Decreto legislativo - 30/06/2003 - n. 196 art. 2 septies - Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute 1

Inquadramento

Nell'ambito della più ampia categoria dei dati “particolari”, riguardanti profili particolarmente delicati della vita privata delle persone (es. sfera religiosa, politica, sindacale e filosofica, origine razziale ed etnica), i dati genetici e biometrici e le informazioni relative allo stato di salute sono oggetto di una speciale protezione.

Una delle più interessanti novità, introdotte in Italia dal Decreto legislativo di adeguamento del 10 agosto 2018, n. 101, riguarda proprio, in generale, il trattamento di dati genetici, biometrici, relativi alla salute delle persone. Innovazioni significative si riscontrano anche, più nello specifico, con riferimento all'ambito sanitario strettamente inteso (mentre è chiaro che le menzionate categorie di dati – genetici, biometrici, relativi alla salute, categorie spesso definite informalmente “super-sensibili” – possono ben essere oggetto anche di trattamento in altri settori, diversi da quello sanitario) (Bolognini, Pelino).

Va ricordato che l'art. 9 (ma è utile anche il richiamo, in tal senso, dei considerando 51, 52 e 53 GDPR) – il quale fissa le condizioni di liceità, a contrario per rimozione del divieto, del trattamento dei dati particolari (sensibili) – annovera già, a monte, diverse previsioni immediatamente legittimanti il trattamento di dati delle categorie anche “super-sensibili”, in ambiti di loro normale e frequente utilizzo.

Alla luce del paragrafo 4 dell'art. 9, ogni Stato membro può mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Questa previsione, si noti, non si riferisce solo all'ambito sanitario, ma più in generale a qualsiasi ambito nel quale si trattino dati “super-sensibili”.

La parola “mantenere” fa pensare alla possibile e legittima conservazione, anche come condizioni di liceità e prescrizioni di misure necessarie od opportune, di autorizzazioni e di alcuni importanti provvedimenti e linee guida del Garante relativi al trattamento di dati genetici, dati biometrici o dati relativi alla salute, già adottati in passato, e rivedibili dall'Autorità in ottica di compatibilità con il Regolamento (o anche, semplicemente, interpretabili nei limiti di tale compatibilità).

Il legislatore italiano ha comunque colto il margine riconosciuto dall'art. 9.4 del Regolamento con il nuovo art. 2- septies del Codice privacy, nel quale si stabilisce che i dati genetici, biometrici e relativi alla salute possano essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo art. 9 e – qui la novità di rilievo italiano – in conformità alle misure di garanzia disposte dal Garante con proprio provvedimento, da adottarsi con cadenza almeno biennale. Lo schema di provvedimento è sottoposto dal Garante a consultazione pubblica per un periodo non inferiore a sessanta giorni. Il Garante, nell'adottare tale provvedimento generale, deve tenere conto:

a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;

b) dell'evoluzione scientifica e tecnologica nel settore oggetto delle misure;

c) dell'interesse alla libera circolazione dei dati personali nel territorio dell'Unione europea.

Le misure di garanzia devono naturalmente essere compatibili con il Regolamento(il legislatore italiano, ancora una volta, nell'art. 2-septies cod. privacy al comma 4, ridonda infelicemente, richiamando l'Autorità al dovere di rispettare la normativa europea). Tali misure riguardano anche – non necessariamente solo – le cautele da adottare relativamente a:

a) contrassegni sui veicoli e accessi a zone a traffico limitato;

b) profili organizzativi e gestionali in ambito sanitario;

c) modalità per la comunicazione diretta all'interessato delle diagnosi e dei dati relativi alla propria salute;

d) prescrizioni di medicinali.

Le misure di garanzia sono adottate in relazione a ciascuna categoria dei dati personali, avendo riguardo alle specifiche finalità del trattamento e possono individuare ulteriori condizioni sulla base delle quali il trattamento di tali dati è consentito. È presumibile che il provvedimento in questione debba essere suddiviso, pertanto, in capitoli (dedicati l'uno ai dati genetici, l'altro ai dati biometrici, l'altro ancora ai dati relativi alla salute), a loro volta ripartiti in paragrafi per differenti “scenari” o casi d'uso (legati alle diverse finalità). In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.

Tra le ulteriori condizioni di liceità, che il Garante potrà introdurre mediante tale provvedimento, non vi potrà però essere quella del consenso dell'interessato, salvo in un caso: il consenso potrà infatti essere aggiunto come condizione dall'Autorità solo con riferimento al trattamento di dati genetici e unicamente in caso di particolare ed elevato livello di rischio. Questa interpretazione si evince chiaramente, al negativo, dalla lettura del comma 6 dell'art. 2-septies del codice: «Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell'interessato, a norma dell'art. 9, paragrafo 4, del Regolamento, o altre cautele specifiche».

Le misure di garanzia relative ai dati genetici e quelle per l'ambito sanitario sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità.

Ai fini del rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all'art. 32 GDPR, cioè per l'adozione di adeguate misure di sicurezza tecniche e organizzative da parte dei Titolari e Responsabili del trattamento, è ammesso espressamente dal legislatore italiano (già ex art. 2-septies comma 7 del codice, e anche in mancanza di provvedimento del Garante) l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati; naturalmente, una volta adottato il provvedimento dal Garante, tale trattamento di dati biometrici dovrà anche eseguirsi nel rispetto delle misure di garanzia in esso prescritte. Questa norma appare opportuna e al passo coi tempi, per l'inevitabile diffusione e l'indubbia utilità dei sistemi di controllo e autenticazione biometrici in contesti aziendali sempre più informatizzati, sebbene l'interprete debba anche notare come ne resti esclusa l'applicazione nei casi di accesso logico o fisico ad ambienti privi di dati (che, tuttavia, potrebbero derivare l'esigenza di controlli stringenti dalla presenza di altri rischi): per tale ragione, sarebbe auspicabile un allargamento del perimetro, proprio ad opera del Garante che adotterà il provvedimento ex art. 2-septies.

Con riferimento al trattamento di dati biometrici nell'ambito del lavoro presso le pubbliche amministrazioni, l'Autorità Garante si è espressa con due correlati pareri resi a distanza di circa un anno. Il primo (GPDP, 11 ottobre 2018 [doc. web n. 9051774]) è stato richiesto dalla Presidenza del Consiglio dei ministri relativamente ad uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo”, mentre il secondo (GPDP, 19 settembre 2019 [doc. web n. 9147290]) è stato domandato dalla Presidenza del Consiglio dei ministri – Ufficio legislativo del Ministro per la pubblica amministrazione con riferimento ad uno schema di schema di decreto del Presidente del Consiglio dei ministri concernente la disciplina di attuazione della disposizione di cui all'art. 2 l. n. 56/2019, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo”. Oggetto dei due pareri è l'introduzione obbligatoria, da parte delle pubbliche amministrazioni, di sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica ai fini della verifica dell'osservanza dell'orario di lavoro. Tra i vari rilievi posti dal Garante, risulta particolarmente significativa la censura, mossa in ambedue i provvedimenti, circa la previsione dell'impiego obbligatorio e contestuale di entrambi i sistemi, vale a dire la raccolta di dati biometrici e la videosorveglianza. Ciò è stato ritenuto dall'Autorità «eccedente (oltre che inutilmente costoso) rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori», in contrasto dunque «con l'esigenza di stretta necessità del trattamento rispetto al fine perseguito [...] esigenza tanto più rilevante rispetto ai dati biometrici, annoverati nella categoria di dati personali cui la disciplina europea accorda maggiore tutela». Il Garante si è altresì soffermato sul rispetto, tra gli altri, del principio di proporzionalità, invocato con riferimento all'introduzione sistematica, generalizzata e indifferenziata dei sistemi di rilevazione biometrica delle presenze per tutte le pubbliche amministrazioni.

I dati genetici, biometrici e relativi alla salute non possono essere diffusi, come specificato dall'art. 2-septies comma 8 (mentre in passato tale divieto generale ex lege di diffusione si riferiva esclusivamente ai dati idonei a rivelare lo stato di salute): è, tuttavia, evidente che tale divieto possa essere superato sulla base di un consenso esplicito dell'interessato (ex art. 9.2.a GDPR) o nel caso questi tipi di dati siano resi manifestamente pubblici dall'interessato stesso (ex art. 9.2.e GDPR).

A tal riguardo, merita un cenno la recente Ordinanza ingiunzione nei confronti di Azienda sanitaria locale di Bari, adottata in data 2 marzo 2023 dal Garante per la protezione dei dati personali. Nel caso di specie, quest'ultimo aveva rilevato come la Asl di Bari avesse diffuso informazioni sullo stato di salute di centinaia di interessati, rivoltisi alla stessa per ricevere prestazioni sanitarie, attraverso la pubblicazione, nella pagina denominata “Parlano bene di noi”, di documenti contenenti gli elogi di numerosi pazienti che erano stati presentati dagli stessi dal 2016 al 2022; nel dettaglio, trattavasi di diffusione in quanto, negli elogi, i dati degli assistiti risultavano “oscurati” tramite pennarello o bianchetto e, quindi, tramite modalità che il Garante stesso ha ritenuto del tutto e intrinsecamente inadeguate a garantirne un'effettiva anonimizzazione. In tal senso, nel rammentare che la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati costituisce oggetto di un esplicito divieto, ha evidenziato come, nella quasi totalità dei casi, fosse stato possibile identificare gli autori degli elogi in quanto i dati anagrafici erano stati cancellati in modo approssimativo, spesso con il tratto di un pennarello nero che tuttavia non impediva di leggere le parti oscurate e quindi di associare le informazioni anagrafiche e di contatto alle informazioni relative allo stato di salute (ad es., tra queste, dettagli clinici degli interventi o delle prestazioni ricevute, diagnosi, anamnesi). È stato, pertanto, affermato che la procedura di cancellazione manuale con pennarello o con bianchetto “è per sua natura imprecisa e non definitiva”, potendo agevolmente consentire di fatto la visibilità dei delle informazioni oscurate; il Garante ha altresì sottolineato come l'uso del pennarello nero o del bianchetto, invero, non può neppure definirsi una procedura di “pseudonimizzazione”, giusta la definizione di cui all'art. 4, par. 1, n. 4) del GDPR.

Bibliografia

Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo, Milano, 2016.