NEWS

Dati sanitari, garanzie rafforzate quando si fa ricorso ad algoritmi

Ci vuole la valutazione di impatto privacy per trattare in maniera sistematica dati sanitari dei lavoratori. Se, poi, le persone sono profilate con un algoritmo che predice il comportamento degli individui ci deve essere un quadro rafforzato di garanzie: sul periodo di conservazione, sulle informazioni ai lavoratori, sulla proporzionalità dei dati raccolti, sulle modalità di esercitare i propri diritti.

È il regolamento Ue 2016/679, operativo dal 25 maggio 2018, a dettare le condizioni di liceità e di correttezza del trattamento dei dati sullo stato di salute dei lavoratori. E si tratta di precauzioni che riguardano sia il settore privato sia il settore pubblico.

Le norme europee, a fatica, si stanno innestando nella legislazione italiana, ed è di questi giorni il dibattito sui controlli dell'Inps sulle malattie dei lavoratori. I controlli sono finalizzati ad arginare il fenomeno dell'assenteismo e a un recupero di denari per l'erario pubblico. L'Inps ha utilizzato un algoritmo predittivo, stando alle statistiche, molto efficace e disincentivante. Il sistema, in uso nel settore privato fin dal 2012, non ha però rispettato le norme sulla privacy, pro tempore vigenti, e l'Inps, a seguito di accertamenti del Garante della privacy, ha sospeso l'utilizzo nelle more dell'approvazione di una norma di legge ad hoc.

L'occasione è utile per sottolineare che, anche e soprattutto alla luce del regolamento Ue 2016/679, gli obiettivi di interesse pubblico trovano nella disciplina della privacy modalità di bilanciamento degli opposti interessi e non un blocco indiscriminato di attività utili per le casse dello stato.

L'analisi si deve concentrare sulla domanda: posto che la privacy non blocca i controlli fiscali dei lavoratori, a quali condizioni si possono trattare i dati personali raccolti nel corso dei controlli? Gli adempimenti previsti dalle norme sulla privacy, tra l'altro, sono in linea con una corretta politica di gestione del personale e assumono una valenza organizzativa e non solo di osservanza delle disposizioni sulla tutela della riservatezza.

Il primo adempimento è informare il lavoratore. Il lavoratore ha diritto di sapere che cosa viene fatto con le sue informazioni, a maggior ragione se si tratta di dati sanitari (tra cui la notizia dell'assenza per malattia, anche senza riferimento alla patologia); ha diritto di sapere come vengono trattati i suoi dati e in particolare se si procede al cosiddetto «data mining», cioè la raccolta massiva posta a base di un'analisi del suo comportamento e della previsione di determinate sue condotte; ha diritto di sapere se viene costruito un profilo sulla sua persona (cioè ha diritto di sapere come è stato etichettato); ha diritto di sapere se i dati passano di mano in mano e a chi vanno e perché. L'adempimento dell'informazione, chiara e completa, è tanto più importante se il trattamento non è condizionato al consenso del lavoratore. Questo capita, tra l'altro, in tutti i casi in cui l'attività sia svolta nel pubblico interesse o nell'esercizio di pubblici poteri.

All'informativa si aggiungono una serie di altre prescrizioni. Se si procede a profilazione, soprattutto nel caso in cui questa sia usata per decisioni interamente automatizzate (il solito algoritmo) bisogna arginare le possibilità di errore del sistema o di ricostruzioni distorte e devono essere scritte e adottate misure di garanzia rafforzate.

Ci vuole la predeterminazione di un periodo massimo di conservazione e i dati devono essere verificati nella loro attendibilità nel corso del tempo.

Gli interessati devono avere un sistema facile per potere dire la propria e contestare i risultati dell'algoritmo.

Tutte queste precauzioni devono essere altrettanti capitoli di un documento importantissimo e cioè la valutazione d'impatto privacy (articolo 35 del Gdpr).

Nel procedimento di stesura della valutazione di impatto privacy, inoltre, deve essere richiesto il parere del responsabile della protezione dei dati (noto come Dpo), che deve sorvegliare sull'esatta osservanza del quadro di tutele per gli interessati.

Nel caso dell'attività di un ente pubblico il sistema deve trovare una copertura in una legge, che magari faccia riferimento a provvedimenti del Garante per la protezione dei dati personali.

Un meccanismo di questo tipo, tra l'altro, c'è già ed è stato introdotto dal dlgs 101/2018: sono le misure di garanzia per il trattamento di dati sanitari (nuovo articolo 2-speties del Codice della privacy).

Fonte: Italia Oggi Sette del 15 ottobre 2018 - Articolo a cura di Antonio Ciccia Messina

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Corte Europea dei diritti dell'uomo, l’Ordine può controllare lo studio dell’avvocato soggetto a procedimento disciplinare
Next Tar Lombardia, scudo sulle dichiarazioni fiscali

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy