Informativa Family Health Intelligence (dati familiari sanitari)

La Family Health Intelligence(di seguito "FHI") e' una funzionalita' che consente al paziente di costituire un nucleo familiare digitale (FamilyUnit) per condividere in modo controllato informazioni sanitarie rilevanti con i propri familiari, al fine di supportare la diagnosi di patologie ereditarie e il calcolo del rischio familiare mediante tecnologie di intelligenza artificiale.

Trattandosi del trattamento di dati di categoria speciale (art. 9.1 GDPR: dati relativi alla salute, dati genetici, dati familiari che rivelano informazioni sulla salute), la FHI richiede un consenso esplicitoai sensi dell'art. 9.2.a GDPR, prestato da ciascun membro del nucleo familiare (consenso bilaterale).

1. Finalita' del trattamento

• Pedigree clinico- costruzione dell'albero genealogico a fini diagnostici (patologie ereditarie dermatologiche, oncologiche, autoimmuni).
• Risk scoring ereditario - calcolo del rischio familiare mediante modelli di intelligenza artificiale. Output: score qualitativo con raccomandazione clinica per il medico curante.
• Referral familiare - invito ai familiari alla piattaforma, con condivisione controllata dei dati clinici rilevanti secondo il livello scelto.

2. Base giuridica

Il trattamento si fonda sulle seguenti basi giuridiche, applicate cumulativamente in base al ruolo del soggetto interessato:

• Art. 9, par. 2, lett. a) GDPR- consenso esplicito per il trattamento di dati di categoria speciale (sanitari, genetici, familiari). E' la base primaria per la condivisione dei dati tra i membri del FamilyUnit.
• Art. 9, par. 2, lett. h) GDPR- finalita' di medicina preventiva, diagnosi, assistenza o terapia sanitaria. E' la base complementareper l'elaborazione dei dati familiari da parte del medico curante (soggetto al segreto professionale ex art. 622 c.p. e Codice Deontologico FNOMCeO).
• Art. 6, par. 1, lett. a) GDPR - consenso per il trattamento dei dati personali comuni.
• Art. 6, par. 1, lett. b) GDPR - esecuzione del contratto di utilizzo della piattaforma.

Il legittimo interesse (art. 6.1.f GDPR) e' esclusocome base per i dati Art. 9: per i dati di categoria speciale la base deve provenire dall'elenco dell'art. 9.2. L'analisi completa delle basi giuridiche e' disponibile nel documento interno FAMILY_HEALTH_LEGAL_BASIS.md.

3. Categorie di dati trattati

• Dati anagrafici familiari: nome, cognome, data di nascita, relazione parentale (madre, padre, figlio, fratello, ecc.).
• Dati sanitari (Art. 9.1): diagnosi, referti, farmaci in corso, anamnesi, esami.
• Dati genetici (Art. 9.1): esito di test genetici, polimorfismi noti di interesse clinico (es. BRCA, CDKN2A, MC1R).
• Dati di contatto familiari: email e telefono del familiare invitato, utilizzati esclusivamente per recapitare l'invito.
• Dati relazionali: grafo del FamilyUnit e delle membership (FamilyMember).

4. Livelli di condivisione (DataSharingLevel)

Il familiare che accetta l'invito sceglie uno dei tre livelli di condivisione. Il default e' SUMMARY, per rispettare il principio di minimizzazione (art. 5.1.c GDPR). Ciascun livello puo' essere modificato in qualsiasi momento dall'area riservata.

• FULL (Dettaglio completo) - condivisione di diagnosi, referti, farmaci, date esatte e foto cliniche. Il passaggio a FULL richiede una doppia conferma esplicita.
• SUMMARY (Riassunto, default) - condivisione di diagnosi principali e farmaci in corso; date arrotondate a quantile annuale; nessun referto, nessuna foto clinica.
• ANONYMOUS (Solo statistica anonima) - nessun dato identificabile mostrato al familiare; la piattaforma utilizza solo pattern aggregati per il calcolo del rischio ereditario (k minimo = 5).

5. Destinatari e sub-responsabili

I dati condivisi tramite FHI sono accessibili esclusivamente ai seguenti soggetti:

• Familiare invitante - nei limiti del DataSharingLevel scelto dal familiare invitato.
• Medico curante del familiare invitante- limitatamente alla finalita' di cura (art. 9.2.h GDPR).
• Personale sanitario autorizzato della struttura del familiare invitante.
• DPO CG Medical - [email protected] per esercizio diritti GDPR.
• Sub-responsabili (Art. 28 GDPR): Microsoft Azure West Europe (hosting, IE), Anthropic PBC (US, supporto decisionale AI con SCC + DPF), Resend (US, email transazionale con SCC), Twilio (US, SMS con SCC). Nessun dato sanitario viene inviato a Resend o Twilio, che ricevono solo metadata di notifica.

6. Trasferimenti extra-UE

Alcuni sub-responsabili hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base delle Clausole Contrattuali Tipo (SCC) approvate dalla Commissione UE con decisione di esecuzione 2021/914 del 4 giugno 2021 e, ove rilevante, del Data Privacy Framework UE-USA. E' disponibile copia delle valutazioni di impatto sul trasferimento (TIA) scrivendo a [email protected]. Nessun dato sanitario e' trasferito ad Anthropic per finalita' di training dei modelli AI.

7. Conservazione dei dati

• FamilyUnit attivo: conservato per 10 anni dall'ultima prestazione collegata, in allineamento al DPCM 3 dicembre 2013 sulla conservazione della documentazione sanitaria ambulatoriale.
• Consenso concesso: conservato fino alla revoca o al raggiungimento del termine di 10 anni post revoca.
• Invito PENDING: auto-expire a 30 giorni (presunzione di rifiuto).
• Audit log FHI: conservato per 10 anni in forma immutabile, come previsto dall'art. 30 GDPR e dalle linee guida del Garante Privacy.
• Score AI generato: rigenerato a ogni nuovo dato, senza storico degli score precedenti.

8. Decisione automatizzata e AI Act

Il calcolo del rischio ereditario utilizza modelli di intelligenza artificiale come supporto decisionale al medico curante. Non costituisce decisione automatizzata che produca effetti giuridici o significativi ai sensi dell'art. 22.1 GDPR, poiche' il medico resta sempre in loop: revisione e approvazione obbligatoria prima dell'archiviazione in cartella clinica.

Conformemente all'art. 22.3 GDPR, l'interessato ha diritto a ottenere l'intervento umano del medico, esprimere la propria opinione e contestare le valutazioni generate.

In applicazione dell'art. 50 del Reg. UE 2024/1689 (AI Act), CG Medical dichiara esplicitamente l'uso di AI nella generazione del rischio ereditario. Il modulo di risk scoring ricade nel campo MDR 2017/745 come SaMD Classe IIa, con certificazione CE in corso (dossier tecnico EUDAMED).

9. Minori

Il trattamento dei dati di minori avviene secondo i seguenti limiti, in applicazione dell'art. 8 GDPR, dell'art. 2-quinquies del Codice Privacy e del Provvedimento Garante n. 285/2018:

• Eta' < 13 anni: nessun trattamento diretto; il minore non puo' ricevere invito.
• Eta' 13-15 anni: presenza solo strutturale nel pedigree (data di nascita anonimizzata a quantile annuale), nessun invito.
• Eta' 16-17 anni: registrazione come paziente e consenso FHI possibili, con consenso genitoriale obbligatorioe verifica dell'identita' del genitore.
• Eta' ≥ 18 anni: piena capacita' di consenso.

10. Diritti dell'interessato

In ogni momento l'interessato puo' esercitare i diritti riconosciuti dagli artt. 15-22 GDPR:

• accesso ai dati e ricezione di copia (art. 15);
• rettifica di dati inesatti o incompleti (art. 16);
• cancellazione, nei limiti di legge (art. 17);
• limitazione del trattamento (art. 18);
• portabilita' in formato FHIR R4 (art. 20);
• opposizione per motivi legittimi (art. 21);
• non essere sottoposto a decisioni esclusivamente automatizzate (art. 22);
• intervento umano sulle valutazioni AI, con possibilita' di contestarle (art. 22.3);
• informazione sull'uso di AI (art. 50 Reg. UE 2024/1689 AI Act);
• revoca del consenso in qualsiasi momento (art. 7.3 GDPR), senza pregiudizio della liceita' dei trattamenti gia' eseguiti.

Per esercitare i diritti scrivere a [email protected]oppure agire dall'area riservata della piattaforma. Il titolare risponde entro 30 giorni (prorogabili di ulteriori 60 ai sensi dell'art. 12.3 GDPR). Resta impregiudicato il diritto di reclamo al Garante per la protezione dei dati personali (gpdp.it).

11. Revoca del consenso

La revoca del consenso Family Health Intelligence e' effettuabile in qualsiasi momento dall'area riservata (pulsante "Revoca consenso Famiglia"). La revoca triggera una cascade invalidationdella cache FHIR entro 60 secondi, con blocco immediato della condivisione cross-family e aggiornamento real-time dell'interfaccia utente dei familiari interessati.

I dati eventualmente gia' inseriti nella cartella clinica del medico curante del familiare invitante permangono in tale cartella quale parte della documentazione sanitaria (DPCM 3 dicembre 2013), ma non potranno essere ulteriormente consultati o aggiornati in relazione al FamilyUnit revocato.

12. Contatti del DPO

Il Responsabile della Protezione dei Dati (DPO / RPD) di CG Medical e' raggiungibile all'indirizzo [email protected]. La pagina dedicata e' /legale/contatti-dpo. CG Medical aderisce alla procedura di notifica violazione dei dati entro 72 ore al Garante (art. 33 GDPR).