• Domande frequenti
  • Glossario
Chiudi

Domande frequenti

Why are animal models used when testing the safety of a new therapy?
What role do preclinical and clinical trials play in ensuring patient safety?
Why are some conditions more suitable for gene and cell therapies than others?
There is an approved treatment available for my condition - why can't I receive it?
How to look for approved medicines?
How are medicines developed and approved?

Vedi tutte le FAQ

Chiudi

Glossario

Accelerated assessment
Adeno-associated virus (AAV)
Adenovirus
Adult stem cells
Advanced Therapy Investigational Medicinal Product (ATIMP)
Advanced Therapy Medicinal Product (ATMP)
Advertising 
Antibody
Antigen
Base editors

Vedi il Glossario completo

Mission creep / Abuso dei dati

Si prega di notare che, sebbene questa voce sia stata tradotta in italiano da un giurista sulla base delle versioni francese e inglese e della documentazione normativa di riferimento, potrebbero comunque sussistere errori.

Introduzione

L'abuso dei dati, noto anche come "mission creep" (degrado della missione), nel contesto di questa voce di ricerca, riguarda l'uso improprio dei dati sanitari personali di un paziente, oltre lo scopo per il quale sono stati raccolti. Sebbene a volte possa essere strettamente correlato al fenomeno del "function creep" (espansione della funzione), un fenomeno molto noto nel campo degli studi su scienza e tecnologia (che descrive un'istanza in cui i sistemi o le tecnologie si espandono oltre l'ambito iniziale di utilizzo), il "mission creep" o abuso dei dati è più focalizzato sulla legittimità e sugli scopi per i quali i dati dei pazienti vengono raccolti, utilizzati, archiviati e trattati.

I risultati di uno Special EuroBarometer sulla protezione dei dati hanno dimostrato che i cittadini erano spesso preoccupati su come poter controllare i propri dati. Pertanto, la legislazione dell'Unione Europea (UE) stabilisce la normativa pertinente per garantire l'uso corretto e la protezione dei diritti alla privacy dei pazienti quando i loro dati sanitari vengono raccolti e trattati. Questo si aggiunge alla Carta dei diritti fondamentali dell'Unione Europea. Affrontare le preoccupazioni dei pazienti riguardo alla privacy, alla condivisione dei dati e all'accesso ai propri dati sanitari è necessario in un contesto sanitario (compreso l'assistenza fornita tramite eHealth o mHealth), o in un contesto di assistenza sanitaria transfrontaliera, e nella ricerca (come sperimentazioni cliniche, indagini cliniche, ricerche epidemiologiche, registri dei pazienti, ecc.).

Nel contesto dei dati genetici dei pazienti, questi possono anche rientrare nella categoria dei "dati sensibili" che potrebbero ricevere una protezione aggiuntiva secondo la legislazione dell'UE. Pertanto, ciò coinvolge i principi fondamentali per i quali è stata emanata la legislazione dell'UE, al fine di garantire che non si verifichi un abuso dei dati o un "mission creep".

Per gli scopi di questa voce, la legislazione UE rilevante è il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, GDPR); e la Proposta di Regolamento per uno Spazio Europeo dei Dati Sanitari (EHDS).

Attori principali

Titolari del trattamento: qualsiasi persona fisica (persona umana) o persona giuridica (persona non umana) che determina quali dati verranno trattati, per quale scopo e con quali mezzi. (Articolo 4(7) GDPR)

Responsabili del trattamento: qualsiasi persona fisica o giuridica che tratta i dati personali per conto del titolare del trattamento. I responsabili del trattamento non esistono sempre, in quanto il titolare del trattamento stesso può essere responsabile per tutte queste attività. (Articolo 4(8) GDPR)

Interessati: qualsiasi persona i cui dati vengono raccolti e che riguardano i dati stessi. Nel contesto sanitario e della ricerca sanitaria, i pazienti e i partecipanti alla ricerca sono interessati, poiché i loro dati personali sanitari o genetici vengono trattati per scopi sanitari o di ricerca.

Autorità di protezione dei dati: Il Comitato europeo per la protezione dei dati (EDPB), un organismo europeo indipendente istituito dal GDPR, contribuisce all'applicazione coerente delle normative sulla protezione dei dati in tutta l'UE. 

La Commissione Europea e l'Autorità di sorveglianza dell'Associazione europea di libero scambio (EFTA) partecipano anche alle attività e riunioni dell'EDPB senza diritti di voto.

Le Autorità sanitarie digitali degli Stati membri (MS), ai sensi dello Spazio europeo dei dati sanitari (noto anche come "Autorità di controllo" ai sensi dell'art. 51 GDPR), sono anche incaricate di partecipare alle infrastrutture digitali transfrontaliere per supportare la condivisione dei dati dei pazienti tra i confini (Art. 22 della proposta di regolamento EHDS). 

Il ruolo e la partecipazione dell'Agenzia dell'Unione Europea per i diritti fondamentali sono previsti, in particolare per le persone con disabilità. Quando le persone con disabilità sono pazienti nel contesto sanitario, l'agenzia aiuta a garantire la protezione dei loro dati, della privacy e delle questioni correlate, anche in relazione alle nuove tecnologie.

Organizzazioni di pazienti: Queste possono includere organizzazioni europee indipendenti, come il Forum europeo dei pazientila Federazione europea degli ospedali e delle cure sanitariel'Associazione europea di sanità pubblica, ecc., che sono organizzazioni non profit che operano nel settore sanitario per promuovere i diritti dei pazienti in vari modi e forme.

Con l'istituzione dello Spazio europeo dei dati sanitari (EHDS), è anche pertinente notare le nuove categorie di stakeholder che saranno definite a livello legislativo, soprattutto nel contesto sanitario, come segue:

Destinatario dei dati: qualsiasi persona fisica o giuridica che riceve i dati da un altro titolare del trattamento nel contesto dell'uso primario dei dati sanitari elettronici. (Articolo 2(2)(k) della proposta di regolamento EHDS)

Titolare dei dati: qualsiasi persona fisica o giuridica che opera nel dominio sanitario (come fornitore di assistenza sanitaria, ricercatore, sviluppatore di strumenti medici AI, entità o istituzione incaricata di monitorare l'attività di un altro soggetto), che ha il controllo sui dati sanitari elettronici, da trasmettere ai destinatari dei dati per gli usi primari di tali dati, o agli utenti dei dati citati. (Articolo 2(2)(y) della proposta di regolamento EHDS)

Utente dei dati: qualsiasi persona fisica o giuridica che ha accesso legittimo ai dati sanitari elettronici per usi secondari. (Articolo 2(2)(z) della proposta di regolamento EHDS)

Enti di accesso ai dati sanitari: autorità amministrative che verranno create negli Stati membri per svolgere i compiti elencati nell'Articolo 27 della proposta di regolamento EHDS, ossia, emettere il permesso per i dati che consentirà agli utenti dei dati di avere accesso ai dati sanitari elettronici per scopi secondari, presumibilmente in modo trasparente, semplificato e sicuro. Quando ciò accade, gli enti di accesso ai dati sanitari e gli utenti dei dati saranno entrambi titolari del trattamento (titolari congiunti).

Definizioni

Il termine “mission creep” ha origine nelle operazioni militari. Nelle Scienze e Tecnologie, il termine utilizzato è “espansione graduale delle funzioni” o “function creep” per indicare che un sistema o una tecnologia si espandono oltre gli scopi originali o acquisiscono nuovi usi per i quali non erano stati inizialmente progettati. Nel contesto del coinvolgimento dei pazienti e dei dati dei pazienti, il “mission creep” è stato utilizzato anche per denotare “abuso dei dati”, poiché, nel campo della sanità e della medicina, i dati dei pazienti vengono raccolti e utilizzati in un modo particolare, per scopi limitati e (idealmente) con il consenso informato dei pazienti.

Nella Carta dei Diritti Fondamentali dell'Unione Europea, l'articolo 8 prevede specificamente la Protezione dei Dati Personali, dove si afferma che “Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.”.

Relativamente al GDPR, né il termine “mission creep” né “abuso dei dati” appaiono, sebbene le formulazioni utilizzate nel GDPR e le sue disposizioni implicano chiaramente che questo sia l’intento. (Il considerando 88 è l'unica disposizione nel GDPR che utilizza il termine “abuso”). Tuttavia, lo scopo del GDPR è quello di regolamentare il “rattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.” (Articolo 1(1) GDPR). Diritti specifici sono concessi, o obblighi sono imposti, su “soggetti dei dati” (Capitolo 3, artt. 12-23), “Titolari e Responsabili del trattamento”, “Responsabile della protezione dei dati” e “terze parti” (Capitolo 4, artt. 24-43), “paesi terzi o organizzazioni internazionali” (Capitolo 5, artt. 44-50), e “autorità di controllo indipendenti” (Capitolo 6, artt. 51-59).

Soggetti dei dati - I soggetti dei dati ai sensi del GDPR hanno una serie di diritti riguardo i loro dati personali ai sensi degli artt. 15-21. E sebbene “mission creep” o “abuso dei dati” non siano specificamente menzionati, i limiti entro cui i dati personali sono trattati sembrano essere controllati in relazione ai “finalità del trattamento”, “la base giuridica del trattamento” e “gli interessi legittimi perseguiti dal titolare o dalla terza parte”. (Art. 13(1) GDPR)

Titolari e Responsabili del trattamento, Responsabile della protezione dei dati e terza parte - I titolari del trattamento sono incaricati di “determinare gli scopi e i mezzi del trattamento dei dati personali”. I responsabili del trattamento elaborano i dati personali, così come le terze parti, e il Responsabile della protezione dei dati si occupa della protezione dei dati. (Capitolo 4, GDPR). Anche in questo caso, non si fa riferimento a “mission creep” o “abuso dei dati”, ma l’obbligo può essere dedotto dalla definizione di violazione dei dati personali.

Violazione dei dati personali (Art. 4 GDPR) è definita come una “violazione della sicurezza che comporta la distruzione, la perdita, la modifica accidentale o illecita, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, archiviati o comunque trattati”. Una violazione dei dati personali, quando si verifica, è un’indicazione comune che c'è stato un abuso dei dati o un mission creep in qualche forma.

Profilazione (Art. 4(4GDPR) è definita come “ualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in parti colare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze per sonali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;”.

Dati relativi alla salute (Art. 4(15) GDPR) “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;”.

Dati genetici (Art. 4(13) GDPR) “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informa zioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;”.

Paesi terzi o organizzazioni internazionali - L’Art. 44 del GDPR tratta ampiamente dei trasferimenti verso paesi terzi o organizzazioni internazionali, e le stesse obbligazioni di protezione dei dati si applicano a questi enti nei paesi terzi o nelle organizzazioni internazionali.

Problematiche

Con trasparenza, responsabilità e audit come principi operativi del GDPR, le sfide che si presentano per il coinvolgimento dei pazienti e i dati dei pazienti nel contesto sanitario, soprattutto per garantire che non si verifichino fenomeni di "mission creep" o uso improprio dei dati, sono le seguenti:

  1. Consenso informato esplicito e giustificazione – A causa della natura sensibile delle informazioni personali, i pazienti devono essere pienamente informati e dare esplicitamente il proprio consenso alla divulgazione delle proprie informazioni personali. I professionisti sanitari e medici devono ottenere il consenso informato esplicito dal paziente per ogni occasione in cui i dati potrebbero essere utilizzati. Ciò può influire sulla fluidità delle operazioni, sulla flessibilità e sull'efficienza.
  2. Conformità della catena di approvvigionamento – La conformità è essenziale in ogni fase del ciclo di vita della catena di approvvigionamento sanitario. Se la conformità non è soddisfacente o non può essere dimostrata, ciò può interrompere la catena di approvvigionamento sanitario e causare costi e oneri aggiuntivi.
  3. Rischi di divulgazione non autorizzata – Quando i dati dei pazienti devono essere condivisi con altre parti, può sorgere il rischio di divulgazione non autorizzata, e la privacy del paziente potrebbe essere compromessa se dati specifici possono essere visualizzati. Questo rischio, ad esempio, è qualcosa che deve essere protetto anche con la condivisione più ampia dei dati dei pazienti, in conformità con il European Health Data Space.
  4. Problemi di sicurezza – Con una condivisione più ampia dei dati dei pazienti, i rischi per la sicurezza possono aumentare se i sistemi che proteggono i dati non sono aggiornati (ad esempio).
  5. Pressioni di conformità – Quando tutte le istituzioni sanitarie sono coinvolte nel trattamento dei dati dei pazienti, le istituzioni che affrontano carenze di personale (ad esempio), o che non riescono a nominare un Responsabile della Protezione dei Dati qualificato, sono a rischio di non conformità a causa delle pressioni di conformità.

Opportunità e incentivi

Il GDPR contiene disposizioni estese riguardanti il trattamento dei dati personali, sotto le quali sono inclusi anche i dati dei pazienti. I vari attori coinvolti nel trattamento dei dati hanno obblighi specifici imposti loro dal GDPR, in particolare l'obbligo di ottenere il consenso informato dai pazienti. Si prevede che, a causa di queste disposizioni estese, le violazioni dei dati personali, il "mission creep" o l'uso improprio dei dati si verificherebbero qualora non vengano rispettate tali disposizioni specifiche.

In aggiunta al GDPRl'EHDS, che è l'ultima iniziativa del GEPD e del Supervisore Europeo della Protezione dei Dati (EDPS), promuove la condivisione dei dati in uno spazio comune, coinvolgendo uno scambio sicuro, sicuro e riutilizzo dei dati sanitari. L'EHDS espande l'uso dei dati sanitari elettronici per fornire assistenza sanitaria all'individuo da cui tali dati sono stati raccolti (uso primario) e per migliorare la ricerca, l'innovazione, la formulazione delle politiche, la sicurezza del paziente, la medicina personalizzata, le statistiche ufficiali o le attività normative (uso secondario). Tuttavia, c'è una considerazione limitata dell'uso improprio dei dati o del "mission creep" nell'EHDS.

Passi pratici

Principi del GDPR – Articolo 5

Il GDPR contiene sei principi chiave che devono essere seguiti da tutti i titolari del trattamento per quanto riguarda il trattamento dei dati. Ciò si applica anche ai dati dei pazienti. I cinque principi per il trattamento dei dati sono di seguito indicati e devono essere rigorosamente seguiti dai titolari del trattamento per evitare l'uso improprio dei dati o il "mission creep", con particolare attenzione al "limite di finalità".

I dati personali devono essere:

  1. trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (“lealtà, correttezza e trasparenza”);
  2. raccolti per finalità determinate, esplicite e legittime e non trattati ulteriormente in modo incompatibile con tali finalità; il trattamento successivo a fini di archiviazione nel pubblico interesse, per scopi di ricerca scientifica o storica o per scopi statistici non è considerato incompatibile con le finalità iniziali, in conformità con l'Art. 89(1) (“limitazione delle finalità”);
  3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
  4. esatti e, se necessario, aggiornati; devono essere adottati tutti i provvedimenti ragionevoli per garantire che i dati personali inesatti, in relazione alle finalità per cui sono trattati, siano cancellati o rettificati senza indugi (“esattezza”);
  5. conservati in una forma che consenta l'identificazione degli interessati per un periodo di tempo non superiore a quello necessario per le finalità per le quali i dati personali sono trattati; i dati personali possono essere conservati per periodi più lunghi, a condizione che siano trattati esclusivamente per finalità di archiviazione nel pubblico interesse, per scopi di ricerca scientifica o storica o per scopi statistici, in conformità con l'Art. 89(1), e siano attuate le misure tecniche e organizzative appropriate per salvaguardare i diritti e le libertà degli interessati (“limitazione della conservazione”);
  6. trattati in modo da garantire una sicurezza adeguata dei dati personali, inclusa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentale, mediante l'uso di misure tecniche o organizzative appropriate (“integrità e riservatezza”).

Definizioni dei dati dei pazienti – Articoli 4(13) e 4(15); e circostanze in cui i dati dei pazienti possono essere trattati o condivisi – Articolo 9

Compiere con la specifica del GDPR riguardo alle circostanze in cui i dati dei pazienti possono essere trattati è necessario per garantire che non avvengano abusi dei dati o “mission creep”. Nel GDPR, i dati dei pazienti possono essere considerati dati sensibili. Ciò comprende i “dati relativi alla salute” e i “dati genetici” definiti negli Articoli 4(15) e 4(13) del GDPR. È vietato trattare (incluso la condivisione) questi dati dei pazienti, salvo in circostanze limitate.

Le circostanze limitate in cui i dati dei pazienti possono essere trattati o condivisi sono indicate nell'Articolo 9 del GDPR (paragrafi 1 e 2), come segue: 

  • Il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza a sindacati, e il trattamento di dati genetici, dati biometrici per identificare univocamente una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o orientamento sessuale di una persona fisica è vietato.
  • Il paragrafo 1 non si applica se una delle seguenti condizioni è soddisfatta:
  1. l'interessato ha fornito il consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo che la legislazione dell'Unione o degli Stati membri preveda che il divieto di cui al paragrafo 1 non possa essere revocato dall'interessato;
  2. il trattamento è necessario per adempiere agli obblighi e per esercitare diritti specifici del titolare del trattamento o dell'interessato nel settore del diritto del lavoro, della sicurezza sociale e della protezione sociale, in quanto autorizzato dalla legislazione dell'Unione o degli Stati membri o da un accordo collettivo secondo la legge di uno Stato membro, che preveda garanzie adeguate per i diritti fondamentali e gli interessi dell'interessato;
  3. il trattamento è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica quando l'interessato è incapace di dare il proprio consenso fisico o legalmente;
  4. il trattamento è effettuato nell'ambito delle legittime attività di una fondazione, associazione o di un altro ente senza scopo di lucro con finalità politiche, filosofiche, religiose o sindacali, e a condizione che il trattamento riguardi esclusivamente i membri o ex membri dell'ente o persone che abbiano contatti regolari con esso in relazione alle sue finalità e che i dati personali non siano comunicati all'esterno dell'ente senza il consenso degli interessati;
  5. il trattamento riguarda dati personali che sono manifestamente resi pubblici dall'interessato;
  6. il trattamento è necessario per l'instaurazione, l'esercizio o la difesa di diritti legali o ogniqualvolta i tribunali agiscano nel loro ambito giurisdizionale;
  7. il trattamento è necessario per motivi di interesse pubblico sostanziale, sulla base della legislazione dell'Unione o degli Stati membri, che sia proporzionato agli scopi perseguiti, rispetti l'essenza del diritto alla protezione dei dati e preveda misure adeguate e specifiche per salvaguardare i diritti fondamentali e gli interessi dell'interessato;
  8. il trattamento è necessario per scopi di medicina preventiva o occupazionale, per la valutazione della capacità lavorativa del dipendente, per diagnosi mediche, per la fornitura di cure sanitarie o assistenza sociale o trattamento, o per la gestione di sistemi e servizi sanitari o sociali sulla base della legislazione dell'Unione o degli Stati membri o in conformità a un contratto con un professionista sanitario, e soggetto alle condizioni e garanzie di cui al paragrafo 3;
  9. il trattamento è necessario per motivi di interesse pubblico nel settore della salute pubblica, come la protezione contro gravi minacce transfrontaliere per la salute o per garantire elevati standard di qualità e sicurezza delle cure sanitarie e dei medicinali o dispositivi medici, sulla base della legislazione dell'Unione o degli Stati membri, che preveda misure adeguate e specifiche per salvaguardare i diritti e le libertà dell'interessato, in particolare il segreto professionale;
  10. il trattamento è necessario per scopi di archiviazione nel pubblico interesse, scopi di ricerca scientifica o storica, o per scopi statistici, in conformità con l'Art. 89(1), sulla base della legislazione dell'Unione o degli Stati membri, che sia proporzionata agli scopi perseguiti, rispetti l'essenza del diritto alla protezione dei dati e preveda misure adeguate e specifiche per salvaguardare i diritti fondamentali e gli interessi dell'interessato.

Conoscenze critiche dei diritti dei pazienti ai sensi del GDPR

Una conoscenza approfondita dei diritti attribuiti ai pazienti ai sensi del GDPR è essenziale per garantire che i pazienti siano sempre pienamente informati non solo sui loro diritti in ambito sanitario, ma anche sui loro diritti disponibili per la protezione dei propri dati ai sensi del GDPR. Su richiesta dei pazienti, il titolare del trattamento deve soddisfare la richiesta dei pazienti. I principali diritti dei pazienti ai sensi del GDPR sono i seguenti (Forum Europeo dei Pazienti, n.d.):

Diritti dei pazientiArticolo n.Sommario dell'articolo
Condizioni per il consenso7I pazienti hanno il diritto di fornire il loro consenso, o ritirarlo, al trattamento dei loro dati in qualsiasi momento. Quando viene richiesto il consenso dei pazienti per il trattamento dei dati, questo deve essere limitato alle finalità legittime specificamente indicate nell'Art. 6 par. (1). (Nota: il ritiro del consenso del paziente non influirà su qualsiasi trattamento lecito effettuato prima del ritiro).
Essere informati / trasparenza13 e 14

I titolari del trattamento hanno l'obbligo di fornire informazioni ai pazienti in modo conciso, trasparente, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. Al momento della raccolta dei dati sanitari, il titolare del trattamento deve fornire le seguenti informazioni:

  1. Identità del titolare o referente del trattamento,
  2. Scopo del trattamento dei dati,
  3. Periodo di conservazione dei dati,
  4. Se i dati saranno trasferiti in un altro paese,
  5. Se i dati saranno trattati per finalità diverse da quelle originali,
  6. I diritti del paziente come soggetto del trattamento.
Accesso ai propri dati personali15Uno dei diritti fondamentali nella protezione dei dati è il diritto del paziente di accedere ai propri dati personali. Su richiesta, tutti i titolari del trattamento devono fornire queste informazioni al paziente.
Rettifica16Un paziente può chiedere la rettifica di dati personali inaccurati e/o la completezza dei dati incompleti.
Cancellazione (diritto all'oblio)17Un paziente ha il diritto di far cancellare i propri dati, specialmente quando il consenso è stato ritirato e il titolare del trattamento non ha più scopi legittimi per trattare i dati.
Portabilità dei dati / trasferimento a un altro titolare del trattamento20Quando i pazienti hanno acconsentito a fornire i loro dati sanitari, possono richiedere una copia per trasferirla a un altro titolare del trattamento. I pazienti possono anche richiedere che i dati siano trasferiti direttamente per loro conto, e i titolari devono procedere.
Obiezione al trattamento dei dati21

Ai sensi dell'Art. 21(1), anche se un paziente ha fornito il consenso al trattamento dei dati, ha comunque il diritto di opporsi, per motivi relativi alla propria situazione personale, in qualsiasi momento al trattamento dei dati personali che lo riguardano basato sugli Art. 6(1) par. (e) o (f), inclusi i profili basati su tali articoli.

[Nota: il diritto di opposizione è indipendente dalla definizione di ciò che costituisce un trattamento lecito ai sensi dell’articolo 6 par. (1)]

Il diritto del paziente di opporsi si estende anche a:

  • Se il trattamento avviene nel contesto del marketing diretto, inclusa la profilazione del paziente a fini di marketing diretto (Articolo 21, par. (2)).
  • Se il trattamento avviene per fini di ricerca scientifica, storica o statistica ai sensi dell’articolo 89, paragrafo 1 – a meno che il trattamento non sia necessario per l’esecuzione di un compito svolto per motivi di interesse pubblico (Articolo 21, par. (6)).
Non essere soggetti a decisioni individuali automatizzate, incluso il profiling22

Un paziente ha il diritto di non essere soggetto a decisioni basate esclusivamente su un trattamento automatizzato, inclusi i profili, che producano effetti giuridici nei loro confronti, o che li influenzino significativamente, salvo che: 

  • Sia necessario per la conclusione/adempimento di un contratto tra il paziente e un titolare del trattamento,
  • Autorizzato dalla legge dell'Unione/Stato membro a cui è soggetto il titolare, e che preveda garanzie per i diritti, le libertà e gli interessi legittimi dell'interessato,
  • Si basi sul consenso esplicito del paziente.
Violazione34Se si verifica una violazione della sicurezza e i dati personali dei pazienti sono divulgati, accessibili o distrutti in modo indebito, il titolare del trattamento deve informare il paziente sulla violazione se costituisce una minaccia per i diritti o le libertà del paziente. I titolari devono anche informare le autorità di supervisione nazionali della violazione e adottare misure specifiche per proteggere i dati.

Interazione con i regolatori

Le interazioni con gli enti regolatori sono specificamente disciplinate dalle disposizioni sia del GDPR che dell'EHDS. Oltre al ruolo generale del EDPB, il Capitolo 6 del GDPR descrive il ruolo dell'autorità indipendente di vigilanza, che è uno o più enti pubblici in ciascun Stato membro incaricati di monitorare l'applicazione effettiva del GDPR. Queste autorità indipendenti di vigilanza sono il primo punto di contatto nazionale per i titolari del trattamento dei dati o i responsabili del trattamento, ecc. (Art. 57 GDPR). Tra le altre cose, i compiti dell'autorità di vigilanza indipendente includono “gestire i reclami presentati da un interessato, o da un ente, organizzazione o associazione ai sensi dell'Articolo 80 e indagare, nei limiti del necessario, sull'oggetto del reclamo e informare il reclamante sui progressi e sull'esito dell'indagine entro un periodo ragionevole, in particolare se è necessario un ulteriore approfondimento o coordinamento con un'altra autorità di vigilanza” (Art. 57(1)(f) GDPR). Questa è probabilmente la manifestazione più vicina a ciò che potrebbe comportare il "mission creep" o l'abuso dei dati, dove le interazioni con i regolatori diventano quindi necessarie.

Sotto l'EHDS, oltre al ruolo generale dell'EDPB e dell'EDPS, le interazioni con i regolatori coinvolgerebbero i collegamenti con l'Autorità Nazionale per la Salute Digitale di ciascuno Stato membro (Art. 22 della proposta di Regolamento EHDS). Vi è una certa sovrapposizione nel ruolo di quest'ultima, con il ruolo delle Autorità Indipendenti di Vigilanza sotto il GDPR (Art. 51). I dettagli specifici dei compiti, delle responsabilità e dei poteri delle Autorità Nazionali per la Salute Digitale e delle Autorità di Vigilanza si trovano rispettivamente negli Articoli 22-26 della proposta di Regolamento EHDS e negli Articoli 51-58 del GDPR. La loro organizzazione come autorità distinte o come un'unica autorità nazionale dipenderà da ciascuno Stato membro.

Legisalzione dell’Unione Europea

Carta dei diritti fondamentali dell'Unione europea (2012/C 326/02), GU C 326 del 26.10.2012, p. 391–407, numero CELEX: 12012P/TXT

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE), GU L 119 del 4.5.2016, p. 1–88, numero  CELEX : 32016R0679

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO sullo spazio europeo dei dati sanitari, COM/2022/197 final, numero CELEX : 52022PC0197

Linee guida dell’Unione Europea

Letterature pertinente (in inglese)

  1. Purpose Limitation By Design as A Counter to Function Creep and System Insecurity in Police AI - Ivo Emanuilov, Stefano Fantin, Thomas Marquenie, Plixavra Vogiatzolgou.   EngRN: Computer Engineering (Topic). August 2020: 26-37.
  2. The new EU Regulation on the protection of personal data: what does it mean for patients? - A guide for patients and patients’ organisations, European Patients’ Forum.
  3. Stop the Creep of Biometric Surveillance Technology - Lotte Houwing. Research Handbook on EU Data Protection Law. European Data Protection Law Review (2020): 174-177.
  4. Transparency of Machine-Learning in Healthcare: The GDPR & European Health Law - Miranda Mourby, Katharina Ó Cathaoir, Catherine Bjerre Collin. Computer Law & Security Review, Volume 43, (2021), 105611.
  5. Observational health research in Europe: understanding the General Data Protection Regulation and underlying debate - Evert-Ben van Veen. European Journal of Cancer, Volume 104, (2018): 70-80.
  6. The EU General Data Protection Regulation (GDPR): A Practical Guide - Paul Voigt, Axel von dem Bussche. Book, Springer Cham, (2017): 383 p.
  7. Purpose and Function Creep by Design: Transforming the Face of Surveillance through the Internet of Things Wisman, T.H.A., European Journal of Law and Technology, Vol. 4, No. 2, 2013
  8. The Policy Effect of the General Data Protection Regulation (GDPR) on the Digital Public Health Sector in the European Union: An Empirical Investigation - Bocong Yuan and Jiannan Li. International Journal of Environmental Research and Public Health 2019, 16(6), 1070.

Ringraziamenti

Pubblicazione: 19/06/2023

Ultimo aggiornamento: 22/08/2024

Autore

Pin Lean LauAssistant Professor in Bio-Law, Brunel Law School, Brunel University London

Revisione

Aurélie Mahalatchimy, Responsabile EuroGCT del Work Package 4, UMR 7318 DICE CERIC, Aix-Marseille Università, CNRS, Aix-en-Provence, Francia

Traduzione:

Victoria Burakova-Lorgnier, Giurista, UMR 7318 DICE CERIC, Aix-Marseille Università, Aix-en-Provence, Francia nell'aprile 2025

Research Pathways Overview

Table of contents

Torna in alto
Hai trovato le informazioni in questa pagina utili? In caso contrario puoi lasciarci un messaggio per aiutarci a migliorare Mandaci i tuoi commenti