In forza dell’art. 20 del GDPR possono essere oggetto del diritto alla portabilità anche anche i dati sanitari.
Ciò emerge con chiarezza nelle recenti Linea Guida sul diritto alla portabilità dei dati pubblicata in data 13 dicembre 2016 dal WP 29.
Al Punto II della Linea Guida si precisa infatti che il diritto può essere attivato in presenza di tre condizioni: i dati devono “riguardare” l’interessato”, devono essere stati “forniti” dall’interessato stesso (art. 20 co 1) ed infine non deve essere leso il diritto altrui (art 20 co 4).
Per quanto attiene alla nozione di dato “fornito all’interessato” la Linee Guida stabilisce (traduzione libera):
“tenuto conto degli obiettivi che si pone il diritto alla portabilità, il termine “fornita dalla persona interessata” deve essere interpretato in senso lato, escludendo solo i dati “frutto di estrapolazione”” e i “dati derivati”, che includono i dati personali che vengono generati da un fornitore di servizi (ad esempio, i risultati algoritmici). il titolare dei dati dovrebbe invece includere tutti gli altri dati personali forniti dalla persona interessata attraverso mezzi tecnici forniti dal titolare stesso
In nota poi si precisa che:
Questo include tutti i dati che vengono rilevati nel corso della attività ai fini della quale sono raccolti i dati, come ad esempio una cronologia delle transazioni o log di accesso. I dati raccolti attraverso il monitoraggio e la registrazione delle attività delle persona (come ad esempio i dati del battito cardiaco registrati in una app o la tecnologia utilizzata per monitorare il comportamento di navigazione) dovrebbero essere considerati come “fornito da”, anche se i dati sono attivamente o consapevolmente trasmesso
Ne deriva che dopo il maggio 2018 il portatore di un pacemaker, il paziente sottoposto ad un monitoraggio continuo della glicemia o il paziente assistito il telemedicina (solo a titolo di esempio) potranno richiedere i loro dati alla struttura sanitaria di competenza, la quale sarà tenuta a darglieli.
Quindi: la struttura sanitaria dovrà dotarsi di tecnologia idonea ed i fabbricanti di medical device devono, sin da ora, cominciare a progettare e produrre privacy by design.
in effetti la LG del WP29 sulla portabilità ha aperto gli occhi, almeno a me. prima avevo inteso, come credo altri, che la norma riguardasse essenzialmente i social. invece impatta fortemente la sanità, terreno sul quale per la verità il tema dell’interoperabilità (che è cosa diversa ma contigua) è già attuale da tempo ma ancora lontano dall’essere risolto.