Privacy e dati sanitari: ecco la normativa italiana e UE e i principi che ne regolano il trattamento

I trattamenti di informazioni sanitarie devono essere effettuati fornendo la corretta interpretazione della normativa sulla privacy. Ecco come individuare i dati oggetto di tutela e i principi che ne regolano il trattamento

28 Lug 2022
C
Loreta Ciancio

Direttore f.f. UOC Medicina Interna Ospedale San Giovanni-Addolorata

R
Andrea Rossi

Dirigente superiore della Polizia di Stato i.q.

Il ruolo dei dati personali sanitari e la loro protezione è di tale rilevanza che è possibile leggere l’intera evoluzione del diritto alla privacy e lo sviluppo della sua normativa proprio alla luce della tutela dei dati sanitari.

Si tratta di un settore che ha conosciuto con la pandemia da Covid-19 importanti sviluppi in tempi relativamente ristretti e ha indotto il Garante per la protezione dei dati personali ad intervenire diverse volte per chiarire i limiti in cui nuovi trattamenti di informazioni sanitarie potevano essere effettuati e per fornire la corretta interpretazione della normativa sulla privacy quando la rapida circolazione di informazioni sanitarie era necessaria per tutelare la salute pubblica.

Buon anniversario GDPR: quattro anni portati bene, ma c’è ancora molto fa fare

Il ruolo del segreto professionale sulle informazioni di carattere sanitario

La riservatezza delle informazioni sanitarie ha sempre costituito una questione cruciale per il personale medico al punto da costituire oggetto di precise indicazioni ben prima che nel secolo scorso si sviluppasse il dibattito giuridico inerente il trattamento dei dati personali e nascesse la consapevolezza dell’esigenza della loro tutela.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Se si considera che già la formula originaria del giuramento di Ippocrate, che si reputa stilata nel VI secolo a.c., includeva l’impegno al segreto e alla non divulgazione (“Ciò che io possa vedere o sentire durante il mio esercizio o anche fuori dell’esercizio sulla vita degli uomini, tacerò ciò che non è necessario sia divulgato, ritenendo come un segreto cose simili”) non è azzardato affermare che il settore sanitario è stato sin dagli albori all’avanguardia nella tutela della riservatezza del singolo individuo. I giuristi, infatti, volgeranno la loro attenzione a questa tematica solo nella seconda metà dell’ottocento nei paesi di lingua inglese, prima nel Regno Unito e poi negli Stati Uniti d’America.

Nel primo saggio in materia, “The right of privacy”, scritto da due avvocati americani, L.D. Brandeis e S. Warren, la privacy veniva descritta come the right to be let alone, cioè come il diritto a essere lasciati soli, al riparo dalle intromissioni di un mezzo di comunicazione di massa invadente come la stampa, quindi una visione ben più limitata rispetto alla più ampia tematica della divulgazione dei dati personali.

Le sensibilità alla riservatezza delle informazioni sanitarie si è consolidata nel corso dei secoli, trovando riscontro non solo nella versione moderna dello stesso giuramento di Ippocrate, ma anche nei codici deontologici degli ordini dei Medici: il primo di essi, il “Codice di Etica e Deontologia” dell’Ordine dei Medici di Sassari, già nel 1902 dà il massimo risalto al segreto professionale, enunciato nell’ articolo 1: “tutto quello che durante la cura e anche all’infuori di essa avrò visto e avrò ascoltato sulla vita comune delle persone e che non dovrà essere divulgato, tacerò come cosa sacra”.

Al riguardo, va sottolineato che il Codice non indicava solo modelli comportamentali, ma vere e proprie regole la cui inosservanza comportava sanzioni disciplinari per gli iscritti, previste nel successivo articolo 49 dello stesso Codice[1].

In Italia solo a partire dagli anni 70 il diritto la riservatezza è riconosciuto dalla Suprema Corte come istituto giuridico distinto, ma è solo a seguito dell’emanazione, da parte di organismi internazionali e comunitari, di una serie di atti – alcuni di indirizzo, altri normativamente rilevanti – si evolve (a partire dalla seconda metà degli anni 80), muovendosi dà diritto a non subire intrusioni da parte dei mezzi di comunicazione di massa verso una nozione di tutela dei propri dati personali attraverso il controllo sulla circolazione delle proprie informazioni personali: l’attenzione si sposta quindi sul trattamento dei dati personali.

La nascita di Internet e, nel nuovo millennio, la diffusione degli smartphone e l’avvento di Internet 2.0, (in cui gli utenti possono alimentare il web con propri contenuti), hanno cambiato radicalmente il valore di queste informazioni, considerate ormai, come in passato per il petrolio, la materia prima per eccellenza del nuovo millennio, soprattutto con l’affermarsi dell’economia digitale e l’esplosione dei social network.

Secondo il Digital report 2021 diffuso da We Are Social, 4,66 miliardi di persone accedono ad internet, con un incremento del 7,3% (o 316 milioni) rispetto a gennaio 2020. La penetrazione mondiale di internet si attesta al 59,5%, anche se i valori potrebbero essere più alti per le difficoltà di un corretto tracciamento degli utenti legate alla pandemia da COVID-19.

Sempre a gennaio 2021, gli utenti dei social media sono 4,20 miliardi, con un incremento del 13%, (490 milioni di persone). La penetrazione delle piattaforme social è quindi di circa il 53% della popolazione mondiale.

Sei piattaforme social contano oltre 1 miliardo di utenti attivi su base mensile, e quasi una ventina hanno oltre 300 milioni di utenti attivi ogni mese; la più popolare di esse, Facebook, (che a 15 anni dalla sua nascita aveva già oltre 2,3 miliardi di utenti) a gennaio 2021 può vantare 2,740 miliardi di utenti attivi al mese che alimentano una banca dati che permette una profilazione delle preferenze estremamente accurata.

Ben presto, accanto ai vantaggi per la possibilità di comunicazione multimediale a costi irrisori, sono però anche diventati evidenti i pericoli connessi all’uso non autorizzato dei dati degli utenti (come avvenuto nel caso Cambridge Analytica nei confronti di informazioni relative a milioni di iscritti a Facebook) nonché alle scarse difese approntate da molti per tutelarsi da accessi indesiderati.

Tuttavia, in presenza delle misure necessarie a proteggere in dati personali da trattamenti impropri o illegittimi, sono indubbi i vantaggi derivanti dalla possibilità di elaborare e scambiare una immensa massa di informazioni a fini di studio e di ricerca, in particolar modo in ambito sanitario, con il raggiungimento a costi estremamente inferiori di risultati positivi in un tempo molto più breve che in passato.

Il diritto europeo in materia di trattamento dei dati personali

Un primo riferimento al diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza è contenuto all’art. 8 della Convenzione europea dei diritti dell’uomo (CEDU), adottata dal Consiglio d’Europa nel 1950, in cui si stabilivano le condizioni in forza delle quali il diritto al rispetto della vita famigliare e privata può essere soggetto a restrizioni; tuttavia, il più concreto segnale di spostamento della prospettiva sui dati personali e il primo strumento internazionale giuridicamente vincolante in materia è costituito dalla Convenzione del Consiglio d’Europa per la protezione dell’individuo con riguardo al trattamento automatizzato dei dati n. 108 del 18 settembre 1980.

L’esistenza di un “diritto alla protezione dei dati di carattere personale”, distinto e autonomo dal diritto alla riservatezza, è poi sancito definitivamente da numerosi provvedimenti successivi:

  1. direttiva 95/46/CE (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, sostituita oggi interamente dal vigente Regolamento europeo 2016/679 (c.d. GDPR);
  2. direttiva 97/66/CE (sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni);
  3. direttiva 2002/58/CE (relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, poi modificata dalla successiva direttiva 2009/136/CE con un rafforzamento delle sicurezza del trattamento svolto da un fornitore di un servizio di comunicazione elettronica accessibile al pubblico);
  4. direttiva 2006/24/CE riguardante la conservazione di dati, che ha modificato la precedente 2002/58/CE, ma è stata poi invalidata nel 2014 dalla Corte di giustizia dell’Unione europea.

Va sottolineato che già la direttiva 95/46/CE prevedeva all’art 8 una specifica disciplina per i dati relativi alla salute, disciplina che è stata ulteriormente oggetto di attenzione da parte del GDPR, secondo il quale i dati relativi alla salute sono dati personali “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4 GDPR).

Essi sono ricompresi nella più vasta categoria dei dati soggetti a trattamento speciale e tutela rafforzata (art. 9 GDPR), in quanto in grado di rivelare dettagli molto intimi della persona.

A completamento di questo quadro normativo e della riforma europea sulla data protection è necessario menzionare la Direttiva n. 2016/680 trattamento e la circolazione dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali e la Direttiva n. 2016/681, che, invece, si occupa del trattamento dei dati del c.d. codice di prenotazione (PNR), ovvero le informazioni relative al viaggio aereo di ciascun passeggero.

La normativa italiana in materia di protezione dei dati personali

Entrando poi più nello specifico della disciplina nazionale, la prima normativa italiana organica sul trattamento dei dati personali è la legge 31 dicembre 1996, n. 675, attuativa della direttiva 95/46/CE (il primo provvedimento che ha introdotto, negli stati membri dell’Unione, una normativa precisa e organica sul trattamento dei dati personali).

Dopo numerose integrazioni della legge n.675/96, fu emanato il decreto legislativo n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali” che raccoglie le indicazioni e le direttive europee intercorse dal 1996 fino al 2003.

Naturalmente nel codice è stata inserita una specifica regolamentazione per i dati personali idonei a rivelare lo stato di salute, ricompresi nella categoria dei dati sensibili; al trattamento di dati personali in ambito sanitario è poi dedicato l’intero titolo V della Parte II.

Il Codice Privacy è stato poi modificato in maniera rilevante dal decreto legislativo 10 agosto 2018, n. 101 per essere adeguato alle disposizioni del GDPR 2016/679; ciò ha comportato l’abrogazione o la modifica di molte disposizione del citato titolo V.

Un ruolo importante poi va riconosciuto al Garante per la protezione dei dati personali che esprime i suoi pareri anche nella fase preliminare all’emanazione di normative che possono incidere, anche indirettamente, sulla privacy: i suoi pareri su schemi di legge o decreti, infatti, possono comportare modifiche al testo in corso di emanazione, anche al fine di scongiurare vagli negativi della Corte di giustizia dell’Unione europea.

Particolarmente incisiva in questo senso è stata l’attività del Garante nei confronti dei numerosi provvedimenti elaborati nel corso della pandemia da Sars Cov 19 che comportavano il trattamento di dati sanitari.

Dati oggetto di tutela privacy: persone fisiche, dati anonimi, pseudonimizzati, cifrati, IOT

L’art 4 del GDPR definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente (anche attraverso molteplici passaggi), attraverso il riferimento a un identificativo come il nome, un numero, i dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Due elementi concorrono a qualificare l’informazione come dato personale:

  • l’informazione si riferisce ad una persona fisica;
  • la persona fisica è identificata o identificabile.

Se è facilmente intuibile che la tematica dei dati personali riguardi solo informazioni concernenti una persona fisica, più complessa si può presentare la sussistenza del secondo requisito: la riferibilità ad un determinato soggetto, la possibilità, quindi, di identificarlo.

Se non è possibile risalire ad una persona fisica il dato è anonimo; in merito a questa tipologia di dati, il Considerando 26 del GDPR afferma che “i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pe

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo
@RIPRODUZIONE RISERVATA

Articolo 1 di 5