NEWS

Trattamenti dei dati sanitari tra USA e UE, necessaria compliance per entrambe le norme secondo il principio della massima tutela

Negli USA, ad oggi, ancora non vi è una norma federale dedicata specificamente alla materia della privacy. Nel 2022 è stato presentato alla Camera dei Rappresentanti degli Stati Uniti un articolato progetto di legge – il bill H.R. 8152 “American Data Privacy and Protection Act – ADPPA mirato alla tutela dei dati personali dei consumatori (visuale con cui oltreoceano è stata nel tempo trattata la privacy) che però non è stato approvato entro la scadenza della legislatura: eventualmente se ne occuperà l’attuale 118^ Congresso, presso cui sono depositati vari progetti di legge settoriali sulla materia in esame.

Vi sono, comunque, diversi Stati statunitensi che hanno emanato leggi sulla privacy, un mosaico fra cui rileva per articolazione la normativa della California del 2018.

Un settore in cui una specifica norma federale da tempo regola i dati personali è quello sanitario, con l’ Health Insurance Portability and Accountability Act (HIPAA), che ha visto la luce nel 1996 durante la Presidenza Clinton. In un Paese ove la tutela della salute fa perno soprattutto sulle assicurazioni private, l’HIPAA è indirizzato fra l’altro a tutelare i lavoratori dal rischio di perdere i benefici dell’assicurazione sanitaria: negli USA il turn-over occupazionale è elevato e la sanità privata è un elemento centrale (e costoso).

E’ quindi essenziale facilitare la portabilità dell’assicurazione sanitaria tra posti di lavoro e impedire pratiche che impattino sull’accesso alle prestazioni sanitarie, come l’aumento dei premi per le persone con patologie preesistenti. Nel contesto dell’HIPAA sono state definite delle articolate privacy e security rules (fra cui crittografia e audit log sugli accessi).

Per le organizzazioni del settore (dalle strutture sanitarie alle società di assicurazione) come per le persone, con diverso ruolo coinvolte, a partire dai pazienti agli operatori sanitari, può essere utile un primo confronto fra GDPR e HIPAA.

Una questione primaria è il focus. Il Regolamento UE 679/2016 (GDPR) si concentra sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali di qualsivoglia tipologia, nonché sulla libera circolazione di tali dati facendo riferimento a un ambito territoriale che travalica lo spazio europeo con riguardo: i) al domicilio di chi effettua il trattamento e ii) alla possibilità di trasferire i dati oltre il perimetro europeo. Inoltre, con riguardo alla medesima persona, si applicherà il GDPR o l’HIPAA a seconda di dove la stessa si trovi quando i suoi dati vengono raccolti.

L’HIPAA si concentra sulle organizzazioni – le cd. “covered entities and business associates” - che gestiscono le protected health information (PHI). Con entità coperte si intendono soggetti quali le strutture sanitarie, le assicurazioni, le farmacie mentre come i soggetti collegati in affari sono sostanzialmente dei fornitori di servizi correlati (per il GDPR sarebbero inquadrabili come responsabili del trattamento). Le informazioni sanitarie protette sono informazioni che si riferiscono in via generale allo stato di salute (anche nel tempo) nonché alle prestazioni sanitarie fruite e al loro pagamento. Il social security number, analogo al nostro codice fiscale / tessera sanitaria, pur non essendo una PHI in senso proprio ne costituisce uno degli indicatori da rimuovere per rendere anonimo (HIPAA-free) il dato.

Differenze esistono su molteplici aspetti, fra cui: i) le maggiori restrizioni del GDPR a poter trattare dati sanitari in assenza di consenso dell’interessato, ii) il diritto all’oblio previsto solo dal GDPR, iii) l’iter per gestire i data breach molto più stringente sotto il GDPR, iv) l’entità delle possibili sanzioni economiche, che in Europa possono arrivare come noto a 20 mln di euro o al 4% del fatturato mondiale totale annuo mentre negli USA vi è un massimo di 50.000 dollari e di 1,5 di dollari annuo per tipo di violazione; le sanzioni penali possono giungere a 10 anni di carcere.

Da questa prima rapida introduzione si può desumere che, nel particolare settore dei dati inerenti la salute delle persone, da entrambe le parti dell’oceano è stato impostato un quadro di requisiti e garanzie, ancorchè sulla base di differenti motivazioni e requisiti di protezione.

Di ciò devono tener conto gli operatori che intendessero trattare dati sanitari, anche solo per finalità di ricerca medica o farmaceutica, tra le due sponde dell’Atlantico, come ora di nuovo possibile con il recente “EU-US Data Privacy Framework”, nella consapevolezza che il framework GDPR prevede requisiti di maggior tutela per gli interessati.

La compliance dovrà quindi coprire i requisiti di entrambe le norme e tutelare i diritti delle persone, secondo il principio della massima tutela; la possibilità di avvalersi dell’anonimizzazione, quando possibile, aiuterebbe il transito e il trattamento dei dati fra le due aree territoriali.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev I consiglieri comunali possono vedere gli avvisi di accertamento tributario, ma la privacy dei cittadini deve essere tutelata
Next Digital Services Act, le tutele per i minori

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy