Il trattamento del dato sanitario dopo la riforma comunitaria

1. Principi generali. 

Il binomio Privacy – Sanità da sempre presenta non poche difficoltà, sia per la rilevanza dei principi da tutelare, tutti di rango costituzionale, sia per l’approccio non sempre agevole degli operatori sanitari alle tematiche proprie della protezione dei dati personali. L’avvento poi della sanità digitale, voluta innanzitutto dall’Europa, ha ulteriormente complicato la situazione.

La stessa applicazione della normativa in materia di trattamento dei dati personali e sensibili nel settore sanitario è sempre stata controversa: la giusta imposizione di norme e regole atte a tutelare la riservatezza della persona umana spesso appare in contrasto con le esigenze di celerità, di urgenza, di garanzia di salute del paziente e quasi una inutile aggiunta alle già numerose incombenze di carattere burocratico che toccano agli operatori sanitari.

Gradualmente il senso della normativa sulla privacy è stato, tuttavia, compreso e importanti modifiche, soprattutto nei comportamenti hanno visto la luce nelle strutture sanitarie, che oggi mostrano una maggiore attenzione all’aspetto umano, alla dignità delle persone, alla riservatezza.

Naturalmente diverse sono le zone d’ombra negli aspetti applicativi, e sotto la vigenza della precedente direttiva 95/46/CE,  il D.Lgs. n. 196/2003 agli artt. da 75 a 94, raccogliendo ed integrando nel titolo V, particolarmente dedicato ai dati sensibili, le varie disposizioni ha fornito alcune risposte alle perduranti incertezze del mondo sanitario.

Il nostro codice in merito alla materia sanitaria (ma ciò vale anche per altre materie) ha quindi adottato un approccio di carattere settoriale e, partendo dal presupposto fondamentale rappresentato dall’art. 8, par. 3 della direttiva 95/46/CE che disciplinava i dati sanitari, ha dettato norme specifiche in materia.

In particolare, ad esempio, i presupposti di liceità del trattamento dei dati idonei a rivelare lo stato di salute da parte degli esercenti le professioni sanitarie e degli organismi sanitari pubblici vengono definiti dall’art. 76 del codice chiarendo che tale trattamento è effettuato con il consenso dell’interessato e anche senza l’autorizzazione del Garante, se riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato, ovvero anche senza il consenso dell’interessato e previa autorizzazione del Garante, se la finalità riguarda un terzo o la collettività.

Come sappiamo, poi, è sopraggiunto il Regolamento UE n. 2016/679 (GDPR) del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che ha abrogato la direttiva 95/46/CE e diventerà obbligatorio per tutti i paese dell’UE a decorrere dal 25 maggio 2018.

Il GDPR non prevede una disciplina specifica per il trattamento dei dati personali effettuato in ambito sanitario al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti.

Naturalmente la materia è oggetto di particolare attenzione da parte del legislatore comunitario e lo dimostra il considerando 35 dove si chiarisce che “nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Una definizione estremamente completa e dettagliata sintetizzata in qualche modo dall’art. 4, n. 15 del GDPR che per dati relativi alla salute intende: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

In ragione della loro natura, i dati sanitari sono qualificati dal GDPR, in linea con quanto già previsto dalla Direttiva madre, come dati sensibili e, quindi, come meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Tuttavia, a differenza della Direttiva madre, il Regolamento ricomprende nella definizione dei dati sensibili anche i dati genetici e quelli biometrici, il cui Trattamento, come quello dei dati sanitari, può esser soggetto a condizioni e/o limitazioni ulteriori, liberamente mantenute o introdotte dai singoli Stati membri.

In verità secondo la nostra Cassazione, tutte le volte che si parla di dati riguardanti la salute ed il sesso degli interessati, detti dati sono “supersensibili” in quanto sono involgenti la parte più intima della persona nella sua corporeità e nelle sue convinzioni psicologiche più riservate. Pertanto, essi beneficiano di una protezione rafforzata (Cass. civ., sez. VI, sent. del 11 gennaio 2016, n. 222; sez. I, sent. del 7 ottobre 2014, n. 21107; sez. I, sent. 1 agosto 2013, n. 18443; sent. 8 luglio 2005, n. 14390).

L’art. 9 del GDPR sancisce come principio di carattere generale il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Il divieto non opera in una serie di circostanze che, per il settore sanitario, sono riconducibili all’erogazione della prestazione sanitaria complessivamente intesa. Tuttavia, il Regolamento è più flessibile ed amplia, rispetto alla Direttiva madre, il novero di ipotesi che legittimano il trattamento dei dati sanitari.

Si pensi all’ipotesi in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri.

Oltre al caso più tradizionale in cui il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici.

Proprio in quest’ultimo caso si nota anche un approccio più ampio del GDPR rispetto alla materia sanitaria in quanto identifica esplicitamente il perseguimento dell’interesse pubblico nel settore della sanità pubblica quale giustificazione dell’inapplicabilità del divieto ex art. 9, par. 1, del GDPR.

Tale menzione esplicita va a vantaggio dei nuovi modelli di cura integrati e di gestione ospedaliera (ad esempio, ACO, i servizi di medical ed health home), nonché dei soggetti pubblici che, nell’ambito dell’erogazione dei servizi sanitari e dell’acquisto di prodotti medico-sanitari, assumono il ruolo di stazioni appaltanti.

 

2. Informativa e consenso 

Come è noto il GDPR si ispira al principio di trasparenza il quale impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro. Ciò è particolarmente utile in situazioni quali la pubblicità on line, in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se vengono raccolti dati personali, da chi e a quale scopo. Dato che i minori necessitano di una protezione specifica, quando il trattamento dati li riguarda specificamente, qualsiasi informazione e comunicazione deve utilizzare il linguaggio semplice e chiaro che un minore possa capire facilmente.

In virtù di tale principio l’art. 12 del Regolamento sancisce che il titolare del trattamento debba adottare misure appropriate per fornire all’interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento dei dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, se del caso in formato elettronico. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Nello specifico gli artt. 13 e 14 elencano le informazioni che bisogna fornire all’interessato.

Rispetto, quindi, alla normativa precedente l’informativa assume sempre una rilevanza fondamentale ed anzi le informazioni da fornire sono anche maggiori e più dettagliate e ciò assume particolare rilevanza in ambito sanitario.

Naturalmente viene previsto anche il consenso all’art. 7 del Regolamento. La stessa disposizione prevede che qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali.

Il GDPR, quindi, non obbliga il Titolare del trattamento a documentare per iscritto il rilascio, da parte dell’interessato, del consenso al trattamento dei dati sanitari, né impone l’uso della “forma scritta”, anche se questa, a detta del Garante è una modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”.

E’ evidente, comunque, come il GDPR, in linea con il passato, preveda che il consenso sia informato e specifico e che venga prestato liberamente dall’interessato. Inoltre, il Regolamento richiede che il consenso venga prestato attraverso un atto ‘affermativo’ e chiaro dell’interessato (cioè, idoneo a manifestare in modo inequivoco e non ambiguo l’intenzione dell’interessato affinché i suoi dati sanitari vengano fatti oggetto di un Trattamento). La predisposizione, da parte del Titolare (o del Responsabili), di caselle preselezionate in cui l’interessato deve semplicemente “spuntare” la casella o il silenzio-assenso dell’Interessato non sono sufficienti e non possono costituire una forma di consenso valido ai sensi del Regolamento.

Se, difatti, il consenso dell’interessato è espresso nel contesto di una dichiarazione scritta che riguarda anche altre materie, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Nessuna parte della dichiarazione cui l’interessato abbia dato il consenso e che costituisca una violazione del Regolamento è vincolante.

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.

La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.  Prima di esprimere il proprio consenso, l’interessato viene informato di ciò.

Particolari condizioni sono poi dettate dall’art. 8 del Regolamento nell’interesse dei minori il quale chiarisce che il trattamento di dati personali di minori al di sotto dei 16 anni – o, se previsto dal diritto degli Stati membri, di un’età inferiore ma non al di sotto di 13 anni – è lecito soltanto se e nella misura in cui tale consenso è espresso o autorizzato dal titolare della responsabilità genitoriale sul minore.

Alla luce, però, del d.lgs. n. 101/208 che ha riformato il codice in materia di protezione dei dati personali assume una particolare rilevanza la nuova formulazione dell’art. 75 del d.lgs. n. 196/2003 (insieme all’abrogazione dell’art. 76) dove è chiarito che non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura (art. 2-septies del Codice Privacy emendato) anche se occorrerà sempre rispettare le misure di garanzie stabilite dal Garante con cadenza biennale.

L’obbligo di informativa al paziente continua a rimanere in area sanitaria con modalità semplificate (art. 78 e 79 del Codice Privacy emendato).

Lo stesso consenso dell’interessato, nella nuova formulazione dell’art. 110 del codice per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando, tra l’altro, la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento,  ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del GDPR.

 

3. Profilazione in ambito sanitario

Anche nel Regolamento il legislatore pone una particolare attenzione al trattamento automatizzato dei dati personali che possa sfociare in decisioni che sono proprie della macchina e non dell’uomo.

L’art. 22, quindi, ribadisce come principio generale che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida allo stesso modo significativamente sulla sua persona.

Tale disposizione non sia applica quando la decisione:

1. a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, oppure
2. b) sia autorizzata dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato, oppure
3. c) si basi sul consenso esplicito dell’interessato.

Al di fuori di tali ipotesi si pone l’art. 22, par. 4, del GDPR che, come principio generale, vieta la profilazione dei dati sanitari.

La stessa, eccezionalmente, può avvenire se:

• c’è un consenso esplicito dell’Interessato;
• va perseguito un interesse pubblico rilevante nell’ambito della sanità pubblica;
• il Titolare (o Responsabile) abbia adottato idonee ed adeguate misure di sicurezza per tutelare i diritti, le libertà e i legittimi interessi del paziente.

Se un Titolare (o Responsabile) decide di usare i dati sanitari dei pazienti per attività di profilazione, allora questi deve concedere agli interessati il diritto di rinunciare all’attività (il cd. diritto di “opt-out”) e di revocare il consenso.

In ogni caso, il Titolare (o Responsabile) sarà onerato dell’obbligo di adottare idonee misure di sicurezza che garantiscano all’interessato la tutela dei propri diritti e delle libertà fondamentali.

 

4. L’impatto del GDPR sulla ricerca scientifica 

Se il trattamento dei dati sanitari è necessario per perseguire finalità di ricerca scientifica, il GDPR richiede al Titolare di adottare delle misure di sicurezza tecniche e di tipo organizzativo dirette ad assicurare la minimizzazione dei dati (cioè, ad effettuare il trattamento del minor numero di dati possibili). Un esempio tipico è la pseudonimizzazione dei dati che non consente di ricondurre l’informazione al singolo interessato.

Considerato che il GDPR non individua quale sia l’ammontare minimo di dati che possono esser trattati lecitamente, c’è ampio spazio di manovra per includere diverse attività svolte in ambito sanitario (ad esempio, ricerche scientifiche perseguite per finalità di beneficienza, accademiche, farmaceutiche).

Il GDPR, tuttavia, non espande l’ambito di applicazione della ricerca scientifica a qualsiasi tipo di attività svolta in ambito sanitario.

È dunque probabile che il concetto di ricerca scientifica sia rimesso all’attività interpretativa delle Autorità nazionali di controllo, cui viene richiesto di applicare il diritto europeo (e, quindi, il Regolamento) e quello nazionale (v. il recente art. 110 bis del Codice privacy).

I ricercatori e le organizzazioni possono fare ricerca scientifica senza chiedere il consenso dell’Interessato (cfr. considerando 47 e 157 e articolo 6, par. 1, lett. f) del GDPR).

In alcuni casi isolati, costoro potrebbero addirittura trasferire all’estero i dati dell’interessato senza che sia messo in piedi un altro meccanismo di trasferimento. In altri termini, prevale la finalità di ricerca in quanto la società civile si affida sul miglioramento delle conoscenze (cfr. considerando 113 del GDPR).

Le organizzazioni che trattano dati sensibili ai fini di ricerca scientifica possono andare esenti dalle restrizioni che gravano sui trattamenti “secondari” e sui trattamenti dei dati sensibili.

Ai sensi del considerando 50 e dell’art. 6, par. 4, del GDPR, il trattamento ulteriore rispetto a quello per cui i dati erano stati originariamente raccolti è ammissibile come lecito e compatibile con il GDPR se viene anch’esso effettuato per perseguire finalità di ricerca scientifica e sussistano altri requisiti tra cui idonee garanzie per gli interessati.

 

5. La sanità elettronica 

La c.d. Sanità elettronica o digitale consente di rendere più efficiente e di qualità le prestazioni del Servizio Sanitario Nazionale, partendo dalla prevenzione e dalla cartella sanitaria elettronica, ma andando anche ad incidere sull’economicità della spesa.

L’obiettivo principale rimane quello di costruire nei prossimi anni un moderno sistema sanitario in rete tra tutti i soggetti ed i cittadini, in grado di modificare concretamente il funzionamento della sanità pubblica e migliorare l’importante azione della prevenzione attiva.

Vengono introdotti strumenti nuovi e rivoluzionari quali il Fascicolo Sanitario Elettronico, il Dossier Sanitario, i referti on line, la ricetta elettronica, i certificati di malattia telematici, le prenotazioni sanitarie on line, la telemedicina, ecc.

Ma se l’introduzione dell’informatica e della telematica da un lato comporta, indiscutibili vantaggi in termini di semplificazione e rapidità nel reperimento e nello scambio di informazioni fra operatori ed utenti, dall’altro, provoca un enorme incremento del numero e delle tipologie di dati personali, tra l’altro sensibili, trasmessi e scambiati, nonché dei pericoli connessi al loro illecito utilizzo da parte di terzi non autorizzati.

Riguardo l’uso delle nuove tecnologie nel settore sanitario non si può certo prescindere dalle reali motivazioni che rendono necessaria l’emanazione dello stesso Regolamento e cioè la continua evoluzione degli stessi concetti di privacy e protezione dei dati personali e quindi della relativa tutela dovuta principalmente proprio alla diffusione del progresso tecnologico.

Originariamente la direttiva 95/46/CE, pietra angolare nell’impianto della vigente normativa dell’UE in materia di protezione dei dati personali, è stata adottata nel 1995 con due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali tra gli Stati membri.

Successivamente incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso.

La tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano. Le nuove tecnologie non hanno trasformato solo l’economia, ma anche le relazioni sociali.

È diventato, quindi, necessario instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione, consentirà lo sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche il controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche.

Alla luce, quindi, del nuovo Regolamento troveranno applicazione anche nel settore della sanità elettronica importanti principi come:

– Il principio della trasparenza (informativa e consenso)

– Il principio dell’accountability

– Il principio della privacy by design e by default

Inoltre assumeranno particolare rilevanza i nuovi adempimenti:

– Il DPIA (Data protection Impact Assessment)

– Il Registro delle attività di trattamento

– Il data breach.

 

6. Le misure di garanzia

Con riferimento ai dati genetici, biometrici e relativi alla salute, il d.lgs. n. 101/2018 all’art. 2 introduce l’art. 2-septies del codice in materia di protezione dei dati personali che argomentando da quanto sancito dall’art. 9, par. 4 del GDPR, il quale prevede una specifica “riserva” della normativa nazionale, dispone che il relativo trattamento è subordinato anche al rispetto di misure di garanzia previste dal Garante con provvedimento adottato con cadenza almeno biennale.

Lo stesso provvedimento dovrà tener conto:

1. a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;
2. b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure;
3. c) dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.

Lo schema di provvedimento deve essere sottoposto a consultazione pubblica per un periodo non inferiore a sessanta giorni e le misure di garanzia dovranno riguardare anche le cautele da adottare relativamente a:

1. a) contrassegni sui veicoli e accessi a zone a traffico limitato;
2. b) profili organizzativi e gestionali in ambito sanitario;
3. c) modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
4. d) prescrizioni di medicinali.

Le misure di garanzia vengono adottate in relazione a ciascuna categoria dei dati personali (genetici, biometrici, relativi alla salute), avendo riguardo alle specifiche finalità del trattamento e possono individuare ulteriori condizioni sulla base delle quali il trattamento di tali dati è consentito. In particolare, le misure di garanzia dovranno individuare le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.

Le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura nonché quelle relative ai profili organizzativi e gestionali in ambito sanitario, alle modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute ed alle prescrizioni di medicinali sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità.

Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell’articolo 9, paragrafo 4, del regolamento, o altre cautele specifiche.

Nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all’articolo 32 del Regolamento, è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, ovviamente in conformità alle misure di garanzia prescritte.

Sicuramente questa disposizione è tra le più interessanti del decreto di adeguamento e rappresenta un logico bilanciamento all’ampliamento delle condizioni di liceità per il trattamento di dati particolarmente delicati come quelli attinenti alla salute ed alla identità degli interessati.

Prof. Dott. Michele Iaselli