SPECIFICAMENTE NELLE STRUTTURE SANITARIE E
SOCIO SANITARIE
In particolare preme approfondire le applicazioni della citata intercorsa normativa negli Enti del Terzo settore, peraltro oggetto di recente riforma in fase di attuazione. Gli ETS “Enti del Terzo Settore” sono una particolare categoria di enti presenti nel nostro ordinamento dal decreto legislativo 117 del 201787. Anche tali ETS, in considerazione delle
84 Come i bar, ristoranti, officine, negozi o anche che trattino dati sanitari dei clienti
come i parrucchieri, tatuatori, ottici e molti altri.
85 Come le associazioni che tutelano i soggetti detti vulnerabili, come i malati o
persone con disabilità, o anche le organizzazioni di tendenza ed altre.
86 Cfr. https://www.garanteprivacy.it/home/faq/registro-delle-attivià-di-trattamento. 87“ Gli Enti del Terzo Settore sono le organizzazioni di volontariato, le associazioni
di promozione sociale, gli enti filantropici, le imprese sociali, incluse le cooperative sociali, le reti associative, le società di muto soccorso, le associazioni, riconosciute o non riconosciute , le fondazioni e gli altri enti di carattere privato diversi dalle società costituiti per il perseguimento, senza scopo di lucro, di finalità civiche, solidaristiche e di utilità sociale mediante lo svolgimento di una o più attività di interesse generale in forma di azione volontaria o di erogazione gratuita di denaro , beni o servizi, o di mutualità o di produzione o scambio di beni o servizi, ed iscritti nel Registro unico nazionale del Terzo Settore”.(Art.4 del Decreto 117/20111)
46
attività svolte, spesso nel contesto del principio di sussidiarietà orizzontale, avevano applicato la normativa previgente sulla privacy. Dall’entrata in vigore del GDPR, vi è stata la necessità di adottare, da parte dei titolari e responsabili, dei comportamenti proattivi e volti a dimostrare l’effettiva adozione di misure finalizzate ad assicurare l’applicazione del Regolamento stesso. Anche tali Enti, pertanto, dall’entrata in vigore del nuovo Regolamento, hanno dovuto adattarsi alle nuove procedure in materia di privacy e provvedere a tutti gli adempimenti previsti nel GDPR. Tra i principali ricordiamo quello di individuare le procedure volte ad assicurare il corretto, lecito e trasparente trattamento dei dati88, quello di individuare le misure di
sicurezza adatte al rischio e molte altre89.
Il GDPR, possiamo dire, colpisce questi Enti “non profit”, in modo particolare, sia perché, a differenza delle imprese a scopo di lucro, prendono in considerazione, in modo particolare, i dati di persone fisiche, sia perché queste organizzazioni necessitano di lavorare con enti locali e amministrazioni pubbliche e infine anche perché molte realtà “non profit” gestiscono i dati più sensibili legati alla salute e agli orientamenti politici, religiosi o filosofici90.
Trattando specificatamente delle strutture sanitarie possiamo evidenziare come il binomio Privacy- Sanità da sempre sia stato soggetto a diverse difficoltà, sia a seguito del valore dei principi da difendere, di tipo costituzionale, sia anche per la complessità che gli operatori sanitari hanno riscontrato nelle tematiche relative alla protezione dei dati personali. Con il pervenire della sanità digitale, le complicazioni sono conseguentemente aumentate, perché, nonostante tale digitalizzazione semplifichi e renda più celere il reperimento e lo
88 Dalla raccolta alla cancellazione.
89 Cfr. Pattono A., “GDPR lo stretto indispensabile per le Associazioni di
Volontariato- cosa devono davvero fare le realtà no-profit per adeguarsi al Regolamento europeo per la privacy”, 2018, Indipendently published Editore.
47
scambio di informazioni fra operatori e utenti, porta anche ad aumentare la tipologia e il numero dei dati personali e di conseguenza, porta anche ad accrescere i pericoli che derivano dall’uso che di tali dati sensibili ne fanno i terzi non autorizzati. In linea di massima, però, possiamo dire che la normativa sul trattamento dei dati personali e sensibili in ambito sanitario è sempre stata soggetta a discussioni. Questo perché, da sempre, vi è sempre stato il problema di bilanciare la riservatezza dei dati della persona umana, con le esigenze di urgenza e celerità volte a garantire la salute del paziente. Detto in altri termini, i “tempi stretti” nei quali adottare le decisioni cliniche indispensabili alla salvaguardia della salute e della vita, non trovano semplice coniugazione con il rispetto, senz’altro dovuto, dei diritti alla privacy.
Negli anni, la normativa sulla privacy in tale settore, è stata soggetta a cambiamenti che hanno portato a dare più importanza alla riservatezza e quindi, in via generale, agli aspetti umani. Prima che sopraggiungesse il nuovo Regolamento, il Codice sulla privacy, nel settore sanitario, come anche in altri settori, ha utilizzato un criterio di tipo settoriale, dettando delle norme specifiche in tale materia, come ad esempio il fatto che per il trattamento dei dati indispensabili per la tutela della salute o l’incolumità fisica, basti il consenso dell’interessato, senza che sia necessaria l’autorizzazione del Garante91.
Il GDPR, invece, non ha previsto una specifica disciplina per il trattamento dei dati personali nella sanità, eccetto qualche riferimento riguardo l’adozione di certe norme o istituti. Nonostante il Regolamento, al suo Art.9, preveda il divieto di trattare dati personali che facciano riferimento alla razza, alla politica, alla religione e ad altre particolari categorie, è comunque meno rigido, rispetto alla Direttiva madre, circa i casi in cui tale divieto non operi. Basti pensare infatti a quelli in cui tale trattamento sia richiesto per fini di medicina preventiva o ai casi in
91 Cfr. https://www.altalex.com/documents/news/2018/04/11/dati-sanitari-come-
48
cui sia necessario per valutare la capacità lavorativa dei dipendenti e in molte altre ipotesi.
Rispetto alla normativa precedente, dei cambiamenti, vengono riscontrati anche riguardo l’informativa. Infatti, soprattutto in ambito sanitario, le informazioni da fornire devono essere maggiormente dettagliate, devono essere fornite con un linguaggio semplice e chiaro e devono essere facilmente intelligibili e accessibili.
Circa il consenso, come indica l’Art.7 del GDPR, ovviamente anche in tale settore è necessario, deve essere in grado di rivelare inequivocabilmente la volontà dell’interessato, deve essere revocabile da quest’ultimo in qualsiasi momento e, come per gli altri settori, deve avere le caratteristiche già precedentemente delineate92.