Garante per i dati personali - 19/12/2018 - n. 515 art. 1IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito «Regolamento» e «RGPD»); Visto il decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»; Visto il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196, (di seguito Codice), cosi' come modificato dal predetto decreto legislativo n. 101 del 2018; Visto il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e scientifici allegato A.4 al Codice; Visto l'art. 5-ter del decreto legislativo 14 marzo 2013, n. 33, Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicita', trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, relativo all'accesso per fini scientifici ai dati elementari raccolti per finalita' statistiche; Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del garante n. 1/2000; Relatore la dott.ssa Giovanna Bianchi Clerici; Premesso L'art. 20, commi 3 e 4, del decreto legislativo 101 del 2018 ha conferito al garante il compito di verificare, nel termine di 90 giorni dalla sua entrata in vigore, la conformita' al regolamento delle disposizioni contenute nei codici di deontologia e buona condotta di cui agli allegati A.1, A.2, A.3, A.4 e A.6 al Codice. Le disposizioni ritenute compatibili, ridenominate regole deontologiche, dovranno essere pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministero della giustizia, saranno successivamente riportate nell'allegato A al Codice. Il Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A.4 al Codice, cessa di produrre effetti dalla pubblicazione delle predette regole nella Gazzetta Ufficiale (art. 20, comma 3, del decreto legislativo n. 101 del 2018). Resta fermo che successivamente, il Garante potra' promuovere la revisione di tali regole, secondo la procedura di cui all'art. 2-quater del Codice, in base alla quale lo schema delle regole deontologiche, nell'osservanza del principio di rappresentativita', deve essere sottoposto a consultazione pubblica, per almeno sessanta giorni. Osserva Nell'ambito del presente provvedimento sono individuate le disposizioni del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A4 al Codice, adottato con provvedimento del garante n. 2 del 16 giugno 2004, Gazzetta Ufficiale 14 agosto 2004, n. 190, ritenute non conformi al Regolamento e, in allegato sono riportate le disposizioni conformi, ridenominate regole deontologiche per trattamenti a fini statistici o di ricerca scientifica. Le regole si applicano ai trattamenti di dati personali effettuati fini statistici, al di fuori del Sistema statistico nazionale, o di ricerca scientifica, fermo restando il rispetto dei principi e degli specifici adempimenti richiesti dal Regolamento e dal Codice. Il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceita' e correttezza del trattamento dei dati personali e il mancato rispetto delle stesse comporta l'applicazione della sanzione di cui all'art. 83, paragrafo 5 del Regolamento (articoli 2-quater, comma 4, e 166, comma 2, del Codice). A regime, l'art. 106 del Codice, cosi' come novellato dall'art. 8 dal decreto legislativo n. 101/2018, prevede specificamente che le regole deontologiche individuino garanzie adeguate per i diritti e le liberta' dell'interessato e si applicano ai soggetti i soggetti pubblici e privati, ivi comprese le societa' scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientifica ricompresi nell'ambito del Sistema statistico nazionale. In via generale, si rappresenta che si e' tenuto conto dell'esigenza di contemperare il diritto alla liberta' di ricerca con altri diritti fondamentali dell'individuo, in ossequio al principio di proporzionalita' (cons. 4 del Regolamento), verificando la conformita' delle disposizioni del Codice di deontologia, in particolare, ai considerando e agli articoli dedicati alla ricerca statistica e scientifica (cons. 26, 50, 52, 53, 62, 156, 157, 159, 162, 163, art. 5, comma 1 lettera b) ed e), art. 9, art. 10, e art. 89 § 1, del Regolamento). 1. Modifiche generali. Preliminarmente, si osserva che si e' reso necessario aggiornare i riferimenti normativi presenti nel Codice di deontologia e la semantica utilizzata rispetto al rinnovato quadro normativo europeo e nazionale di riferimento. Si e' reso necessario, inoltre, eliminare il preambolo del Codice di deontologia, dovendosi, in base al richiamato art. 20 del decreto legislativo n. 101 del 2018, ridenominare solo le disposizioni dello stesso. Cionondimeno, i principi e le fonti di diritto sovranazionale ivi richiamati, sono, in ogni caso, da ritenersi a fondamento dei trattamenti di dati personali effettuati a fini di ricerca scientifica o statistici (cons. 159 e 162 del Regolamento). 2. Disposizioni ritenute incompatibili. All'art. 1, comma 1, lettera c), e' stata eliminata la definizione di «dato identificativo indiretto», in quanto tale definizione e' stata ritenuta incompatibile con il Regolamento. Il legislatore nazionale, infatti, nell'adeguare il Codice al Regolamento, con il decreto legislativo n. 101 del 2018, ha abrogato l'art. 4, comma 1, lettera c), del Codice, che conteneva la definizione di «dati identificativi», da intendersi come i «dati personali che permettono l'identificazione diretta dell'interessato». Resta, invece valida la definizione di «istituto o ente di ricerca», di cui alla lettera e), dell'articolo in esame, che deve esser interpretata alla luce del nuovo quadro normativo di settore di cui all'art. 5-ter del decreto legislativo 33 del 2013, che ha demandato al Comstat l'individuazione, sentito il garante, dei criteri per il riconoscimento degli enti di ricerca e delle strutture di ricerca di istituzioni pubbliche e private, avuto riguardo agli scopi istituzionali perseguiti, all'attivita' svolta e all'organizzazione interna in relazione all'attivita' di ricerca, nonche' alle misure adottate per garantire la sicurezza dei dati. Tali criteri sono stati di recente individuati nelle linee guida per l'accesso a fini scientifici ai dati elementari del Sistema statistico nazionale (Gazzetta Ufficiale n. 287 dell'11 dicembre 2018). L'art. 4, «Identificabilita' dell'interessato», e' stato ritenuto necessario, in primo luogo, sostituire la parola «identificativi», al comma 1, lettera a), con la seguente locuzione «dati che ... identificano» l'unita' statistica in quanto la definizione di «dati identificativi» di cui all'art. 4, comma 1, lettera c), del Codice e' stata abrogata dal decreto legislativo n. 101 del 2018, e non e' piu' prevista dal Regolamento; in secondo luogo, il comma 1, lettera c), e' stato ritenuto incompatibile nella misura in cui introduceva, per la valutazione del rischio di identificabilita' degli interessati, dei parametri predefiniti che non sono in linea con il quadro giuridico introdotto dal Regolamento. Rispetto alle indicazioni fornite dal considerando 26, che per l'identificabilita' di una persona indica, in particolare, che si tengano in considerazione «tutti i mezzi» di cui il titolare puo' ragionevolmente avvalersi, la disposizione in esame poneva come parametri predefiniti la tipologia di dati comunicati o diffusi, la proporzione tra i mezzi per l'identificazione e la lesione o il pericolo di lesione dei diritti degli interessati, cio' anche alla luce del vantaggio che ne poteva trarre il titolare. Tale disposizione, quindi, nel fornire ai titolari delle coordinate per valutare l'identificabilita' dell'interessato attualmente superate, manifestava anche un approccio alla definizione e valutazione del rischio piu' circoscritte rispetto a quella del Regolamento in cui tale valutazione deve tener conto delle nuove tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalita' di ogni tipo di trattamento, (cfr. anche cons. 84, 89, 93 e 95 e articoli 5, § 1, lettera e), 24, 35 e 36 del Regolamento). L'art. 5, «Criteri per la valutazione del rischio di identificazione», e' stato mantenuto considerandosi, in via generale, compatibile con il Regolamento, nella misura in cui si limita a fornire alcuni parametri, orientativi, non esaustivi, per la valutazione del rischio di identificazione degli interessati. Al fine di assicurarne un'applicazione conforme al Regolamento, si e', tuttavia, ritenuto necessario modificarlo con l'aggiunta di un «anche» (al primo comma, tra le parole «tiene conto» e «dei seguenti»), affinche' sia chiaro che i parametri ivi indicati devono, comunque, considerarsi meramente esemplificativi e, soprattutto, non alternativi rispetto al nuovo quadro giuridico introdotto dal Regolamento sopra descritto. Sono stati modificati il titolo del Capo II da «Informativa, comunicazione e diffusione» in «Informazioni agli interessati, comunicazione e diffusione» e la rubrica dell'art. 6 da «Informativa» a «Informazioni agli interessati», per omogeneita' con il Regolamento. L'art. 6, «Informazioni agli interessati», il comma 2 e' risultato incompatibile con il Regolamento nella parte in cui prevedeva alcune deroghe all'obbligo di informativa in caso di raccolta dei dati presso gli interessati. In particolare, tale comma e' stato eliminato, che consentiva di fornire un'informativa differita, per la parte riguardante le specifiche finalita' e modalita' del trattamento, qualora cio' risultasse necessario per il raggiungimento dell'obiettivo dell'indagine. Cio', in quanto l'art. 13 del Regolamento non prevede alcuna forma di deroga o semplificazione agli obblighi informativi quando i dati sono raccolti presso gli interessati. L'art. 6, comma 3, che consente ad un soggetto di rispondere in nome e per conto di un altro, e' stato considerato compatibile con il Regolamento e con l'art. 105, comma 3, del Codice, in quanto definisce le specifiche circostanze in cui tale modalita' di raccolta e' possibile. Sul punto, tuttavia, deve precisarsi che, il principio di responsabilizzazione impone, in ogni caso, al titolare del trattamento di porre in essere specifiche misure per verificare, ed essere in grado di dimostrare, che il rispondente sia effettivamente legittimato a fornire i dati di un terzo. E' stato altresi' ritenuto incompatibile l'art. 6, comma 4, che individuava alcuni casi di deroga all'obbligo di fornire, informazioni agli interessati quando i dati sono raccolti presso terzi, disponendo che il titolare dovesse dare preventiva informazione al garante delle modalita' prescelte, tra quelle indicate a titolo esemplificativo dalla norma. Parimenti, e' stato considerato incompatibile il comma 5 dell'articolo in esame, nella parte in cui, qualora il titolare avesse ritenuto di non utilizzare le forme di pubblicita' indicate al comma 4, poteva individuare idonee forme di pubblicita' da comunicare preventivamente al garante, che poteva prescrivere eventuali misure e accorgimenti. L'art. 14, § 5, lettera b), del Regolamento ora prevede, infatti, che le informazioni in caso di raccolta di dati presso terzi possano essere omesse nel caso in cui la comunicazione di tali informazioni risultasse impossibile o implicherebbe uno sforzo sproporzionato. Con particolare riferimento ai trattamenti a fini di ricerca scientifica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'art. 89, § 1, non vi e', inoltre, l'obbligo di informare l'interessato nella misura in cui cio' rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' di tale trattamento. In tali casi, il titolare del trattamento e' tenuto comunque ad adottare misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni. L'art. 7 «Consenso» e' stato eliminato perche' le condizioni di liceita' del trattamento, ed in particolare le condizioni per il consenso, sono disciplinate nel Regolamento (articoli 6 e 7). L'art. 8 «Comunicazione e diffusione dei dati» e' stato considerato incompatibile in quanto i presupposti di liceita' di tali operazioni di trattamento sono adesso individuate nel Regolamento (articoli 6, 9 e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies). L'articolo in esame e' stato, inoltre, considerato incompatibile nella parte in cui, al comma 4, ultimo alinea, e al comma 5 disciplinava il trasferimento di dati personali verso paesi terzi, adesso normato agli articoli 44 e seguenti del Regolamento. E' stata modificata la rubrica dell'art. 9 da «Trattamento di dati sensibili o giudiziari» in «Trattamento di categorie particolari di dati personali e di dati relativi a condanni penali e reati». Fermi restando i presupposti di liceita' del trattamento dei dati indicati nella rubrica dell'articolo in esame, nel Regolamento (articoli 6, e 9 e 10) e nel Codice (articoli 2-ter, 2-sexies, 2-septies e 2-octies), l'art. 9, commi 2 e 3, e' stato considerato incompatibile con il Regolamento nella misura in cui tali previsioni individuano predefiniti e specifici casi di applicazione del principio di minimizzazione di cui all'art. 5, § 1, lettera c), del Regolamento che pur tendo conto della specificita' dei trattamenti effettuati a fini statistici e di ricerca scientifica, richiede, oltre a una valutazione del rischio, caso per caso a cura del titolare, l'individuazione di misure tecniche e organizzative adeguate a tutela dell'interessato (articoli 24 e 35 del Regolamento). L'art. 9, commi 4, lettera c), 5 e 6, e' stato, invece, considerato incompatibile laddove individuava condizioni di liceita' del trattamento per i dati sensibili o giudiziari differenti rispetto a quelle previste ora dal Regolamento e dal Codice. L'art. 10 «Dati genetici» e' stato considerato incompatibile in quanto il trattamento di tali dati deve essere effettuato in conformita' all'art. 9 del Regolamento, all'art. 2-sexies, alle prescrizioni individuate dal garante ai sensi dell'art. 21, del decreto legislativo 101 del 2018 e alle specifiche misure di garanzia che l'Autorita' e' chiamata ad adottare ai sensi dell'art. 2-septies del Codice. L'art. 11 «Disposizioni particolari per la ricerca medica, biomedica ed epidemiologica» e' stato modificato al comma 4 al solo fine di confermare le tutele assicurate in tale contesto agli interessati, cosi' come individuate dal richiamo, effettuato per relationem, all'art. 84 del Codice, ora abrogato. Restano ferme, in ogni caso, le misure di garanzia che saranno individuate dal garante, ai sensi dell'art. 2-septies, comma 4, lettera c). L'art. 11, comma 5, e' stato, invece, considerato incompatibile, in quanto le circostanze in cui non e' necessario acquisire il consenso dell'interessato sono state individuate nel provvedimento prescrittivo adottato dal garante ai sensi dell'art. 21 del decreto legislativo 101 del 2018 mentre le condizioni di liceita' del trattamento per le finalita' in esame sono previste dall'art. 110 del Codice. E' stato modificato il titolo del Capo III da «Sicurezza e regole di condotta» in «Disposizioni finali». L'art. 14 «Conservazione dei dati» e' stato aggiornato al primo comma con il rinvio al principio di limitazione della conservazione di cui all'art. 5, § 1, lettera e) del Regolamento. Le parti successive sono state eliminate in quanto sono risultate incompatibili con tale principio che unitamente al principio di responsabilizzazione , impone al titolare una nuova prospettiva e nuovi adempimenti per la valutazione del rischio, al fine di individuare, di volta in volta, adeguate misure, tecniche e organizzative, a garanzia degli interessati (articoli 24 e 35 del Regolamento). L'art. 15 «Misure di sicurezza» e' stato ritenuto incompatibile, in quanto gli aspetti relativi alla sicurezza dei dati sono oggetto ora di specifiche previsioni del Regolamento che, nel rispetto del principio di responsabilizzazione, richiede anche un diverso approccio alle misure di sicurezza che devono esser individuate, fin dalla progettazione e per impostazione predefinita (articoli 24 e 25 del Regolamento), in conformita' all'art. 32 del Regolamento. L'art. 16 «Esercizio dei diritti dell'interessato», al comma 1, e' stato considerato incompatibile, in quanto consentirebbe al titolare la possibilita' di limitare il diritto di rettifica o integrazione senza individuare garanzie adeguate, come richiesto, invece, dall'art. 89 del Regolamento. Il comma 2, e' stato riformulato per renderlo conforme al Regolamento. E' stata, infine, aggiornata, la rubrica dell'art. 17, in «Disposizioni finali», onde evitare ambiguita' rispetto alle regole deontologiche di cui all'art. 2-quater del Codice e con i futuri codici di condotta, di cui all'art. 40 del Regolamento. 3. Regole deontologiche. I predetti elementi, relativi all'aggiornamento della disciplina in materia, sono recepiti nelle «Regole deontologiche per il trattamento a fini statistici o di ricerca» in ragione di quanto disposto dall'art. 20, comma 4, del decreto legislativo n. 101/2018 e riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante. Tali «Regole deontologiche» sono volte a disciplinare i trattamenti in questione in attesa di un auspicabile aggiornamento delle stesse ai sensi degli articoli 2-quater e 106 e seguenti del Codice. Pertanto, si dispone la trasmissione delle suddette «Regole deontologiche» all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la relativa pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'Allegato A) al Codice. Tutto cio' premesso il garante Ai sensi dell'art. 20, comma 4, del decreto legislativo n. 101/2018, verificata la conformita' al regolamento delle disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica, allegato A.4 al Codice, dispone che le medesime, riportate nell'allegato 1 al presente provvedimento e che ne forma parte integrante, siano pubblicate come «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica» e ne dispone, altresi', la trasmissione all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministero della giustizia per essere riportato nell'Allegato A) al Codice. InquadramentoNello svolgimento dell'attività di cura, le strutture sanitarie raccolgono, generalmente, numerose informazioni personali dei pazienti di natura sensibile, tra cui informazioni relative al credo religioso (nella vigenza dell'art. 4, comma 1, lett. d) del codice privacy A-R tali dati erano definiti, in senso più ampio, come dati “idonei a rivelare le convinzioni religiose dell'interessato”). In relazione a tale pratica, con il presente provvedimento, il Garante per la protezione dei dati personali ha stabilito che le strutture sanitarie non debbano raccogliere e trattare in maniera sistematica e preventiva tali informazioni, salvo i casi in cui gli stessi richiedano di usufruire dell'assistenza religiosa e spirituale o risulti indispensabile nello svolgimento dei servizi necroscopici. Nel provvedimento in oggetto, il Garante ha ribadito come il trattamento dei dati personali debba uniformarsi ai principi di pertinenza e non eccedenza in relazione alle finalità legittimamente perseguite (ex art. 11, comma 1, lett. d cod. privacy A-R) e quindi deve essere circoscritto al trattamento dei soli dati personali che siano, caso per caso, strettamente necessari. Ai sensi dell'art. 22.4 del d.lgs. n. 101/2018, tale provvedimento generale continua ad essere applicabile, in quanto compatibile con il Reg. (UE) 2016/679 (“GDPR ”) e con le disposizioni del d.lgs. n. 101/2018 stesso. Lo sforzo interpretativo che ne deriva sembrerebbe rimesso all'interprete, in assenza di un intervento del Garante. Il presente commento contiene alcuni spunti di riflessione a contributo alla predetta valutazione di compatibilità. Libertà di preghiera, assistenza religiosa e spirituale in ospedale e servizi necroscopiciOccorre osservare, in primis, come l'ordinamento giuridico riconosca al paziente il diritto a richiedere un'assistenza religiosa e spirituale durante il ricovero (al riguardo si vedano le fonti normative citate dal Garante nel provvedimento in commento). Peraltro, generalmente, anche le carte dei servizi pubblici sanitari proclamate a livello locale dalle aziende sanitarie annoverano, nell'elenco dei diritti riservati al paziente, il diritto ad avere il rispetto per la loro fede e alla assistenza religiosa, laddove richiesta (al riguardo si vedano le fonti normative citate dal Garante nel provvedimento in commento). Il provvedimento in esame veniva adottato a seguito di alcune segnalazioni pervenute al Garante, nelle quali si lamentava una presunta violazione delle disposizioni in materia di protezione dei dati personali in relazione alla prassi, seguita da molte strutture del Servizio Sanitario Nazionale “SSN”, che prevedeva la somministrazione sistematica ai pazienti, all'atto del ricovero, di un questionario nel quale veniva richiesto di rispondere ad alcune domande tra cui quella relativa al credo religioso (“Qual è la sua religione?”). L'istruttoria compiuta dall'Autorità Garante fece emergere i motivi per cui le strutture sanitarie ritenevano indispensabile raccogliere informazioni sul credo religioso del paziente all'atto del ricovero. Tali motivi erano legati all'esigenza di assicurare al paziente un'assistenza personalizzata con specifico riferimento al regime alimentare, di dedicarsi al momento di preghiera o di ricevere conforto da un religioso, nonché alla possibilità di rifiutare alcune pratiche mediche (come, ad esempio, la trasfusione nel caso dei Testimoni di Geova). In realtà il Garante si era già espresso sul tema con il “Parere del Garante su una versione aggiornata dello schema tipo di regolamento per il trattamento di dati personali sensibili e giudiziari da effettuarsi presso le regioni e le province autonome, le aziende sanitarie, gli enti e agenzie regionali/provinciali, gli enti vigilati dalle regioni e dalle province autonome”, 26 luglio 2012, [doc. web n. 1915390]. In quella sede, l'Autorità si era interrogata sull'indispensabilità del dato relativo alla religione professata dall'interessato ai fini dell'erogazione dell'assistenza religiosa e spirituale in ospedale e della realizzazione dei servizi necroscopici. La soluzione proposta (nella scheda n. 17 del predetto schema tipo di regolamento) prevedeva la possibilità, per le strutture sanitarie, di raccogliere dati relativi alle convinzioni religiose dell'interessato qualora tali informazioni fossero finalizzate a garantire ai ricoverati l'assistenza religiosa e spirituale tramite i ministri di culto delle diverse confessioni religiose (es. bisogno di conforto o di sacramento al letto), e solo ove tale assistenza fosse richiesta dal paziente stesso. Ebbene, l'autorità di controllo, ribadendo la predetta posizione, con il provvedimento in commento chiarisce come, sebbene il nostro sistema giuridico riconosca al paziente il diritto di essere assistito nel rispetto delle proprie convinzioni filosofiche e religiose, ciò non consente alle strutture sanitarie di raccogliere in maniera indiscriminata e preventiva le informazioni relative al credo religioso del paziente dal momento che questi può esprimere, liberamente ed in qualsiasi momento del ricovero, l'esigenza di un'assistenza religiosa. I principi di pertinenza, non eccedenza e necessità richiamati dal Garante alla base della raccolta dei dati relativi al credo religioso dei pazienti da parte delle strutture sanitarie (titolari), alla luce del nuovo quadro normativo in materia di protezione dei dati personali di riferimento, risultano essere ancora attuali e trovano esatta corrispondenza nel principio di minimizzazione dei dati, espresso dall'art. 5.1.c) del GDPR. Riguardo alle finalità di assistenza religiosa e spirituale in ospedale e alla prestazione dei servizi necroscopici, tali finalità appaiono distinte da quelle di cura – quest'ultime precisate dal Garante nel provvedimento del 7 marzo del 2019 (cfr. GPDP, 7 marzo 2019, [doc. web n. 9091942]), Chiarimenti sulla applicazione della disciplina dei dati relativi alla salute in ambito sanitario sebbene la loro realizzazione sia prevista nel medesimo ambito ospedaliero. In relazione ai servizi di assistenza religiosa, rileva osservare che l'art. 35, comma 4 del d.P.R. n. 128/1969 recante “Ordinamento interno dei servizi ospedalieri” – citato dal Garante nel provvedimento in commento – stabilisce che gli ospedali devono disporre di un servizio di assistenza religiosa e che tale servizio debba essere garantito dalla direzione sanitaria su richiesta dell'infermo. Il trattamento dei dati relativi all'assistenza religiosa potrebbe, dunque, trovare in tale riferimento normativo la sua base di liceità riconducibile alle previsioni dell'art. 9.2.g) del GDPR – sebbene non trovi specifici riferimenti nel corrispondente art. 2-sexies del cod. privacy – nonché dell'art. 9.2.i) del GDPR. Il trattamento dei dati connesso alla prestazione dei servizi necroscopici potrebbe anch'esso essere collegato alla combinazione delle basi giuridiche predette. I trattamenti dei dati relativi alle convinzioni religiose sono giustificati, quindi, solo in ragione del perseguimento di tali finalità e non anche di quelle di cura della salute; relativamente a quest'ultimo aspetto lo stesso Garante ha precisato nel provvedimento in commento come per i trattamenti aventi finalità di cura non sia necessario che il titolare raccolga dati relativi alle convinzioni religiose (ad esempio, laddove gli interessati esprimano specifiche preferenze alimentari o rifiutino di sottoporsi a particolari condotte terapeutiche). Regimi alimentari, rifiuto di particolari condotte terapeuticheAl paziente è garantito dall'ordinamento giuridico il diritto ad essere assistito e curato con premura ed attenzione, nel rispetto della dignità umana e delle proprie convinzioni filosofiche e religiose (cfr. art. 1, all. n. 7, del d.P.C.M. 19 maggio 1995 “Schema generale di riferimento per la Carta dei servizi pubblici sanitari”); diritto che, peraltro, si esplicita anche nella facoltà, riconosciuta all'interessato, di esprimere durante il ricovero specifiche preferenze alimentari o il rifiuto di sottoporsi a particolari condotte terapeutiche come, ad esempio, la terapia trasfusionale (sul punto cfr. art. 7 d.m. 1° settembre 1995). A tal riguardo, il Garante sottolinea come il medico abbia il dovere deontologico di astenersi, nel rispetto delle volontà espresse dal paziente, dall'ostinazione in trattamenti diagnostici e terapeutici da cui non si possa fondatamente attendere un beneficio per la salute del malato e/o un miglioramento della qualità della vita, cfr. art. 16 del Codice di deontologia medica del 18 maggio 2014. In base a quanto detto, è appena il caso di osservare come se da un lato il paziente deve poter esprimere il suo consenso in modo libero e cosciente a determinati trattamenti terapeutici, in ragione del suo diritto ad un autodeterminazione terapeutica nonché della sua libertà di coscienza, dall'altro, non c'è la necessità che gli venga chiesto preventivamente quale sia la sua fede religiosa e che tale informazione venga trascritta nell'ambito del trattamento dei dati personali per finalità di cura. Attraverso tale provvedimento, infatti, il Garante ha voluto rimarcare che, in applicazione del citato principio di minimizzazione dei dati (pertinenza, necessità e non eccedenza) le informazioni relative al culto praticato da un paziente, collegate alle indicazioni di particolari regimi alimentari o al rifiuto di sottoporsi a condotte terapeutiche, non dovranno essere acquisite preventivamente dalle strutture sanitarie, in quanto l'interessato ha la possibilità, in qualsiasi momento del ricovero e dopo essere stato adeguatamente informato, di esprimere il proprio diritto all'autodeterminazione terapeutica costituzionalmente garantito, indipendentemente dalle ragioni di carattere religioso. Nell'ambito del trattamento dei dati effettuato per finalità di cura, in ragione del predetto principio di minimizzazione, non è necessario, dunque, raccogliere e trattare dati relativi alle religione di appartenenza dell'interessato per assicurargli un regime alimentare aderente alla volontà espressa dallo stesso ovvero per rispettare le sue scelte terapeutiche espresse in modo consapevole (ad esempio il rifiuto al trattamento trasfusionale nell'ambito dell'espressione del diritto ad un autodeterminazione terapeutica). |
