L’ Health Data Hub, noto come “Health Data Hub “ , è un sistema informativo progettato per riunire tutti i dati sanitari dell’intera popolazione trattata in Francia. Questa centralizzazione, voluta dal legislatore , deve in particolare promuovere la ricerca medica. Ai fini della gestione della crisi sanitaria, l’Health Data Hub è stato messo in servizio nell’aprile 2020 in anticipo e su un ambito limitato.

L’ hosting della piattaforma essendo stato affidato a Microsoft, è stato presentato ricorso da varie associazioni e professionisti innanzi al Consiglio di Stato per chiedere la sospensione dell’Health Data Hub, per l’intervento della recente sentenza del Tribunale di Justice of the European Union (CJEU) del 16 luglio 2020, noto come “Schrems II”.Con tale sentenza, la Corte di giustizia ha infatti stabilito che la sorveglianza esercitata dai servizi segreti americani sui dati personali dei cittadini europei era eccessiva, non sufficientemente controllata e senza alcuna reale possibilità di appello. Ne ha dedotto che i trasferimenti di dati personali dall’Unione Europea agli Stati Uniti sono contrari al Regolamento generale sulla protezione dei dati (RGPD) e alla Carta dei diritti fondamentali dell’Unione europea, salvo che per fornire garanzie speciali o in alcuni casi eccezionali.

Il Consiglio di Stato ha invitato la CNIL a commentare questo appello. Nel suo brief, la CNIL ha ritenuto che la scelta di un ospite soggetto alla legge americana sembrava incompatibile con i requisiti della CGUE in termini di protezione della privacy. Da un lato, ha invitato il giudice a verificare che gli impegni dell’ospite di sopprimere i trasferimenti di dati personali al di fuori dell’UE coprissero effettivamente l’intero centro di dati sanitari. Per contro, ha ritenuto che l’hosting della piattaforma da parte di una società di diritto statunitense, che potrebbe essere tenuta a rispondere a richieste di comunicazione dati, anche pseudonimizzati, era di per sé problematico e avrebbe dovuto portare a cambiare operatore o fornire garanzie specifiche. Ha raccomandato la creazione di un periodo di transizione per raggiungere questo obiettivo.

Nella sua ordinanza, il giudice sommario del Consiglio di Stato ha ritenuto che:

• La sentenza Schrems II della CGUE implica che Microsoft deve astenersi dal trasferire dati sanitari negli Stati Uniti. Sul punto, il giudice ha preso atto delle importanti garanzie già previste dall’Health Data Hub e ha chiesto chiarimenti contrattuali.
• Il giudice ha confermato che non si può escludere un rischio di trasmissione di dati sanitari su richiesta dei servizi segreti americani.  
• Data l’importanza dell’Health Data Hub, in particolare per la gestione della crisi sanitaria, tale rischio non giustifica l’immediata interruzione della piattaforma. D’altra parte, il giudice chiede che vengano fornite garanzie per ridurre al minimo questo rischio.
• In quanto tale, prende atto della volontà espressa dal Governo di trasferire l’Health Data Hub su piattaforme francesi o europee a seguito dell’intervento della sentenza Schrems II. Nel frattempo, il giudice chiede all’Health Data Hub di lavorare per ridurre al minimo questo rischio, in particolare concludendo un nuovo emendamento con Microsoft.
• Il giudice chiede alla CNIL di approfondire le richieste di autorizzazione per progetti di ricerca utilizzando l’Health Data Hub verificando che l’interesse del progetto, vista l’attuale emergenza sanitaria, sia sufficiente a giustificare il rischio sostenuto e che è necessario l’utilizzo della piattaforma.

La CNIL analizzerà attentamente la posizione del giudice di sintesi per l’esame delle richieste di autorizzazione dei progetti di ricerca utilizzando l’Health Data Hub nonché per consigliare le autorità pubbliche sull’attuazione di adeguate garanzie a lungo termine. 

A tal proposito, la CNIL accoglie con favore le dichiarazioni del Segretario di Stato per gli Affari Digitali che l’8 ottobre davanti al Senato ha indicato la volontà del Governo di trasferire l’Health Data Hub su piattaforme francesi o europee .