenza. In ogni caso, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti hanno prodotto i loro effetti, i dati personali devono essere oscurati anche prima del termine dei 5 anni.

Motori di ricerca

L’obbligo di indicizzare i dati nei motori di ricerca generalisti (es. Google) durante il periodo di pubblicazione obbligatoria è limitato ai soli dati tassativamente individuati dalle norme in materia di trasparenza. Vanno dunque esclusi gli altri dati che si ha l’obbligo di pubblicare per altre finalità di pubblicità (es. pubblicità legale sull’albo pretorio, pubblicazioni matrimoniali etc).

Non possono essere indicizzati (e quindi reperibili attraverso i motori di ricerca) i dati sensibili e giudiziari.

Specifici obblighi di pubblicazione

Risulta proporzionato indicare il compenso complessivo percepito dai singoli dipendenti (determinato tenendo conto di tutte le componenti, anche variabili, della retribuzione). Non è però giustificato riprodurre sul web le dichiarazioni fiscali o la versione integrale dei cedolini degli stipendi. Esistono invece norme ad hoc per gli organi di vertice politico.

A tutela di fasce deboli, persone invalide, disabili o in situazioni di disagio economico destinatarie di sovvenzioni o sussidi, sono previste limitazioni nella pubblicazione dei dati identificativi.

Vi è invece l’obbligo di pubblicare la dichiarazione dei redditi di politici e amministratori, con l’esclusione di dati non pertinenti (stato civile, codice fiscale) o dati sensibili (spese mediche, erogazioni di denaro ad enti senza finalità di lucro etc.).

Obblighi di pubblicità degli atti per finalità diverse dalla trasparenza

Il rispetto dei principi di esattezza, necessità, pertinenza e non eccedenza, permanenza on line limitata nel tempo dei dati personali, vale anche per la pubblicazione di atti per finalità diverse dalla trasparenza (albo pretorio on line degli enti locali, graduatorie di concorsi etc.).

Al fine di ridurre i rischi di decontestualizzazione del dato personale e la riorganizzazione delle informazioni secondo parametri non conosciuti dall’utente, è necessario:

  • prevedere l’inserimento all’interno del documento di “dati di contesto” (es. data di aggiornamento, periodo di validità, amministrazione, numero di protocollo)
  • ed evitare l’indicizzazione tramite motori di ricerca generalisti, privilegiando funzionalità di ricerca interne ai siti web delle amministrazioni.

Deve essere evitata la duplicazione massiva dei file.

Pa: gestione del rapporto di lavoro e dati sulla salute

universita-tagliViola le norme sulla protezione dei dati personali la Pubblica amministrazione che comunica indebitamente informazioni sullo stato di salute di un proprio dipendente a terzi.

Lo ha affermato il Garante privacy [doc. web n. 2576686] il quale, intervenuto a seguito della segnalazione di una professoressa universitaria, ha ritenuto illecita la comunicazione ad altri docenti di un decreto rettorale contenente informazioni sensibili che la riguardavano e ha prescritto all’amministrazione di conformare la gestione del trattamento dei dati personali alla disciplina del Codice privacy.

In particolare, la segnalante lamentava il fatto che

  • copia integrale del decreto rettorale che la collocava in “interdizione dal lavoro” e quindi in “congedo per maternità” fosse stata inviata a un docente in servizio presso un’altra Facoltà, diffondendo informazioni molto delicate sulla sua salute.
  • tale documento, inoltre, eveniva allegato dalla segreteria amministrativa al modulo di richiesta di affidamento dell’insegnamento che si sarebbe reso vacante, rendendo note le condizioni di salute della professoressa anche a tutti i docenti membri del Consiglio di Facoltà tenuti a deliberare sull’assegnazione della cattedra.

alert-icon-redIlliceità del trattamento

Nel dichiarare illecito il trattamento, il Garante ha rilevato la presenza di dati sensibili nel decreto rettorale, poiché le informazioni relative alla “interdizione dal lavoro” ai sensi della legge 151/2001, espressamente richiamata nel decreto, fanno riferimento a “gravi complicanze della gravidanza o a persistenti forme morbose che si presume possano essere aggravate dalla gravidanza”, in base alle quali la Direzione provinciale del Lavoro e la Asl dispongono l’interdizione.

Il Garante ha ribadito inoltre che, nel caso di specie, gli stessi dati sensibili potevano essere trattati soltanto dagli organismi espressamente indicati nel regolamento di Ateneo per le finalità di gestione del rapporto di lavoro, mentre non dovevano essere comunicati a terzi.

L’inclusione di dati sensibili nel decreto, infine, è avvenuta anche in violazione del principio di necessità, poiché non era indispensabile, ai fini dell’assegnazione dell’incarico resosi vacante, mettere a conoscenza i docenti dei motivi dell’assenza della professoressa.

 

Medicina a distanza: defibrillatori a prova di privacy

Defibrillator-1300218457Tecnologie Rfid impiantate in pazienti cardiopatici: si all’uso di defibrillatori a distanza per pazienti cardiopatici, ma nel rispetto della privacy degli interessati.

Lo ha stabilito il Garante con un provvedimento di rilevanza generale con il quale ha prescritto precise e rigorose misure a protezione dei dati dei pazienti all’Azienda Ospedaliera Spedali Civili di Brescia e la Sorin CRM Sas, società francese produttrice di apparecchiature medicali, che avevano chiesto all’Autorità di potersi avvalere di un sistema a radiofrequenza (Rfid)  per il monitoraggio remoto dei pazienti mediante defibrillatori cardiaci impiantati sotto pelle.

L’uso di sistemi a radiofrequenza destinati all’impianto sottocutaneo attraverso “etichette intelligenti” solleva, infatti, questioni estremamente delicate e presenta rischi potenziali, sia per la sicurezza dei dati personali trattati, particolarmente delicati, sia sotto il profilo della salute.

Il sistema che intende adottare l’Azienda ospedaliera prevede l’inserimento nel microchip, inserito nel defibrillatore impiantato sotto la cute del paziente, di dati clinici. Tali informazioni sono trasmesse in modalità wireless ad un monitor installato in casa del paziente e dal monitor al server situato presso l’azienda ospedaliera mediante linea telefonica. Scopo del sistema è quello di consentire ai medici di monitorare costantemente via web il paziente, evitando la tradizionale visita ospedaliera, rilevare eventuali anomalie cardiache e nel caso effettuare con tempestività la defibrillazione.

L’Autorità ha ribadito che:

  • per fornire il servizio è necessario il consenso informato dei pazienti;
  • il paziente dovrà poter ottenere in modo agevole la disattivazione sia del sistema remoto sia del funzionamento dell’etichetta Rfid contenuta nel dispositivo impiantato.

Hand_Do_NotCriticità rilevate dal Garante: operatori terzi in outosurcing

Una delle criticità rilevate dal Garante riguarda il fatto che la società produttrice del sistema, designata dall’ospedale quale responsabile del trattamento, si avvale di operatori esterni in subappalto, a cui sono delegate alcune attività di manutenzione e sicurezza del sistema. Considerata la delicatezza dei dati ai quali gli operatori esterni possono avere accesso, il Garante ha disposto che la società possa avvalersi di terzi soltanto previo accordo con l’ospedale. I soggetti terzi che accedono ai dati devono essere sottoposti ai medesimi obblighi a cui è tenuta la società fornitrice come responsabile del trattamento.

Qualora i dati clinici memorizzati nel sistema vengano messi a disposizione anche di altri operatori sanitari che abbiano in cura il paziente, questi ultimi, quali titolari autonomi del trattamento, sono obbligati a raccogliere preventivamente il libero e specifico consenso del paziente.

Il Garante ha prescritto che:

  • tutte le operazioni di trattamento dei dati effettuate dall’Azienda ospedaliera, dal fornitore del servizio o dagli operatori esterni coinvolti debbano essere registrate;
  • le informazioni sugli accessi devono essere fornite al paziente su sua richiesta.

alert-icon-redRigorose misure di sicurezza

L’Autorità ha inoltre prescritto rigorose misure di sicurezza a protezione dei dati sanitari: in particolare:

  • credenziali di autenticazione del sistema remoto e
  • strumenti di gestione delle utenze che prevedano la possibilità di effettuare controlli degli accessi con l’attivazione di sistemi di alert.