I DATI SANITARI NELLE R ACCOMANDAZIONI DEL C ONSIGLIO D ’E UROPA

L’excursus dei provvedimenti comunitari e nazionali (vincolanti e non, di rango primario e secondario) rivela una pressoché omogenea convergenza sul concetto di “dati sanitari”, genericamente intesi come informazioni relative allo stato di salute di una persona222, la cui ulteriore declinazione rimane, però, affidata all’interprete. In proposito, è

parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati, Bruxelles, 25.1.2012 COM(2012) 10 def.

219

COMMISSIONE EUROPEA, Comunicazione della Commissione al parlamento europeo, al Consiglio, al

Comitato economico e sociale europeo e al Comitato delle regioni, Salvaguardare la privacy in un mondo interconnesso. Un quadro europeo della protezione dei dati per il XXI secolo, Bruxelles, 25.1.2012,

COM(2012) 9 def.

Per approfondimenti sul tema ivi introdotto, di interesse ARTICLE 29DATA PROTECTION WORKING PARTY,

Opinion 08/2012 providing further input on the data protection reform discussions, WP199, 01574/12/EN,

Brussel, 2012, pp.45.

220

COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento europeo, al Consiglio, al

Comitato Economico e Sociale Europeo e al Comitato delle Regioni, Un approccio globale alla protezione dei dati personali nell’Unione europea, Bruxelles, 4.11.2010, COM(2010) 609 def.

221

Cfr. Appendice.

222

Oltre alle informazioni che in modo più intuitivo fanno parte di questa categoria (in quanto specifici di un singolo soggetto), altri significativi esempi di “dati sanitari” sono: buone pratiche sanitarie, Fascicoli Sanitari

necessario un avvertimento: come accade in tutte le discipline giuridiche, l’eccessivo spazio lasciato agli operatori del diritto, ora conseguenza dell’assenza di norme ora conseguenza di una disordinata iperproduttività normativa, non produce alcun effetto positivo né sul fronte teorico né su quello applicativo; creare apparati sistematici è, dunque, di centrale interesse sia per i tecnici sia per beneficiari delle norme vigenti, particolarmente in un settore multidisciplinare come quello dell’e-Health.

Un documento significativo sulla tematica in esame è la “Raccomandazione n. R (97) 5 del Comitato dei Ministri agli Stati membri relativa alla protezione dei dati sanitari”223

, con cui il Consiglio d’Europa ha appunto sollecitato i legislatori nazionali a tradurre i principi affermati in atti giuridici di diritto interno. Cuore della Raccomandazione sono le modalità di raccolta e trattamento automatizzato dei dati sanitari nonché la salvaguardia del carattere riservato e della sicurezza dei dati personali relativi alla salute.

Richiamando l’articolo 6 della “Convenzione per la protezione delle persone in materia di trattamento automatizzato dei dati personali”224

, ai sensi del quale i dati personali sulla salute non possono essere trattati automaticamente a meno che il diritto interno non preveda garanzie appropriate, il Consiglio d’Europa ravvisa la necessità di rivedere quanto affermato, negli anni Ottanta, nella “Raccomandazione n. R (81) 1 relativa alla regolamentazione applicabile alle banche di dati sanitari automatizzate”225, e ciò, soprattutto a seguito dei progressi determinati dall’applicazione delle Tecnologie dell’Informazione e Comunicazione anche al settore sanitario.

Nello scenario rappresentato dalla Raccomandazione del 1997, il rispetto della vita privata è ancora una volta riconosciuto come diritto fondamentale da salvaguardare durante ogni attività di raccolta e trattamento dei dati personali; a tal fine, ad esempio, è indispensabile che i soggetti titolari del trattamento siano professionisti sanitari o, comunque, persone/organismi che agiscono per conto di operatori sanitari qualificati.

Garanzie parimenti importanti sono l’utilizzo di mezzi leciti e leali nel trattamento delle informazioni concernenti lo stato di salute di un paziente nonché l’identificazione, Elettronici nel loro insieme, immagini diagnostiche, dati molecolari, genetici ed epigenetici, proteomici e metabolici, informazioni sulle campagne di vaccinazione, sugli stili di vita della popolazione, sull’ambiente e sui costumi, dati sociali etc.

223

CONSIGLIO D’EUROPA -COMITATO DEI MINISTRI, Raccomandazione n. R (97) 5 del Comitato dei Ministri

agli Stati membri relativa alla protezione dei dati sanitari, adottata dal Comitato dei Ministri il 13 febbraio

1997.

224

Cfr. CONSIGLIO D’EUROPA, Convenzione sulla protezione delle persone rispetto al trattamento

automatizzato di dati a carattere personale, Strasburgo, 28 gennaio 1981.

225

Cfr. CONSIGLIO D’EUROPA -COMITATO DEI MINISTRI, Raccomandazione n. R (81) 1 del Comitato dei

Ministri agli Stati membri relativa alla regolamentazione applicabile alle banche di dati sanitari automatizzate, adottata dal Comitato dei Ministri il 23 gennaio 1981.

puntualmente disciplinata dal diritto interno, delle specifiche finalità per le quali i dati sanitari sono utilizzati.

In questo contesto si colloca, inoltre, l’obbligo di informativa alla persona interessata, informativa che deve vertere su: (i) l’esistenza di un archivio, (ii) le finalità della raccolta dei dati, (iii) i soggetti autorizzati a compierla, (iv) la possibilità di rifiutare o ritrattare il consenso prestato e le relative conseguenze, (v) il responsabile dell’archiviazione. Uniche deroghe di informativa ammissibili sono i) per prevenire un pericolo concreto o reprimere una infrazione penale, ii) per ragioni di salute pubblica, iii) a protezione della persona interessata e dei diritti e libertà altrui, iv) in caso di urgenza medica226.

Altrettanto centrali sono il consenso (informato, autonomo, specifico) dell’interessato al trattamento dei dati sanitari; la riservatezza nella comunicazione delle informazioni personali nonché il diritto di accesso ai dati personali e alla rettifica dei dati errati.

“Contro la distruzione - accidentale o illecita - e la perdita accidentale, così come contro l’accesso, la modificazione, la comunicazione o ogni altra forma di trattamento non autorizzati”227

è, inoltre, indispensabile l’adozione di misure tecniche ed organizzative idonee alla protezione dei dati sanitari; a tal fine sono suggerite misure volte al “controllo all’entrata delle istallazioni”, controllo dei supporti di dati, della memoria, dell’utilizzazione, ma anche controlli d’accesso, della comunicazione, dell’introduzione, del trasporto, nonché controllo di disponibilità delle stesse informazioni228.

L’articolo 10 della Raccomandazione 97/5, rubricato “conservazione”, indica come regola generale che la conservazione dei dati sanitari sia eguale alla “durata necessaria per raggiungere lo scopo per il quale essi sono stati raccolti e trattati”; la norma prevede anche la possibilità di cancellazione degli stessi dati, su istanza dell’interessato, “a meno che essi non siano resi anonimi o che non vi si oppongano interessi superiori e legittimi ed in particolare quelli enunciati al punto 10.2 [quali l’interesse legittimo della salute pubblica, della scienza medica, del responsabile del trattamento sanitario o del responsabile dell’archivio, al fine di permettergli di esercitare o di difendere i suoi diritti giuridici, o a fini storici o statistici], o obbligazioni di archiviazione”.

La Raccomandazione in esame affronta, in conclusione, i temi dei “flussi transfrontalieri” e della “ricerca scientifica”.

226

Così precisa al punto 5.6 la Raccomandazione n. R (97) 5 del Comitato dei Ministri agli Stati membri

relativa alla protezione dei dati sanitari.

227

Secondo quanto si legge al punto 9.1 della stessa Raccomandazione n. R (97) 5.

228

Secondo quanto dettato dall’articolo 11, in linea generale sono negati i flussi di dati sanitari tra Stati che non assicurino una protezione conforme a quanto previsto dalla “Convenzione per la protezione delle persone nei confronti del trattamento automatizzato di dati a carattere personale” del Consiglio d’Europa, con la sola eccezione dei casi in cui siano adottate idonee misure di sicurezza e sia rilasciato il consenso dell’interessato. Secondo quanto poi disposto dall’articolo 12, l’uso dei dati sensibili per finalità di ricerca scientifica è ammissibile purché avvenga in forma anonima e, ove ciò non sia possibile, purché sia oggetto di consenso informato per le finalità della ricerca, consenso che, quindi, non soltanto è obbligatorio, ma deve anche essere precedente al trattamento229.