Il corpo normativo relativo alla tutela della privacy in ambito sanitario, intervenendo in un ambito particolarmente delicato concernente diritti e libertà fondamentali, pone, come sempre avviene in questi casi, l’interrogativo della compatibilità delle diverse discipline; ne consegue la necessaria adesione della visione accolta dei rapporti tra autorità e libertà, al modello di Stato democratico, caratterizzato dalla centralità della persona umana, quale tratteggiato dal costituente del 1948.
Sommario.
- Storia legislativa della privacy in ambito sanitario
- Il trattamento dei dati personali
3.Effetti sul trattamento dei dati
- Conclusioni.
1.Storia legislativa della privacy in ambito sanitario
Il 1° gennaio 2004 è entrato in vigore il D. Lgs. 30 giugno 2003, n. 196, dandosi con ciò avvio all’annunciata sostituzione di tutta la disciplina vigente in materia di protezione dei dati personali, secondo un processo che dovrebbe giungere a compimento, attraverso una serie progressiva di scaglioni, nel corso del 2005. Come si legge nella relazione di accompagnamento[1], il provvedimento intende in tal modo completare l’impianto normativo delineato dalla L. 31 dicembre 1996, n. 675 , allineandolo alla disciplina comunitaria cui si ispirava, e agli accordi e convenzioni internazionali nel frattempo intervenuti, nonché apportarvi le correzioni resesi necessarie alla luce dell’esperienza maturata nei primi anni di applicazione.
Per quanto l’appellativo formale di testo unico potrebbe indurre a pensare diversamente, il provvedimento non ha dunque carattere meramente ricognitivo della normativa in vigore, ma reca anche una serie di disposizioni di coordinamento e innovative — prima fra tutte l’affermazione esplicita del principio secondo il quale « Chiunque ha diritto alla protezione dei dati personali che lo riguardano» (art. 1) — che valgono indubbiamente a qualificare il medesimo come nuova fonte di disciplina della materia. Fonte, va sottolineato, di rango legislativo[2], col conseguente assorbimento e/od eliminazione di varie disposizioni regolamentari non piú necessarie.
L’opera di razionalizzazione e di sistemazione organica della materia in tal modo compiuta merita, com’è giusto che sia, plauso e approvazione.
Ciònostante, il nuovo corpo normativo, intervenendo in un ambito particolarmente delicato concernente diritti e libertà fondamentali, pone, come sempre avviene in questi casi, l’interrogativo della compatibilità della disciplina recata, e con essa della visione accolta dei rapporti tra autorità e libertà, al modello di Stato democratico, caratterizzato dalla centralità della persona umana, quale tratteggiato dal costituente del 1948.
Come sanno bene i cultori del diritto costituzionale, infatti, ciò che qualifica realmente un ordinamento giuridico non è tanto — o non soltanto — il ventaglio dei diritti riconosciuti agli individui, quanto piuttosto il grado della protezione ad essi accordata. Da questo punto di vista, la nostra Costituzione eleva al rango di diritti fondamentali molteplici interessi, individuando per ciascuno di essi, quanto meno nei suoi termini essenziali, il punto di equilibrio tra libertà e limiti. Viceversa, aprendo il catalogo dei diritti inviolabili alle esigenze maturate e dunque suscettibili di provenire dal corpo sociale, la Carta fondamentale non compie analoga valutazione, né d’altra parte, data l’eterogeneità e la non predefinibilità a priori dei «nuovi diritti», potrebbe farlo.
Conseguentemente, nel momento in cui il novero delle libertà si arricchisce dell’esplicitazione di alcune di esse, si pone il problema della definizione dei limiti cui va incontro la nuova fattispecie, e della necessaria rimodulazione dei vincoli cui va incontro ciascuna delle situazioni giuridiche soggettive «pregresse» incise da tale sviluppo, nella misura in cui entrambe insistono sulla stessa area.
Ebbene, il riconoscimento esplicito del diritto alla protezione dei dati personali da parte del t.u. sulla privacy, e la sua attrazione nel novero dei diritti costituzionali, vuoi in virtú della copertura offerta dall’art. 2 del documento fondamentale, vuoi grazie al ruolo svolto in tale direzione dalla Convenzione europea dei diritti dell’uomo, dalla Carta di Nizza, e ancora dalla normativa comunitaria derivata dai Trattati, ripropone con evidenza siffatto problema: ossia tanto l’individuazione del grado di protezione di tale nuovo diritto, quanto le implicazioni che il riconoscimento determina a carico di altri diritti costituzionalmente garantiti.
Invero, se si può essere tendenzialmente d’accordo sul fatto che, ogniqualvolta si allarga il catalogo dei diritti, è inevitabile che in corrispondenza si apra anche la serie dei doveri e degli obblighi, nei termini resi necessari dall’armonica convivenza delle varie sfere giuridiche[3], non si può negare che tale dinamica evolutiva deve arrestarsi ai margini della tavola costituzionale dei valori. E ciò, in quanto la funzione di indirizzo politico che nella regolamentazione positiva si manifesta è pur sempre espressione di potere costituito in funzione di detti valori, e non può spingersi al punto da configurarsi come esercizio di potere costituente.
La questione riveste particolare interesse in relazione alla disciplina del trattamento dei dati sensibili in ambito sanitario, dal momento che si pone in tal caso l’esigenza di definire un ragionevole equilibrio tra il diritto alla salute, che impone di non ostacolare l’erogazione delle prestazioni necessarie per la salvaguardia della salute e dell’integrità fisica dell’interessato e dei terzi, e un adeguato mantenimento delle garanzie prescritte a salvaguardia di quello che, come si è soliti dire, costituisce il nocciolo duro della privacy. Ed è proprio su tale profilo che si intende dunque concentrare l’attenzione, con lo scopo di accertare quale sia l’equilibrio configurato dal legislatore, e la sua compatibilità con i principi evincibili in materia dalla Costituzione e dalle fonti internazionali e comunitarie[4].
Nell’ambito in tal modo delineato, i soggetti pubblici sono autorizzati a trattare tutti i dati funzionali allo svolgimento delle loro attività istituzionali, ivi compresi, dunque, pure i dati sensibili. Va sottolineato, ad ogni modo, come in relazione a questi ultimi il testo del codice richiami gli enti pubblici ad una stretta aderenza ai principi di necessità e di pertinenza.
Ad esempio, per quanto le garanzie connesse alla previsione legislativa rendano di norma superfluo il consenso dell’interessato (art. 18, 4° comma), anche il trattamento dei dati sensibili deve essere preceduto dall’ informativa di cui all’art. 13 (art. 22, 2° comma); deve essere limitato, sia per quel che riguarda le operazioni eseguibili, che rispetto ai dati trattati, a quanto indispensabile per lo svolgimento delle attività istituzionali e la realizzazione delle finalità del soggetto agente (art. 22, 3° e 9° comma); mentre i dati devono essere gestiti con modalità (solo per citarne alcune sotto il profilo della conservazione, e per quel che attiene alla cifratura, e all’accesso), atte a prevenire qualunque violazione dei diritti, delle libertà fondamentali e della dignità dell’interessato (art. 22, 1° , 4° , 5° e 6° comma).
Alle cautele prescritte in relazione alla generalità dei dati sensibili, i dati idonei a rivelare lo stato di salute vedono poi sommarsi altre guarentigie. Oltre al divieto di diffusione (art. 22, 8° comma) e all’obbligo di conservazione separata (art. 22, 7° comma), per essi il testo unico dispone l’utilizzo di codici o altre soluzioni che permettano di identificare gli interessati solo in caso di necessità (art. 22, 6° e 7° comma), e soprattutto, ad integrazione della previsione legislativa di cui all’art. 20, la necessità, in relazione ai dati necessari per perseguire finalità di tutela della salute dell’interessato o di terzi, di acquisire il consenso del soggetto a cui i dati stessi si riferiscono, ovvero l’autorizzazione del Garante.
In ambito sanitario, cioè, il Codice reca due distinti regimi giuridici: l’uno, applicabile ai trattamenti effettuati per realizzare le finalità del servizio sanitario nazionale, attraverso le attività diverse da quelle di cura, ed identificate all’art. 85, 1° comma, lett. a-g. L’altro, applicabile viceversa ai trattamenti dei dati idonei a rivelare lo stato di salute effettuati dagli esercenti le professioni sanitarie o da organismi sanitari pubblici, per finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un terzo o della collettività.
Mentre i trattamenti del primo tipo possono essere effettuati nel rispetto della regola generale già illustrata, concernente l’osservanza delle norme primarie e secondarie di attuazione, e gli accorgimenti specificati agli artt. 22, e 85, 3° e 4° comma, per i trattamenti connessi ad esigenze di tutela della salute l’art. 76 conferma invece la regola speciale, già introdotta dal D. Lgs. n. 282 del 1999, in base alla quale essi possono aver luogo, se si tratta di tutelare la salute e l’incolumità fisica dell’interessato, solo se vi è in tal senso il consenso dell’interessato; e se invece è questione di tutelare la salute e l’incolumità fisica di un terzo o della collettività, anche senza il consenso dell’interessato, ma comunque previa autorizzazione del Garante.
Rispetto a quanto stabilito in via generale per il trattamento dei dati personali in ambito sanitario, che vede già l’assoggettamento alla disciplina dei dati sensibili, accompagnata dalla congrua specificazione di garanzie ad hoc[5], la preordinazione del trattamento a finalità di tutela della salute comporta dunque la sottoposizione ad ulteriori, consistenti difformità, che attengono principalmente al regime dell’informativa e del consenso.
E invero, per questa seconda tipologia di operazioni, il Codice, come già aveva fatto il D. Lgs. n. 282 del 1999, ha da una lato inteso rafforzare i diritti degli interessati, subordinando il trattamento alla garanzia aggiuntiva del consenso dell’interessato, ovvero dell’autorizzazione del Garante, ma nello stesso tempo ha semplificato l’ iter della richiesta e dell’acquisizione del consenso quando appunto i trattamenti in discorso siano effettuati dai soggetti istituzionalmente preposti alla tutela di tale primario interesse.
Come già accennato, in tale ambito il legislatore si è infatti trovato a dover conciliare il diritto alla riservatezza sulle informazioni personali di carattere piú intimo e delicato, con il diritto alla salute, che richiede da parte degli operatori sanitari, da un lato, un’organizzazione efficiente e razionale delle informazioni concernenti l’anamnesi clinica personale dei pazienti, e dall’altro, la possibilità di intervenire tempestivamente con la prestazione medica. La soluzione è stata appunto trovata nel disposto di due articoli. L’art. 76, a mente del quale « Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell’ambito di un’attività di rilevante interesse pubblico ai sensi dell’articolo 85, trattano i dati personali idonei a rivelare lo stato di salute: a ) con il consenso dell’interessato e anche senza l’autorizzazione del garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato; b ) anche senza il consenso dell’interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a ) riguarda un terzo o la collettività». E l’art. 82 (emergenze e tutela della salute e dell’incolumità fisica), per il quale: « 1. L’informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato un’ordinanza contingibile ed urgente ai sensi dell’articolo 117 del decreto legislativo 31 marzo 1998, n. 112. 2. L’informativa e il consenso al trattamento dei dati personali possono altresí intervenire senza ritardo, successivamente alla prestazione, nel caso di: a ) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato, quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente, o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato; b ) rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato. 3. L’informativa e il consenso al trattamento dei dati possono intervenire senza ritardo, successivamente alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia. 4. Dopo il raggiungimento della maggiore età l’informativa è fornita all’interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando questo è necessario».
In condizioni di normalità, la raccolta e l’organizzazione delle informazioni personali di carattere sanitario ha dunque luogo, quando si tratta di dati strumentali alla tutela della salute dell’interessato, se ed in quanto acconsentita dal soggetto cui i dati stessi si riferiscono. Tuttavia, il testo unico si limita in tale circostanza a richiedere la manifestazione orale del consenso[6], in considerazione della rilevante finalità pubblica perseguita, esplicitamente prevista e consentita dalla legge, e della sua preordinazione alla realizzazione di un diritto costituzionale dello stesso soggetto al quale i dati si riferiscono (art. 81).
Posto comunque che il trattamento dei dati idonei a rivelare lo stato di salute può essere funzionale anche alla salvaguardia della salute della collettività o di terzi — che non dobbiamo dimenticarlo è parimenti tutelata dall’ art. 32 Cost. — in tale ipotesi lo stesso art. 76 autorizza gli operatori sanitari ai trattamenti relativi anche senza, e addirittura contro il volere del soggetto al quale le informazioni si riferiscono, purché previamente autorizzati dal Garante.
Infine, in relazione ad una situazione di emergenza sanitaria dichiarata con ordinanza contingibile ed urgente, quanto in casi di urgenza connessi alla necessità di effettuare con rapidità l’intervento medico, l’art. 82 contempla un regime che potremmo definire «attenuato» di esercizio del diritto alla privacy sui propri dati sanitari, caratterizzato dalla posticipazione dell’informativa e del consenso ad un momento successivo rispetto al compimento della prestazione sanitaria di cura della salute.
Volume consigliato
Dall’e-commerce al punto vendita on-line – e-Book in pdf
L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in rete. Coordinatore Damiano MarinelliAvvocato cassazionista, mediatore ed arbitro. Già Docente universitario, è Presidente dell’Associazione Legali Italiani (www.associazionelegaliitaliani.it) e Consigliere Nazionale dell’Unione Nazionale Consumatori. Specializzato in Diritto civile e commerciale, è autore di numerose pubblicazioni, nonché relatore in convegni e seminari (www.areaconsulenze.it – marinelli@areaconsulenze.it).
Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli | 2021 Maggioli Editore
14.90 € 11.92 €
-
Il trattamento dei dati personali
Fermo restando quindi le semplificazioni relative alle modalità di informativa e del consenso, il trattamento dei dati personali idonei a rivelare lo stato di salute del soggetto, preordinato all’erogazione di prestazioni sanitarie a beneficio della salute dell’interessato o di terzi, incontra tre diversi presupposti, a seconda delle finalità specificamente perseguite, e del contesto nel quale il trattamento stesso è realizzato.
Si tratta, rispettivamente a) del consenso preventivo del soggetto al quale le informazioni ineriscono, quando il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato; b) dell’ autorizzazione del Garante, se la finalità di tutela della salute riguarda un terzo o la collettività; c) del consenso reso senza ritardo, successivamente alla prestazione medica di cui benefici tanto il titolare dei dati, quanto eventuali terzi, nelle situazioni di emergenza individuate all’art. 82.
Ora, quanto alle prime due ipotesi, nulla quaestio, realizzando ictu oculi nel primo caso, la massima forma di tutela della privacy individuale, e, nel secondo, la devoluzione all’autorità di garanzia della valutazione delle contrapposte esigenze, individuale alla riservatezza, e collettiva alla salute.
Maggiori perplessità potrebbero invece nutrirsi rispetto alla fattispecie di cui alla precedente lett. c), che sembra configurare un regime «attenuato» di esercizio del diritto alla protezione sui propri dati sanitari, legato alla sussistenza e al perdurare di una situazione di emergenza. Non si può infatti negare che la soluzione legislativa, a fronte di un generale rafforzamento del potere di controllo sulle informazioni personali attraverso la valorizzazione dell’autodeterminazione individuale — che quando non vengono in rilievo esigenze di tutela della salute dei terzi si esprime nella manifestazione del consenso dell’interessato — comporta nel caso di specie una sorta di «sospensione» dell’esercizio del diritto in discussione, peraltro proprio in uno dei momenti piú delicati per la vita del singolo e/o della collettività.
In effetti, nella necessità di bilanciare il diritto alla riservatezza del soggetto sui suoi dati sensibili (che sono quelli che costituiscono il nocciolo duro della privacy), con l’esigenza di conoscenza di tali dati da parte degli organismi preposti alla tutela sostanziale del diritto alla salute, il legislatore sembra aver decisamente optato per privilegiare tale ultimo fattore, posto che, nel momento in cui vengono in discussione interessi che vanno in qualche modo al di là della mera individualità del soggetto, le garanzie apprestate dall’ordinamento a garanzia del «controllo» individuale sulle informazioni personali che lo riguardano, vengono a ritrarsi[7].
Si potrebbe anche dire che quando sui due piatti della bilancia si vengano a collocare, rispettivamente, diritto alla privacy e diritto alla salute, il bilanciamento viene ad essere compiuto dal legislatore unidirezionalmente in favore di questo secondo diritto. E ciò, almeno a prima vista, potrebbe essere nella sostanza condivisibile, se non altro in considerazione del fatto, se cosí si può dire, che il diritto alla privacy (al pari ad esempio di ciò che potrebbe dirsi per il diritto all’eutanasia) è proprio un «nuovo diritto», potremmo dire il prodotto dell’evoluzione sociale, e in quanto tale suscettibile di assumere giuridico rilievo solo in società relativamente evolute nelle quali vi è un livello relativamente elevato di tutela dei diritti intrinsecamente fondamentali.
D’altra parte, la scelta compiuta dal legislatore trova conforto alla luce dei criteri di composizione dei potenziali conflitti tra diritti enucleati dalla Carta di Nizza.
Dopo aver riconosciuto tanto il diritto alla protezione dei dati personali, quanto il diritto alla salute, rispettivamente all’art. 8 e all’art. 35, l’art. 52 della Carta recita infatti che «Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui».
Sorvolando per il momento sulla questione — qui irrilevante — della natura vincolante o «politica» dell’articolato ora riportato, e fermo restando quindi che il fondamento normativo che genera le situazioni soggettive all’esame è da ravvisarsi ora nella CEDU, ora nella Costituzione degli Stati membri; e trascurando altresí la circostanza — e gli annessi interrogativi — relativa al fatto che il grado di protezione apportato da tali strumenti giuridici ai diritti dell’uomo non è, come nel caso all’esame, completamente coincidente; e ancora, posto che il livello di protezione accordato da tali fonti alle libertà fondamentali non può subire pregiudizio dalla disciplina recata dalla Carta (secondo quanto sancito dall’art. 53), non par dubbio che il catalogo di Nizza, nel dettare un disciplina generale (e generica) della portata dei diritti ivi garantiti, reca alcune asserzioni di grande importanza.
In particolare, le limitazioni all’esercizio dei diritti e delle libertà riconosciute può aver luogo solo nella sussistenza, contestuale, di alcune condizioni legittimanti, ravvisate: a) nella previsione legislativa; b) nel rispetto del contenuto essenziale della situazione giuridica incisa; c) nel fatto che la limitazione deve essere necessaria, tale essendo quella che risponde effettivamente o a finalità di interesse generale riconosciute dall’Unione, o all’esigenza di proteggere i diritti e le libertà altrui, ed infine, d) nell’intervento proporzionato alla necessità.
Si tratta, come ben si vede, del recepimento degli insegnamenti della Corte di Strasburgo e della Corte di giustizia allorquando, chiamate a pronunciarsi sulla possibilità per gli Stati di limitare il diritto alla vita privata e familiare ai sensi del 2° comma dell’art. 8 della CEDU, hanno cercato di limitare tale facoltà onde non svuotare di significato lo stesso riconoscimento del diritto. In tale ambito, come si ricorderà, la Corte europea dei diritti dell’uomo ha infatti ripetutamente asserito che l’ingerenza deve essere fondata su di un bisogno sociale imperativo e deve essere proporzionata al fine perseguito, devono esistere in diritto interno garanzie idonee e sufficienti ad evitare il rischio di abusi, e che il processo decisionale che conduce all’adozione del provvedimento di ingerenza deve essere equo e rispettare opportunamente gli interessi dell’individuo tutelati dall’art. 8[8].
E non è chi non veda come la formula dell’art. 52 non sia altro che la mera puntualizzazione degli elementi apprezzati da ogni giudice di costituzionalità ogni qual volta è chiamato a pronunciarsi secondo lo schema del giudizio di bilanciamento degli interessi. La legittimità del compromesso tra interessi configgenti fissato dalla legge, infatti, non dipende di norma da considerazioni astratte circa la maggiore o minore importanza di un interesse su un altro, ma procede dall’accertamento del fatto che lo strumento normativo prescelto per tutelare un determinato interesse è quello che comporta il minor sacrificio degli interessi concorrenti, e che comunque non ne annulla il contenuto essenziale. Elementi tutti che sembrano ravvisabili nella disposizione all’esame, che nel privilegiare la protezione dell’interesse alla salute si limita a posticipare la manifestazione del consenso al trattamento dei dati personali in relazione a circostanze nelle quali l’emergenza sanitaria è assolutamente impellente e improcrastinabile. Si ritrova infatti l’elemento della proporzionalità, del rispetto della previsione legislativa, della effettiva limitazione alla necessità di cura della salute. Si può anche osservare che la previsione legislativa in realtà non intende impedire integralmente l’esercizio del diritto alla riservatezza, limitandosi a prevedere un ragionevole rinvio temporale del momento in cui viene resa l’informativa sul trattamento dei dati personali e il conseguente consenso, peraltro giustificato da oggettive circostanze legate all’urgenza della prestazione medica da rendere e dalla necessità di cautelare il sanitario che intervenga in condizioni di forza maggiore.
Ora, però, se a sostegno della scelta legislativa possono citarsi i suesposti argomenti, a mio parere non si deve dimenticare che, in relazione ai diritti di libertà, godimento ed esercizio coincidono, e non può darsi l’uno senza l’altro, sicché è lecito dubitare della effettiva garanzia del nocciolo duro che costituisce l’essenza del diritto alla protezione dei dati personali ove venga impedita la concreta manifestazione del consenso al trattamento dei dati sensibili di tipo sanitario[9].
In secondo luogo, non si può mancare di osservare, altresí, che il testo unico sulla privacy, cosí come la Carta di Nizza, si richiama costantemente al concetto di dignità. Anzi, dal punto di vista contenutistico, la Carta dei diritti fondamentali dell’Unione europea assegna a tale nozione un valore centrale, che formalmente precede addirittura il diritto alla vita. Se cosí è, se cioè la dignità umana «supera» la stessa vita, nel senso di offrire una precisa scelta ideologica, se ne possono trarre alcune conseguenze anche per il tema che ci interessa.
Se è evidente infatti che da tale ordine di priorità possono conseguire significative ricadute su tematiche quali quelle dell’eutanasia e dell’aborto, è anche vero, però, che l’influenza del carattere prioritario della dignità può dispiegarsi anche nella soluzione del bilanciamento tra privacy e salute. In un contesto nel quale la dignità è avvertita come valore preminente su quello della stessa vita può essere, infatti, che anche la privacy rappresenti un’esigenza umana piú impellente di quella della salute. Mentre allora in un contesto nel quale la vita è bene supremo, la riservatezza — cosí come il diritto a non subire trattamenti inumani e degradanti, o il diritto alla vita privata, o ancora la libertà di pensiero — deve verosimilmente cedere il passo ad esigenze di protezione della vita stessa, e in funzione di quella, della salute umana; non altrettanto può dirsi con certezza laddove la «qualità» della vita — per quanto il concetto di qualità sia sicuramente riduttivo rispetto a quello di dignità — rappresenta il valore principale.
Spostare infatti il perso del sistema, dalla sacralità della vita alla inviolabilità della dignità umana, implica, nel giudizio di bilanciamento tra i diritti della persona volta a volta coinvolti, assegnare maggior peso all’autodeterminazione, e dunque alla volontà dell’interessato[10]. È anche in questa prospettiva allora che, mi pare, debbono essere valutate le scelte adottate dal nostro legislatore in materia di trattamento di dati personali in ambito sanitario.
In particolare, da questo angolo prospettico dubbi possono nutrirsi non tanto sulla previsione del 1° e 2° comma dell’art. 82, quanto in ordine al 3° comma, là dove prevede che l’informativa e il consenso al trattamento dei dati possono intervenire senza ritardo, successivamente alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia.
La cosa che sembra di poter cogliere alla luce del suesposto argomento, e che emerge pericolosamente nelle pieghe dell’art. 82, è infatti il rischio per l’individuo di subire la compressione di un diritto (quello alla privacy) non solo per la tutela di un altro (la salute), di pari forza e dignità, quanto piuttosto spinti dal faro del «dovere», non «diritto» alla salute, il quale però, a differenza della corrispondente situazione giuridica soggettiva di vantaggio, non sembra godere della stessa copertura costituzionale.
L’evoluzione normativa, cntinua con l’analisi degli articoli 9 e 10 del regolamento (UE) 2016/679.
Quello che la norma non chiarisce è se i trattamenti che si richiede vengano effettuati dai datori di lavoro sono connessi all’esercizio di funzioni di interesse pubblico nel contrasto all’epidemia (e allora da ricondurre alle lettere g), h), i) dell’art. 9 del Regolamento europeo) o vanno, invece, ricondotti ad obblighi datoriali di tutela della salute e sicurezza (e dunque da ricondurre alla lettera b).
Il legislatore avrebbe dovuto scegliere chiaramente se affidare ai datori di lavoro vere e proprie funzioni direttamente di interesse pubblico, oppure limitarsi a specificare, per la fase di emergenza sanitaria, quali siano gli obblighi di tutela in capo alle aziende. È in gioco la libertà d’impresa e la dignità dei lavoratori, la salute e la sicurezza. E la certezza del diritto è un bene essenziale, anche e soprattutto in questo momento di grave criticità.
Si rammenta che l’articolo 23 del regolamento europeo attribuisce agli Stati membri la facoltà di limitare, mediante misure legislative, la portata degli obblighi e dei diritti previsti dagli articoli da 12 a 22 e 34 del regolamento medesimo; ciò è ammesso, tuttavia, solamente qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare, tra l’altro, rilevanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, tra cui rileva certamente la sanità pubblica.
Il legislatore, in una situazione di emergenza, dovrebbe esplicitare l’attribuzione di precise funzioni la cui esecuzione viene demandata a soggetti specificati, in misura coerente con le finalità di interesse pubblico perseguite ed esplicitate; i trattamenti, che devono essere necessari per il perseguimento di dette finalità, dovrebbero essere individuati. Non si può dimenticare che, nella sistematica del reg. 2016/679 e del d.legis. 196/2003, le disposizioni di legge che abilitano il trattamento delle categorie particolari di dati personali per motivi di interesse pubblico rilevante devono specificare “i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante”, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato[11].
Nulla di tutto questo è dato intravedere nel testo dell’art. 17 bis con riferimento a soggetti che non svolgono compiti del servizio sanitario nazionale, né operano in ambito sanitario. Non sono attribuite funzioni specifiche, né sono indicati quali sono i trattamenti da effettuarsi nel perseguimento delle finalità di interesse pubblico, anch’esse lasciate piuttosto imprecisate.
L’estrema genericità della norma rimette alla responsabilità del datore di lavoro (e non solo, ma questo è l’ambito preferenziale di attenzione in questa sede) il compito di individuare funzioni, ambiti, attribuzioni e tipologie di trattamenti, da effettuare nel rispetto dei principi di necessità, indispensabilità, liceità, correttezza, trasparenza, adeguatezza, minimizzazione e sicurezza (art. 5 reg. 2016/679), avuto riguardo all’esigenza di contemperare la funzione di interesse pubblico rilevante genericamente affermata con quella afferente la salvaguardia della riservatezza degli interessati.
Così facendo il legislatore non solo non si attiene alla disciplina sovranazionale, ma carica soggetti privati, estranei allo svolgimento di compiti in ambito sanitario e di sicurezza pubblica, di una responsabilità dilatata ed indeterminata, in palese violazione dell’art. 23 del regolamento europeo.
-
Effetti sul trattamento dei dati
Com’è noto, il presupposto di legittimità del trattamento dei dati è diverso a seconda che il trattamento sia effettuato da soggetti pubblici o da soggetti privati. Se il titolare del trattamento è un soggetto pubblico, il trattamento dei dati personali è lecito soltanto per lo svolgimento delle funzioni istituzionali dell’ente, nei limiti previsti da leggi e regolamenti; se il titolare del trattamento è invece un soggetto privato o un soggetto pubblico economico, l’art. 23 del Codice in materia di protezione dei dati personali (di seguito più brevemente “il Codice”) richiede, ai fini della legittimità del trattamento, il consenso dell’interessato[12].
Il consenso dell’interessato, inoltre, secondo quanto previsto dagli artt. 75 ss. del Codice, rappresenta il generale presupposto di legittimità del trattamento dei dati idonei a rivelare lo stato di salute per finalità di cura, di diagnosi e di terapia. In questo caso, va detto che il Codice non differenzia la disciplina, a seconda della natura pubblica o privata del titolare del trattamento, stabilendo all’art. 76 che gli esercenti le professioni sanitarie e gli organismi sanitari possono trattare i dati idonei a rivelare lo stato di salute “con il consenso dell’interessato, e anche senza l’autorizzazione del Garante, se il trattamento riguarda dati ed operazioni indispensabili per perseguire una finalità di tutela della salute o di incolumità fisica dell’interessato”.
Per poter esprimere un valido consenso, l’interessato deve ricevere una specifica informativa, il cui contenuto minimo è disciplinato dall’art. 13 del Codice. L’informativa rappresenta il principale strumento attraverso cui garantire il diritto alla protezione dei dati personali e, sotto il profilo giuridico, costituisce un adempimento generale cui, salvo casi eccezionali, sono sottoposti tutti i titolari di trattamento.
Il consenso al trattamento dei dati personali deve soddisfare specifici ulteriori requisiti previsti dalla legge, analoghi a quelli richiesti per il consenso al trattamento medico. Il consenso dell’interessato deve essere libero e quindi formarsi senza pressioni, minacce, violenze o timori, anche “meramente” riverenziali; deve essere specifico e quindi riferirsi ad un individuato e dichiarato (nell’informativa) trattamento. Il consenso deve, inoltre, essere espresso e documentato per iscritto. La forma scritta non è richiesta, in generale, per la validità del consenso, ma solo per la prova, essendo necessaria un’attività che attesti per iscritto l’avvenuta prestazione da parte dell’interessato. La forma scritta è richiesta per la validità del consenso quando il trattamento concerne dati sensibili, tra cui i dati idonei a rivelare lo stato di salute dell’interessato.
La disciplina italiana sul consenso, qui sommariamente ricostruita, si connota per un eccessivo rigore, evidente qualora ci si riferisca al trattamento dei dati sanitari per finalità di cura e assistenza medica. Risulta, infatti, particolarmente critica la disciplina, contenuta nell’art. 82, commi 2° e 3°, del Codice, che prevede specifiche ipotesi in cui la manifestazione del consenso dell’interessato è differita ad un momento successivo alla prestazione medica[13]. Si tratta di casi che attribuiscono all’operatore sanitario un potere di accertamento, eccessivamente ampio e difficilmente sindacabile. Cosa accade nel caso in cui il paziente successivamente alla prestazione medica neghi il suo consenso? Gli effetti che si sono verificati fino a quel momento restano naturalmente impregiudicati, ma può attribuirsi una responsabilità all’operatore sanitario?
Autorevole dottrina si è interrogata sulla valenza del consenso e sui connessi adempimenti per i titolari del trattamento. è stata messa in dubbio la sua effettività, alla luce della peculiare natura del rapporto tra medico e paziente, dove il prerequisito della libertà risulta frustrato dalla circostanza per cui al paziente non è riconosciuta la possibilità di negarlo. Il rischio paventato, in altri termini, è che il consenso al trattamento dei dati personali diventi un adempimento routinario e puramente teorico[14].
Secondo questo orientamento, occorre ripensare questa condizione di legittimità del trattamento e optare per un approccio pragmatico alla tematica del bilanciamento dell’esigenza di tutela della dignità e della riservatezza della persona assistita con il diritto alla cura e all’assistenza sanitaria. Considerando le realtà organizzative delle strutture sanitarie, non dovrebbe inoltre essere trascurata la necessità di semplificazione e razionalizzazione delle modalità operative.
Si dovrebbe attribuire rilievo alle finalità del trattamento, coniugando la disciplina giuridica di riferimento lungo la coordinata della funzionalizzazione. La strumentalità del dato ad una finalità di cura e di assistenza sanitaria non può, del resto, essere collocata, sotto il profilo della tutela, sul medesimo piano di quella, ad esempio, per finalità di marketing o di ricerche di mercato. La tutela giuridica deve cioè necessariamente declinarsi considerando il contesto di riferimento e quindi alla luce, oltre evidentemente del profilo soggettivo della persona, della natura dei dati e degli strumenti utilizzati, oltre che delle finalità cui tende l’operazione di trattamento.
Questa, peraltro, è la direzione della dir. 1995/46/CE sul trattamento dei dati personali che, all’art. 8, comma 3°, stabilisce che è lecito il trattamento dei dati idonei a rivelare lo stato di salute, a prescindere dal consenso dell’interessato, quando esso sia necessario alla diagnostica medica, alla somministrazione di cure, alla gestione di centri di cura ovvero quando il trattamento sia effettuato da un professionista in campo sanitario e soggetto al segreto professionale (…).
Allo stesso modo, il recente reg. UE n. 679/2016 sulla protezione dei dati personali, all’art. 9, punto 2, lett. h) qualifica di per sé lecito “il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”, fatto salvo il rispetto del segreto professionale[15].
Certamente, l’allegazione di un modello di informativa e di consenso al trattamento dei dati personali è un elemento di evidente rilevanza, idoneo a guidare le strutture sanitarie, orientando il più possibile le scelte operative; suscita, tuttavia, perplessità la qualificazione dell’informativa sul trattamento dei dati personali quale componente essenziale del complesso informativo, strumentale al consenso informato al trattamento medico.
Come detto, l’informativa sul trattamento dei dati personali rappresenta un adempimento richiesto dalla legge in ragione del trattamento dei dati. Il trattamento dei dati personali, anche di quelli idonei a rivelare lo stato di salute, è operazione necessaria per poter accedere alle tecniche di PMA e di qui la necessità in capo alle strutture sanitarie, in qualità di titolari del trattamento, di conformarsi alle previsioni del sopra citato d.lgs. n. 196/03 e quindi, fra l’altro, di richiedere a ciascun componente della coppia il consenso al trattamento dei dati, previa specifica informativa. Sotto il profilo temporale, peraltro, va evidenziato che l’informativa sul trattamento dei dati personali deve essere fornita all’atto del primo contatto tra la coppia e la struttura sanitaria, salvo poi la necessità di integrarla in caso di richiesta di accesso alle tecniche di PMA.
L’inserimento dell’informativa sul trattamento dei dati personali nell’elencazione, delle informazioni da fornire alla coppia, strumentali al consenso all’intervento terapeutico, è stato espressamente richiesto dal Garante per la protezione dei dati personali. Con il provvedimento 10 novembre 2016, il Garante ha difatti condizionato la formulazione del necessario parere favorevole sullo schema di regolamento a una serie di integrazioni tra cui, per l’appunto, quella di “integrare l’art. 1, comma 1 dello schema di regolamento, inserendo l’indicazione relativa alla necessità di fornire all’interessato l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 del Codice, qualora questa non sia stata fornita precedentemente; integrare l’art. 1, comma 2, nella parte che prevede l’acquisizione del consenso informato unitamente al consenso relativo al trattamento dei dati personali, con l’indicazione relativa alla connessa informativa”[16].
Sarebbe stato, però, preferibile mantenere l’assetto originario della previsione, che non ricomprendeva l’informativa sul trattamento dei dati personali tra gli elementi minimi di conoscenza necessari alla formazione del consenso informato.Il Gdpr, ribadendo quanto già previsto dalla corrispondente previsione del 2004, prevede la necessità dell’informativa sul trattamento dei dati personali e del relativo consenso.
Sarebbe bastato, quindi, limitarsi ad affermare che la struttura sanitaria è tenuta a fornire agli interessati l’informativa sul trattamento dei dati personali e a richiedere loro il consenso. La finalità di richiamare l’attenzione delle strutture sanitarie sullo scrupoloso rispetto della disciplina sulla protezione dei dati personali, sensibilizzando l’adozione di modelli operativi standard, sarebbe stata, in altri termini, ugualmente raggiunta.
L’ulteriore indicazione si traduce, ancora una volta, in un inutile appesantimento di una disciplina, già estremamente dettagliata e puntigliosa e che non è, di fatto, priva di effetti nella prassi operativa. Nel caso in cui, ad esempio, l’informativa sul trattamento dei dati personali sia fornita precedentemente alla richiesta di accesso alle tecniche di PMA, nel modulo informativo strumentale al consenso al trattamento medico andrebbe dato atto dell’avvenuto adempimento. In caso contrario, interpretando letteralmente il dato normativo, l’informativa necessaria al consenso al trattamento medico andrebbe considerata incompleta e conseguentemente, inadempiuto l’obbligo posto in capo alla struttura sanitaria, con le conseguenze anche d’ordine sanzionatorio che ne derivano.
Analizziamo ora il modello di informativa sul trattamento dei dati personali, allegato al d.m. 2016/265, coerentemente alle indicazioni ricevute dal Garante con il citato parere del 10 novembre 2016.
Se, come anticipato, l’allegazione di uno specifico modello di informativa rappresenta una novità che non può non essere accolta positivamente, l’analisi del contenuto solleva alcune criticità. Tralasciando di effettuare considerazioni di ordine formale sulle espressioni utilizzate, ci si limita a rilevare alcuni elementi sostanziali che paiono tradire un’affrettata predisposizione.
Occorre preliminarmente ricordare che l’art. 13 del Codice si limita ad elencare il contenuto minimo delle informazioni da inserire nell’informativa, mentre sono i principi generali sul trattamento dei dati personali, tra cui correttezza, trasparenza, finalità, pertinenza e non eccedenza dei dati, a rappresentare gli elementi di riferimento ai fini della predisposizione di un’adeguata informativa, da cui consegue la valida manifestazione del consenso al trattamento dei dati personali. Informativa e consenso al trattamento dei dati personali sono due atti funzionalmente collegati l’uno all’altro: ne consegue che la mancata, incompleta o inidonea informativa all’interessato rende il consenso invalido e priva le operazioni effettuate del presupposto legale.
Il principio di finalità impone che il trattamento e i dati che ne sono oggetto siano strumentali a scopi individuati, espliciti e comunicati all’interessato. L’esplicitazione delle finalità del trattamento attua il riconoscimento del diritto all’autodeterminazione informativa dell’interessato, atteso che questi, solo se reso edotto e consapevole delle caratteristiche essenziali del trattamento, può controllare i dati personali che ne costituiscono l’oggetto ed esercitare i diritti a lui riconosciuti dall’art. 7 del Codice. Dichiarata una finalità, il trattamento dei dati personali deve ad essa corrispondere; se i dati personali sono trattati per una diversa finalità, il trattamento è illegittimo.
Secondo, inoltre, i principi di pertinenza e di non eccedenza devono essere trattati i soli dati necessari al perseguimento delle finalità dichiarate. I dati personali non devono risultare eccedenti rispetto alle finalità della raccolta; in caso contrario, il relativo trattamento si qualifica come illegittimo.
Sotto il profilo contenutistico, il modello di informativa riporta tutti gli elementi previsti dal Codice. Ciononostante, un elemento di evidente criticità è rappresentato dal fatto che non è specificato quali siano i dati personali strumentali alle finalità amministrative e quali i dati strumentali alle finalità di cura. Criticità resa ancora più palese dal generico riferimento ai “dati personali forniti, compresi i dati idonei a rivelare lo stato di salute e la condizione di infertilità”.
I principi di trasparenza, finalità, pertinenza e non eccedenza dei dati, impongono invece di specificare all’interessato la relazione che lega il trattamento e i dati personali che ne costituiscono l’oggetto ad uno specifico fine. Su questa necessaria strumentalità, che deve essere chiaramente indicata all’interessato, si fonda la legittimità del trattamento. Conseguentemente, anche in ragione della particolare delicatezza della natura delle informazioni raccolte, sarebbe stato necessario precisare i dati personali necessari alle finalità amministrative, distinguendoli opportunamente dai dati personali, necessari alle finalità di assistenza sanitaria. Non è ipotizzabile del resto che i dati personali forniti dagli assistiti, tanto di natura identificativa quanto di natura sanitaria, siano strumentali ad entrambe le finalità e per ciò stesso che possano essere oggetto di trattamento tanto dagli addetti alle funzioni amministrativo-contabili, quanto dai medici e dagli operatori sanitari.
L’indeterminatezza dell’informativa comporta inevitabilmente la genericità del relativo consenso al trattamento dei dati personali. Il relativo modulo si esaurisce difatti in una dichiarazione congiunta dei componenti della coppia, attraverso cui, “preso atto delle informazioni fornite dal titolare del trattamento, prestano il consenso per il trattamento dei dati necessari allo svolgimento delle operazioni indicate nell’informativa”.
La formula non è riferita, come sarebbe stato richiesto coerentemente al dettato normativo, ad un trattamento ben individuato di dati o categorie di dati e per finalità parimenti definite. Il requisito di specificità del consenso, enunciato dall’art. 23 del Codice, non può quindi dirsi soddisfatto da quella che risulta essere una sottoscrizione di una generica ed indeterminata formula, e non come richiesto una “manifestazione di volontà riferita ad un contesto assai preciso”[17].
Spetterà, dunque, alle strutture sanitarie precisare il contenuto dell’informativa, distinguendo opportunamente i dati personali necessari alle funzioni amministrative, da quelli strumentali alla funzione di assistenza e cura sanitaria. Occorrerà, inoltre, delineare con maggiore dettaglio il modulo per il consenso al trattamento dei dati personali, declinandolo in due distinte dichiarazioni: l’una, per il consenso al trattamento dei dati personali per le finalità amministrative; l’altra, per il consenso al trattamento dei dati personali per le finalità terapeutiche.
Stante quindi l’utilità di modelli documentali cui fare riferimento, sarebbe stato necessario un maggiore livello di dettaglio, considerato il complesso apparato normativo di riferimento. Stupisce, peraltro, l’evidente divergenza nel grado di minuzia delle previsioni contenute nel modulo per il consenso al trattamento sanitario rispetto a quelle di cui al modulo per il consenso al trattamento dei dati personali[18].
-
Conclusioni
È venuto adesso il momento di valutare l’impatto del nuovo assetto normativo risultante dal GDPR, dal codice privacy novellato dal D.Lgs. n. 101 del 2018 e dai recenti provvedimenti del Garante sulle attività legate al trattamento dei dati dei terzi acquisiti per finalità difensive.
Balza evidente che il Regolamento europeo non ha tenuto conto delle profonde diversità esistenti tra i sistemi processuali dei paesi dell’Unione Europea ed in particolare della circostanza che l’ordinamento giuridico italiano, a differenza di altri, ha dato piena legittimità sin dal codice di rito del 1988 alle investigazioni da parte del difensore nel processo penale, poi regolamentate in modo più dettagliato a partire dal 2000. La lacuna, almeno in parte, è stata colmata dal D.Lgs. n. 101 del 2018 che, nel rispetto dell’art. 23 del GDPR, ha ricompreso l’interesse a svolgere investigazioni difensive[19] tra quelli meritevoli di particolare protezione (art. 2-undecies cod. privacy).
Anche dal nuovo assetto è possibile ricavare il principio della prevalenza del diritto di difesa sulla tutela del diritto alla riservatezza.
Sono state però abrogate tutte quelle parti del codice della privacy nelle quali si prevedevano le regole di trattamento dei dati personali raccolti in seguito all’esercizio del diritto alla prova su fatti concernenti terze persone, con la correlativa distinzione di regime a seconda della tipologia dei dati (artt. 13, 24 e 26 cod. privacy). L’interprete, quindi, deve desumere il regime di trattamento dei dati personali dalle disposizioni generali contenute nell’art. 5 del GDPR, ove si fa riferimento in particolare ai principi di “liceità, correttezza e trasparenza” (lett. a), di “limitazione di finalità” a quelle esplicite e legittime (lett. b), di “minimizzazione dei dati”, nel senso che il trattamento deve essere limitato a quanto necessario rispetto alle finalità per le quali sono trattati; nonché di “limitazione della conservazione”, ossia per un arco temporale non superiore al conseguimento delle finalità e di “integrità e riservatezza” dei dati stessi.
In altre parole, dai principi generali sul trattamento dei dati personali si ricavano regole di trattamento che, di fatto, hanno un contenuto identico a quelle che prima erano sancite espressamente nel codice privacy. Non cambia, dunque, in sostanza il trattamento dei dati personali non “sensibili” e dei dati “sensibili” diversi da quelli relativi alla salute e alla vita sessuale, che prima era ammesso senza consenso, purché i dati fossero trattati in modo esclusivo per la finalità del diritto alla prova e per il periodo strettamente necessario al loro perseguimento.
Per quanto riguarda i dati c.d. “sensibilissimi”, ossia quelli riguardanti la salute, la vita sessuale e ora anche l’orientamento sessuale e i dati genetici, il criterio del “pari rango” – prima contemplato in modo espresso ai fini della liceità del trattamento – non sembra ricavabile dal Regolamento europeo. L’art. 9 del GDPR, infatti, stabilisce come regola generale il divieto di trattamento di tali dati, prevedendo poi una serie di eccezioni tra cui la “necessità” del trattamento per accertare, esercitare o difendere un diritto in sede giudiziaria (art. 9, comma 2, lett. f) nonché “per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita” (art. 9, comma 2, lett. g).
Viceversa, il criterio del “pari rango” è stato ribadito dal D.Lgs. n. 101 del 2018 all’interno del codice della privacy nella parte in cui disciplina l’accesso ai documenti amministrativi contenenti dati c.d. “sensibilissimi”. Si dice, invero, che il trattamento concernente tali dati è consentito se la situazione giuridicamente rilevante da tutelare con la richiesta di accesso ai documenti amministrativi “è di rango almeno pari ai diritti dell’interessato ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale” (art. 60 cod. privacy vigente). Ed ancora, con riferimento al rilascio da parte di una struttura sanitaria, pubblica o privata, della copia di una cartella clinica a soggetti diversi dall’interessato, si afferma che la richiesta è giustificata in presenza della “documentata necessità di esercitare o difendere un diritto in sede giudiziaria di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale” (art. 92, comma 2, lett. a, cod. privacy vigente)[20].
In conclusione ci pare di poter sostenere che, a prescindere da una maggiore responsabilizzazione per il titolare del trattamento, il quadro generale ai fini che qui interessano risulta in buona parte immutato. Invero, in base alla normativa europea, il trattamento dei dati nell’ambito delle investigazioni difensive deve essere ispirato ai principi di finalità, proporzionalità e minimizzazione dei dati da parte del titolare, come ribadito anche dalle nuove “regole deontologiche”. Si tratta di principi con un raggio operativo quantomeno sovrapponibile, se non più ampio, dei precedenti criteri della “pertinenza, della “non eccedenza” e della “durata strettamente necessaria” contemplati dalla precedente disciplina italiana. Al tempo stesso, il criterio del “pari rango” opera ancora per l’esercizio del diritto di accesso ai dati e ai documenti amministrativi, ossia quando entrano in gioco i dati sensibili di maggior delicatezza come quelli attinenti alla salute, ai dati genetici nonché alla vita e all’orientamento sessuale. Tuttavia, resta sempre affidata all’interprete l’individuazione dei requisiti necessari per la richiesta di documenti alla pubblica amministrazione, esattamente come nel recente passato.
L’impressione che se ne trae è che tutto sembra completamente diverso per ragioni formali, perché sono sopravvenuti i mutamenti normativi sin qui analizzati; ma nella sostanza quasi tutto è rimasto inalterato.
Purtroppo, nel processo di adeguamento innescato dall’emanazione del GDPR, qualcosa si è perso. In particolare, il D.Lgs n. 101 del 2018 ha espunto dal codice privacy alcune disposizioni che operavano un attento bilanciamento tra i diritti dei terzi coinvolti dalle indagini difensive e quelli dell’indagato e dell’offeso. Probabilmente ciò si sarebbe potuto evitare se, nelle opportune sedi, si fosse evidenziata la peculiarità dell’ordinamento italiano che, a differenza di quelli di altri Paesi dell’Unione europea, vanta da tempo una avanzata disciplina delle indagini difensive.
Volume consigliato
Dall’e-commerce al punto vendita on-line – e-Book in pdf
L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in rete. Coordinatore Damiano MarinelliAvvocato cassazionista, mediatore ed arbitro. Già Docente universitario, è Presidente dell’Associazione Legali Italiani (www.associazionelegaliitaliani.it) e Consigliere Nazionale dell’Unione Nazionale Consumatori. Specializzato in Diritto civile e commerciale, è autore di numerose pubblicazioni, nonché relatore in convegni e seminari (www.areaconsulenze.it – marinelli@areaconsulenze.it).
Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli | 2021 Maggioli Editore
14.90 € 11.92 €
Note
[1] In www.privacy.it.
[2] La matrice unicamente legislativa del t.u. sulla privacy si pone in controtendenza rispetto ai precedenti testi unici misti legislativi-regolamentari, ma è apparsa obbligata alla luce degli orientamenti in tema di riassetto normativo e di codificazione accolti dal disegno di legge di semplificazione 2001, in corso di approvazione al momento del licenziamento dei lavori da parte della commissione di studio incaricata di elaborare il nuovo codice. D’altra parte, l’adozione di un testo di matrice legislativa, oltre agli innumerevoli vantaggi in termini di semplificazione e di leggibilità delle norme ivi contenute, appare indubbiamente piú consono — se non addirittura costituzionalmente obbligato — all’oggetto disciplinato, concernente diritti e libertà fondamentali.
[3] Paladin, Diritto costituzionale, Milano, 1998, 572.
[4] Gemma, Rispetto dei trattati internazionali: un nuovo obbligo del legislatore statale, in Quaderni costituzionali, 2002, 605.
[5] In effetti, qualunque dato personale, per il fatto stesso di essere reso in ambito sanitario, è suscettibile di essere considerato sensibile, dal momento che proprio la interazione tra le due informazioni (quella relativa al dato personale in cui consiste, e quella concernente l’ambiente e l’occasione in relazione ai quali è resa) dà luogo ad una potenziale capacità informativa sullo stato di salute — non importa se attuale, passato, o futuro, e neppure se reale, o potenziale — del soggetto a cui si riferisce.
[6] Per espressa previsione dell’art. 81 il consenso, da documentarsi con annotazione dell’esercente la professione sanitaria, o dell’organismo sanitario pubblico, può essere riferito anche a piú trattamenti di dati, ed opera in relazione all’informativa di cui agli artt. 78, 79 e 80.
[7] De Grazia, Ottaviano, Una prima lettura del decreto legislativo 30 luglio 1999 n. 282: disposizioni per garantire la riservatezza dei dati personali in ambito sanitario, in www.diritto.it.
[8] Battaglia, Di Federico, La Carta dei diritti e la tutela della riservatezza, in Rossi (a cura di), Carta dei diritti fondamentali dell’Unione Europea, Milano, 2001, 207 e segg.
[9] Pace, La garanzia dei diritti fondamentali nell’ordinamento costituzionale italiano: il ruolo del legislatore e dei giudici comuni, in Nuove dimensioni nei diritti di libertà. Scritti in onore di Paolo Barile, Padova, 2010, 110, quando osserva che, nei diritti di libertà, il «contenuto» sta tutto «nell’esercizio», con la conseguenza che limitare l’esercizio equivale a restringerne il contenuto.
[10] Olivetti, in Bifulco-Cartabia-Celotto (a cura di), L’Europa dei diritti, Bologna, 2001, sub art. 2, 50 e segg.; Barbisan, Sacralità della vita e bilanciamenti nella giurisprudenza inglese ed in quella della Corte europea di Strasburgo, in Foro It., 2003, 67.
[11] Perrone, Questioni di conformità del diritto alla privacy dell’emergenza con in diritto dell’Unione europea, in Dir. rel. ind., 2020, 2, 581.
[12] Finocchiaro, Privacy e protezione dei dati personali, Bologna, 2012, p. 95 ss.
[13] Finocchiaro, Il trattamento dei dati sanitari: alcune riflessioni critiche a dieci anni dall’entrata in vigore del Codice in materia di protezione dei dati personali, in Sanità pubblica e privata, 2009, n. 2.
[14] Buttarelli, Banche dati e tutela della riservatezza. La privacy nella Società dell’Informazione. Commento analitico alle leggi 31 dicembre 1996, nn. 675 e 676 in materia di trattamento dei dati personali e alla normativa comunitaria ed internazionale, Milano, 1997, p. 284.
[15] Va detto che la funzionalizzazione è un criterio chiave dell’impianto di tutela del citato regolamento. Secondo il 52° considerando la deroga al divieto di trattare categorie particolari di dati personali (tra cui rientrano i dati idonei a rivelare lo stato di salute) “dovrebbe essere consentita (…), fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, (…) per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria”. Aggiunge il 53° considerando che “le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché per garantire la continuità dell’assistenza sanitaria o sociale e dell’assistenza sanitaria transfrontaliera o per finalità di sicurezza sanitaria, controllo e allerta (…), nonché per studi svolti nel pubblico interesse nell’ambito della sanità pubblica (…)”.
[16] Garante per la protezione dei dati personali, provvedimento 10 novembre 2016, Parere su uno schema di regolamento con il quale si stabiliscono norme in materia di manifestazione della volontà di accedere alle tecniche di procreazione medicalmente assistita, disponibile all’indirizzo http://www.garanteprivacy.it, doc. web n. 5763307. Secondo quanto si legge nel provvedimento, le modifiche richieste sono state considerate necessarie al fine di conformare pienamente i contenuti (del regolamento) ai principi e alle regole in materia di protezione dei dati personali.
[17] Buttarelli, Banche dati e tutela della riservatezza. La privacy nella Società dell’Informazione. Commento analitico alle leggi 31 dicembre 1996, nn. 675 e 676 in materia di trattamento dei dati personali e alla normativa comunitaria ed internazionale, cit., p. 283.
[18] Balestra, La legge sulla procreazione medicalmente assistita alla luce dell’esperienza francese, in Aa.Vv., La fecondazione assistita. Riflessione di otto grandi giuristi, 2018, p. 84 ss.
[19] Salluce, Avvocati e GDPR: le nuove regole del Garante per il trattamento dati nelle indagini difensive, in Il Quotidiano giuridico, 21 gennaio 2019.
[20] Negri, Introduzione, in D. Negri (a cura di), Protezione dei dati personali e accertamento penale, Roma, 2019, 5.
Scrivi un commento
Accedi per poter inserire un commento