• Non ci sono risultati.

1. L’evoLuzione normativa deLLa tuteLa deLLa privacy. da “È L’europa a chiederceLo” aLL’esigenza codificatoria nazionaLe

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "1. L’evoLuzione normativa deLLa tuteLa deLLa privacy. da “È L’europa a chiederceLo” aLL’esigenza codificatoria nazionaLe"

Copied!
21
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 21 pagine )

Testo completo

(1)

1.

L’evoLuzione

normativa

deLLa

tuteLa

deLLa privacy. da “È L’europa a chiederceLo”

aLL’esigenza codificatoria nazionaLe

sommario: 1.2 diritto alla privacy, un diritto costituzionalmente riconosciuto - 1.3 il web e nuove fron-tiere informative: il diritto di gestire i propri dati personali - 1.4 il diritto alla tutela della privacy nell’attua-zione legislativa italiana. il t.u. sulla privacy (d.Lgs. 196/2003) - 1.5 diritto alla riservatezza e diritto alla salute: un corretto contemperamento di interessi - 1.6 privacy, materia in perenne evoluzione. Le future prospettive europee

1.1 premessa

In questo capitolo ci occuperemo dell’excursus storico-normativo della più recente disciplina della privacy e delle sue prospettive future in ambito nazionale e comunitario. È proprio dalla legislazione europea che dobbia-mo partire per analizzare poi, la normativa vigente in Italia, tra decreti legge attuativi delle direttive europee e il connaturale riferimento alla carta fonda-mentale del ‘48.

Il primo gennaio 2004 entra in vigore il Decreto legislativo 30 giugno 2003 n.196, T.U. sulla privacy (di seguito definito Codice), dandosi così av-vio all’annunciata sostituzione di tutta la disciplina vigente in materia di pro-tezione dei dati personali, secondo un processo che giunge a compimento, attraverso una serie progressiva di scaglioni, nel corso del 2005. Il provvedi-mento intende in tal modo completare l’impianto normativo delineato dalla Legge n.675 del 31 dicembre 1996, allineandolo alla disciplina comunita-ria1 cui si ispirava, agli accordi e alle convenzioni internazionali nel

frattem-po intervenuti2, nonché mirando ad apportare le correzioni rese necessarie

dall’esperienza maturata nei primi anni di applicazione.

1 Tra cui in primo luogo il migliore recepimento della direttiva 95/46/CE e l’accoglimento della direttiva 2002/58/CE. 2 Prima fra tutte la Carta dei diritti fondamentali dell’Unione europea proclamata a Nizza nel dicembre 2000.

(2)

Il provvedimento non ha carattere meramente ricognitivo della normativa in vigore ma, reca una serie di disposizioni innovative e di coordinamento – prima fra tutte l’affermazione esplicita del principio secondo il quale

“Chiun-que ha diritto alla protezione dei dati personali che lo riguardano” (art. 1)

– che valgono indubbiamente a qualificare il medesimo come nuova fonte di disciplina della materia. Fonte, va sottolineato, di rango legislativo, col con-seguente assorbimento e/o eliminazione di varie disposizioni regolamentari non più necessarie.

1.2 diritto alla privacy, un diritto costituzionalmente riconosciuto

Il nuovo corpo normativo, intervenendo in un ambito particolarmente de-licato concernente diritti e libertà fondamentali, pone, come sempre avviene in questi casi, l’interrogativo della compatibilità della disciplina e, con essa, dei rapporti tra autorità e libertà, al modello di stato democratico, caratterizzato dal-la centralità deldal-la persona umana, quale tratteggiato dal costituente del 1948.

Da questo punto di vista, la nostra Costituzione eleva al rango di diritti fondamentali molteplici interessi, individuando per ciascuno di essi, quanto meno nei suoi termini essenziali, il punto di equilibrio tra libertà e limiti.

Viceversa, aprendo il catalogo dei diritti inviolabili alle esigenze matura-te e dunque suscettibili di provenire dal corpo sociale, la Carta Fondamentale non compie analoga valutazione, né d’altra parte, data l’eterogeneità e la non predefinibilità a priori dei nuovi diritti, potrebbe farlo. Conseguentemente, nel momento in cui il novero delle libertà si arricchisce dell’esplicitazione di alcune di esse, si pone il problema della definizione dei limiti della nuova fat-tispecie, e della necessaria rimodulazione dei vincoli cui va incontro ciascuna delle situazioni giuridiche soggettive “pregresse” incise da tale sviluppo, nel-la misura in cui entrambe insistono sulnel-la stessa area.

(3)

Ebbene, il riconoscimento esplicito del diritto alla protezione dei dati personali da parte del T.U. sulla privacy e la sua attrazione nel novero dei diritti costituzionali, vuoi in virtù della copertura offerta dall’art. 2 del do-cumento fondamentale, vuoi grazie al ruolo svolto in tale direzione dalla Convenzione europea dei diritti dell’uomo, dalla Carta di Nizza, e ancora dalla normativa comunitaria derivata dai Trattati, ripropone con evidenza siffatto problema: ossia tanto l’individuazione del grado di protezione di tale nuovo diritto, quanto le implicazioni che il riconoscimento determina a carico di altri diritti costituzionalmente garantiti. Invero, ogniqualvolta si allarga il catalogo dei diritti, pare inevitabile che in corrispondenza si apra anche la serie dei doveri e degli obblighi, nei termini resi necessari dall’ar-monica convivenza delle varie sfere giuridiche e, non si può negare che tale dinamica evolutiva debba arrestarsi ai margini della tavola costituzionale dei valori3. E ciò, in quanto la funzione di indirizzo politico che nella

rego-lamentazione positiva si manifesta è pur sempre espressione di potere costi-tuito in funzione di detti valori, e non può spingersi al punto da configurarsi come esercizio di potere costituente.

La questione riveste particolare interesse in relazione alla disciplina del trattamento dei dati sensibili in ambito sanitario, dal momento che si pone in tal caso l’esigenza di definire un ragionevole equilibrio tra il diritto alla salute, che impone di non ostacolare l’erogazione delle prestazioni necessarie per la salvaguardia della salute e dell’integrità fisica dell’interessato e dei terzi, e un adeguato mantenimento delle garanzie prescritte a salvaguardia di quello che, come si è soliti dire, costituisce il nocciolo duro della privacy. Ed è proprio su tale profilo che si intende dunque concentrare l’attenzione, con lo scopo di accertare quale sia l’equilibrio configurato dal legislatore e la sua

(4)

compatibilità con i principi evincibili in materia dalla Costituzione e dalle fonti internazionali e comunitarie.

Da quando, negli anni sessanta, la letteratura giuridica ha cominciato ad interessarsi del tema, la formula linguistica “diritto di essere lasciati soli” è stata interpretata come evocativa di un diritto concepito, inizialmente, come strumento per fornire tutela ad una duplice, elementare esigenza individuale: da un lato, la protezione della sfera privata dall’altrui curiosità4, e dall’altrui

interesse a conoscere5; dall’altro, il “controllo” del flusso delle informazioni

in uscita dalla sfera privata verso l’esterno6.

Così inteso, il diritto alla riservatezza non ha sollevato particolari proble-mi di tutela, potendosi agevolmente collocare entro la protezione offerta dagli articoli 13, 14, 15 e 21 della Costituzione, nell’ambito del più ampio riconosci-mento accordato ai diritti inviolabili dell’uomo dall’articolo 2. E in effetti, se la tutela della libertà personale sembrava idonea ad impedire ingerenze nella sfera fisica e psicologica individuale, la previsione della segretezza e dell’inviolabi-lità del domicilio e della corrispondenza concorrevano a loro volta a cautelare l’individuo da intromissioni nella sfera privata che potevano essere perpetrate solo attraverso invasioni realizzate fisicamente, laddove la tutela della libertà di manifestazione del pensiero forniva giuridico fondamento alla pretesa di non rendere noto a terzi quanto intimamente connesso al proprio modo d’essere.

Già a metà degli anni ottanta, peraltro, la nozione di riservatezza non coincide più con il concetto di riserbo dell’intimità domestica, del decoro e della reputazione, andando invece ad abbracciare tutte quelle situazioni e vicende legate alla vita privata (personale e familiare), prive di rilevanza so-ciale. Tant’è vero che secondo l’accezione accolta dalla Corte di Cassazione

4 P. Rescigno, Manuale di diritto privato italiano, Napoli, 1989, pag. 236 5 a. cataudeLLa, La tutela civile della vita privata, Milano, 1972, pag. 9 6 s. Rodotà, Repertorio di fine secolo, Bari, 1999, pag. 216

(5)

nella sentenza n.2129 del 1975, il diritto alla riservatezza si identifica nell’in-teresse a sottrarre alla conoscenza altrui le vicende private, verificatesi den-tro e fuori del domicilio domestico, che non abbiano per i terzi un interesse socialmente rilevante. È questa la chiave di volta che la dottrina costituzio-nalistica ha infine accettato e poi utilizzato per giungere ad una più compiuta elaborazione scientifica.

Ed è proprio in tale significato che anche la Corte costituzionale, con la sent. n. 139/1990, dopo uno sporadico pronunciamento del 19737, riconosce

come i principi a tutela della privacy individuale siano diffusi in tutti gli ordi-namenti giuridici delle nazioni più civili, annoverando la fattispecie nell’am-bito dei diritti inviolabili dell’uomo8.

1.3 il web e nuove frontiere informative: il diritto di gestire i propri dati personali

Con lo sviluppo delle nuove tecnologie, e il ricorso, sempre più massiccio all’utilizzo di trattamenti, specie automatizzati, di dati di carattere personale, le esigenze connesse alla riservatezza mutano, tuttavia, ulteriormente, espan-dendosi in maniera significativa. Dato di fondo del nuovo contesto è l’inseri-mento dell’individuo nella società “globale”, nella quale la maggioranza delle azioni compiute e delle scelte individuali lasciano una “traccia” che ne con-sente la mappatura e con essa la ricostruzione dell’identikit della persona. In tale situazione, la tutela del domicilio è totalmente inidonea a garantire la

ri-7 Corte costituzionale, sentenza 12 aprile 1973, n. 38, in Foro italiano, 1973, I, p. 1078: “Fra i diritti inviolabili

dell’uomo, affermati, oltre che nell’art. 2, negli articoli 3, secondo comma, e 13, primo comma, rientrano quelli del proprio onore, rispettabilità, riservatezza, intimità e reputazione, sanciti espressamente negli articoli 8 e 10 della Convenzione europea sui diritti dell’uomo”.

8 Nell’accezione più vasta di “riserbo” della propria vita privata e familiare, il diritto alla riservatezza ha potuto

giovarsi, aldilà della normativa costituzionale, di molteplici disposizioni di legislazione ordinaria, prime fra tutte le previsioni della Legge sul diritto d’autore (L. 22 aprile 1941 n.633), e l’articolo 10 del c.c., che disciplina la diffu-sione dell’immagine con regole ispirate ad un intento di tutela.

(6)

servatezza individuale, dal momento che le informazioni “in uscita” non sono solamente quelle acquisite attraverso l’accesso al luogo in cui si manifesta più immediatamente la personalità, né diramate consapevolmente attraverso i mezzi di comunicazione del pensiero, bensì, fornite inconsapevolmente at-traverso i dati personali seminati nell’ambiente, i quali, acquisiti e catalogati, permettono di ricostruire con estrema precisione la personalità del singolo, violandone la segretezza.

Nella moderna società dell’informazione, quindi, si fa strada l’esigenza che la raccolta organizzata delle informazioni personali disseminate nell’am-biente non avvenga all’insaputa dell’interessato e non si presti a utilizzi lesivi dei diritti e della dignità della persona.

Nello stesso tempo, data l’impossibilità di contrarre le informazioni in uscita, si percepisce come fondamentale il potere di selezione delle comuni-cazioni in entrata, cioè l’interesse ad annettere alla propria sfera di attenzione solo ciò che se ne ritiene degno.

È proprio alla luce di queste esigenze che si comincia a parlare di

“pri-vacy”, alludendo con tale espressione ad una sorta di diritto comprensivo,

oltre che dei tradizionali aspetti connessi alla “riservatezza”, anche del “po-tere di controllo sulla circolazione delle proprie informazioni personali”9, e

del complementare “diritto di essere lasciati in pace”10, inteso come esigenza

di protezione del singolo dai tentativi di contatto realizzati da terzi secondo particolari modalità (connesse all’uso delle nuove tecnologie), e tendenzial-mente per fini di carattere commerciale.

Ebbene, il fondamento normativo di tale situazione giuridica soggettiva è da rinvenirsi, secondo diffusa e condivisa opinione11, nell’art. 8, comma 1 e

9 s. Rodotà, Tecnologie e diritti, Bologna, 1995.

10 P. Zatti, Immissioni-Inibitoria, in Nuova giurisprudenza civile commentata, 1988, I, pag. 732.

11 e. BattagLia, g. di FedeRico, La Carta dei diritti e la tutela della riservatezza, in L.s. Rossi (a cura di), Carta

(7)

2 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU), ai sensi del quale “ogni persona ha diritto al

rispetto della sua vita privata e familiare, del suo domicilio e della sua corri-spondenza. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza na-zionale, alla pubblica sicurezza, al benessere economico del paese, alla dife-sa dell’ordine e alla prevenzione dei reati, alla protezione della dife-salute o della morale, o alla protezione dei diritti e delle libertà altrui”. Il primo comma

riconosce il diritto del cittadino “al rispetto della sua vita privata e familiare,

del suo domicilio e della sua corrispondenza”, mentre il secondo ne

disci-plina l’ingerenza da parte della pubblica autorità, limitandola a specifici e dettagliati casi quali, ad esempio, la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la prevenzione della salute e della morale, la protezione dei diritti e delle libertà altrui. Lo scopo della norma è infatti proprio quello di proteggere la dignità personale dell’in-dividuo da ingerenze arbitrarie da parte dei pubblici poteri. In altri termini, gli Stati contraenti debbono astenersi dall’interferire nella sfera di riservatezza riconosciuta all’individuo. A tale obbligo di carattere negativo si aggiunge anche un dovere positivo dello Stato membro di garantire l’effettivo rispetto della vita privata e familiare. Il diritto al rispetto della vita privata comprende il diritto alla riservatezza, inteso come il diritto a non vedere diffuse notizie attinenti alla propria sfera privata. L’articolo 8 si estende, inoltre, ad aspetti dell’identità personale con riguardo al nome di una persona in quanto mezzo di identificazione personale, all’identità e alle relazioni sessuali che altro non sono che una manifestazione privata della personalità umana. In altre paro-le, il rispetto alla vita privata non si limita a tutelare solo l’integrità morale dell’individuo, ma anche quella fisica da tutte quelle ingerenze che possano

(8)

lederla. Successivamente, la dottrina europea ha cominciato a ricostruire il diritto alla riservatezza soprattutto come diritto al controllo sui dati personali, focalizzando, in particolare, l’attenzione sull’aspetto della protezione dei dati personali legato alla gestione automatizzata dei dati. La gestione automatiz-zata dei dati ha, infatti, aumentato la quantità di informazioni disponibili e la

privacy si è trasformata, in primo luogo, in un problema di tutela dei dati

per-sonali che si rilasciano e che finiscono in archivi informatici. Questa tendenza ha trovato piena espressione nella Convenzione di Strasburgo n. 108 del 1981

“Sulla protezione delle persone rispetto al trattamento automatizzato di dati personali”, promossa dal Consiglio di Europa ed avente il carattere e

l’obbli-gatorietà di un accordo internazionale. Tale Convenzione rimane ancor oggi uno strumento giuridico fondamentale in materia, anche in considerazione del fatto che, diversamente dalle altre convenzioni del Consiglio d’Europa, questa è aperta a qualsiasi altro Stato, anche non membro del Consiglio d’Eu-ropa, dietro invito di adesione del Comitato dei Ministri. Nel Preambolo della Convenzione è sancito il principio secondo cui la libera circolazione delle informazioni tra i popoli non può prescindere dalla tutela dei diritti e delle libertà fondamentali di ciascuno e in particolare dal diritto al rispetto della vita privata. La finalità della Convenzione è invece indicata all’art. 1 ed è appunto quella di garantire la tutela degli individui, a prescindere dalla loro cittadinanza o residenza, rispetto all’elaborazione automatica dei dati che li riguardano. Si deve aspettare però la Direttiva del Parlamento europeo e del Consiglio n. 95/46/CE perché la Comunità europea introduca un complesso sistema di regole che governino i trattamenti, anche non automatizzati, di dati personali. Definita anche “Direttiva madre”, proprio in quanto costituisce il testo di riferimento – a livello europeo – in materia di protezione dei dati personali, la Direttiva fissa limiti precisi per la raccolta e l’utilizzazione dei dati personali e chiede a ciascuno Stato membro di istituire un organismo

(9)

na-zionale indipendente incaricato della protezione di tali dati, il che ha condotto poi alla nascita delle Autorità nazionali di protezione dati. Obiettivo della Direttiva è quello di contemperare la tutela delle libertà delle persone fisiche con l’esigenza della libera circolazione dei dati tra Stati membri, strumentale a sua volta all’esercizio delle libertà di circolazione delle persone, beni e ser-vizi all’interno del mercato e quindi al suo buon funzionamento. Considerata il punto di riferimento per tutte le politiche e le azioni che abbiano un impatto sul trattamento di dati personali sia da parte delle istituzioni comunitarie sia da parte dei Paesi che fanno parte dell’Unione, la Direttiva 95/46/CE è una direttiva di armonizzazione finalizzata a fissare i principi comuni in mate-ria di protezione dei dati, per garantire una normativa uniforme all’interno dell’Unione Europea, principi che gli Stati membri devono recepire all’in-terno delle normative nazionali. Essa ha introdotto il concetto che un elevato livello di protezione delle persone nel trattamento dei dati personali che li riguardano è condizione essenziale per consentire la libera circolazione di tali dati all’interno dei Paesi dell’Unione, e ha disciplinato i vari aspetti: le condi-zioni di liceità del trattamento, il regime di alcune categorie di informacondi-zioni (come ad esempio i dati sensibili), le regole di sicurezza, le condizioni per la trasmissione di dati all’esterno dell’UE. La regolamentazione del trattamento dei dati personali è il frutto, dunque, dell’idea che la protezione dei dati non debba consistere unicamente in un complesso di regole atte a favorire il su-peramento delle barriere che dividono l’Europa, ma possa divenire un vero e proprio elemento costitutivo della cittadinanza in tempi di costante esposi-zione dell’individuo all’osservaesposi-zione di innumerevoli soggetti. Il riconosci-mento definitivo della protezione dei dati come diritto fondamentale si ha con la Carta dei diritti fondamentali dell’Unione europea, proclamata a Nizza il 7 dicembre 2000 dal Parlamento europeo, dal Consiglio e dalla Commissione che reca nel capo secondo, dedicato ai diritti di libertà, l’esplicito

(10)

riconosci-mento del diritto alla protezione dei dati di carattere personale (art. 8, c. 1), distinguendolo tanto dal diritto di ogni individuo al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni (sancito all’art. 7), quanto dal chiarimento posto dall’art. 11, a mente del quale la li-bertà di espressione e d’informazione include la lili-bertà di opinione e la lili-bertà di ricevere e di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera. Si può dire, quindi, che sia proprio da tali fonti internazionali e sopranazionali euro-pee che abbia tratto decisivo impulso la protezione giuridica della “privacy”, intendendosi per tale l’esigenza personale sottesa al diritto alla riservatezza e al diritto alla protezione dei dati di carattere personale.

1.4 il diritto alla tutela della privacy nell’attuazione legislativa italiana. il t.u. sulla privacy (d.Lgs. 196/2003)

Il nostro legislatore si è allineato al quadro normativo europeo appena descritto con il Decreto legislativo n° 196 del 2003, che introduce nel nostro ordinamento, accanto al diritto alla riservatezza, un autonomo diritto alla pro-tezione dei dati personali, a prescindere dalla tutela della sfera intima della persona e della famiglia, nonché della sua immagine sociale.

Si è spirato, infatti, al principio di necessità nel trattamento dei dati, ex art. 3 del Codice, a mente del quale i sistemi informativi e i programmi infor-matici sono configurati riducendo al minimo l’utilizzazione di dati personali e identificativi, in modo da escluderne il trattamento quando le finalità perse-guite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, garantendo che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità

(11)

dell’interessato, con particolare riferimento alla riservatezza, all’identità per-sonale e al diritto alla protezione dei dati personali, ex art. 2 del Codice.

Confermando l’impostazione della Legge 675 del 1996, rispetto al regi-me ordinario concernente i dati personali non sensibili, il trattaregi-mento dei dati sensibili registra, nel Decreto legislativo 196 del 2003, un rafforzamento delle garanzie.

Ciò, in quanto le informazioni concernenti l’origine etnica e razziale, le convinzioni religiose e filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, po-litico o sindacale, nonché lo stato di salute e la vita sessuale (ex art. 4, com-ma 1, lett. d, D.Lgs. 196/2003), oltre a rivelare con com-maggiore immediatezza l’identità e la personalità del soggetto a cui si riferiscono, hanno storicamente rappresentato la chiave di volta per realizzare condotte lesive dei diritti, e per perpetrare ai danni dell’interessato comportamenti discriminatori. Secondo la disciplina generale posta dagli articoli 20 e 22 del testo unico, il trattamento di tali dati da parte dei soggetti pubblici è dunque consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le tipologie di operazioni che su di essi possono essere eseguite, e le finalità di rilevante interesse pubblico perseguite.

Ciò disposto in termini generali, le lacune della previsione legislativa possono comunque essere colmate attraverso l’esercizio del potere regola-mentare dei singoli enti nell’ambito delle indicazioni del Garante.

In particolare, quando la legge specifichi solo le finalità di rilevante inte-resse pubblico del trattamento, il secondo comma dell’articolo 20 chiarisce che i tipi di dati sensibili trattabili, e le operazioni eseguibili, debbano essere identificati dal soggetto pubblico interessato con autonomo atto di natura re-golamentare, in conformità al parere espresso dal Garante anche sotto forma di regolamenti-tipo.

(12)

Nel caso in cui manchi la stessa autorizzazione legislativa, fermo restan-do il meccanismo già illustrato per l’enucleazione delle operazioni eseguibi-li e delle informazioni trattabieseguibi-li, viene demandata all’autorithy, su richiesta dell’ente interessato, la specificazione, tra le attività delegate al medesimo soggetto dalla legge, di quelle di rilevante interesse pubblico per le quali vie-ne conseguentemente autorizzato il trattamento.

1.4.1 La disciplina relativa ai dati sensibili

Nell’ambito in tal modo delineato, i soggetti pubblici sono autorizzati a trattare tutti i dati funzionali allo svolgimento delle loro attività istituzionali, ivi compresi, dunque, i dati sensibili.

Va sottolineato come in relazione a questi ultimi il testo del Codice richia-mi gli enti pubblici ad una stretta aderenza ai principi di necessità e di perti-nenza. Ad esempio, per quanto le garanzie connesse alla previsione legislativa rendano di norma superfluo il consenso dell’interessato (art. 18, c. 4), anche il trattamento dei dati sensibili deve essere preceduto dall’informativa di cui all’articolo 13 (art. 22, c. 2); deve essere limitato, sia per quel che riguarda le operazioni eseguibili, che rispetto ai dati trattati, a quanto indispensabile per lo svolgimento delle attività istituzionali e la realizzazione delle finalità del soggetto agente (art. 22, c. 3 e 9); devono essere gestiti con modalità (solo per citarne alcune sotto il profilo della conservazione, e per quel che attiene alla cifratura, e all’accesso), atte a prevenire qualunque violazione dei diritti, delle libertà fondamentali e della dignità dell’interessato (art. 22, c. 1, 4,5 e 6).

1.4.2 i dati idonei a rivelare lo stato di salute del paziente

Alle cautele prescritte in relazione alla generalità dei dati sensibili, i dati idonei a rivelare lo stato di salute vedono poi sommarsi altre guarentigie. Oltre al divieto di diffusione (art. 22, c. 8) e all’obbligo di conservazione separata

(13)

(art. 22, c. 7), per essi il testo unico dispone l’utilizzo di codici o altre soluzioni che permettano di identificare gli interessati solo in caso di necessità (art. 22, c. 6 e 7), e soprattutto, ad integrazione della previsione legislativa di cui all’ar-ticolo 20, la necessità, in relazione ai dati necessari per perseguire finalità di tutela della salute dell’interessato o di terzi, di acquisire il consenso del soggetto a cui i dati stessi si riferiscono, ovvero l’autorizzazione del garante.

In ambito sanitario, infatti, il Codice dedica al Titolo V due distinti regimi giuridici: l’uno, applicabile ai trattamenti effettuati per realizzare le finali-tà del servizio sanitario nazionale, attraverso le attivifinali-tà diverse da quelle di

cura, ed identificate all’articolo 85, comma 1, lett. A-g.; l’altro, applicabile

viceversa ai trattamenti dei dati idonei a rivelare lo stato di salute effettuati dagli esercenti le professioni sanitarie o da organismi sanitari pubblici, per

finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un

terzo o della collettività.

Mentre i trattamenti del primo tipo possono essere effettuati nel rispetto della regola generale già illustrata, concernente l’osservanza delle norme pri-marie e secondarie di attuazione e gli accorgimenti specificati agli articoli 22, e 85, commi 3 e 4, per i trattamenti connessi ad esigenze di tutela della salute l’articolo 76 conferma invece la regola speciale, già introdotta dal Decreto legi-slativo 282 del 1999 “Disposizioni per garantire la riservatezza dei dati

perso-nali in ambito sanitario”, in base alla quale essi possono aver luogo, se si tratta

di tutelare la salute e l’incolumità fisica dell’interessato, solo se vi è il consenso dell’interessato; se invece, si tratta di tutelare la salute e l’incolumità fisica di un terzo o della collettività, anche senza il consenso dell’interessato, previa autorizzazione del Garante. Rispetto a quanto stabilito in via generale per il trat-tamento dei dati personali in ambito sanitario, che vede già l’assoggettrat-tamento alla disciplina dei dati sensibili, accompagnata dalla congrua specificazione di

(14)

garanzie ad hoc12, la preordinazione del trattamento a finalità di tutela della

sa-lute comporta dunque la sotto posizione ad ulteriori, consistenti difformità, che attengono principalmente al regime dell’informativa e del consenso.

E invero, per questa seconda tipologia di operazioni, il Codice, come già aveva fatto il Decreto legislativo 282 del 1999, ha da una lato inteso raffor-zare i diritti degli interessati, subordinando il trattamento alla garanzia ag-giuntiva del consenso dell’interessato, ovvero dell’autorizzazione del garante dall’altro, ha semplificato l’iter della richiesta e dell’acquisizione del consen-so quando i trattamenti in discorconsen-so siano effettuati dai consen-soggetti istituzional-mente preposti alla tutela di tale primario interesse.

1.5 diritto alla riservatezza e diritto alla salute: un corretto contempera-mento di interessi

Come già accennato, il legislatore si è infatti trovato a dover conciliare il diritto alla riservatezza sulle informazioni personali di carattere più intimo e delicato, con il diritto alla salute che richiede da parte degli operatori sanitari sia un’organizzazione efficiente e razionale delle informazioni concernen-ti l’anamnesi clinica personale dei pazienconcernen-ti, sia la possibilità di intervenire tempestivamente con la prestazione medica. La soluzione è stata trovata nel disposto di due articoli. L’articolo 76, a mente del quale “Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell’ambito di un’attività di rilevante interesse pubblico ai sensi dell’articolo 85, trattano i dati personali idonei a rivelare lo stato di salute:

12 Qualunque dato personale, per il fatto stesso di essere reso in ambito sanitario, è suscettibile di essere

consi-derato sensibile, dal momento che proprio l’interazione tra le due informazioni (quella relativa al dato personale in cui consiste e quella concernente l’ambiente e l’occasione in relazione ai quali è resa) dà luogo ad una potenziale capacità informativa sullo stato di salute – non importa se attuale, passato, o futuro, e neppure se reale, o potenziale- del soggetto a cui si riferisce.

(15)

con il consenso dell’interessato e anche senza l’autorizzazione del a)

garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato;

anche senza il consenso dell’interessato e previa autorizzazione del Ga-b)

rante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività. E l’articolo 82 (emergenze e tutela della salute e dell’incolumità fisica), per il quale:

1) L’informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato un’ordinanza urgente ai sensi dell’articolo 117 del Decreto legislativo 31 marzo 1998, n.112.

2) L’informativa e il consenso al trattamento dei dati personali posso-no altresì intervenire senza ritardo, successivamente alla prestazione, nel caso di: a) impossibilità fisica, incapacità di agire o incapacità

di intendere o di volere dell’interessato, quando non è possibile ac-quisire il consenso da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente, o, in loro assenza, dal responsabile della struttura presso cui dimora l’inte-ressato; b) rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato.

3) L’informativa e il consenso al trattamento dei dati possono interve-nire senza ritardo, successivamente alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia. 4) Dopo il raggiungimento della maggiore età l’informativa è fornita

all’interessato anche ai fini della acquisizione di una nuova manife-stazione del consenso quando questo è necessario.

(16)

In condizioni di normalità, la raccolta e l’organizzazione delle infor-mazioni personali di carattere sanitario ha dunque luogo, quando si tratta di dati strumentali alla tutela della salute dell’interessato, se e in quanto consentita dal soggetto cui i dati stessi si riferiscono. Tuttavia, il testo unico si limita in tale circostanza a richiedere la manifestazione orale del consen-so13, in considerazione della rilevante finalità pubblica perseguita,

esplici-tamente prevista dalla legge e della sua preordinazione alla realizzazione di un diritto costituzionale dello stesso soggetto al quale i dati si riferiscono (art. 81).

Posto comunque che il trattamento dei dati idonei a rivelare lo stato di salute può essere funzionale anche alla salvaguardia della salute della collet-tività o di terzi – che non dobbiamo dimenticarlo è parimenti tutelata dall’ar-ticolo 32 della Costituzione- in tale ipotesi lo stesso ardall’ar-ticolo 76 autorizza gli operatori sanitari ai trattamenti relativi anche senza, e addirittura contro il volere del soggetto al quale le informazioni si riferiscono, purché previamen-te autorizzati dal garanpreviamen-te.

Possiamo quindi concludere che, sia in relazione ad una situazione di emergenza sanitaria dichiarata con ordinanza urgente, sia in casi di urgenza connessi alla necessità di effettuare con rapidità l’intervento medico, l’arti-colo 82 contempla un regime che potremmo definire “attenuato” di esercizio del diritto alla privacy sui propri dati sanitari, caratterizzato dalla posticipa-zione dell’informativa e del consenso ad un momento successivo rispetto al compimento della prestazione sanitaria di cura della salute. Fermo restando quindi le semplificazioni relative alle modalità di informativa e del consenso, il trattamento dei dati personali idonei a rivelare lo stato di salute del

sogget-13 Per espressa previsione dell’art. 81 il consenso, da documentarsi con annotazione dell’esercente la professione

sanitaria, o dell’organismo sanitario pubblico, può essere riferito anche a più trattamenti di dati, ed opera in relazione all’informativa di cui agli artt.78, 79 e 80.

(17)

to, preordinato all’erogazione di prestazioni sanitarie a beneficio della salute dell’interessato o di terzi, incontra tre diversi presupposti, a seconda delle fi-nalità specificamente perseguite, e del contesto nel quale il trattamento stesso è realizzato.

Si tratta rispettivamente, come precedentemente scritto: del

a) consenso preventivo del soggetto al quale le informazioni

ineri-scono, quando il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità

fi-sica dell’interessato;

dell’

b) autorizzazione del garante, se la finalità di tutela della salute

riguarda un terzo o la collettività; del

c) consenso reso senza ritardo, successivamente alla prestazione

medica di cui benefici tanto il titolare dei dati, quanto eventuali terzi, nelle situazioni di emergenza individuate all’articolo 82.

Ora, quanto alle prime due ipotesi, nulla quaestio, realizzando ictu oculi nel primo caso, la massima forma di tutela della privacy individuale, e, nel se-condo, la devoluzione all’autorità di garanzia della valutazione delle contrap-poste esigenze, individuale alla riservatezza, e collettiva alla salute. Maggiori perplessità potrebbero invece nutrirsi rispetto alla fattispecie di cui alla prece-dente lettera c), che sembra configurare un regime “attenuato” di esercizio del diritto alla protezione sui propri dati sanitari, legato alla sussistenza e al per-durare di una situazione di emergenza. Non si può infatti negare che la solu-zione legislativa, a fronte di un generale rafforzamento del potere di controllo sulle informazioni personali attraverso la valorizzazione dell’autodetermina-zione individuale – che quando non vengono in rilievo esigenze di tutela della salute dei terzi si esprime nella manifestazione del consenso dell’interessato – comporta nel caso di specie una sorta di “sospensione” dell’esercizio del diritto in discussione, peraltro proprio in uno dei momenti più delicati per la

(18)

vita del singolo e/o della collettività. In effetti, nella necessità di bilanciare il diritto alla riservatezza del soggetto sui suoi dati sensibili (che sono quelli che costituiscono il nocciolo duro della privacy), con l’esigenza di conoscenza di tali dati da parte degli organismi preposti alla tutela sostanziale del diritto alla salute, il legislatore sembra aver decisamente optato per privilegiare tale ultimo fattore, posto che, nel momento in cui vengono in discussione interessi che vanno in qualche modo al di là della mera individualità del soggetto, le garanzie apprestate dall’ordinamento a garanzia del “controllo” individuale sulle informazioni personali che lo riguardano, vengono a ritrarsi14. Si

potreb-be anche dire che quando sui due piatti della bilancia si vengano a collocare, rispettivamente, diritto alla privacy e diritto alla salute, il bilanciamento vie-ne ad essere compiuto dal legislatore unidirezionalmente in favore di questo secondo diritto. D’altra parte,tale scelta trova conforto alla luce dei criteri di composizione dei potenziali conflitti tra diritti enucleati dalla Carta di Nizza.

Dopo aver riconosciuto tanto il diritto alla protezione dei dati personali, quanto il diritto alla salute, rispettivamente all’articolo 8 e all’articolo 35, l’articolo 52 della Carta recita infatti che “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previ-ste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di inte-resse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”. In particolare, le limitazioni all’esercizio dei diritti e delle libertà riconosciute può aver luogo solo nella sussistenza, contestuale, di al-cune condizioni legittimanti, ravvisate:

nella

a) previsione legislativa;

14 M. degRaZia, s. ottaviano, Una prima lettura del Decreto legislativo 30 luglio 1999 n. 282: disposizioni per

(19)

nel

b) rispetto del contenuto essenziale della situazione giuridica incisa;

nel fatto che la limitazione deve essere

c) necessaria, tale essendo quella

che risponde effettivamente o a finalità di interesse generale riconosciu-te dall’Unione, o all’esigenza di proriconosciu-teggere i diritti e le libertà altrui; nell’intervento

d) proporzionato alla necessità.

La previsione legislativa in realtà non intende impedire integralmente l’esercizio del diritto alla riservatezza, limitandosi a prevedere un ragione-vole rinvio temporale del momento in cui viene resa l’informativa sul trat-tamento dei dati personali e il conseguente consenso, peraltro giustificato da oggettive circostanze legate all’urgenza della prestazione medica da ren-dere e dalla necessità di cautelare il sanitario che intervenga in condizioni di forza maggiore.

1.6 privacy, materia in perenne evoluzione. Le future prospettive europee

Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di prote-zione dei dati. Si tratta di un regolamento che andrà a sostituire la direttiva 95/46/CE e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Va ricordato che i regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armoniz-zazione a livello dell’intera UE.

Queste, in sintesi, alcune tra le maggiori novità della proposta di regolamento: restano ferme le definizioni fondamentali, ma con alcune significati-•

(20)

viene introdotto il principio dell’applicazione del diritto UE anche ai •

trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;

si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. •

nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali infor-mazioni possano continuare a circolare (in particolare nel mondo onli-ne) dopo un determinato periodo di tempo, fatte salve specifiche esigen-ze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);

scompare l’obbligo per i titolari di notificare i trattamenti di dati per-•

sonali, sostituito da quello di nominare un data protection officer (in-caricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti;

viene introdotto il requisito del

privacy impact assessment

(valuta-zione dell’impatto-privacy) oltre al principio generale detto privacy

by design (cioè la previsione di misure a protezione dei dati già al

momento della progettazione di un prodotto o di un software); si stabilisce l’obbligo per tutti i titolari di notificare all’autorità com-•

petente le violazioni dei dati personali (personal data breaches); si fissano più specificamente poteri (anche sanzionatori) e requisiti di •

indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali; viene istituito il comitato europeo per la protezione dei dati, composto •

(21)

e dal garante europeo della protezione dei dati. Il comitato sostituisce il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE; gli Stati membri determinano le sanzioni, non di natura penale, per •

violazione delle disposizioni del regolamento, compresa l’omessa de-signazione del rappresentante a cura del responsabile del trattamento e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive. Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la decisione-quadro (la 2008/977/GAI) attualmente in vigore che disciplinati da parte delle autorità giudiziarie e di polizia. Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trat-tamenti di dati personali svolti in uno Stato Membro per tali finalità “istitu-zionali”, mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l’impostazione del regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc. Essa contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legitti-mità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue dispo-sizioni dovranno essere recepite attraverso apposite norme nazionali.

L’iter per l’approvazione definitiva dei due strumenti normativi proposti comporterà l’intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di “codecisione” (ora definita dal Trattato di Lisbona “procedura legislativa”).

Riferimenti

Scarica adesso ( PDF - 21 pagine - 410.27 KB )

Documenti correlati

Tutela di dati sensibili relativi ai magistrati.

«Su delibera del Comitato di Presidenza in data 11 settembre 2007 è stata trasmessa alla Sesta Commissione una nota del 23 agosto 2007 della dott.ssa .., giudice del Tribunale di

Privacy, trattamento di dati sensibili nei rapporti di lavoro solo se necessario

b) limitatamente al perseguimento di ulteriori scopi scientifici e statistici direttamente collegati con quelli per i quali è stato originariamente acquisito il consenso informato

SEGRETERIA GESTIONE PRATICA

INFORMATIVA SULLA PRIVACY E CONSENSO AL TRATTAMENTO DEI DATI SENSIBILI.. (normativa sulla privacy, GDPR

Codice della privacy: diritti e tutela dell interessato *

L’art. 152 disciplina il procedimento innanzi all’autorità giudiziaria ordinaria, sostituendo la precedente previsione di un procedimento in camera di consiglio con un nuovo

Art. 1 Oggetto e Finalità. Art. 2 Autorizzazione. Art. 3 Trasmissione delle videoriprese. Art. 4 Rispetto della Privacy e tutela dei dati sensibili

Le riprese audiovisive effettuate durante i lavori del Consiglio Comunale vengono diffuse, in versione integrale e senza salti di registrazione, in diretta o in differita su

Regolamento per il trattamento dei dati sensibili e giudiziari

Servizi demografici / Leva - Attività relativa alla tenuta delle liste di leva e dei registri matricolari Fonte normativa (indicare, se possibile, le fonti normative

CONSENSO AL TRATTAMENTO DEI DATI PERSONALI

Il Titolare tratta i dati personali comuni (es: nome, cognome etc.), particolari (es: stato di salute, quali disabilità, anche temporanee etc.) e giudiziari (es: condanne

Regolamento per il trattamento dei. dati sensibili e giudiziari

196 (Codice in materia di protezione dei dati personali) e identifica le tipologie di dati sensibili e giudiziari e di operazioni indispensabili agli Ordini e Collegi