Il regolamento generale per la protezione dei dati personali.

La stessa applicazione della normativa in materia di trattamento dei dati personali e sensibili nel settore sanitario è sempre stata controversa: la giusta imposizione di norme e regole atte a tutelare la riservatezza della persona umana spesso appare in contrasto con le esigenze di celerità, di urgenza, di garanzia di salute del paziente e quasi una inutile aggiunta alle già numerose incombenze di carattere burocratico che toccano agli operatori sanitari.

Gradualmente il senso della normativa sulla privacy è stato, tuttavia compreso e importanti modifiche soprattutto nei comportamenti hanno visto la luce nelle strutture sanitarie, che oggi mostrano una maggiore attenzione all’aspetto umano, alla dignità delle persone, alla riservatezza.

Naturalmente diverse sono le zone d’ombra negli aspetti applicativi, e sotto la vigenza della precedente direttiva 95/46/CE, il D.Lgs. n. 196/2003 agli artt. da 75 a 94, raccogliendo ed integrando nel titolo V (particolarmente dedicato ai dati sensibili) le varie disposizioni, ha fornito alcune risposte alle perduranti incertezze del mondo sanitario.

Il nostro codice in merito alla materia sanitaria ha quindi adottato un approccio di carattere settoriale e, partendo dal presupposto fondamentale rappresentato dall’art. 8, par. 3 della direttiva 95/46/CE che disciplinava i dati sanitari, ha dettato norme specifiche in materia.

In particolare, ad esempio, i presupposti di liceità del trattamento dei dati idonei a rivelare lo stato di salute da parte degli esercenti le professioni sanitarie e degli organismi sanitari pubblici vengono definiti dall’art. 76 del codice chiarendo che tale trattamento è effettuato con il consenso dell’interessato e anche senza l’autorizzazione del Garante, se riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato, ovvero anche senza il consenso dell’interessato e previa autorizzazione del Garante, se la finalità riguarda un terzo o la collettività.

Con l'esecutività del Regolamento UE n. 2016/679 (GDPR) del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (che ha abrogato la direttiva 95/46/CE), non si prevede una disciplina specifica per il trattamento dei dati personali effettuato in ambito sanitario al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti.

Naturalmente la materia è oggetto di particolare attenzione da parte del legislatore comunitario e lo dimostra il considerando 35 dove si chiarisce che:

"Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Una definizione estremamente completa e dettagliata sintetizzata in qualche modo dall’art. 4, n. 15 del GDPR che per dati relativi alla salute intende i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

In ragione della loro natura, i dati sanitari sono qualificati dal GDPR, in linea con quanto già previsto dalla Direttiva madre, come dati sensibili e, quindi, come meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Tuttavia, a differenza della Direttiva madre, il Regolamento ricomprende nella definizione dei dati sensibili anche i dati genetici e quelli biometrici, il cui trattamento, come quello dei dati sanitari, può esser soggetto a condizioni e/o limitazioni ulteriori, liberamente mantenute o introdotte dai singoli Stati membri.

In verità secondo la Corte di Cassazione, tutte le volte che si parla di dati riguardanti la salute ed il sesso degli interessati, detti dati sono “supersensibili” in quanto sono involgenti la parte più intima della persona nella sua corporeità e nelle sue convinzioni psicologiche più riservate. Pertanto, essi beneficiano di una protezione rafforzata (Cass. civ., sez. VI, sent. del 11 gennaio 2016, n. 222; sez. I, sent. del 7 ottobre 2014, n. 21107; sez. I, sent. 1 agosto 2013, n. 18443; sent. 8 luglio 2005, n. 14390).

L’art. 9 del GDPR sancisce come principio di carattere generale il divieto di trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Il divieto non opera in una serie di circostanze che, per il settore sanitario, sono riconducibili all’erogazione della prestazione sanitaria complessivamente intesa. Tuttavia, il Regolamento è più flessibile ed amplia, rispetto alla Direttiva madre, il novero di ipotesi che legittimano il trattamento dei dati sanitari.

Si pensi all’ipotesi in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri.

Oltre al caso più tradizionale in cui il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici.

Proprio in quest’ultimo caso si nota anche un approccio più ampio del GDPR rispetto alla materia sanitaria in quanto identifica esplicitamente il perseguimento dell’interesse pubblico nel settore della sanità pubblica quale giustificazione dell’inapplicabilità del divieto generale stabilito dall'art. 9, par. 1, del GDPR.