L A DISCIPLINA DEI DATI SANITARI NEL “C ODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ”

Dando attuazione alla direttiva 95/46/CE231, il legislatore nazionale si occupa, per la prima volta, di “dati personali idonei a rivelare lo stato di salute di un individuo” nel 1996, e, precisamente, con la legge n. 675232; è, comunque, con l’approvazione del “Codice in materia di protezione dei dati personali” (c.d. “Codice privacy”)233

che la materia del trattamento di dati personali viene riordinata nel sistema giuridico italiano ed è, quindi, in tale corpus che i dati sensibili, di cui quelli sanitari sono una tipologia, trovano la loro disciplina (cfr. fig. 12).

Figura 12 - Tipologia dei dati personali nella legislazione italiana vigente

231

Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, pubblicata in G.U. n. L 281 del 23.11.1995.

232

Legge 31 dicembre 1996 n. 675, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati

personali, pubblicata in Gazzetta Ufficiale n. 5 del 8.1.1997.

233

Decreto legislativo 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali, pubblicato in Gazzetta Ufficiale n. 174 del 29.07.2003. Il suddetto decreto è stato predisposto in esecuzione dell’articolo 1 della legge 127/2001, con il quale il Governo riceveva una delega per l’emanazione di un Testo Unico in materia di trattamento dei dati personali e disposizioni connesse; a far data dal 1996, infatti, su delega conferita dalla legge 676/1996 (e successive proroghe - l. 344/1998 e l. 127/2001 - ), il Governo aveva emanato ben 10 decreti legislativi aventi ad oggetto il tema della privacy (trattasi dei: d.lgs. 123/1997, d.lgs. 255/1997, d.lgs. 135/1998, d.lgs. 171/1998, d.lgs. 389/1998, d.lgs. 51/1999, d.lgs. 135/1999, d.lgs. 281/1999, d.lgs. 282/1999, d.lgs.467/2001).

Dati personali

Dati identificativi

Dati sensibili

Origine razziale ed etnica

Dati personali idonei a rivelare lo stato di salute di

un individuo

Convinzioni religiose o filosofiche

Opinioni politiche

Adesione a partiti, sindacati, associazioni o organizzazioni Dati giudiziari

Il testo normativo in esame, però, analogamente alla direttiva comunitaria, non è dedicato in modo esclusivo alle informazioni sanitarie; per tale ragione, è, quindi, imprescindibile per l’interprete ripercorrere l’intero decreto legislativo 196/2003, al fine di reperire principi e criteri applicabili anche al settore socio-assistenziale.

Come più volte in precedenza segnalato, l’assenza di norme ad hoc può generare un vero e proprio disordine non soltanto interpretativo ma anche, e, soprattutto, applicativo, con il rischio di ledere, tra gli altri, il principio di uguaglianza affermato, ad esempio, dall’articolo 3 della Costituzione italiana234

. Alla luce delle importanti novità introdotte dall’utilizzo crescente di dati e documenti sanitari in formato digitale, appare, pertanto, auspicabile che il legislatore e l’interprete codifichino con certezza la disciplina giuridica, al fine di superare le criticità esistenti.

In apertura, e precisamente all’articolo 1, il “Codice privacy” riconosce l’universalità del diritto alla protezione dei dati personali, ribadendo, pertanto, un importante concetto, già sostenuto a livello comunitario, secondo cui la protezione e la libera circolazione dei dati personali del cittadino rappresentano un diritto fondamentale e, al tempo stesso, un bene comune.

Dal punto di vista strutturale, il decreto legislativo è articolato in parti, titoli, capi, sezioni e allegati; aprono la parte I, “disposizioni generali” (artt. 1-45), i primi due titoli, che il legislatore ha riservato a “principi generali” (artt. 1-6) e “diritti dell’interessato” (artt. 7-10). Il titolo III, rubricato “regole generali per il trattamento dei dati”, è articolato in tre capi, rispettivamente dedicati a: “[per] tutti i trattamenti” (artt. 11-17), “soggetti pubblici” (artt. 18-22), “privati ed enti pubblici economici” (artt. 23-27).

Oltre all’obbligo di “informativa” di cui all’articolo 13235

, significativo in questa sede richiamare quanto prescritto all’articolo 17 in materia di “trattamento che presenta rischi specifici”: i dati c.d. sensibili, proprio per la loro forte connessione con i diritti e le libertà fondamentali e con la dignità dell’individuo, richiedono misure ed accorgimenti a garanzia dell’interessato, misure in dettaglio declinate nel decreto legislativo 196 e di cui saranno fatti cenni nel corso del presente paragrafo.

Ai fini di questo studio, particolarmente interessante è, inoltre, l’articolo 20, rubricato “principi applicabili al trattamento di dati sensibili”, ai sensi del quale è necessario che, per

234

La norma invocata così recita: “1. Tutti i cittadini hanno pari dignità sociale e sono eguali davanti alla legge, senza distinzione di sesso, di razza, di lingua, di religione, di opinioni politiche, di condizioni personali e sociali. 2. È compito della Repubblica rimuovere gli ostacoli di ordine economico e sociale, che, limitando di fatto la libertà e l’eguaglianza dei cittadini, impediscono il pieno sviluppo della persona umana e l’effettiva partecipazione di tutti i lavoratori all’organizzazione politica, economica e sociale del Paese”.

235

i soggetti pubblici, siano predisposte specifiche previsioni normative che regolino tipologia di dati trattabili, operazioni eseguibili nonché finalità di interesse pubblico perseguite con l’attività di trattamento.

Così come previsto dal secondo comma della norma in esame, laddove tali disposizioni siano incomplete o addirittura assenti, “il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo. Qualora il trattamento non sia previsto da alcuna disposizione di legge - prosegue il terzo comma - i soggetti pubblici possono richiedere al Garante l’individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell’articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2”.

Il titolo IV del decreto legislativo 196/2003 raccoglie, invece, le disposizioni riguardanti i “soggetti che effettuano il trattamento” (artt. 28-30), quali titolare, responsabile e incaricato236; il titolo V, “sicurezza dei dati e dei sistemi”, contiene al capo I le norme in materia di “misure di sicurezza” (artt. 31-32-bis) ed al capo II quelle dedicate alle “misure minime di sicurezza” (artt. 33-36)237

.

In particolare, l’articolo 34, rubricato “trattamenti con strumenti elettronici”, nel ribadire che il trattamento di dati personali con strumenti digitali è possibile solo nei modi e limiti di cui al “Disciplinare tecnico in materia di misure minime di sicurezza” (contenuto

236

Tra gli altri: A.FLORIO, Il trattamento dei “dati idonei a rivelare lo stato di salute” da parte dei medici

liberi professionisti, in Ciberspazio e Diritto, 2010, vol. 11, n. 1, pp. 111-145; C.DI COCCO, Soggetti che

effettuano il trattamento (Parte I-Titolo IV), in J.MONDUCCI,G.SARTOR, Il codice in materia di protezione

dei dati personali, CEDAM, Padova, 2004, pp. 119-156.

237

Per approfondimenti, si rinvia a:P.PERRI, Privacy, diritto e sicurezza informatica, Giuffrè, Milano, 2007, pp. 195 ss.; C.RABAZZI,P.PERRI,G.ZICCARDI, La sicurezza informatica e la Privacy, in G.ZICCARDI (a cura di), Telematica giuridica. Utilizzo avanzato delle nuove tecnologie da parte del professionista del

diritto, Giuffrè, Milano, 2005, pp. 516 e ss.; P.PERRI, Le misure di sicurezza, in J.MONDUCCI,G.SARTOR, Il

codice in materia di protezione dei dati personali, CEDAM, Padova, 2004, pp. 137 e ss.; G.CORASANITI, La

sicurezza dei dati personali, in CARDARELLI,SICA,ZENO-ZENCOVICH (a cura di), Il codice dei dati personali.

Temi e problemi, Giuffrè, Milano, 2004, pp. 112-163; P.PERRI, Introduzione alla sicurezza informatica e

giuridica, in E.PATTARO (a cura di), Manuale di diritto dell’informatica e delle nuove tecnologie, Clueb s.c.a.r.l., Bologna, 2002, pp. 306 e ss.

nell’allegato B) del “Codice privacy”238

), sancisce, al primo comma, l’obbligatorietà dell’utilizzo di misure minime di sicurezza (già peraltro ricordate nei paragrafi della presente ricerca ad esse dedicati), quali: “a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g)239; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari”.

In chiosa alla parte I si trovano i titoli VI e VII, in cui sono rispettivamente raccolte norme su “adempimenti” (artt. 37-41) e “trasferimento dei dati all’estero” (artt. 42-45).

La parte II del “Codice privacy” prevede “disposizioni relative a specifici settori” (artt. 46-140); per ciò che concerne la presente ricerca, significativo è il titolo V, dedicato al “trattamento di dati personali in ambito sanitario” (artt. 75-94), nel quale sono regolate le modalità di trattamento delle informazioni idonee a rivelare lo stato di salute per esercenti le professioni sanitarie ed organismi sanitari pubblici.

Una prima puntualizzazione è a questo punto necessaria: nella definizione normativa di cui al d.lgs. 196/2003, il “dato sanitario” si qualifica come tale - e, quindi si distingue dal “dato sensibile”, richiedendo una disciplina ad hoc (cfr. fig. 12) - per le seguenti caratteristiche: a) occorre, anzitutto, che sia riferito ad una persona identificata o identificabile (non sia, dunque, anonimo); b) è necessario che venga trattato da un soggetto esercente la professione sanitaria o comunque da un organismo sanitario; c) è indispensabile che sia raccolto per finalità di trattamento esclusive, quali la tutela della salute del paziente, di un terzo o della collettività. Per contro, laddove vengano meno

238

L’allegato B), “Disciplinare tecnico in materia di misure minime di sicurezza”, in riferimento agli articoli 33-36 del Codice, indica le “modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici”; sono, in particolare, declinati il “sistema di autenticazione informatica”, il “sistema di autorizzazione”, misure di aggiornamento periodico, “misure in caso di trattamento di dati sensibili o giudiziari”, “misure di tutela e garanzia”. In chiosa al disciplinare sono, altresì, previste le “modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici”.

239

La lettera g) è stata soppressa dal d.l. 9 febbraio 2012, n. 5, convertito con modificazioni dalla l. 4 aprile 2012, n. 35.

questi requisiti, la disciplina giuridica che si applicherà ai dati raccolti sarà quella generale, relativa ai dati sensibili.

Una seconda precisazione riguarda, poi, la natura stessa del “dato sanitario”: secondo quanto disposto dalla normativa in esame, esso si riferisce non soltanto all’informazione che “rivela” lo stato di salute del’interessato (aspetto questo già previsto dalla direttiva 95/46/CE), ma anche all’informazione “idonea a rivelare” lo stato di salute dell’interessato. Per quanto riguarda le ipotesi di trattamento considerate dal legislatore, esse possono essere così sintetizzate: i) trattamento con il consenso dell’interessato ed anche senza l’autorizzazione del Garante, nel caso di dati ed operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato; ii) trattamento anche senza il consenso dell’interessato, previa autorizzazione rilasciata del Garante, sentito il Consiglio Superiore di Sanità, se tale finalità riguarda un terzo o la collettività240. Alle due circostanze indicate, va aggiunta un’altra fattispecie, rappresentata dalle emergenze sanitarie, per le quali l’informativa ed il consenso al trattamento dei dati personali possono intervenire successivamente alla prestazione; la medesima previsione è stabilita nelle ipotesi in cui l’attività medica possa essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia e, in particolare, nei casi di tutela urgente della salute, tra cui rientrano: a) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato, quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato; b) rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato.

Proseguendo nella lettura del titolo V del “Codice privacy”, altrettanto rilevante è la previsione di cui all’articolo 92, rubricato “cartelle cliniche”, da cui emerge il valore giuridico di atto amministrativo che questi preziosi documenti sanitari rivestono. Da tale

status deriva non soltanto la validità giuridica dei documenti informatici in esame ma

anche, e soprattutto, l’efficacia probatoria degli stessi. Interessante in proposito notare come nell’epoca della dematerializzazione la ratio iuris applicata all’efficacia probatoria dei documenti analogici sia rimasta immutata, e ciò, anche grazie all’introduzione di strumenti tecnologici, quali ad esempio la firma elettronica avanzata, idonei a garantire la

240

In questi casi il consenso può essere prestato con modalità semplificate: anziché con atto scritto dell’interessato, con un’unica dichiarazione, anche orale, annotata dall’esercente la professione sanitaria o dall’organismo sanitario pubblico.

paternità degli atti. Quanto osservato, è per analogia applicabile al dato sanitario digitale raccolto nel Fascicolo Sanitario Elettronico, sebbene si debba dar conto che la dottrina non è del tutto concorde su tale conclusione e richieda un intervento chiarificatore da parte del legislatore241.

Ritornando al contenuto della norma, il “Codice in materia di protezione dei dati personali” prevede che, per la redazione e la conservazione delle cartelle cliniche, è indispensabile che gli organismi sanitari pubblici e privati assicurino la comprensibilità dei dati, di cui, la distinzione tra le informazioni relative al paziente e quelle eventualmente riguardanti altri interessati è un aspetto centrale. Per far valere o difendere un diritto dell’assistito ovvero per tutelare una situazione giuridicamente rilevante, sono, altresì, ammissibili la presa visione o il rilascio di copia della cartella e dell’acclusa scheda di dimissione ospedaliera, da parte di soggetti diversi dall’interessato.

Chiude il titolo V della parte II del d.lgs. 196/2003 l’articolo 94, ai sensi del quale è ammissibile il trattamento di dati idonei a rivelare lo stato di salute contenuti in banche di dati, schedari, archivi o registri tenuti in ambito sanitario, purché effettuato nel rispetto del “principio di necessità nel trattamento dei dati” sancito dall’articolo 3 dello stesso decreto, secondo cui, occorre ridurre al minimo il trattamento di dati identificativi (anche da parte di sistemi informativi e programmi informatici), prediligendo piuttosto, ove possibile, l’utilizzo di dati anonimi e de-identificati.

Si noti, a riguardo, l’assenza di tipizzazione delle misure cui il legislatore idealmente rinvia, rimettendo ai gestori delle banche dati la scelta degli strumenti tecnologici adeguati allo scopo.