Diritto CivilePrivacyResponsabilità sanitariaTutela della privacy in ambito sanitario

La difficile tutela della privacy in ambito sanitario (Parte 2)

Facendo seguito alla prima parte della trattazione della tematica in oggetto, in questa seconda parte verranno analizzati i cambiamenti normativi apportati dal nuovo GDPR alla disciplina relativa al trattamento dei dati in ambito sanitario.

La regolamentazione da parte del nuovo GDPR

Mentre la direttiva 95/46/CE si limitava a fornire una definizione generale di dato personale quale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, oggi il GDPR contempla all’art. 4 espressamente una definizione dei dati genetici, dei dati biometrici e dei dati relativi alla salute, fisica o mentale, di una persona fisica.

Una tale scelta non deve stupire in quanto il legislatore sovranazionale è assolutamente consapevole del ruolo centrale che riveste, e che rivestirà negli anni futuri, il tema del trattamento dei dati riguardanti la salute di ogni persona.

In tale ottica, di fondamentale importanza è il Considerando n. 35 del GDPR che, integrando la definizione di cui all’art. 4, afferma che tra i dati personali relativi alla salute rientrano “tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale, passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria, le informazioni risultanti da esami o da controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante una malattia, una disabilità, il rischio di malattie, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

La disciplina di cui all’art. 9 del GDPR

Per tale categoria di dati, l’art. 9 del GDPR prevede una disciplina specifica: la regola generale (paragrafo 1) impone il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Le eccezioni al divieto di trattamento dei dati relativi alla salute

Tuttavia, tale divieto è soggetto a determinate eccezioni.

E, infatti tale divieto non si applica quando:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

c) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

d) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

e) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.

La normativa nazionale

A livello nazionale ricordiamo che il 19 settembre 2018 è entrato in vigore il Decreto Legislativo n. 101 del 10 agosto del 2018 (vedi il testo ufficiale) che, seppur tardivamente rispetto a quanto inizialmente previsto, ha adeguato le disposizioni nazionali al nuovo GDPR: in tal senso sono state abrogate le disposizioni del codice della privacy (d.lgs. 196/2003) incompatibili con il Regolamento UE.

Conclusioni

In conclusione, ancora oggi il tema della privacy in ambito sanitario è un tema molto dibattuto in considerazione dei fondamentali interessi, spesso tra loro contrapposti, che sono presenti. In tale ottica non si possono non riconoscere i meriti del legislatore europeo che attraverso il nuovo GDPR ha sicuramente disciplinato in maniera più dettagliata e specifica la disciplina del trattamento dei dati sanitari e quelli riguardanti la salute di ogni persona, tuttavia l’evoluzione della scienza e delle tecnologie è talmente rapida che sicuramente presto si determineranno nuove problematiche che gli operatori del diritto saranno chiamati ad affrontare nuovamente.