Con il Provvedimento n. 368 del 20 giugno 2024, pubblicato solo il 9 agosto scorso, il Garante privacy è intervenuto sul diritto all’oblio oncologico pubblicando delle FAQ con l’obiettivo di prevenire le discriminazioni e tutelare i diritti delle persone che sono guarite da malattie oncologiche.
Indice degli argomenti
Il quadro normativo sull’oblio oncologico
Il provvedimento del Garante privacy segue l’adozione da parte del Ministero della salute, lo scorso 5 luglio 2024, del Decreto “Disciplina delle modalità e delle forme per la certificazione della sussistenza dei requisiti necessari ai fini della normativa sull’oblio oncologico”.
Questo fa seguito alla Legge 193/2023 “Disposizioni per la prevenzione delle discriminazioni e la tutela dei diritti delle persone che sono state affette da malattie oncologiche”, che prevede, come noto, il divieto di richiedere ai soggetti interessati informazioni sullo stato di salute relative a patologie oncologiche pregresse, decorso uno specifico periodo di tempo dalla conclusione del trattamento attivo in assenza di recidive.
In tale atto, al primo comma dell’articolo 5, è previsto che il citato Ministero provveda a disciplinare, così come poi fatto con il recente Decreto, le modalità e le forme per la certificazione, senza oneri per l’assistito, della sussistenza dei requisiti necessari ai fini dell’applicazione delle disposizioni adottate.
È sul testo di tale decreto che l’Autorità Garante Privacy ha fornito il proprio “Parere sullo schema di decreto del Ministro della salute, di concerto con il Ministro della giustizia, adottato ai sensi dell’articolo 3, comma 2, della legge 7 dicembre 2023, n. 193 “Disposizioni per la prevenzione delle discriminazioni e la tutela dei diritti delle persone che sono state affette da malattie oncologiche”.
In considerazione della rilevanza della tematica affrontata dal legislatore e delle possibili criticità che possono insorgere nell’applicazione delle relative misure l’Autorità ha provveduto anche a pubblicare un apposito vademecum.
Cos’è l’oblio oncologico e il ruolo del Garante privacy
Tale Legge, che ha la finalità di escludere qualsiasi forma di pregiudizio o disparità di trattamento e discriminazione delle persone guarite da patologie oncologiche, in attuazione degli articoli 2, 3 e 32 della Costituzione, degli articoli 7, 8, 21, 35 e 38 della Carta dei diritti fondamentali dell’Unione europea, del Piano europeo di lotta contro il cancro e dell’articolo 8 della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del 1950, riconosce il diritto all’oblio delle persone guarite da patologie oncologiche.
Per oblio oncologico si intende il diritto delle persone guarite da una patologia oncologica di non fornire informazioni né subire indagini in merito alla propria pregressa condizione patologicaquando siano trascorsi più di dieci anni dalla conclusione del trattamento attivo della patologia, in assenza di recidive o ricadute, ovvero più di cinque anni se la patologia è insorta prima del compimento del ventunesimo anno di età.
La particolare delicatezza della tematica affrontata dal legislatore ha fatto sì che al comma 4 dell’articolo 5 della legge n. 193 questi stabilisse che il soggetto incaricato della vigilanza sull’applicazione delle norme adottate fosse direttamente il Garante per la protezione dei dati personali, chiamato a svolgere anche un ruolo proattivo di sensibilizzazione e informazione.
Ambiti di operatività del diritto all’oblio oncologico
L’esercizio di tale diritto trova come destinatari tre ambiti distinti di operatività:
- quella di accesso ai servizi bancari, finanziari, di investimento e assicurativi, compresi le trattative precontrattuali e la stipulazione o il rinnovo di contratti, nel corso dei quali gli istituti di credito, le imprese di assicurazione e gli intermediari finanziari e assicurativi non possono richiedere l’effettuazione di visite mediche di controllo e di accertamenti sanitari. Non è possibile assumere informazioni concernenti le patologie oncologiche pregresse neanche da fonti diverse dal contraente e, se l’operatore o l’intermediario le hanno per qualche motivo già a disposizione, non possono utilizzarle per la determinazione delle condizioni contrattuali;
- quella delle indagini relative alla idoneità all’adozione concernenti la salute dei richiedenti, che non possono riportare informazioni relative a patologie oncologiche pregresse;
- quello dell’accesso alle procedure concorsuali e selettive, al lavoro e alla formazione professionale quando nel loro ambito sia previsto l’accertamento di requisiti psico-fisici o concernenti lo stato di salute dei candidati, nel corso del quale è vietato chiedere informazioni sullo stato di salute dei candidati relative a patologie oncologiche da cui essi siano stati precedentemente affetti e il cui trattamento attivo si sia concluso.
Come richiedere la certificazione di oblio oncologico
Con il Decreto succitato è stato stabilito, innanzitutto, a chi l’interessato possa rivolgersi per avere la certificazione di oblio oncologico.
A tal proposito è stato stabilito che la richiesta può essere presentata, corredata della relativa documentazione medica, al proprio Medico di Medicina Generale o ad una struttura sanitaria pubblica o privata accreditata, o a un medico dipendente del Servizio Sanitario Nazionale della disciplina attinente alla patologia oncologica di cui si chiede l’oblio, che provvederà a rilasciare all’interessato l’informativa sul trattamento dei dati personali e a rilasciare la certificazione.
La struttura sanitaria o il medico suindicato debbano somministrare all’interessato l’informativa sul trattamento di dati;
Al Decreto sono allegati anche tre moduli, che dovranno essere adeguatamente conformati dai professionisti sanitari che provvederanno a gestire le richieste dell’interessato, riferiti a:
- l’istanza per il rilascio del certificato di oblio oncologico, che deve essere conservata per dieci anni dalla presentazione, termine decorso il quale il titolare deve procedere alla sua cancellazione, comprensiva di ogni documentazione allegata o comunque a questa riferibile;
- il certificato di oblio oncologico, che deve essere rilasciato entro 30 giorni dalla richiesta, che riporta l’indicazione del nome, cognome, luogo e data di nascita, codice fiscale e residenza dell’interessato, senza ulteriori informazioni relative alla tipologia di patologia sofferta o ai trattamenti clinici effettuati, e che deve essere conservato per dieci anni dalla ricezione;
- l’informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR).
Viste tali indicazioni è del tutto evidente come l’applicazione delle disposizioni del Decreto del 5 luglio renda necessario che sia le strutture sanitarie ed i singoli professionisti che sono abilitati a ricevere le richieste di produzione della certificazione devono adottare tutta una serie di misure ed accorgimenti necessari ad assicurare che le relative attività di trattamento dei dati personali e di salute si svolgano nel pieno rispetto della vigente normativa.
Una serie di ulteriori misure dovrà al riguardo essere adottata inoltre da parte delle aziende sanitaria territoriali, che svolgono anche una serie di attività di trattamento relative al percorso di adozione.
Ma non solo , è evidente che anche i soggetti che dovranno utilizzare la certificazione rilasciata all’interessato, quindi gli istituti di credito, le imprese di assicurazione, gli intermediari finanziari o assicurativi, dovranno dotarsi di un proprio percorso interno che, guidato dai principi generali in materia di protezione dei dati personali e del più ampio onere di accountability del titolare del trattamento di cui agli articoli 5 e 24 del Regolamento UE 2016/679, sia capace di proteggere adeguatamente le particolari informazioni oggetto dei provvedimenti normativi succitati.
Le indicazioni per il datore di lavoro
In ultimo ogni datore di lavoro dovrà, in coerenza con le disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro, fare sì che solo il medico competente possa essere l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tutelare la salute e la sicurezza dei luoghi di lavoro.
Il datore di lavoro, sia pubblico che privato, non può in alcun modo trattare informazioni relative alla diagnosi o all’anamnesi del lavoratore, così come indicato dal decreto legislativo 9 aprile 2008 n. 81, in particolare all’articolo 41 e dal Documento di indirizzo del 13 maggio 2021 “Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, dell’Autorità Garante Privacy.