L’articolo 4 del GDPR, infatti, occupandosi delle definizioni dei vari termini e istituti utilizzati dal Regolamento medesimo nelle varie disposizioni che lo compongono, individua il dato personale come qualsiasi informazione che riguarda una persona fisica che sia identificata o anche identificabile e distingue tre tipologie di dati che, ai sensi del successivo articolo 9, rientrano tra le categorie particolari di dati personali:
i) i dati relativi alla salute, al cui interno vi sono tutti i dati personali, attinenti alla salute fisica o mentale di una persona fisica, che rivelano informazioni relative allo stato di salute di un soggetto (ivi compresa la prestazione di servizi di assistenza sanitaria);
ii) i dati genetici, che riguardano i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, le quali forniscono informazioni univoche sulla fisiologia o sulla salute della suddetta persona, che risultano in particolare dall’analisi di un campione biologico della persona medesima;
iii) i dati biometrici, all’interno dei quali troviamo i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca (come immagine facciale o i dati dattiloscopici).
All’interno della prima categoria, quindi, è possibile far rientrare tutti quei dati personali che sono idonei a rivelare informazioni di un soggetto che siano connesse al suo stato di salute, sia essa fisica o psichica, sia essa passata, presente o futura. Si tratta, quindi, anche di quei dati che sono stati raccolti dai titolari dei trattamenti al momento della registrazione di un paziente/utente presso una struttura o un organismo sanitario per ricevere i servizi di assistenza e in generale le prestazioni fornite da detti organismi.
Con riferimento a tale tipologia di dati è opportuno evidenziare come il considerando numero 35 del Regolamento UE in esame preveda espressamente che fra tali dati vi rientrino anche:
i) i numeri, i simboli o gli elementi specifici che vengono attribuiti alla persona fisica per identificarla in modo univoco a fini sanitari;
ii) le informazioni che risultano da esami e controlli effettuati su una parte del corpo o su una sostanza organica (compresi i dati genetici e i campioni biologici);
iii) qualsiasi altra informazione che riguardi una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte da cui tali dati derivino (per esempio un medico, un altro operatore sanitario, un ospedale, un dispositivo medico, un test diagnostico in vitro ecc.).
Come anticipato, le tre suddette tipologie di dati sono qualificate dal GDPR come categorie particolari di dati personali rispetto ai quali è vietato qualsiasi trattamento, a meno che non ricorra una delle deroghe previste dallo stesso articolo 9 (per il cui esame si rimanda al successivo paragrafo).
Il Legislatore europeo ha, infatti, ritenuto questi dati personali come meritevoli di una protezione specifica, in quanto il loro trattamento potrebbe creare dei rischi importanti per i diritti e le libertà fondamentali degli interessati.
In ragione di ciò, viene previsto che tali dati personali, in linea di massima, non siano oggetto di trattamento, a meno che non ricorra una delle deroghe che lo stesso Regolamento prevede oppure una delle ulteriori ipotesi che saranno eventualmente previste dagli stati membri (i quali hanno la facoltà di prevedere delle disposizioni specifiche per la protezione dei dati rientranti tra le suddette categorie).
A tale ultimo proposito, infatti, il Regolamento prevede che gli stati membri rimangono liberi di mantenere o di introdurre ulteriori condizioni, fra cui anche limitazioni, con riguardo al trattamento dei dati relativi alla salute, dei dati genetici e di quelli biometrici, purché tali limitazioni non ostacolino la libera circolazione dei dati personali all’interno dell’Unione.
In ragione di ciò, posto che per quanto riguarda la disciplina specifica dei dati sanitari contenuta nel Codice privacy il decreto legislativo attuativo del GDPR si occuperà di disciplinarne l’armonizzazione con le disposizioni del GDPR medesimo, è possibile ipotizzare (salvo eventuali cambiamenti dell’ultima ora del testo legislativo in corso di approvazione) che le disposizioni contenute nelle linee guida del garante privacy relativamente a tutti gli altri sanitari di cui si è detto nel precedente capitolo continueranno a trovare applicazione in quanto limitazioni e ulteriori condizioni relative al trattamento di dati connessi alla salute degli interessati.
I presenti contributi sono tratti da
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento