La difficile tutela della privacy in ambito sanitario (Parte 2)
Facendo seguito alla prima parte della trattazione della tematica in oggetto, in questa seconda parte verranno analizzati i cambiamenti normativi apportati dal nuovo GDPR alla disciplina relativa al trattamento dei dati in ambito sanitario.
La regolamentazione da parte del nuovo GDPR
Mentre la direttiva 95/46/CE si limitava a fornire una definizione generale di dato personale quale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, oggi il GDPR contempla all’art. 4 espressamente una definizione dei dati genetici, dei dati biometrici e dei dati relativi alla salute, fisica o mentale, di una persona fisica.
Una tale scelta non deve stupire in quanto il legislatore sovranazionale è assolutamente consapevole del ruolo centrale che riveste, e che rivestirà negli anni futuri, il tema del trattamento dei dati riguardanti la salute di ogni persona.
In tale ottica, di fondamentale importanza è il Considerando n. 35 del GDPR che, integrando la definizione di cui all’art. 4, afferma che tra i dati personali relativi alla salute rientrano “tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale, passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria, le informazioni risultanti da esami o da controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante una malattia, una disabilità, il rischio di malattie, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
La disciplina di cui all’art. 9 del GDPR
Per tale categoria di dati, l’art. 9 del GDPR prevede una disciplina specifica: la regola generale (paragrafo 1) impone il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Le eccezioni al divieto di trattamento dei dati relativi alla salute
Tuttavia, tale divieto è soggetto a determinate eccezioni.
E, infatti tale divieto non si applica quando:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
c) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
d) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
e) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.
La normativa nazionale
A livello nazionale ricordiamo che il 19 settembre 2018 è entrato in vigore il Decreto Legislativo n. 101 del 10 agosto del 2018 (vedi il testo ufficiale) che, seppur tardivamente rispetto a quanto inizialmente previsto, ha adeguato le disposizioni nazionali al nuovo GDPR: in tal senso sono state abrogate le disposizioni del codice della privacy (d.lgs. 196/2003) incompatibili con il Regolamento UE.
Conclusioni
In conclusione, ancora oggi il tema della privacy in ambito sanitario è un tema molto dibattuto in considerazione dei fondamentali interessi, spesso tra loro contrapposti, che sono presenti. In tale ottica non si possono non riconoscere i meriti del legislatore europeo che attraverso il nuovo GDPR ha sicuramente disciplinato in maniera più dettagliata e specifica la disciplina del trattamento dei dati sanitari e quelli riguardanti la salute di ogni persona, tuttavia l’evoluzione della scienza e delle tecnologie è talmente rapida che sicuramente presto si determineranno nuove problematiche che gli operatori del diritto saranno chiamati ad affrontare nuovamente.