Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Dati personali e di salute, ecco come trattarli per fini giudiziari

Il trattamento dei dati particolari, soprattutto se riguardano la salute delle persone fisiche, deve essere svolto in stretta osservanza delle norme. Un provvedimento del Garante chiarisce come è lecito agire alla luce del GDPR

07 Ott 2019
P

Filomena Polito

Responsabile Protezione Dati in ambito sanitario, DPO certificato UNI 11697:2017


I dati particolari, soprattutto quelli riguardanti la salute, possono essere usati per fini giudiziari solo rispettando strettamente la normativa. Per trattare tali categorie di dati in modo adeguato senza violare il GDPR, il Garante della privacy ha emanato un documento, pubblicato nella Gazzetta Ufficiale, Serie Generale n. 176 del 29 luglio 2019, cioè il “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del D.lgs. 10 agosto 2018, n. 101″.

Partendo dal contesto normativo, analizziamo le condizioni di liceità del trattamento di dati personali per fini difensivi, in particolare dei limiti a questo imposti dal Codice Privacy.

Dati personali e di salute: il framework normativo

Con il provvedimento, l’Autorità ha fatto seguito alle disposizioni del Regolamento e del Codice Privacy (D.lgs. 30 giugno 2003, n. 196), che le hanno affidato il compito di individuare le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alla liceità del trattamento dei dati personali e tra questi di quelli appartenenti a categorie particolari.

Il Provvedimento riporta in allegato le prescrizioni relative al trattamento di dati genetici, di dati personali effettuato per scopi di ricerca scientifica e di dati personali appartenenti a categorie particolari:

  • nei rapporti di lavoro
  • da parte di organismi di tipo associativo, fondazioni, chiese e associazioni o comunità religiose;
  • da parte degli investigatori privati.

Per quanto riguarda, in particolare, il trattamento dei dati personali (definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”) effettuato da parte di tali professionisti, ed in generale della liceità delle attività di trattamento di dati a fini probatori, tali misure si ricollegano direttamente alle “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria…”, pubblicate in G.U. n. 12 del 15 gennaio 2019 e inserite come Allegato A al Decreto Legislativo n.196 del 2003 a seguito del Decreto del Ministro della Giustizia del 15 marzo 2019, pubblicato anch’esso in G.U. n. 72 del 26 marzo 2019.

Il Codice privacy ha stabilito all’articolo 2-decies che “…i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati”, e al successivo articolo 160-bis che “La validità, l’efficacia e l’utilizzabilità’ nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personali non conforme a disposizioni di legge o di Regolamento restano disciplinate dalle pertinenti disposizioni processuali”.

Il contesto organizzativo di riferimento del presente elaborato è un contesto nel quale il titolare del trattamento, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, deve essere individuato nella singola azienda sanitaria, e risponde del trattamento di dati personali effettuato da parte di un numero elevatissimo di operatori, a ciò autorizzati ai sensi dell’articolo 29, del Regolamento.

Tale articolo prevede che chiunque agisca sotto l’autorità del titolare del trattamento e che abbia accesso a dati personali li possa trattare solo se previamente autorizzato ed istruito, così come indicato dall’articolo 2-quaterdecies “Attribuzione di funzioni e compiti a soggetti designati” del Codice Privacy, che statuisce che il titolare può “… prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate”, che operano sotto la sua autorità.

Dati personali e di salute: il trattamento in ambito sanitario

A questo punto è necessario evidenziare che i dati oggetto di trattamento da parte dell’azienda sanitaria, che sono conferiti previa erogazione di apposite informazioni predisposte ai sensi degli articoli 13 e 14 del Regolamento e rilascio, qualora previsto di apposito consenso, che costituisce la base giuridica del trattamento, qualora questo non sia necessario per dare esecuzione ad un contratto, adempiere un obbligo legale del titolare o necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.

I dati personali oggetto di trattamento in ambito sanitario sono riferibili prevalentemente a soggetti interessati che accedono alle strutture sanitarie per richiedere e vedere assicurate prestazioni di diagnosi, cura e riabilitazione ed appartengono, perlopiù, alle categorie particolari di cui all’articolo 9 del Regolamento.

Il trattamento di tali informazioni, come noto, è vietato, salvo che il Titolare si trovi in uno dei casi previsti dal secondo paragrafo di tale articolo, tra i quali assumono particolare rilevanza i casi di cui alle lettere b) (“il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”) e f ) (“il trattamento è necessario per accertare, esercitare o difendere un diritto…”) .

Più in generale tali dati personali sono trattati dall’azienda sanitaria anche per motivi di interesse pubblico rilevante, come previsto dall’articolo 2-sexies del Codice Privacy “Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante”, che chiarisce che i trattamenti delle categorie particolari di dati personali di cui all’articolo 9 del Regolamento, necessari per motivi di interesse pubblico rilevante, sono ammessi qualora siano previsti da disposizioni di legge, come ad esempio per quanto riguarda anche:

  • accesso a documenti amministrativi e accesso civico;
  • attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
  • attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza, terapia sanitaria o sociale;
  • instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, attività ispettiva e accertamento della responsabilità civile, disciplinare e contabile.

Pertanto, posto che è possibile procedere al trattamento di dati personali per finalità di accertamento della responsabilità civile, disciplinare e contabile o, più in generale, “per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento”, e che la disciplina generale in tema di trattamento dei dati personali prevede il contemperamento delle esigenze di riservatezza con quelle di difesa, consentendo, così come stabilito anche dalla Corte di Cassazione con la sentenza 3034/2011 di produrre in giudizio a fini probatori documenti contenenti dati personali delle parti in causa o di soggetti terzi, è necessario soffermarsi su come tale trattamento vada e da chi possa essere gestito.

L’utilizzo dei dati a fini giudiziari

Al riguardo gli ermellini hanno statuito che “La facoltà di difendersi in giudizio producendo in giudizio documenti contenenti dati personali altrui …va tuttavia esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza previsti dalla legge” (Cass. Pen., Sez. III, sentenza n. 35296/2011). In sintesi, il trattamento di dati personali altrui a fine di giustizia è legittimo e in tal caso non è configurabile alcuna lesione del diritto alla riservatezza se nel corso del procedimento sono stati prodotti a fini probatori documenti che riportano dati personali nell’osservanza dei presupposti di legge, mentre la violazione di un qualsiasi divieto di legge ne comporta la non utilizzabilità.

Questo perché il diritto alla difesa deve essere esercitato comunque nel rispetto di quanto previsto dal primo paragrafo dell’articolo 5 del Regolamento, che prevede in particolare che il trattamento dei dati personali, definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione, trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione” si svolga in modo lecito, corretto e trasparente nei confronti dell’interessato.

Le sanzioni

L’articolo 5 citato, la cui violazione è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, chiarisce però chi risponde del suindicato trattamento, stabilendo che i dati personali devono essere “… raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” e che del rispetto di tali condizioni risponde il titolare del trattamento. Il combinato di tali disposizioni chiarisce pertanto che è, in via generale, solo il titolare del trattamento a poter trattare per fini probatori i dati personali dei quali risponde e legittimamente disporne per accertare, esercitare o difendere un diritto in sede giudiziaria.

Capita però di frequente che queste informazioni, nella immediata disponibilità dei collaboratori del titolare per ragioni d’ufficio e fini lavorativi, possano da questi essere ritenute utili anche per rivendicare un proprio diritto.

In tal caso però la loro eventuale acquisizione ed ulteriore trattamento da parte del collaboratore non pare essere congruente con l’autorizzazione al trattamento dei dati personali conferita dal titolare.

Pertanto, l’acquisizione e riuso a fini probatori di dati personali trattati per finalità lavorativa non è in via generale ammissibile, e quindi da ritenersi illecita, sanzionabile penalmente ai sensi dell’articolo 167 del Codice Privacy e possibile fonte di responsabilità civile per l’autore dell’illecito ai sensi dell’articolo 82 del Regolamento.

In proposito, è da precisare che in un giudizio non può essere riconosciuta alcuna efficacia probatoria a prove ottenute o raccolte contra legem e la loro illecita assunzione è rilevabile in qualsiasi momento e rendendole inutilizzabili ed inefficaci, privandole così di qualsiasi efficacia nella valutazione dei fatti ai fini della decisione, così come detto dal citato articolo 2-decies del Codice Privacy, che stabilisce “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall’articolo 160-bis”.

L’assunzione contra legem di prove, tra l’altro, viola chiaramente il disposto del Codice Civile sia per quanto riguarda il secondo comma dell’articolo 2104, che dispone che il prestatore di lavoro debba “… osservare le disposizioni per l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende”, che quello dell’articolo 2105, che dispone “Il prestatore di lavoro non deve… divulgare notizie attinenti all’organizzazione…, o farne uso in modo da poter recare ad essa pregiudizio” e lo espone alle possibili sanzioni disciplinari di cui al successivo articolo 2106.

Il trattamento di tali informazioni di provenienza illecita, inoltre, espone anche l’avvocato difensore, che si troverebbe a violare le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria pubblicate ai sensi dell’art. 20, comma 4, del D.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018”, pubblicate sulla Gazzetta Ufficiale n. 12 del 15 gennaio 2019.

Dati personali e di salute: il trattamento nelle attività investigative

Tali regole, che devono essere rispettate dagli avvocati e dai loro collaboratori, compresi coloro che svolgono attività di investigazione privata, nel trattamento di dati personali per svolgere investigazioni difensive o far valere o difendere un diritto in sede giudiziaria, prevedono che questo si svolga:

  • rispettando i diritti, libertà e dignità delle persone, applicando i princìpi di finalità, proporzionalità e minimizzazione dei dati sulla base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché di un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi;
  • adottando idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati, in particolare in caso di acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli.

La normativa vigente, che garantisce comunque però il diritto di difesa anche ai soggetti diversi dal titolare del trattamento, ha individuato le modalità attraverso le quali un collaboratore dell’azienda sanitaria possa acquisire lecitamente documenti e dati personali trattati per finalità lavorative da utilizzare a fini probatori.

Questi, infatti, può senza alcun dubbio al riguardo esercitare il proprio diritto di accesso ai documenti amministrativi, previsto dall’articolo 22 della Legge 241/1990, che consente a coloro che hanno un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso, di prendere visione e estrarre copia di documenti amministrativi disponibili presso una pubblica amministrazione, nel caso di specie l’azienda sanitaria.

La legge 241 citata prevede al riguardo che l’amministrazione che riceve l’istanza di accesso, qualora questa sia finalizzata ad accedere, previa idonea motivazione, ai dati personali di soggetti diversi dall’istante, debba sentire al riguardo i “controinteressati”, cioè i soggetti, individuati o facilmente individuabili in base alla natura del documento richiesto, che dall’esercizio dell’accesso vedrebbero compromesso il loro diritto alla riservatezza.

Attraverso la necessaria notificazione il titolare informa così il controinteressato della istanza e dell’eventuale successiva messa a disposizione al richiedente dei documenti e dati personali che lo riguardano, e può eventualmente opporsi allo specifico o ad ogni ulteriore trattamento dei dati ai sensi di quanto previsto dall’articolo 21 del Regolamento.

L’accesso ai documenti

L’istituto dell’accesso ai documenti amministrativi, riguardo al quale la trasparenza, principio generale dell’attività amministrativa al fine di favorire la partecipazione e di assicurarne l’imparzialità, attese le sue rilevanti finalità di pubblico interesse, prevale in via generale sulla riservatezza, trova dei limiti nel caso in cui i documenti richiesti “… riguardino la vita privata o la riservatezza di persone fisiche, con particolare riferimento agli interessi epistolare, sanitario, professionale, …, ancorché i relativi dati siano forniti all’amministrazione dagli stessi soggetti cui si riferiscono”, anche se “ deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”

In tale ultimo caso, qualora l’accesso sia finalizzato a accedere a documenti contenenti dati personali relativi alla salute o alla vita sessuale o all’orientamento sessuale, il trattamento è consentito ai sensi degli articoli 59 e 60 del Codice Privacy, se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi sia considerata di rango almeno pari ai diritti dell’interessato, o consista in un diritto della personalità’ o in un altro diritto o libertà fondamentale, quale ad esempio il diritto alla difesa.

Lo stesso Codice Privacy specifica, a rafforzare la tesi della possibile accessibilità ai dati di salute per motivati fini di esercizio del diritto alla difesa, anche all’articolo 92 che “ Eventuali richieste di presa visione o di rilascio di copia della cartella e dell’acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall’interessato possono essere accolte, in tutto o in parte, … se la richiesta è giustificata dalla documentata necessità di esercitare o difendere un diritto in sede giudiziaria ai sensi dell’articolo 9, paragrafo 2, lettera f), del Regolamento.”, che a sua volta dispone il lecito trattamento dei dati appartenenti a categorie particolari qualora ”… il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria…”.

Tali disposizioni sono, peraltro, del tutto in linea con quelle dell’articolo 4 della Legge 8 marzo 2017, n. 24, “Disposizioni in materia di sicurezza delle cure e della persona assistita, nonché’ in materia di responsabilità professionale degli esercenti le professioni sanitarie” (cosidetta Legge Gelli), pubblicata in Gazzetta Ufficiale n.64/17, di estrema rilevanza per lo specifico contesto organizzativo, che prevede l’accessibilità alle informazioni contenute nella documentazione sanitaria a fini essenzialmente probatori nell’accertamento di responsabilità dei professionisti .

Conclusione

Per ricapitolare i punti principali emersi dall’analisi delle modalità e caratteristiche del trattamento dei dati personali e di salute a fini probatori in ambito sanitario, pare assolutamente opportuno che i titolari ricordino ai propri collaboratori che, pur avendo la materiale disponibilità di dati personali ed in particolare di quelli relativi alla salute di soggetti terzi, il loro utilizzo a fini probatori può essere considerato lecito solo attraverso l’osservanza delle specifiche procedure di legge.

Ogni altra e diversa modalità di acquisizione, tra l’altro, oltre a concretizzare le criticità succitate, rappresenta una vera e propria violazione dei dati personali o data breach, definita come “ la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, da gestire così come previsto dagli articoli 33 e 34 del Regolamento, anche allo scopo di verificare l’adeguatezza delle disposizioni operative impartite e delle misure organizzative e tecniche già adottate.

Ciò rende obbligatorio per il titolare dell’azienda sanitaria procedere ad una serie di provvedimenti di estrema rilevanza, tra i quali:

  • alla denuncia all’Autorità giudiziaria di quanto avvenuto ai sensi dell’articolo 361 del Codice Penale;
  • alla contestazione disciplinare nei confronti del proprio collaboratore, a seguito della violazioni delle disposizioni del Codice Civile in materia di rapporti di lavoro e collaborazione;
  • alla notificazione all’Autorità Garante Privacy della avvenuta violazione, entro settantadue ore dall’avvenuta conoscenza dell’illecita acquisizione di dati personali;
  • alla comunicazione della avvenuta violazione agli interessati, così che questi possano adottare le possibili misure di contenimento di danni fisici, materiali o immateriali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5