Privacy sanitaria e legal design: un primo approccio

Il trattamento dei dati personali in ambito sanitario merita una riflessione a parte, sia per la rilevanza della materia, sia per le importanti modifiche apportate dal Regolamento in questo settore.

L’entrata in vigore del Regolamento, infatti, ha profondamente trasformato la disciplina del trattamento dei dati sanitari. Come abbiamo ricordato sopra, infatti, al contrario di quanto accadeva in precedenza, il Regolamento non guarda al consenso come a una condizione prioritaria di liceità del trattamento, ma solo come a una tra le possibili alternative su cui il trattamento dei dati personali può essere fondato. La perduta centralità del consenso è ancora più evidente nel trattamento di particolari categorie di dati personali. 175

Le categorie particolari di dati personali sono disciplinate all’art. 9 del Regolamento ed erano già conosciute dalla direttiva 95/46/CE; vi rientrano tutte quelle informazioni che non soltanto identificano l’individuo, ma che concorrono alla costruzione della sua identità

174 _{M. Hagan, User-Centered Privacy Communication Design, in Symposium on Usable Privacy and Security (SOUPS),} 201, pp. 1-7. Accessibile al sito https://ssrn.com/abstract=2981075

175_{Il Regolamento è in antitesi con il codice privacy, nel quale il consenso al trattamento dei dati sanitari} aveva un ruolo centrale. L’art. 76 stabiliva infatti che gli organismi sanitari pubblici e chi esercita professioni sanitarie potevano trattare i dati personali idonei a rivelare lo stato di salute solamente con il consenso dell’interessato e anche senza l’autorizzazione del garante, se il trattamento riguardava dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato. L’art. 82 stabiliva invece che l’interessato prestasse il proprio consenso senza ritardo successivamente al trattamento sanitario, nel caso di impossibilità fisica, incapacità di agire e di incapacità di intendere e di volere di quest’ultimo quando non fosse stato possibile acquisire il consenso da chi esercitava la potestà legale, da un prossimo congiunto, un convivente, un familiare o il responsabile della struttura presso cui l’interessato abitava. E. Varani, Diritto alla privacy e trattamento dei dati sensibili in ambito sanitario: dalla carta dei diritti fondamentali

dell’Unione Europea al D. LGS 30 giugno 2003, n. 196 codice in materia di protezione di dati personali, in Giurisprudenza italiana, 2005, ff. 8-9, pp. 1769-1776.

63

fisica e sociale. Il Regolamento considera categorie particolari di dati: i dati personali che rivelino l’origine raziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi ad identificare una persona fisica e i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona.176 _{Secondo l’art. 4 del Regolamento i dati relativi alla salute sono quei dati} personali attinenti alla salute fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo stato di salute dell’interessato.

Il considerando 35 del Regolamento precisa che dovrebbero rientrare nei dati relativi alla salute tutti quei dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale, passata, presente o futura dello stesso. Questi comprendono le informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria; le informazioni risultanti da esami e controlli; i dati genetici e i campioni biologici; qualsiasi informazione, riguardante, ad esempio, una malattia, una disabilità e il rischio di malattie “indipendentemente dalla fonte, quale ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”. Il fatto che il legislatore abbia voluto specificare tra i vari termini proprio quelli attinenti al mondo della sanità testimonia l’importanza e la conseguente pericolosità della gestione e dell’organizzazione di tutti i dati personali che ogni giorno transitano all’interno delle strutture sanitarie.177

Il par. 1 dell’art. 9 vieta in linea di principio il trattamento di tali dati, ma poi, al paragrafo seguente, stabilisce una serie di deroghe e al paragrafo 3 lascia la possibilità agli stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni con riguardo al solo trattamento dei dati genetici, biometrici o relativi alla salute.

In particolare le condizioni per le quali non si applica il paragrafo 1 sono le seguenti: a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati

personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli stati membri disponga che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli stati membri o da un contratto collettivo, ai sensi del diritto degli stati membri in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c) Il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato nell’ambito delle sue legittime attività e con adeguate garanzie da una fondazione, associazione o altro organismo senza scopo di lucro, che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo, a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno, senza il consenso dell’interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

176 _{M. Granieri, Il trattamento di categorie particolari di dati personali nel reg. UE 2016/679, in Le nuove leggi civili}

commentate, 2017, vol. 40, f. 1, pp. 165-190.

177_{G. Carro, S. Masato, M. D. Parla, La privacy nella sanità, in Teoria e Pratica del Diritto – Civile e Processo,} Giuffré editore, Milano, 2018, p. 14.

64

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogni qualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale; j) Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca

scientifica o storica o a fini statistici in conformità dell’art. 89, par. 1, sulla base del diritto dell'Unione o del diritto nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato

Anche in questo caso, dunque, il consenso è soltanto una delle possibili alternative che consentono il trattamento dei dati, ponendosi sullo stesso piano delle altre. Il Regolamento non richiede nemmeno più al titolare di notificare al garante la comunicazione di inizio di un’attività di trattamento di dati particolari, ma consente semplicemente che il trattamento si svolga in presenza di una delle condizioni di cui sopra. Il fatto che il legislatore europeo consideri il consenso come alternativo alle altre condizioni e l’eliminazione della notifica all’autorità garante sono indici di un mutamento di prospettiva dell’inquadramento giuridico dei dati personali: si è passati dal considerare i dati personali come una proprietà dell’interessato, che poteva liberamente disporre di essi tramite il proprio consenso, a un’acquisita consapevolezza dell’ineluttabilità della circolazione dei dati stessi.178

Va detto anzi che, nel particolare contesto del trattamento sanitario, la validità del consenso risulta particolarmente problematica, in quanto non sempre l’interessato si trova nelle condizioni di poter manifestare la sua volontà in modo libero, specifico, informato ed inequivocabile; si pensi all’ipotesi in cui venga effettuato un trattamento dei dati sanitari di un paziente che venga accolto in pronto soccorso o in un reparto in stato di incoscienza o comunque senza la capacità di autodeterminarsi.

La perduta centralità del consenso nel trattamento dei dati in ambito sanitario è stata confermata anche dal Dlgs. 10 agosto 2018 n. 101, che ha profondamente modificato e in parte abrogato il titolo quinto del codice privacy, riguardante il trattamento dei dati in ambito

178 _{B. Sirgiovanni, Dal consenso dell’interessato alla responsabilizzazione del titolare del trattamento dei dati genetici,} 2020, in Le nuove leggi civili commentate, vol. 43, f. 4, pp. 1010-1021.

65

sanitario; il riferimento al consenso è stato infatti espunto dall’art. 77, che afferma che “le disposizioni del presente titolo individuano particolari modalità per informare l’interessato ai sensi degli artt. 13 e 14 del Regolamento e per il trattamento dei dati personali”. È stato inoltre abrogato l’art. 81, che prevedeva la possibilità di manifestare oralmente il consenso al trattamento dei dati idonei a rivelare lo stato di salute dei pazienti.179

Le più rilevanti condizioni di liceità del trattamento dei dati sanitari, sono quelle previste alle lettere g), h) e i) dell’art. 9 del Regolamento, che rispettivamente prevedono la possibilità di trattare i dati sanitari se il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione e degli stati membri, per motivi di interesse pubblico nel settore della sanità pubblica, come nel caso di un’emergenza sanitaria nazionale, o se tale trattamento è necessario per finalità di cura.180181

Tali eccezioni sono state puntualmente individuate e richiamate anche dal provvedimento del Garante emanato il 7 marzo 2019 e intitolato “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”. Nel provvedimento, il garante ha ricordato che, ai sensi del considerando 53, i trattamenti di cui all’art. 9, par. 2, lett. h) sono quei trattamenti necessari al perseguimento delle specifiche “finalità di cura”, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute e che tali trattamenti sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona, anch’essa soggetta all’obbligo di segretezza. Diversamente da quanto accadeva in passato, i medici, gli infermieri e gli altri operatori sanitari, non devono più richiedere il consenso al trattamento dei dati personali che riguardano la salute e che sono strettamente necessari per curare il paziente, in quanto il trattamento di tali dati si basa sulla condizione di liceità di cui alla lettera h) del par. 2.182 _{Non per questo gli obblighi di} informazione previsti dal Regolamento perdono di valore, anzi, ai sensi del principio di trasparenza, sarà invece fondamentale informare il paziente, nel modo più chiaro e trasparente possibile, del fatto che, ai fini della cura medica, i suoi dati personali potranno essere trattati anche senza il suo consenso. Solo in questo modo, infatti, il trattamento di dati personali sarà lecito e solo in questo modo, come vedremo meglio tra poco, il paziente potrà acquisire una piena consapevolezza sulle prestazioni mediche alle quali potrà scegliere di sottoporsi. L’importanza dell’obbligo di rispettare il principio di trasparenza è stata sottolineata proprio dal Garante stesso che, sempre nel provvedimento n. 55, ha ricordato che esso impone ai titolari di informare l’interessato sui principali elementi del trattamento, al fine di renderli consapevoli delle principali caratteristiche dello stesso. Il Garante sembra dedicare una particolare attenzione alla qualità delle informazioni, poiché chiarisce che, pur nel rispetto degli artt. 13 e 14 del regolamento, le informazioni vanno rese all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il garante precisa infine che, per quanto riguarda le modalità con cui fornire

179 _{V. Cuffaro, Quel che resta di un codice: il D.Lgs. 10 agosto 2018, n. 101 detta le disposizioni di adeguamento del}

codice della privacy al regolamento sulla protezione dei dati, in Corriere giuridico (Il), 2018, f. 10, pp. 1181-1186.

180 _{I. Gasparini, La tutela penale della privacy sanitaria nell’era del GDPR, in Rivista italiana di medicina legale e del}

diritto in campo sanitario, 2019, vol. 41, f. 3, pp. 863-890.

181 _{Il considerando 4 del Regolamento ricorda come il trattamento dei dati personali dovrebbe essere al} servizio della persona. Il diritto alla protezione dei dati personali non è dunque una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità. A. Ricci, Sulla “funzione sociale” del diritto alla protezione dei dati

personali, in Contratto e impresa, 2017, vol. 33, f.2 pp. 586-612.

182 _{Si veda a tal proposito il provvedimento n. 55 del Garante del 7 marzo 2019, accessibile al sito} https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9091942.

66

l’informativa, spetta al titolare scegliere quelle più appropriate al caso di specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato (ad esempio, il dispositivo utilizzato, la natura dell’interazione con il titolare, le limitazioni che implicano tali fattori).

L’implementazione di tecniche di legal design consente dunque ai titolari di garantire quella qualità informativa richiesta dal Garante e l’ampia autonomia di cui i titolari godono in questo settore consente loro di scegliere liberamente le soluzioni più adeguate ai loro obiettivi e alle esigenze degli interessati. Ciò permetterebbe inoltre ai team che le progettano di sfogare liberamente la loro creatività.

Infine, per quanto riguarda il contenuto delle informazioni, il Garante precisa che i titolari sono tenuti ad aggiornare gli obblighi di informativa, peraltro già previsti dall’art. 13 del Codice Privacy, con i precetti contenuti negli artt. 13 e 14 del Regolamento, che in aggiunta a quanto previsto dal Codice Privacy prevedono che l’informativa sia resa all’interessato nel momento della raccolta dei dati, che siano espressamente dichiarate le modalità e le finalità del trattamento e che vengano definiti non solo un adeguato tempo per la conservazione, ma anche per l’eventuale cancellazione.

La diversa terminologia impiegata dal Regolamento e dal Codice Privacy riflette il differente modo con il quale i due testi approcciano gli obblighi di informazione. Mentre il Codice Privacy, nell’intitolazione dell’art. 13 utilizza il termine “informativa”, il Regolamento negli artt. 13 e 14 parla di “informazioni”. Se la parola “informativa” si riferisce a un adempimento dalla forma tendenzialmente granitica, all’assolvimento di un obbligo burocratico, che vede l’interessato come soggetto passivo rispetto all’intera operazione del trattamento dei dati personali, il Regolamento pensa a una pluralità di atti informativi, che possono avvenire più volte nell’arco dell’intero trattamento dei dati, ad adempimenti gestiti in modo attivo, dinamico, resi effettivi anche grazie alla collaborazione attiva del soggetto destinatario.183

È interessante notare anche che il provvedimento suggerisce ai titolari che operano in situazioni di particolare complessità, come le aziende sanitarie, di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo. “Ciò significa” - spiega il Garante “che nei confronti della generalità dei pazienti afferenti a una struttura sanitaria, potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie”. Invece, gli elementi informativi relativi a particolari attività di trattamento, come la fornitura di presidi sanitari, le modalità di consegna dei referti medici on-line o le finalità di ricerca, potrebbero essere resi, in un secondo momento, solo ai pazienti effettivamente interessati a tali servizi e a ulteriori trattamenti. Anche il Garante, in sostanza, consiglia di suddividere le policy privacy in una pluralità di comunicazioni, differenziate a seconda delle esigenze dei diversi pazienti, proprio come indicano gli studi in materia di legal design e privacy che abbiamo menzionato sopra.

Il consenso informato al trattamento dei dati personali è invece richiesto per eventuali trattamenti che non sono strettamente necessari alla cura, o che sono attinenti ad essa solo in senso lato. Il titolare e il responsabile del trattamento di una struttura sanitaria, sia pubblica che privata, sono pertanto tenuti a effettuare una valutazione nel merito, caso per caso, sul trattamento dei dati, sulle sue modalità e sulle sue finalità.184

183 _{Come è stato osservato: “è finita sostanzialmente l’era dell’atto burocratese, in cui l’Azienda Sanitaria la faceva da}

protagonista, per passare ad atti più veloci e snelli, condivisi in modo attivo e fattuale, tra tutti i protagonisti del trattamento dei dati sensibili, interessato incluso”. G. Carro, S. Masato, M. D. Parla, La privacy nella sanità, cit., p. 170.

184 _{M. D’Agostino Panebianco, Il trattamento dei dati nel sistema sanitario nazionale italiano alla luce del}

67

Inoltre, nel provvedimento si afferma che la richiesta di un esplicito consenso è sempre necessaria in una serie di casi:

 per l’utilizzo di app mediche, quando le finalità sono diverse dalla telemedicina, ovvero se ai dati possono avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;

 per i trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, che permettono di fruire di servizi e prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta nell’ambito del servizio sanitario nazionale;

 per trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali;

 per trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

 per trattamenti effettuati attraverso il fascicolo sanitario elettronico.

In tutti questi casi, ovviamente, il consenso deve essere inequivocabile, specifico, libero e informato. L’interessato ha pertanto il diritto di essere informato circa le modalità e le finalità del trattamento.

In ambito sanitario, non bisogna confondere il consenso al trattamento dei dati personali con il consenso al trattamento sanitario, in quanto nel primo caso il paziente acconsente al trattamento dei suoi dati, mentre nel secondo caso il paziente rilascia il proprio consenso per sottoporsi a una determinata cura medica. L’art. 32 della Costituzione recita infatti che: “nessuno può essere obbligato a un determinato trattamento se non per disposizione di legge”, in accordo con il principio fondamentale dell’inviolabilità della libertà personale di cui all’art. 13 della Costituzione stessa. Pertanto, al diritto del paziente di essere informato sul trattamento dei suoi dati personali, si affianca il diritto di ricevere le opportune informazioni sul percorso terapeutico al quale può sottoporsi, e su eventuali terapie alternative. Come è stato osservato, il consenso informato legittima l’attività sanitaria, ossia in mancanza di esso, l’intervento del medico è illecito anche quando l’intervento abbia un esito felice.185 _{Il consenso informato è stato disciplinato dalla legge n. 219 del 22 dicembre} 2017, che al terzo comma dell’art. 1 specifica che “ogni persona ha il diritto di conoscere le proprie condizioni di salute e di essere informata in modo completo, aggiornato e a lei comprensibile riguardo alla diagnosi, alla prognosi, ai benefici e ai rischi degli accertamenti diagnostici e dei trattamenti sanitari o della rinuncia ai medesimi”. Per il medico sussiste dunque l’obbligo di spiegare con chiarezza il contenuto del modulo, che deve essere redatto in modo da essere facilmente leggibile e comprensibile dal paziente, utilizzando, se possibile, delle illustrazioni, affinché l’adesione del paziente non sia solo un semplice atto burocratico, ma sia invece il frutto di un rapporto leale ed onesto tra lo stesso e il professionista sanitario che raccoglie il consenso.186

Le tecniche di legal design, dunque, sembrano essere l’unica soluzione che consenta al