Il Trattamento dei dati sanitari

La grande tematica della normativa in materia di protezione dei dati personali connessa all’ambito sanitario è ab origine singolare e molto discussa.

Sin dalla Legge n. 675/96 la previsione di norme e principi specifici posti a tutela della riservatezza del paziente è stata per lo più percepita come un mero vincolo burocratico tale da creare un ostacolo alle esigenze di urgenza, velocità e appropriatezza delle prestazioni sanitarie da erogare.

Tuttavia, con il passare del tempo e con il maturare della consapevolezza diffusa di una normativa meno burocratica e orientata piuttosto all’effettiva tutela del paziente e del rispetto della sua dignità, si è finalmente giunti, con il Codice Privacy del 2003, ad un ripensamento complessivo del rapporto tra diritto alla privacy e sanità, che si è tradotto sul testo normativo in questione nel passaggio da una disciplina confinata entro

113

La figura dell’Amministratore di Sistema era già stata disciplinata dalla previgente normativa e, in particolare, dall’art. 1, comma 1, lett. c) del D.P.R. n. 318/1999, che aveva definito questa figura professionale come “il soggetto a cui è conferito il compito di sovrintendere alle risorse del sistema

operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione”.

114

Provvedimento reperibile sul sito www.gpdp.it [ doc. web. n. 1577499] (ultimo accesso giugno 2017).

115 _{Risposta alla FAQ n. 20 del Provvedimento "Amministratori di sistema" del Garante Privacy}

49 un unico articolo116 (Legge n. 675/96) ad un’articolata serie di previsioni che vanno a occupare un intero Titolo, il quinto, della Parte II del nuovo Codice, dedicato appunto al “trattamento dei dati personali in ambito sanitario” (articoli da 75 a 94).

Nello specifico, questo titolo regola in maniera esaustiva le modalità di trattamento delle informazioni idonee a rivelare lo stato di salute che devono essere rispettate dagli esercenti le professioni sanitarie e dagli organismi sanitari pubblici.

Come già accennato in precedenza117, alla luce di questo titolo V viene individuata una “nuova” tipologia di dato, quello “sanitario”, che assume così una precisa connotazione giuridica, rinvenibile nelle seguenti caratteristiche:

- essere riferito ad un interessato identificato o identificabile; - essere trattato da un soggetto esercente la professione sanitaria;

- essere raccolto per la finalità di diagnosi, prevenzione e cura di un paziente, di un terzo o della collettività.

Proseguendo oltre nell’analisi del Titolo V del Codice, appare sin da subito rilevante il richiamo che viene fatto ai due elementi basilari del trattamento in ambito sanitario: l’informativa e il consenso. Come già evidenziato, tali requisiti di legittimità del trattamento sono entrambi indefettibili.

L’art. 76, comma 1, individua le casistiche di trattamento considerate legittime dal legislatore, e più precisamente:

a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato;

b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.

116 _{Art. 23 Legge 675/96 rubricato “Dati inerenti alla salute” che prevedeva: - Gli esercenti le}

professioni sanitarie e gli organismi sanitari pubblici possono, anche senza l'autorizzazione del Garante, trattare i dati personali idonei a rivelare lo stato di salute, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela dell'incolumità fisica e della salute dell'interessato. Se le medesime finalità riguardano un terzo o la collettività, in mancanza del consenso dell'interessato, il trattamento può avvenire previa autorizzazione del Garante.

- I dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato solo per il tramite di un medico designato dall'interessato o dal titolare.

- L'autorizzazione di cui al comma 1 è rilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superiore di sanità. E' vietata la comunicazione dei dati ottenuti oltre i limiti fissati con l'autorizzazione. - La diffusione dei dati idonei a rivelare lo stato di salute è vietata, salvo nel caso in cui sia necessaria per finalità di prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia.

50 A queste due ipotesi vanno aggiunte le fattispecie enunciate all’art. 82, tutte essenzialmente accomunate dalla circostanza di prevedere l’acquisizione del consenso in un momento successivo rispetto all’erogazione della prestazione sanitaria, ancorché “senza ritardo”: si tratta, com’è evidente, di fattispecie aventi come comune denominatore il sussistere di condizioni di emergenza per la salute.

Sulla base dei principi generali, già illustrati, in caso di trattamento dei dati sanitari la manifestazione del consenso richiederebbe di norma la forma scritta, avendo ad oggetto il trattamento dei dati sensibili. Ciò nonostante, il Codice prevede alcune semplificazioni. Infatti, secondo l’art. 81 del Codice, fornita l’informativa ai sensi degli artt. 78, 79 ed 80, “il consenso al trattamento dei dati idonei a rivelare lo stato di salute, può essere manifestato con un'unica dichiarazione, anche oralmente” ed in tal caso il consenso, anziché con atto scritto dell'interessato, deve essere “documentato con annotazione dell'esercente la professione sanitaria o dell'organismo sanitario pubblico”.

È opportuno sottolineare come l’annotazione del consenso possa avvenire anche con modalità informatiche, purché nel rispetto delle norme previste dal Codice dell’Amministrazione digitale.

Specifiche modalità di semplificazione sono previste anche per l’informativa (articoli da 77 a 81 del Codice). In particolare, le modalità di semplificazione consistono per lo più nella possibilità di prevedere un’unica informativa a vantaggio di più titolari ovvero anche nel caso in cui l’interessato debba compiere più prestazioni medico- assistenziale erogate da unità e reparti diversi o da parte di più strutture.

Si deve tuttavia tener presente che le semplificazioni previste non riguardano il contenuto minimo dell’informativa ex art. 13 del Codice; difatti essa, anche se resa in forma sintetica, deve sempre contenere gli elementi previsti come obbligatori.

A chiusura del titolo V troviamo l’art. 94, che legittima il trattamento di dati idonei a rivelare lo stato di salute che sono contenuti in banche di dati, schedari, archivi o registri tenuti in ambito sanitario, purché effettuato nel rispetto del principio di necessità (art. 3 del Codice).

Con tale articolo si legittima così anche l’utilizzo del Dossier sanitario oggetto, come già detto, di apposite previsioni in ambito di protezioni dei dati personali e rintracciabili nelle Linee guida che ci apprestiamo ad analizzare.