I dati sanitari nel GDPR

L’articolo 4.15 del GDPR sancisce: ““dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Sebbene il tenore della definizione rischi di risultare troppo vago e indurre a dubitare che si sia davanti ad una soluzione di continuità rispetto al passato, la lettura congiunta con il considerando90 _{35 fornisce una descrizione}

ben più specifica:

“Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli ef- fettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore

89 _{In questi termini si esprime il Working Party in merito al raggio d’azione dei dati relativi alla salute nel do-}

cumento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettro- niche (CCE), adottato il 15 febbraio 2007, WP 131.

90 _{Il Regolamento, a differenza della Direttiva, presenta un numero estremamente elevato di considerando}

(173 per l’esattezza), i quali, pur non avendo valore vincolante, rappresentano una guida fondamentale e spes- so imprescindibile per l’interpretazione degli articoli, come appunto nel caso dei dati relativi alla salute.

sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Diversi punti meritano attenzione. In primo luogo, è da notare l’assenza di un riferi- mento (in continuità con la normativa precedente) ad una nozione condivisa di salute, que- sta viene caratterizzata come fisica o mentale, ma non viene fornito alcun altro connotato91_.

In secondo luogo, si vede risolto l’interrogativo sopra citato riguardo alla rilevanza dei soli dati in grado di fornire informazioni su patologie attuali o anche passate92. Inoltre, è intro- dotto un chiaro riferimento al trattamento dei c.d. dati sanitari all’interno della definizione, dunque all’articolo 4.15, che viene meglio specificato nell’elenco esplicativo al Consideran- do 3593_{; in tale schema, i dati relativi alla salute sono configurati come gravitanti intorno a}

due poli: da un lato quelli relativi alla salute fisica e mentale, dall’altro quelli legati alla pre- stazione di assistenza sanitaria94.

Le esemplificazioni presenti nel Considerando sono poi fondamentali per poter af- fermare, in via definitiva, che la nozione di dato relativo alla salute comprende anche i dati che pur non essendo direttamente relativi alla salute consentono o di dedurre (e.g. informa- zioni raccolte nel corso della sua registrazione per ricevere servizi di assistenza sanitaria) o di trovare (e.g. identificativo in ambito sanitario) informazioni sulla stessa.

Contestualmente ai dati relativi alla salute, sono definiti anche i dati genetici e i dati biometrici95_{, entrambi assenti sia nella Direttiva 95/46/CE che nel Codice Privacy. Sono}

““dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risul- tano in particolare dall'analisi di un campione biologico della persona fisica in questione”96_{, mentre sono}

91 _{Generalmente si fa riferimento alla definizione fornita dall’Organizzazione Mondiale della Salute che il legi-}

slatore europeo pare aver tenuto a mente: “stato di completo benessere fisico, mentale e sociale, e non consiste solo in

un’assenza di malattia o d’infermità”, Costituzione dell’organizzazione Mondiale della Sanità firmata a New York

il 22 luglio 1946, Preambolo. Cfr. G.DE VERGOTTINI,C.BOTTARI,La sanità elettronica, Bologna, 2018, 46.

92 _{“[…] stato di salute fisica o mentale passata, presente o futura […]”, considerando 35, GDPR.}

93 _{Forte l’innovazione rispetto al Codice Privacy che pur dedicando il Titolo V al trattamento dei dati perso-}

nali in ambito sanitario è privo di una definizione così analitica.

94 _{J.HERVEG,J.VAN GYSEGHEM,L'impact du Règlement général sur la protection des données dans le secteur de la santé,}

in Le Règlement général sur la protection des données (RGPD / GDPR) analyse approfondie, Bruxelles: Larcier, 2018, 720-721.

95 _{Rispettivamente, artt. 4.13 e 4.14, GDPR.}

96 _{Prima dell’intervento definitorio del GDPR il riferimento principale a livello europeo era rappresentato dal}

“Documento di lavoro sui dati genetici” adottato il 17 marzo 2004 dal Working Party; a livello nazionale si faceva riferimento all’Autorizzazione generale al trattamento dei dati genetici del Garante nella sua ultima versione n. 8 del 2016, ad oggi adeguata al Regolamento e contenuta nel Provvedimento del Garante per la Protezione dei Dati Personali del 5 giugno 2019 n.146, doc. web n. 9124510. Per una più ampia trattazione: R.DUCATO,I dati biometrici, in CUFFARO,D’ORAZIO,RICCIUTO (a cura di), I dati personali nel diritto europeo, cit. 1285-1321; CAGGIA, Il trattamento dei dati sulla salute, con particolare riferimento all’ambito sanitario, cit., 437-442; J.MONDUCCI,

22

““dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici” 97_.

Tutte e tre le tipologie di dati descritte rientrano tra le categorie speciali e sono dun- que assoggettate ad un regime specifico volto a garantire una maggior tutela dato l’impatto che il trattamento potrebbe avere sull’individuo. Ciò ha reso la discussione riguardo ai dati personali da includere nel novero di dati relativi alla salute particolarmente accesa in quanto da tale discrimine dipende l’applicazione di previsioni più stringenti, se non il divieto di trattamento.

Per fornire un quadro più chiaro e comprendere le ragioni (e gli interessi) alla base della questione, si ritiene utile affrontare, seppur non nel dettaglio, il tema dei presupposti per il trattamento dei dati relativi alla salute.