Dott.sa Eleonora Donadio
Infermiere Legale Forense
Consiglio direttivo APSILEF
Coord. Ufficio stampa e Comunicazione APSILEF
Resp.Gruppo regionale Emilia Romagna APSILEF
Sia la nozione sia il trattamento dei dati sanitari sono, l’uno e l’altro, disciplinati nel Regolamento (UE) 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il Regolamento in parola (cosiddetto GDPR), che abroga la direttiva 95/46/CE, ha trovato attuazione in Italia attraverso il Decreto legislativo 10 agosto 2018, n. 101 che ha adeguato ed integrato il Codice in materia di protezione dei dati personali (noto come Codice della privacy di cui al Decreto legislativo 30 giugno 2003, n. 196 ) disciplinante il “Trattamento di dati personali in ambito sanitario.”
Il GDPR all’art. 4 definisce
<<trattamento>>: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione
<<dato personale>>: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
<<dati relativi alla salute>>:i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, precisando al considerando 35 che “nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui la direttiva 2011/24/UE del Parlamento Europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti chimico clinici o lo stato fisiologico o più medico dell’ interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.”
E’ evidente che si tratta di un concetto particolarmente vasto di dato sanitario, formulato con l’ obiettivo di permettere una copertura più estesa del Regolamento e di offrire quindi una protezione maggiore anche in considerazione di eventuali sviluppi legislativi in materia di assistenza sanitaria al di là dei confini dei singoli Stati membri.
Si deve osservare che la prima norma contenuta nel primo paragrafo dell’art. 9[1] ,invero, è un generale divieto di trattamento dei dati relativi alla salute. Mentre le disposizioni del successivo paragrafo 2 elencano le eccezioni in ragione delle quali il trattamento di tali dati è consentito e per quali finalità (art. 9 par. 2 lett. g), h) i)[2].
Il primo presupposto riguarda i motivi di interesse pubblico rilevante sulla base del diritto dell’Unione e degli Stati membri.
Il secondo presupposto riguarda i casi in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, per la valutazione della capacità lavorativa del dipendente, per la diagnosi, assistenza o terapia sanitaria o sociale ovvero per la gestione dei sistemi e servizi sanitari o sociali, sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità.
Il terzo presupposto riguarda fattispecie eterogenee quali i trattamenti giustificati dalla protezione di gravi minacce per la salute a carattere transfrontaliero, dalla garanzia di elevati parametri di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dispositivi medici.
Il Garante della privacy nel provvedimento n. 55 del 7/3/2019[3] (Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario) ha chiarito che “il trattamento di tali dati deve essere eseguito sotto la responsabilità di un professionista soggetto al segreto professionale o da altra persona soggetta ad analogo obbligo di riservatezza … lo stesso professionista sanitario, soggetto al segreto professionale, non dovrà chiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato,indipendentemente dalla circostanza che operi in qualità di libero professionista, presso uno studio medico o all’interno di una struttura sanitaria pubblica o privata…”
Differentemente i trattamenti “non strettamente necessari” richiedono, quandanche effettuati da professionisti della sanità, una distinta base giuridica da individuarsi o nel consenso dell’interessato o in un diverso presupposto di liceità.
Si riafferma, pertanto, che il trattamento dei dati sanitari trova la sua base giuridica nel carattere necessario del trattamento per finalità di medicina preventiva o di medicina sul lavoro, o perché strumentale al perseguimento di interessi pubblici nell’ambito della sanità pubblica.
Sul territorio nazionale italiano il legislatore ha recepito le disposizioni del GDPR in tema di trattamento all’art. 75 del Codice della Privacy aggiornato dal d.lgs. 101/2018 dove si dispone che: “il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9 par. 2 lettere h) ed i), e 3 del Regolamento, dell’articolo 2- septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore”.
Il legislatore italiano con il summenzionato art. 2-septies del novellato Codice della privacy (“Misure di garanzia per il trattamento di dati genetici, biometrici e relativi alla salute)[4] ha previsto misure di garanzia fissate dal Garante e riviste con cadenza biennale. Conseguentemente, il Garante, adotta le misure sentito il Consiglio Superiore di Sanità e tenendo conto delle Linee Guida, delle Raccomandazioni e delle Buone Prassi del Garante europeo, in particolare con riferimento alle cautele relative alle modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute, nonché della evoluzione tecnologica e scientifica del settore a cui tali misure sono rivolte e l’interesse alla libera circolazione dei dati nel territorio Europeo.
Inoltre, sempre l’Autorità di controllo dovrà anche promuovere le regole deontologiche per il trattamento dei dati relativi alla salute[5].
Ea concludamus aliquando: la liceità del trattamento è ancorata al requisito del consenso esplicito oppure della necessità.
Eleonora Donadio-Infermiere Forense
[1] Art.9 comma 1.È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute alla vita sessuale o all’orientamento sessuale della persona.
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
[3] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9091942
[4]https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2018-09-04&atto.codiceRedazionale=18G00129&elenco30giorni=true
[5] Per un esame dettagliato delle misure di adeguamento al Regolamento 679/2016 si veda Servizio Studi Camera dei deputati. L’adeguamento della disciplina sulla protezione dei dati personali al Regolamento (UE) 2016/679, Dossier n. 18, Atti del governo n. 22, 21/5/2018. https://www.senato.it/service/PDF/PDFServer/BGT/01067350.pdf