Tutto quello che c’è da sapere per progettare una APP medica a prova di privacy

Sapere che tempo fa domani, il ritardo di un treno, la disponibilità di un albergo, quanti “passi” o kilometri si sono percorsi, quante calorie ingerite questo e molto altro oggi viene fatto con una “APP”.

Con le APP si fa quasi tutto oggi, ma indubbiamente il settore della sanità e del wellness è quello che ha avuto in questi anni una vera e proprie esplosione.

È così che negli ultimi anni è nata la cosidetta mHealth, ovvero la sanità mobile intesa come  “pratica della medicina e della sanità pubblica supportata da dispositivi mobili, quali telefoni cellulari,  dispositivi per il monitoraggio dei pazienti, computer palmari (PDA) e altri dispositivi senza fili” (rif. Organizzazione mondiale della sanità, “mHealth New horizons for health through mobile technologies, Global Observatory for eHealth series – Volume 3”.).

Le applicazioni mediche per smartphone e tablet continuano a crescere  e comprendono varie soluzioni tecnologiche che permettono, tra le altre cose, di misurare parametri vitali come il ritmo cardiaco, il livello di glicemia, la pressione sanguigna, la temperatura corporea e l’attività cerebrale.

Sostanzialmente, l’APP è un’applicazione software progettata per consentire di interagire con le informazioni e gli strumenti su cui è installata.

Se da una parte mHealth può essere un’opportunità per migliorare l’assistenza sanitaria, migliorandone la qualità e l’efficienza, dall’altra parte è indubbio l’interesse che questo settore suscita anche da un punto di vista economico.  Ma uno dei problemi delle APP medicali è: come deve essere trattato il dato?

A livello legislativo nazionale e comunitario i provvedimenti che hanno affrontato questo problema sono molto interessanti.

Nel caso delle APP in generale il problema del corretto trattamento dati è stato ampiamente affrontato a livello comunitario dal Gruppo di lavoro ex art. 29 nel parere 2/2013.

Sulle mHealth, invece, la Commissione Europea pubblicato nel 2014 un LIBRO VERDE sulla sanità mobile (“mHealth”) al fine di avviare una consultazione delle parti interessate sugli ostacoli esistenti e sulle questioni connesse alla diffusione della mHealth.

Per quanto riguarda il Garante interessante è l’indagine avviata all’interno del “Privacy Sweep 2014”, un’iniziativa promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui il Garante italiano fa parte. L’indagine è stata condotta nel mese di maggio 2014 ha portato il Garante ad analizzare app del settore medico o di wellness ed ha concluso che una su due delle applicazioni mediche italiane e straniere analizzate dagli “sweepers” dell’Authority italiana, scelte a campione tra le più scaricate disponibili sulle varie piattaforme (Android, iOs, Windows, etc.), non fornisce agli utenti un’informativa sull’uso dei dati preventiva all’installazione, oppure dà informazioni generiche, o chiede dati eccessivi rispetto alle funzionalità offerte. In molti casi l’informativa privacy non viene adattata alle ridotte dimensioni del monitor, risultando così poco leggibile, o viene collocata in sezioni riguardanti, ad esempio, le caratteristiche tecniche dello smarphone o del tablet.

Alla luce dei provvedimenti sopra riportati e di quanto previsto dal REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati- RGDP) di seguito gli elementi da valutare.

A) Legge applicabile

Un primo aspetto esaminato dal Gruppo di Lavoro riguarda l’individuazione del diritto  applicabile alle APP.  Si potrà, infatti, avere l’interessato (ovvero il soggetto che usa la APP e a cui i dati si riferiscono) in uno Stato, lo sviluppatore in un altro Stato, il produttore ubicato in un altro Stato ancora, etc.

Ed allora: come individuare quale diritto si applica? Quando si applica il diritto UE?

Nel parere 3/2013 il Gruppo di lavoro anticipava già quanto previsto dall’attuale RGDP.

Per il WP la normativa comunitaria trova applicazione ogniqualvolta una parte coinvolta nello sviluppo, nella distribuzione e nel funzionamento di applicazioni sia qualificata responsabile del trattamento e si trovi in uno Stato dell’UE. Troverà applicazione la norma UE anche quando si ricorre a strumenti situati nel territorio UE.

B) Correttezza del trattamento

Dal punto di vista della correttezza del trattamento dati il Gruppo di Lavoro ex art. 29 pone l’attenzione sulla necessità di identificare i ruoli dei soggetti coinvolti. Normalmente nella realizzazione di una APP possiamo trovare gli sviluppatori, i produttori della APP, le APP store o i rivenditori e le parti terze come gli sponsor, ma nel caso di APP mediche potremmo avere anche gli operatore sanitari.

Non esistono regole rigide, ma dovrà essere lo sviluppatore e impostare le regole per il trattamento dati con la APP che va a realizzare ed è bene definire chi tra i soggetti coinvolti riveste il ruolo di titolare del trattamento e chi di responsabile del trattamento.

La definizione dei ruoli consentirà di individuare le responsabilità in caso di trattamento illecito di dati. Nel caso di APP mediche, andrà definito il ruolo degli operatori sanitari che eventualmente elaboreranno o raccoglieranno il dato.

C) Informativa e consenso

Conditio sine qua non di qualsiasi trattamento dati, resta poi il consenso preventivo all’installazione e al trattamento di dati personali dell’interessato.

Nel caso di una qualsiasi APP, il principale fondamento giuridico applicabile è il consenso., poiché con l’installazione di un’applicazione, nel dispositivo dell’utente finale vengono inserite delle informazioni e spesso le stesse APP accedo ai dati memorizzati sul dispositivo.

La validità del consenso necessita che consista in una “manifestazione di volontà libera, specifica e informata

Nel contesto dei dispositivi intelligenti

  • libera” significa che l’utente deve poter scegliere se accettare o rifiutare il trattamento dei suoi dati personali. Quindi, se un’applicazione richiede il trattamento di dati personali, l’utente deve essere libero di accettare o rifiutare, senza trovarsi di fronte a uno schermo contenente un’unica opzione “Sì, accetto”, per completare l’installazione. In altre parole deve essere disponibile anche un’opzione “Cancella” o che comunque blocchi l’installazione.
  • Informata” significa che l’interessato deve disporre delle informazioni necessarie per formulare un proprio giudizio sull’opportunità di dare o meno il consenso. Ovviamente, per maggiore correttezza le informazioni devono essere disponibili prima di qualunque trattamento di dati personali, ivi compreso il trattamento che potrebbe avere luogo durante l’installazione, ad esempio per scopi di debugging o tracking. La presenza di informative incomplete o non chiare è stata la principale problematica delle APP mediche rilevata dal Garante italiano.
  • Specifica” significa che la manifestazione di volontà deve riferirsi al trattamento di un particolare dato o di una categoria limitata di dati. Per questo motivo, il semplice clic su un tasto “installa” non si può considerare un valido consenso per il trattamento di dati personali, poiché il consenso non può essere un’autorizzazione formulata genericamente.

D) misure organizzative e tecniche

Da ultimo, il Gruppo di lavoro, evidenzia l’obbligo per titolari e responsabili del trattamento di adottare misure organizzative e tecniche per garantire la protezione dei dati personali (art. 32 RGDP).

Naturalmente, anche in linea con il Regolamento 2016/679, le misure devono essere prese da tutti i soggetti coinvolti in base ad un’accurata analisi dei rischi per il trattamento dati e, ancora una volta, è importante stabilire ruoli e responsabilità per individuare gli obblighi di ciascuno.

L’obiettivo dell’osservanza dell’obbligo di sicurezza dei trattamenti è duplice: autorizza gli utenti a controlli più rigorosi sui propri dati e rafforza la fiducia nelle entità che effettivamente gestiscono i dati degli utenti.

Per adempiere ai rispettivi obblighi di sicurezza, gli sviluppatori di applicazioni, gli app store, i produttori di OS e dispositivi e i terzi devono tenere conto dei principi di privacy by design e by default. Questo richiede una valutazione costante dei rischi esistenti e futuri per la protezione dei dati, nonché l’attuazione e la valutazione di misure di attenuazione efficaci, tra cui la minimizzazione dei dati.

SUGGERIMENTI BIBLIOGRAFICI:

A cura di: Alessandra Delli Ponti

Profilo Autore

L'Avvocato Alessandra Delli Ponti (www.avvocatodelliponti.it ) è Of counsel dello Studio Legale Stefanelli&Stefanelli (www.studiolegalestefanelli.it), con cui collabora dal 1999.
Ha maturato esperienza pluriennale in materia di privacy e diritto delle nuove tecnologie e lavora principalmente con imprese e professionisti.
Nel 2016 ha conseguito il diploma di Data Protection officer ottenendo la Certificazione del Personale Schema CDP – Privacy Officer e Consulente della Privacy, presso TÜV Italia srl.
Ha competenza nell'implementazione di sistemi di gestione e, in particolare, costruzione di Modelli Organizzativi di prevenzione e gestione dei rischi reato ai sensi del D.L.gs. 231/2001.
E' membro di diversi Organismi di Vigilanza (Odv) e possiede la qualifica per l'iscrizione con Audiotor 231 all'Albo SICEV.

Condividi sui Social Network:

Articoli simili