Decreto legislativo - 30/06/2003 - n. 196 art. 75 - Specifiche condizioni in ambito sanitario1

Inquadramento

Il d.lgs. 101/2018 ha portato all'abrogazione netta di ampie parti del Titolo V della Parte II del Codice, dedicato proprio al trattamento di dati personali in ambito sanitario. Sono stati espressamente rimossi gli articoli 76 (relativo alla necessità di consenso o di autorizzazione del Garante, come basi giuridiche per il trattamento di dati idonei a rivelare lo stato di salute da parte degli esercenti le professioni sanitarie e degli organismi sanitari pubblici), 81 (relativo alle modalità semplificate di prestazione del suddetto consenso), 83 (relativo alle altre misure a tutela dei diritti e della dignità degli interessati in ambito sanitario), 84 (relativo ai limiti alla comunicazione di dati idonei a rivelare lo stato di salute all'interessato stesso), 85 e 86 (relativi ai casi di trattamento di dati idonei a rivelare lo stato di salute o sensibili per fini di rilevante interesse pubblico), 87, 88 e 89 (in materia di prescrizioni e ricette sanitarie), 90 (relativo al trattamento dei dati genetici e donatori di midollo osseo), 91 (in materia di dati sanitari trattati mediante carte anche non elettroniche) e 94 (in materia di minimizzazione nell'utilizzo di dati per banche dati sanitarie di vario tipo, es. relative a donatori, a malattie rare, e altre).

Le suelencate abrogazioni paiono ragionevoli e opportune. Da un lato, per la scelta del legislatore italiano di adeguare il cod. privacy alle previsioni dell'art. 9.2.g), h) e i) del GDPR, che eliminano dall'ordinamento europeo, in via generale e salvo limitazioni ex art. 9.4 GDPR operate dai singoli Stati membri, la necessità di consenso come base giuridica del trattamento di dati, anche particolari, per finalità di diagnosi, assistenza o terapia sanitaria o sociale ovvero di gestione dei sistemi e servizi sanitari o sociali; dall'altro, perché gli articoli relativi ai casi di rilevante interesse pubblico sono stati ripensati radicalmente e collocati nella Parte I del Codice; dall'altro ancora, perché le misure di sicurezza, di garanzia e di salvaguardia dei diritti degli interessati in ambito sanitario saranno inserite nel provvedimento che il Garante adotterà a norma del nuovo art. 2-septies del Codice.

Tutti gli altri articoli sono stati mantenuti (o altri sono stati aggiunti), con numerose modifiche e variazioni di cui si darà conto nelle prossime pagine.

Il nuovo art. 75 del Codice (rubricato “Specifiche condizioni in ambito sanitario”) prevede che il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell'interessato o di terzi o della collettività debba essere effettuato ai sensi dell'art. 9, paragrafi 2, lettere h) ed i), e 3 del GDPR, dell'art. 2-septies del Codice (e quindi del provvedimento in materia di misure di garanzia e sicurezza adottato ogni biennio dal Garante), nonché nel rispetto delle specifiche disposizioni di settore. È interessante notare come il menzionato art. 75 del Codice non richiami l'art. 9 par. 2 lettera g) del GDPR, che è invece quella a cui si riferisce il nuovo articolo 2-sexies del Codice, il quale, al comma 2 lettere s) e t) prevede il rilevante interesse pubblico per i soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri in materia di attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano, o in materia di compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica.

Sembrerebbe potersi dire che, con riferimento ai soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle materie sopra richiamata (ad esempio strutture sanitarie pubbliche o convenzionate/ accreditate nell'ambito dell'SSN), una buona parte dei trattamenti di dati sensibili eseguiti in ambito sanitario siano coperti dalla base giuridica ex combinato disposto tra art. 9.2.g) GDPR e art. 2-sexies.2.s)-t) del Codice. Mentre in tutti i casi in cui a svolgere trattamenti sia un soggetto che non svolge compiti di interesse pubblico (ad esempio una struttura sanitaria puramente privata non convenzionata né accreditata), le basi giuridiche naturali siano da rintracciarsi direttamente nell'art. 9.2.h)-i) del GDPR; pare evidente, peraltro, come l'attività sanitaria, anche in ambito di rilevante interesse pubblico, possa giovarsi di una sorta di “cumulo” di basi giuridiche, per l'ovvia applicabilità a determinati trattamenti sia della base ex 9.2.g) sia di quelle ex9.2.h)-i) GDPR.

La situazione di particolare incertezza derivante dall'art. 22 comma 11 del d.lgs. n. 101/2018 ha indotto il Garante – nelle more dell'adozione dei provvedimenti ex art. 2-septies cod. privacy – a emanare comunque alcuni “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, in data 7 marzo 2019 [doc. web 9091942]. In essi, si sottolinea che, così come richiamato dall'art. 22, comma 1, del d.lgs. n. 101/2018, le disposizioni del Codice si devono, in ogni caso, interpretare e applicare alla luce del Regolamento e si fornisce un'interpretazione uniforme relativamente alle norme da rispettare con riferimento ai dati relativi alla salute. Il Garante sembra propendere per una sostanziale disapplicazione di tutte le norme del cod. privacy abrogate e/o comunque incompatibili con il nuovo dettato del GDPR, malgrado la differente formulazione del comma 11 dell'art. 22 d.lgs. n. 101/2018; la soluzione pare pienamente condivisibile. Di conseguenza, l'autorità specifica che le deroghe al divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quelli sulla salute, sulla base delle quali è ammesso il trattamento di tali dati, sono ora da individuarsi nell'art. 9 del Regolamento che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:

a. motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall'art. 2-sexies del Codice;

b. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);

c. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell'Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch'essa soggetta all'obbligo di segretezza.

Ad avviso del Garante, ciò non esclude che a seconda dello specifico trattamento effettuato, non possa ritenersi applicabile al caso concreto una delle altre deroghe previste dall'art. 9 del Regolamento. In proposito, l'autorità osserva che la fattispecie indicata alla c) del precedente elenco presenta alcune peculiarità che ne caratterizzano l'applicabilità. Al riguardo, si precisa, innanzitutto, che i trattamenti per “finalità di cura”, sulla base dell'art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch'essa soggetta all'obbligo di segretezza. Diversamente dal passato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all'interno di una struttura sanitaria pubblica o privata. Altro aspetto affrontato dal Garante riguarda l'ambito oggettivo: i trattamenti di cui all'art. 9, par. 2, lett. h) sono infatti quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento). Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell'interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento).

Con riferimento ai trattamenti in ambito sanitario che non rientrano nelle ipotesi sopra descritte e, quindi, che richiedono il consenso esplicito dell'interessato (art. 9, par. 2, lett. a) del Regolamento), il Garante individua, a titolo esemplificativo, le seguenti categorie:

a) trattamenti connessi all'utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell'interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell'applicazione, ai dati dell'interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (cfr. FAQ CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità);

b) trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell'ambito del Servizio sanitario nazionale (SSN);

c) trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);

d) trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali (cfr. GPDP 6 marzo 2014, doc. web n. 3013267);

e) trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. n. 179/2012, art. 12, comma 5) In tali casi, l'acquisizione del consenso per la consultazione del Fascicolo, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all'applicazione del GDPR e modificate successivamente, il cui rispetto è ora espressamente previsto dall'art. 75 del Codice.

Con riferimento ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmente richiesto dalle Linee guida emanate dall'Autorità prima dell'applicazione del Regolamento (Linee guida in materia di Dossier sanitario del 4 giugno 2015, doc web. n. 4084632). Alla luce del nuovo quadro giuridico, sarà il Garante ad individuare, nell'ambito delle misure di garanzia da adottarsi sulla base dell'art. 2-septies del Codice, i trattamenti che, ai sensi dell'art. 9, par. 2, lett. h), possono essere effettuati senza il consenso dell'interessato. Diverso è il caso della refertazione on line per il quale il consenso dell'interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).

Bibliografia

Bolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.