Il GDPR e la Salute Digitale: Sette Anni Dopo, L'Ambiguità Continua
Il GDPR è entrato in vigore oltre 7 anni fa. All'epoca, era uno dei regolamenti più rivoluzionari prodotti dall'Unione Europea. Ha trasformato la protezione e la privacy dei dati da un privilegio in un diritto. Ma anni dopo, c'è ancora una mancanza di linee guida chiare per chi sviluppa applicazioni, soprattutto nel settore della salute digitale (digital health).
Linee Guida Chiare Come il Fango
Il GDPR ha stabilito un precedente importante per la protezione dei dati e i diritti dei cittadini nell'UE. I suoi 99 Articoli e 173 Considerando coprono ogni aspetto concepibile della protezione dei dati, della liceità del trattamento, dei diritti degli interessati, ecc. Ma c'è un problema. Come la maggior parte delle leggi dell'UE, il GDPR è un esempio di "diritto giurisprudenziale" (case law). E pone il concetto di "ragionevolezza" (reasonableness) al centro.
Questo è (o dovrebbe essere) un bene. Quando sviluppi un'app dovresti adottare misure ragionevoli per proteggere i dati personali. Ciò dovrebbe significare che le piccole aziende con quantità minime di dati non hanno bisogno degli stessi controlli rigidi delle multinazionali che gestiscono milioni di record. Tuttavia, c'è un grosso problema. Ciò che è "ragionevole" dovrebbe essere interpretato sulla base dei casi legali (è così che funzionano le cose negli Stati Uniti e nel Regno Unito, dove le normative sono basate sul diritto giurisprudenziale). Ma in pratica, ciò che è "ragionevole" è stato definito dalle autorità per la protezione dei dati in ogni Paese.
Il risultato è stata una corsa all'imposizione dell'interpretazione più rigorosa possibile delle misure ragionevoli, specialmente nello spazio della salute digitale. Questo è doppiamente vero nella regione DACH, dove la protezione dei dati è particolarmente importante. Così, inavvertitamente, la mancanza di linee guida chiare ha spostato l'equilibrio verso le aziende più grandi che possono permettersi avvocati costosi per gestire i rischi e le eventuali sfide legali.
Quattro Aspetti in Cui il GDPR Deve Essere Chiarito
Per le startup, questa mancanza di chiarezza impone un onere enorme. Spesso, i team tecnici si trovano di fronte a una scelta impossibile: costruire un sistema completamente blindato per garantire la conformità, o costruire un sistema che possa effettivamente supportare le esigenze del business.
Quindi, quali sono le principali carenze nel modo in cui è definito il GDPR?
- Misure di sicurezza: Le misure di sicurezza specifiche non sono definite. Ad esempio, la crittografia dovrebbe essere all'interno del database o a riposo (at rest)? Quale tipo di crittografia è sufficiente? Queste cose non possono essere definite da una legge, ma dovrebbero essere definite da linee guida di implementazione.
- Interesse legittimo: Manca una chiara definizione di cosa costituisca marketing e vendita senza consenso. Ciò significa che le grandi aziende riescono ad abusare del concetto di "interesse legittimo", mentre le startup faticano.
- Periodi di conservazione dei dati: Le linee guida su quanto a lungo i dati debbano essere conservati sono vaghe e possono differire significativamente da Paese a Paese. Sono spesso influenzate da leggi nazionali come quelle fiscali, sul lavoro e sulla protezione dei consumatori, che stabiliscono periodi di conservazione specifici.
- Requisiti DPO: La necessità di nominare un Responsabile della Protezione dei Dati (DPO) è spesso poco chiara. Ad esempio, il GDPR impone un DPO per le aziende coinvolte nel monitoraggio su larga scala degli individui. Tuttavia, ciò che si qualifica come "larga scala" può variare a seconda del Paese, influenzando la necessità di un DPO o l'obbligo di condurre una Valutazione d'Impatto sulla Protezione dei Dati (DPIA).
Non Tutto è Perduto
Fortunatamente, alcuni problemi sono già in fase di risoluzione (almeno parzialmente). Ma il progresso in questo ambito è dolorosamente lento.
- Banner dei cookie: La mancanza di chiarezza su questi aspetti dovrebbe essere risolta dal Regolamento ePrivacy. Questo è in lavorazione, ma stiamo ancora aspettando che venga pienamente implementato.
- Base giuridica per il trattamento secondario dei dati: Questo è sempre stato previsto come caso d'uso sotto il GDPR, specialmente per i dati sanitari. Ora finalmente, l'European Health Data Space (EHDS) sta muovendo i primi passi in questa direzione. Ma la tempistica si misura in anni!
Cosa Bisogna Fare?
Il GDPR manca di linee guida concrete e chiare, un elemento che penalizza le piccole imprese e le startup. Ad oggi, l'EDPB (Comitato Europeo per la Protezione dei Dati) ha adottato un approccio dal basso verso l'alto (bottom up), chiedendo alle persone di sottoporre schemi di certificazione per l'approvazione. Questo semplicemente non ha funzionato. L'EDPB deve intervenire e creare un insieme di linee guida per la conformità assolutamente chiare. Ciò consentirà poi a organismi come ISO di creare standard più utilizzabili.
Inoltre, la Commissione Europea deve intervenire e impedire ai Paesi di aggiungere un elenco sempre crescente di interpretazioni specifiche del GDPR. Uno degli errori più grandi commessi con il GDPR è stato quello di trattarlo come uno standard minimo e consentire ai Paesi di imporre oneri normativi e legali aggiuntivi. Ciò ha portato a una situazione assurda in cui le aziende possono essere completamente conformi legalmente al GDPR e non essere comunque autorizzate a operare in alcuni Paesi dell'UE a causa di questioni di protezione dei dati.
Come ti possiamo aiutare?
In Chino.io, lavoriamo instancabilmente per colmare questa lacuna, rendendo la conformità GDPR più accessibile a tutti.
Dopo quasi 10 anni, è tempo di regolamenti più chiari e pratici che supportino le startup e le aziende nei loro processi di innovazione senza compromettere la privacy dei dati.
Streamline Your Compliance With Chino.io Today
Discover our
Templates
Read our Latest Industry Insights
Discover insights from our expert writers.
