L’Ue, nel GDPR, definisce come dati genetici quei “dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”. Ancora, nel considerando n. 34 del GDPR, si precisa che per dati genetici si intendono quei dati personali relativi “alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti”.
I dati genetici si riconducono alla categoria dei dati particolari di cui è vietato il trattamento salvo risulti aderente ad una delle eccezioni definite dall’art. 9, par. 2, del GDPR.
In considerazione della delicatezza dei dati oggetto del trattamento analizzato, è richiesta l’adozione di misure di garanzia alle strutture sanitarie ed ai laboratori, privati e convenzionati, che dovranno far fronte ad una serie di adempimenti definiti dal Garante per la protezione dei dati personali.
In primo luogo, per la custodia e per la sicurezza dei dati genetici dovrebbe essere redatta e adottata una procedura specifica d’identificazione di accesso ai locali delle persone autorizzate al trattamento, nel rigoroso rispetto dei principi fondamentali contenuti nella normativa di settore al fine di garantirne la confidenzialità, l’integrità e la disponibilità dei dati personali degli interessati. L’accesso ai locali dovrebbe essere di norma controllato da un responsabile e consentito preferibilmente solo a soggetti interni all’organizzazione aziendale, preventivamente identificati e autorizzati dalla Direzione. L’accesso ai suddetti locali, e il successivo trattamento dei dati genetici, saranno necessari esclusivamente per finalità connesse all’adempimento delle mansioni lavorative degli autorizzati. In tali casi, appare necessario definire una procedura attinente alla conservazione, l’utilizzo e, in particolare, al trasporto dei campioni biologici, con modalità volte a garantirne la qualità, l’integrità, la disponibilità e la tracciabilità degli stessi. Occorrerebbe, inoltre, individuare appropriate istruzioni per il personale autorizzato, andando ad individuare le corrette modalità e cautele rapportate al contesto nel quale è effettuato il trattamento dei dati e garantire un trasferimento sicuro dei dati genetici in formato elettronico: i documenti che li contengono dovranno essere trasmessi esclusivamente con posta elettronica certificata, previa cifratura delle informazioni (da realizzarsi con firma digitale), trasmettendo la chiave crittografica mediante canali di comunicazione differenti. Il titolare del trattamento dovrà adeguare i sistemi di autenticazione basandoli sull’uso combinato di informazioni note ai soggetti all’uopo designati e di dispositivi compliant, anche biometrici; questi ultimi dovranno essere personali e utilizzati esclusivamente per la consultazione dei dati genetici trattati con strumenti elettronici. In ogni caso, occorrerà sempre assicurare un controllo costante degli accessi al database e di eventuali anomalie, implementando un efficiente sistema di audit log e un rinnovo periodico delle chiavi di accesso.
In merito a quanto detto, è di fondamentale importanza il rispetto della normativa in materia di protezione dei dati personali, in un settore delicato e intimo com’è quello sanitario, ove l’interessato si trova in una condizione di fragilità e il contatto umano, con i professionisti del settore, appare imprescindibile e non sostituibile neanche dalle più avanzate soluzioni tecnologiche che sono del tutto inidonee a garantire quel livello essenziale di empatia che si crea tra professionista e paziente. Le strutture sanitarie pubbliche o accreditate istituzionalmente, pertanto, devono garantire accanto all’implementazione di eventuali nuove soluzioni tecnologiche il necessario rispetto del diritto fondamentale alla protezione dei dati personali in una visione umana, etica e integrata, ponendo come priorità la dignità del paziente. Dunque, il provvedimento del Garante in materia di trattamento di dati genetici si pone in tale solco e richiama le strutture sanitarie che trattano tali dati particolari ad un rigoroso rispetto di quelle prescrizioni.
C.T.
