ADEMPIMENTI NECESSARI:
CONSENSO AL TRATTAMENTO DEI DATI PERSONALI E RISPETTO DELLA LEGGE SULLA PRIVACY
Avv. Paolo Buzzelli∗
INTRODUZIONE e PREMESSA
L’APPROVAZIONE DEL DECRETO LEGISLATIVO 30 giugno 2003, n. 196 ovverosia
IL CODICE
IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Pubblicato sulla GU n.174 del 29-7-2003 - Suppl. Ordinario n.123)
che entrerà in vigore ex art. 186 dello stesso codice (d’ora in poi per brevità il “codice”)
“il 1° gennaio 2004, ad eccezione delle disposizioni di cui agli articoli 156, 176, commi 3, 4, 5 e 6 e 182, che entrano in vigore il giorno successivo alla data di pubblicazione del presente codice. Dalla medesima data si osservano altresì i termini in materia di ricorsi di cui agli articoli 149, comma 8, e 150, comma 2.”
Nel 1996, dopo un percorso normativo svoltosi nell’arco di più legislature, il Parlamento ha varato la prima legge italiana di carattere generale sulla tutela delle persone rispetto al trattamento dei dati personali, la n. 675, approvando contestualmente una legge delega – la n. 676 – che prevedeva la successiva integrazione e, se necessario, la modificazione delle relative disposizioni.
Come noto, utilizzando lo strumento della delega, l’ originario impianto normativo della protezione dei dati è stato progressivamente ed ulteriormente corretto ed adeguato alla disciplina comunitaria in materia nonchè a vari accordi e convenzioni internazionali.
Dall’8 maggio 1997 in poi, la sequenza normativa si è attuata in particolare attraverso nove decreti legislativi e due dd.P.R., e con una serie di molte altre specifiche disposizioni, legislative e regolamentari, che hanno arricchito e complicato ulteriormente il plesso normativo, diventato vero e proprio sotto-ordinamento autonomo “trasversale” rispetto all’
ordinamento generale.
Il termine per adottare i decreti legislativi integrativi e correttivi della delega è venuto a scadenza il 31 dicembre 2001.
2 Nel 2001 il legislatore ha previsto quindi la successiva adozione di un testo unico delle
disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni "connesse", al fine di coordinarvi le norme vigenti e di apportarvi le integrazioni o modificazioni necessarie sia a tale coordinamento, sia "per assicurarne la migliore attuazione" (art. 1, comma 4, legge 24 marzo 2001, n. 127).
In attuazione di tale ultima delega è stato quindi emanato il decreto legislativo 30 giugno 2003, n. 196, denominato CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI.
Lo scopo che ispira il codice, come reso evidente dalla denominazione stessa di tale testo legislativo, è quindi quello di ricondurre tendenzialmente ad unico corpo di legge il “mare magnum” delle disposizioni normative sopra ricordate affastellatesi nel pur non lungo lasso di tempo che è succeduto agli anni 1996-1997, tentando di farne un sistema integrato ed intrinsecamente coerente.
La relazione parlamentare di accompagnamento al codice così riassume gli obiettivi perseguiti:
“L’adozione di un solo testo di rango legislativo, anziché anche regolamentare, si rivela tra l’altro assai più consono al rango dei diritti e delle libertà fondamentali tutelati dalla disciplina in questione. Permette inoltre di semplificare notevolmente l’impianto, l’articolazione e la "leggibilità" delle norme che si intende inserire nel testo, essendosi eliminati dal testo delle norme riunite a livello legislativo i vari riferimenti alle disposizioni regolamentari di attuazione (e potendosi fare a meno, viceversa, dei corrispondenti richiami che figurano nelle norme regolamentari attualmente in applicazione).
L’integrazione delle vigenti norme legislative con alcuni dettagli attualmente disciplinati a livello regolamentare consente peraltro di ridurre e semplificare le norme di cui oggi si intende effettuare una riunione, con conseguenti ovvii benefici sul piano sistematico e per l’interprete.”
Si impone quindi come essenziale obiettivo del presente scritto la ricognizione degli attuali principi nella materia di cui oggi ci dobbiamo occupare, seguita dalla verifica della loro
“sopravvivenza” alla luce del novello codice. Anticipando le conclusioni si vedrà che gli adempimenti che la legge n. 675/1996 già oggi richiede ai medici legali, soprattutto in tema di consenso del trattamento dei dati personali, non saranno sostanzialmente modificati dal 1° gennaio 2004.
Il criterio espositivo che seguiremo sarà quindi quello al quale inevitabilmente ci obbliga la attuale vigenza (e peraltro precaria, in quanto destinata ad esaurirsi con lo scadere del 31.12.2003) della l. n. 675/1996, con le sue successive modificazioni ed integrazioni, e l’imminente entrata in vigore (ripetiamo dal 1° gennaio 2004) del codice, raffrontando le norme attualmente in vigore con il nuovo articolato del codice.
1. IL TRATTAMENTO DEI DATI PERSONALI EFFETTUATO DAL MEDICO LEGALE NELLA VIGENZA DELLA L. N. 675/1996 E’ SOGGETTO A NOTIFICAZIONE ?
LA QUESTIONE RISULTA SUPERATA, PER I TRATTAMENTI EFFETTUATI DAL 1° GENNAIO 2004, IN FORZA DELL’ART. 37 DEL CODICE
E’ noto, alla stregua dell’art. 7 comma 5-ter lett. f) della l. n. 675/1996, che il “trattamento non è soggetto a notificazione quando è effettuato da libero professionista iscritto in albi o elenchi professionali, per le sole finalità strettamente legate a specifiche prestazioni e fermo restando il segreto professionale”.
Con il che, si è sempre pacificamente dato per acquisito che, appunto i professionisti in generale (nell’espressa accezione tradizionale degli esercenti le libere professioni, iscritti in albi o elenchi professionali) potessero procedere al trattamento dei dati personali attinenti in particolar modo ai loro clienti senza dover provvedere alla relativa notificazione.
Non può sfuggire tuttavia l’elemento problematico, rispetto all’attività del medico legale, rappresentato dall’esplicito riferimento restrittivo che la disposizione in esame contiene alla riserva del segreto professionale. I dati personali sensibili (in quanto ovviamente idonei a rivelarne lo stato di salute) dell’interessato raccolti e trattati dal medico legale, sicuramente nel caso del medico legale fiduciario della compagnia assicuratrice, sono connaturatamente destinati ab origine alla loro comunicazione alla compagnia assicuratrice.
A questo punto la disposizione formalmente si presta a tre diverse chances interpretative.
1) La norma in disamina si sarebbe indugiata (con discutibile, in quanto inutile, pleonasmo) a ribadire un limite (quello del segreto professionale) che sussisteva già e sussiste, per ordinamento, autonomamente ed a prescindere dall’introduzione della normativa di cui ci stiamo occupando (come se non fosse chiaro che l’obbligatorietà o meno della notificazione del trattamento non può incidere in alcun modo sulla permanente vigenza del doveroso rispetto del segreto professionale).
2) Altrimenti (e questa sembrerebbe l’interpretazione più corretta in quanto non sconta, come precedente, la superfluità della precisazione in esame) si dovrebbe intendere che, laddove il segreto professionale debba essere derogato (seppure per consenso dell’avente diritto o, meglio, perché l’interessato autorizza e/o incarica espressamente il medico legale di comunicare a terzi, vale a dire la compagnia assicuratrice, come è di prassi inevitabile nel nostro caso, i suoi dati personali sensibili), risorga l’obbligatorierà della notificazione (sul presupposto che, venuto meno, per quanto lecitamente, il segreto professionale, si debba consentire all’ Autorità Garante ed agli interessati, un più stringente controllo sul trattamento quale quello derivante dall’inserimento del trattamento notificato nel relativo registro).
3) Infine si potrebbe opinare che siccome il segreto professionale non viene meno per l’inosservanza illecita del medico legale a tale dovere (venir meno determinato altrimenti dal consenso / autorizzazione dell’interessato a comunicare i dati inerenti al suo stato di
4 salute), ciò non costituirebbe valido motivo per ritenere in questo caso non più operativa
l’esenzione dall’ obbligo di notificazione prevista dalla norma in esame.
Si consideri peraltro che la questione può essere superata, almeno per il medico legale di fiducia dell’interessato, laddove il professionista rimetta la perizia esclusivamente al periziato, escludendo quindi in radice la deroga al segreto professionale.
E’ chiaro invece che la questione sussiste per il medico legale fiduciario della compagnia assicuratrice, proprio perché la funzione svolta dal primo non può non prevedere, diremmo obbligatoriamente e necessariamente, l’esonero dal segreto professionale.
Ricordiamo che, ai sensi dell’art. 34 della l.n. 675/1996, l’omessa notificazione è punita con la sanzione amministrativa del pagamento di una somma da € 5.146,60 a € 30.987,40 e della pubblicazione dell’ordinanza-ingiunzione.
Questi dubbi, posti dalla normativa attuale, non si riproporranno più, almeno per i trattamenti effettuati dal 1° gennaio 2004, dato che l’art. 37 del codice, ispirandosi in subiecta materia ad un approccio opposto a quello che informava la l.n. 675/1996 (per la quale tutti i trattamenti di dati erano soggetti obbligatoriamente a notificazione, tranne quelli espressamente esclusi dall’osservanza dell’obbligo stesso), ha stabilito in positivo, individuandoli in maniera specifica, quali siano i trattamenti di dati soggetti a notificazione.
Tra questi non è dato di rinvenire il trattamento dei dati (pure sensibili) effettuato dal medico legale nell’esercizio della sua attività professionale.
2. L’ INFORMATIVA (art. 10 della l.n. 675 / 1996 – ora art. 13 del codice)
E’ opportuno rammentare che operazione preliminare e propedeutica alla raccolta del consenso è l’informativa oggi (e sino al 31.12.03) regolata dall’ art. 10 della l. n. 675/1996 e a far data dal 01.01.04 dall’art. 13 del codice.
Raffrontiamo dunque le due norme:
Art. 10
Informazioni rese al momento della raccolta
Art. 13 Informativa 1. L'interessato o la persona presso la quale sono
raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa:
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 13;
f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, da indicare nel soggetto
eventualmente designato ai fini di cui all'articolo 13, indicando il sito della rete di comunicazione o le
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 13;
f) gli estremi indentificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di
modalità attraverso le quali è altrimenti conoscibile in modo agevole l'elenco aggiornato dei responsabili.
comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un
responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare l'espletamento di funzioni pubbliche ispettive o di controllo, svolte per il perseguimento delle finalità di cui agli articoli 4, comma 1, lettera e), e 14, comma 1, lettera d).
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto
l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.
3. Quando i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1 è data al medesimo interessato all'atto della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
4. La disposizione di cui al comma 3 non si applica quando l'informativa all'interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si rivela, a giudizio del Garante, impossibile, ovvero nel caso in cui i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria. La medesima disposizione non si applica, altresì, quando i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.
Le differenze tra le due norme non sono rilevanti. Sintetizziamole brevemente, sgomberando subito il campo da un possibile equivoco che il diverso tenore del primo comma dell’art. 13 del codice, rispetto al testo attuale dell’art. 10 della l. n. 675, potrebbe ingenerare.
Infatti, laddove l’art. 13 della legge n. 675 prevede che “L'interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa
…”, l’art. 10 del codice dispone che “L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa”.
Tuttavia ciò non significa che sia venuto meno l’obbligo dell’informativa. Che la caduta del verbo dovere non abbia affatto comportato la soppressione dell’obbligo dell’informativa è confermato dall’
6 Art. 161 del codice
Omessa o inidonea informativa all'interessato
1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione
amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi
dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più
interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.
che ha mantenuta intatta (leggermente innanzandola nel quantum) la sanzione amministrativa pecuniaria già comminata dall’art. 39 della l. n. 675/1996.
I SOGGETTI O LE CATEGORIE DI SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O CHE POSSONO VENIRNE A CONOSCENZA IN QUALITÀ DI RESPONSABILI O INCARICATI, E L'AMBITO DI DIFFUSIONE DEI DATI MEDESIMI
Particolare cura dovrà essere posta nell’identificazione, nel contesto dell’informativa, dei
“soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi”.
Premesso, ovviamente, che stante la particolare natura dei dati trattandi (per definizione
“sensibili”, in quanto dati personali idonei a rivelare lo stato di salute dell’interessato), non potrà e non dovrà essere fornita dal medico legale all’interessato alcuna informazione in punto all’ “ambito di diffusione dei dati medesimi” (dacché, ai sensi dell’ art. 26, comma 5° del codice “I dati idonei a rivelare lo stato di salute non possono essere diffusi”, così come in forza dell’art. 23, comma 4° della l.n. 675/1996), si dovrà altrimenti precisare quali sono i soggetti (e non certo le “categorie di soggetti” che possono venire in rilievo solo per quanto riguarda i dati comuni e non quelli sensibili) ai quali i dati personali (sostanzialmente, per quanto qui interessa, le perizie medico-legali) potranno essere comunicati.
In concreto, se si tratta di perizia predisposta su incarico dell’interessato dal medico legale di sua fiducia, il medico legale dovrà rendere l’informativa all’interessato in punto alla circostanza che i dati in questione (rectius, quella particolare rielaborazione, che tanto alla stregua della scienza medica quanto comunque alla stregua di un parere valutativo personale, soggetto ad una sua irrimediabile ed irriducibile soggettività, il medico legale andrà ad estrinsecare nella parte nobile e pregnante della perizia, vale a dire il giudizio conclusivo, comprendente sia la valutazione sul nesso causale e/o concausale tra evento e lesioni e tra lesioni e tra lesioni e menomazioni permanenti, sia l’eventuale indicazione del periodo di invalidità e/o inabilità temporanea, e di quella permanente) potranno essere comunicati alla compagnia assicuratrice al fine della trattazione in chiave transattiva del sinistro. A ben vedere peraltro, della comunicazione alla compagnia assicuratrice (controparte potenziale dell’interessato nell’ eventuale futuro giudizio) della perizia medico-legale espletata dal medico legale di fiducia dell’interessato, il medico legale dell’interessato non si dovrebbe (nè si scorge il motivo per cui debba necessariamente
farlo) assumere né l’ onere né la responsabilità. Intendo dire che il medico legale di fiducia dell’interessato ben farà ad escludere a priori (non solo ai fini dell’informativa quanto e preliminarmente ai fini del consenso, dato che l’informativa è prodromica al consenso anche sotto questo profilo) che la perizia medico-legale possa essere comunicata a terzi.
Pare infatti opportuno che la perizia medico-legale, una volta redatta venga consegnata alla parte personalmente che ne farà poi l’uso che riterrà più congruo (per es., come avviene per lo più, consegnandola al legale incaricato per la trattazione transattiva ed eventualmente giudiziale delle pretese risarcitorie e/o indennitarie / contrattuali del caso). I dati personali del periziato raccolti nel corso della visita dovranno quindi essere cancellati con utile sgravio di responsabilità del medico (anche e soprattutto in termini delle responsabilità che al medico legale incombono sotto il profilo dei requisiti minimi di sicurezza nella conservazione dei dati sensibili in questione e nell’adozione delle misure idonee a non renderli, seppure illecitamente, acquisibili da terzi per definizione non autorizzati al trattamento dei dati stessi). Ci rendiamo ben conto che tale opzione presenta lo svantaggio di obbligare il medico legale a “ricaricare” i dati del periziato nel caso di nuovo suo intervento professionale (si pensi tipicamente al caso del medico legale che, dopo aver periziato il soggetto in fase stragiudizale venga nominato di poi consulente tecnico di parte nel successivo giudizio), con conseguente necessità di rendere nuova informativa e di raccolta di nuovo consenso.
Il vantaggio di tale scelta (che dà vita quindi a due distinti episodi di trattamento) è tuttavia, crediamo, evidente, sempre nella prospettiva di ridurre al minimo le responsabilità che incombono sul professionista in forza della normativa in esame. Senza tralasciare la considerazione che il caso di nomina del medico legale come consulente tecnico di parte è evenienza probabile ma non assolutamente certa.
Non bisogna infatti dimenticare che la normativa (l’art. 9 della l. n. 675/1996 e dal 01.01.2004 l’art. 11 del codice) prescrive che “I dati personali oggetto di trattamento devono essere … d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Il che significa appunto che i dati debbono essere trattati (e cioè anche solo conservati o consultati) per il periodo di tempo strettamente necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Periodo di tempo che si dovrebbe ravvisare nello stesso e solo espletamento e redazione della perizia.
Opposto è l’approccio a cui deve attenersi il medico legale fiduciario della compagnia. Egli deve infatti rigorosamente informare (e va da sé raccogliere il consenso del)l’interessato in punto non alla possibilità / facoltà del medico legale di comunicare a terzi (in particolare, alla sola compagnia assicuratrice) i “dati personali” (ma, meglio, e più comprensivamente, sia i dati oggettivi come accertati dal medico, sia le sue valutazioni conclusive) oggetto di imminente trattamento, bensì alla necessaria comunicazione di tali dati alla compagnia assicuratrice mandante del medico-legale.
L’ ipotesi – che è ovviamente e puramente teorica ed astratta – in cui l’interessato dovesse negare il consenso alla comunicazione alla compagnia assicuratrice della perizia non potrà
8 che comportare da parte del medico legale il diniego della visita e quindi l’impossibilità di
procedere alla formulazione della valutazione medico legale.
Quanto sin qui detto vale per quanto riguarda i soggetti terzi (diciamo meglio, esclusivamente le compagnie assicuratrici) necessari destinatari della comunicazione delle perizie medico-legali.
Il modello di informativa andrà implementato, a far data dal 1° gennaio 2004, ed in relazione alla nuova formulazione della lettera d) dell’ art. 13 comma 1° (rispetto al testo di cui al corrispondente art. 10 della l. n. 675 / 1996), per quanto attiene ai soggetti, interni alla struttura dello studio del medico legale - titolare del trattamento, “che possono venire a conoscenza in qualità di responsabili o incaricati del trattamento” dei dati personali in questione.
Orbene, se consideriamo il caso di studio medico-legale uni-personale, dotato di personale collaboratore minimo (1 dipendente con funzioni prevalentemente se non esclusivamente esecutivo-amministrative), pare evidente come sia da escludere la possibilità che questa tipologia di personale venga a conoscenza dei dati personali in discorso. Diversamente (si pensi al caso banale ma assolutamente concreto che la segretaria del medico-legale provveda alla scritturazione a computer del testo della perizia od alla archiviazione, anche se solo provvisoria, al fine della redazione della perizia, della documentazione medico- sanitaria lasciata dall’interessato in visione al medico legale) sarà necessario dare l’informativa all’interessato di quali siano tali soggetti. Ovviamente l’adempimento preliminare all’informativa al riguardo dovrà essere consistita nella previa individuazione di tali incaricati del trattamento.
Si evidenzia in punto che l’ art. 30 del codice (Incaricati del trattamento) prescrive quanto segue:
1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del
trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento
consentito agli addetti all'unità medesima.
Valuterà infine il medico legale l’opportunità della nomina di un responsabile, considerato che la tuttora prevalente organizzazione uni-personale in Italia degli studi medico-legali non pare essere congeniale alla nomina di un responsabile (figura confacente a strutture aziendali o, nel caso che ci occupa, professionali, che abbiano un almeno minimo coefficiente di complessità).
Riportiamo in ogni caso di seguito l’art. 29 (Responsabile del trattamento) del codice – sostanzialmente identico al testo dell’ art. 8 della l.n. 675/1996:
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle
disposizioni di cui al comma 2 e delle proprie istruzioni.
Un‘ ultima annotazione sull’ informativa. Essa, a scanso di contestazioni postume, e per una mera esigenza di certezza della prova (anche se i soprariportati artt. 10 l. n. 675 e 13 del codice consentono che l’informativa venga resa oralmente) dovrà essere documentata per iscritto e firmata dall’interessato, preferibilmente ma non obbligatoriamente su scrittura separata rispetto al consenso.
Preferibilmente separata dicevamo al fine di meglio documentare le fasi logicamente successive nelle quali debbono estrinsecarsi gli adempimenti cui il medico legale deve ottemperare (e quindi, prima l’informativa, e successivamente la raccolta del consenso, pur nella evidente reciproca ed intrinseca correlazione dei due adempimenti in questione).
Solo per completezza aggiungiamo che è da escludere in ogni caso, per evidenti ragioni, che i dati personali in questione siano raccolti presso terzi che non coincidano con l’interessato.
Ciò perché la necessaria ed inderogabile espressione del consenso per iscritto da parte dell’interessato comporterebbe l’illiceità in radice dell’acquisizione e del trattamento dei dati raccolti presso terzi.
3. IL CONSENSO E L’AUTORIZZAZIONE
L’ AUTORIZZAZIONE GENERALE DEL GARANTE N. 2/2002 AL TRATTAMENTO DEI DATI IDONEI A RIVELARE LO STATO DI SALUTE NON E’ RIFERIBILE AI TRATTAMENTI DEI DATI SENSIBILI OPERATI DAI MEDICO – LEGALI
NECESSITA’ DELLA RICHIESTA ALL’AUTORITA’ GARANTE DI ESPRESSA AUTORIZZAZIONE DEL TRATTAMENTO
Passiamo ora in rassegna le specifiche disposizioni normative (sempre raffrontando l’articolato del novello codice con la l. n. 675/1996) che disciplinano la prestazione del consenso da parte del periziando al medico legale, o, meglio la inderogabile necessità
10 per quest’ultimo di provvedere alla raccolta del consenso, a pena della attuale sanzione
di cui all’art. 35 comma 1° della l.n. 675/1996: “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 11, 20 e 27, è punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni.” e, dal 1° gennaio 2004, della sanzione prevista dall’art. 167 comma 2° del codice: “2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.”
Vengono in rilievo al riguardo rispettivamente gli artt. 22 e 23 della l.n. 675/1996 e degli artt. 26 e 76 del codice:
Art. 22 Dati sensibili
1. I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto
dell'interessato e previa autorizzazione del Garante.
1-bis. Il comma 1 non si applica ai dati relativi agli aderenti alle confessioni religiose i cui i rapporti con lo Stato siano regolati da accordi o intese ai sensi degli articoli 7 e 8 della Costituzione, nonchè relativi ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesine confessioni, che siano trattati dai relativi organi o enti civilmente riconosciuti, semprechè i dati non siano comunicati o diffusi fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati.
1-ter. Il comma 1 non si applica, altresì, ai dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o
confederazioni a carattere sindacale o di categoria.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare.
3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, è consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite. In mancanza di espressa disposizione di legge, e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione della presente legge, emanati in attuazione della legge 31 dicembre 1996, n. 676, i soggetti pubblici possono richiedere al Garante,
Art. 26
Garanzie per i dati sensibili
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare.
3. Il comma 1 non si applica al trattamento:
a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;
b) dei dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:
a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo
nelle more della specificazione legislativa, l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalità di interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi del comma 2, il trattamento dei dati indicati al comma 1.
3-bis. Nei casi in cui è specificata, a norma del comma 3, la finalità di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla presente legge e dai decreti legislativi di attuazione della legge 31 dicembre 1996, n. 676, in materia di dati sensibili,
identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni
strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente.
4. I dati personali indicati al comma 1 possono essere oggetto di trattamento previa autorizzazione del Garante:
a) qualora il trattamento sia effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, confessioni e comunità religiose, per il perseguimento di finalità lecite, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati o diffusi fuori del relativo ambito e l'ente, l'associazione o l'organismo determinino idonee garanzie relativamente ai trattamenti effettuati;
b) qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d'intendere o di volere;
c) qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere in sede giudiziaria un diritto, di rango pari a quello dell'interessato quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro
perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalità di cui all'articolo 31, comma 1, lettera h). Resta fermo quanto previsto dall'articolo 43, comma 2.
13;
b) quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;
c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111.
5. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
Art. 23 Dati inerenti alla salute
Art. 76
Esercenti professioni sanitarie e organismi sanitari pubblici
1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono, anche senza l'autorizzazione del Garante, trattare i dati personali idonei a rivelare lo stato di salute, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela dell'incolumità fisica e della salute dell'interessato. Se le medesime finalità riguardano un terzo o la collettività, in mancanza del consenso dell'interessato, il trattamento può avvenire previa autorizzazione del Garante.
1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute: a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato; b) anche senza il consenso
dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.
12 Ai fini sottesi all’esercizio dell’ attività libero-professionale del medico legale che qui
interessano dobbiamo solo notare che i principi ed i criteri in materia di consenso già esplicitati dalla l. n. 675/1996 non sono stati modificati dal codice.
Si ribadisce quindi (ai sensi dell’art. 11 della l.n. 675/1996) che il consenso deve essere espresso liberamente, in forma specifica e documentata per iscritto.
Queste specificazioni qualitative non sono state espressamente riprese nell’art. 26 del codice che regola il consenso in materia di dati sensibili. Tuttavia ciò non deve assolutamente indurre a ritenere che dal 1° gennaio 2004 si possa prescindere dai requisiti della libera determinazione nella formazione del consenso e della sua specificità.
Il consenso è inoltre valido solo se se sono state rese all'interessato le informazioni di cui all'articolo 10.
Come già accennato sopra, si dovrà altresì sempre avere cura (almeno da parte del medico legale fiduciario della compagnia assicuratrice) di far autorizzare dall’interessato, con apposita clausola nel modulo di consenso, la comunicazione della perizia alla compagnia assicuratrice.
Il comma 2° dell’art. 76 del codice 2 stabilisce che “Nei casi di cui al comma 1 il consenso può essere prestato con le modalità semplificate di cui al capo II.”.
Trattasi però di non norma non applicabile soggettivamente ai medici legali, dato che il citato capo II (artt. 78 e 79 codice) attiene alle attività svolte anche da soggetti privati esercenti le professioni sanitarie ma con riferimento al “complessivo trattamento dei dati personali necessario per attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico o dal pediatra a tutela della salute o dell'incolumità fisica dell'interessato”, restandone quindi esclusa l’attività svolta dal medico legale.
Dicevamo che i principi già posti dalla l.n. 675/1996 in materia di presupposti per il lecito trattamento dei dati sensibili idonei a rivelare lo stato di salute, in particolare in tema di consenso, non sono stati innovati dal codice.
I capisaldi restano quindi quelli già noti e fissati dall’ art. 22 della l.n. 657/1996 (vedasi l’
art. 76 del codice) secondo cui, alternativamente
1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute
a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato;
b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.
Orbene se da un lato è evidente che, soggettivamente, il medico legale riveste la qualità di soggetto esercente una professione sanitaria, d’altro canto è altrettanto certo che l’attività svolta dal medico legale in sede assicurativa non comporta il perseguimento di finalità di tutela della salute o dell'incolumità fisica dell'interessato, né, tanto meno, di tutela della salute o dell'incolumità di terzi o della collettività.
Con il che il trattamento dei dati sensibili da parte del medico legale deve sempre ed in ogni caso essere autorizzata dal Garante.
Al riguardo resta da evadere il quesito se l’ autorizzazione generale n. 2/2002 del garante (la cui efficacia è stata differita sino al 30 giugno 2004 dalla deliberazione 24 giugno 2003 della stessa Autorità) al trattamento dei dati idonei a rivelare lo stato di salute sia o meno riferibile ai trattamenti dei dati sensibili operati dai medico – legali.
La risposta a tale quesito è negativa.
Infatti è pur vero che il punto 1.1.a) di tale provvedimento prescrive che
“l’ autorizzazione è rilasciata a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi;”
tuttavia l’autorizzazione prosegue specificando che
“in tali casi, l’autorizzazione è rilasciata al fine di consentire ai destinatari di adempiere o di esigere l’adempimento di specifici obblighi o di eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti, in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute mentale, di assistenza farmaceutica e di assistenza sanitaria alle attività sportive o di accertamento, in conformità alla legge, degli illeciti previsti dall'ordinamento sportivo. Il trattamento può riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini su indicati.”
Dato che nessuno di tali fini è riconducibile a quello in vista del quale il medico legale presta la sua opera professionale, si deve escludere che il provvedimento autorizzi il trattamento implicato da tale tipo di attività.
Si potrebbe residualmente ed astrattamente ritenere che il punto 1.3. del provvedimento autorizzi il trattamento dei dati effettuato dal medico-legale.
Pare tuttavia che nemmeno tale disposizione possa far ritenere autorizzato il trattamento dei dati da parte del medico legale per un duplice ordine di motivi.
14 Sotto il profilo soggettivo è palese che il punto 1.3. dell’autorizzazione, secondo il
quale
“1.3. La presente autorizzazione è rilasciata, altresì, per il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, quando il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempreché il diritto sia di rango pari a quello dell’interessato, e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario per il loro perseguimento.”
non riguarda gli esercenti le professioni sanitarie.
Sotto il profilo oggettivo risulta infine chiaro che i trattamenti avuti presenti dal detto punto 1.3. sono quelli operati su dati acquisiti senza il consenso e fuori dai casi di spontanea collaborazione dell’interessato.
Paradossalmente, ma forse non casualmente, quindi, la peculiarità dell’attività svolta dal medico legale assicurativo, proprio per la sua intrinseca natura bi-fronte (soggettivamente svolta da un soggetto privato esercente una professione sanitaria, in area di consenso, ma non attinente a finalità di tutela della salute o dell'incolumità fisica dell'interessato, bensì a quella della tutela dei diritti) è rimasta al di fuori delle previsioni di cui alla autorizzazione generale n. 2/2002 (ed a quelle analoghe che l’hanno preceduta) che hanno altrimenti preso in esame l’attività medico-sanitaria, intesa in senso stretto (diagnosi e cura), ritagliando per altro verso aree autorizzate di trattamento in sede di tutela giudiziale o pre-giudiziale dei diritti, non riferibili soggettivamente ai medici legali.
Premesse tale considerazioni il medico legale non potrebbe esimersi dal richiedere al Garante l’ autorizzazione al trattamento dei dati ex art. 22 l. n. 675/1996 (art. 26 codice).
Senza tralasciare che il trattamento dei dati effettuato in difetto di autorizzazione espone, nella ricorrenza delle circostanze previste dalle norme, anche alle sanzioni penali di cui
all’art. 35, commi 2° e 3°, l.n. 675/1996:
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di (*) dati personali in violazione di quanto disposto dagli articoli 21, 22, 23, 24 e 24-bis (*), ovvero del divieto di cui all'articolo 28, comma 3, è punito con la reclusione da tre mesi a due anni.
3. Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione è da uno a tre anni.
e - dal 1.01.2004 - all’art. 167, comma 2° del codice
“Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.”
4. MISURE DI SICUREZZA
L’ art. 15 della l. n. 675/1996 dispone in materia di misure di sicurezza quanto segue:
“Art. 15
Sicurezza dei dati
1.I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente della Repubblica, ai sensi dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per l'informatica nella pubblica amministrazione e il Garante.
3. Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla data di entrata in vigore della presente legge e successivamente con cadenza almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza maturata.
4. Le misure di sicurezza relative ai dati trattati dagli organismi di cui all'articolo 4, comma 1, lettera b), sono stabilite con decreto del Presidente del Consiglio dei ministri con l'osservanza delle norme che regolano la materia.”
Come noto l’applicazione di tale norma (e del D.P.R. 28.7.99 n. 318 recante Regolamento per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675), nella percezione da parte del legislatore della diffusa difficoltà (dovuta anche alla non perspicua formulazione dei precetti di cui al citato regolamento attuativo) e/o della scarsa propensione dimostrata dai titolari dei trattamenti ad un effettivo e tempestivo adeguamento alla normativa (soprattutto in termini di messa a punto del c.d. Documento programmatico della sicurezza, prescritto dall’ art. 16 del citato D.P.R. n. 318/1999) con la predisposizione delle idonee misure tecniche, informatiche e telematiche, è stata oggetto di rinvii e differimenti (vedasi la l. n. 325/200 che prorogava al 31/12 l'adozione delle misure minime di sicurezza nel trattamento dei dati personali).
16 La materia è trattata nel codice al
Capo II - Misure minime di sicurezza Art. 33 (Misure minime)
Art. 34 (Trattamenti con strumenti elettronici)
Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici) Art. 36 (Adeguamento)
Pare opportuno, per avere una sintetica visione di insieme della sistemazione attuata dal codice di questo delicato profilo applicativo della disciplina riportare di seguito la relazione parlamentare di accompagnamento alla nuova fonte normativa.
“Il capo II individua le note misure "minime" di sicurezza demandando la determinazione delle modalità di applicazione alle disposizioni contenute nel Disciplinare tecnico allegato al codice (allegato B).
Rispetto alle disposizioni contenute nel d.P.R. 28 luglio 1999, n. 318, emanato in attuazione dell’art. 15 della legge n. 675/1996, il sistema delle misure minime di sicurezza viene semplificato e aggiornato sulla base dell’esperienza applicativa degli ultimi tre anni e dell’evoluzione tecnologica.
Si segnalano, in particolare, alcuni aspetti caratterizzanti il nuovo sistema.
Ai fini dell’applicazione delle misure minime richieste, si conferma la distinzione fra trattamenti effettuati con strumenti elettronici e trattamenti "cartacei", mentre, per quanto riguarda i primi, si evidenzia la diversa configurazione della distinzione, presente a determinati effetti nel d.P.R. 318/1999, tra trattamenti effettuati con elaboratori non accessibili da altri elaboratori o terminali e trattamenti con elaboratori "accessibili" in rete, e, tra questi ultimi, dell’ulteriore distinzione tra l’accessibilità attraverso reti disponibili o non disponibili al pubblico.
Non ha più una sua espressa rilevanza formale la figura dell’amministratore di sistema, mentre viene confermato l’obbligo di provvedere alla custodia di copie delle parole chiave per l’autenticazione, qualora sia tecnicamente indispensabile per garantire l’accesso ai dati in caso di impedimento di un incaricato.
Per il trattamento con strumenti elettronici si prevede l’obbligo di adottare l’autenticazione informatica dell’utente, anche mediante l’utilizzo di eventuali sistemi biometrici, e adeguate procedure di gestione delle relative credenziali di autenticazione.
Il titolare deve curare l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici, la tenuta di un aggiornato documento programmatico sulla sicurezza e l’adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Per i casi residuali in cui la limitatezza tecnologica degli strumenti in uso o la loro obsolescenza non consentano di attuare completamente il dettato normativo, si prevede l’obbligo da parte del titolare di descrivere in un documento a data certa, da custodire presso la propria struttura, gli impedimenti tecnici che hanno reso impossibile o parziale l’immediata applicazione delle misure minime di sicurezza. Viene inoltre introdotto, in relazione alla possibile inadeguatezza di alcuni elaboratori a consentire l’applicazione delle misure minime, un termine di un anno per dare tempo ai titolari di adeguare la propria dotazione tecnologica in modo da consentire l’applicazione delle misure minime di sicurezza (art. 180).
Per quanto riguarda le modalità di applicazione delle misure minime di sicurezza da adottare, sono state apportati gli adeguamenti richiesti dalla Commissione giustizia della Camera.
In particolare, nel Disciplinare tecnico che reca tali modalità, sono state stabilite due scadenze periodiche (semestrale e annuale) per gli adempimenti a carico del titolare del trattamento e uniformate le scadenze rispondenti a finalità omogenee (punti 14 e 15 del Disciplinare). E’ stato infine determinato il termine di aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati (punto 27 del Disciplinare).
Come accennato nell’appena sopra riportato stralcio della relazione è importante avere presente al riguardo la norma transitoria dettata dall’ art. 180 del codice che disciplina il raccordo temporale tra adempimenti imposti dalla precedente normativa e da quella sopravveniente.
Art. 180
Misure di sicurezza
1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004.
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all'articolo 31, adeguando i medesimi strumenti al più tardi entro un anno dall'entrata in vigore del codice.
18 Anche rispetto al tema dell’osservanza delle misure di sicurezza si deve rammentare che
l’inottemperanza alle relative disposizioni è sanzionata penalmente ex art. 36 l. n. 675/1996 e dall’art. 169 del codice che riportiamo di seguito
Art. 169
Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.
L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.
5. OSSERVAZIONI CONCLUSIVE IN MATERIA DI “GIURISPRUDENZA” DEL GARANTE IN PUNTO A CONTENUTI E COMUNICAZIONE DELLE PERIZIE MEDICO-LEGALI
IN PARICOLARE IL TEMA DELLA “FRAZIONABILITA’” DEL CONTENUTO DELLA PERIZIA
E’ interessante valutare come siano state affrontate e regolamentate nel nuovo codice due questioni che avevano sollevato l’interesse degli operatori del settore medico-legale e che avevano avuto anche una discreta eco nei mezzi di informazione non specialistici, in quanto reiterato oggetto di “interventi” da parte del Garante.
Ci riferiamo in primo luogo alla questione che era stata opportunamente sollevata, tra gli altri, dal Prof. Livio Cattinelli, nel n. 3/2000 della Rivista TAGETE (Aspetti controversi della normativa in tema di privacy sull’attività del medico legale”), relativamente alla configurabilità quale “dato personale” ex art. 1 comma 2 lett. c) della l.n. 675/1996 delle perizie medico-legali laddove si era obiettato (pag. 91, articolo citato) che “le informazioni risultanti dall’anamnesi e dalla visita clinica, come le relative valutazioni conclusive del fiduciario medico legale non costituiscono quel <dato personale>, così come quest’ultimo è stato definito dall’articolo 1, comma 2), lettera c) della legge 675/96.” ed alla scindibilità o meno tra i contenuti (quello oggettivo e quello valutativo) delle perizie medico-legali.
Come noto il Garante si era più volte (favorevolmente) espresso in merito all’esercizio del diritto di accesso dell’interessato riguardo alla perizia medico-legale redatta dal fiduciario delle compagnie assicuratrici (fatta salva una preclusione temporanea al diritto di accesso finalizzata alla tutela dei diritti di difesa delle compagnie).
Le perplessità si incentravano in ispecie sulla opportunità che all’interessato si potesse riconoscere un diritto di accesso rispetto a dati di cui egli stesso era ben a conoscenza (per attenere appunto alle sue condizioni di salute e/o alle sintomatologie direttamente avvertite dal soggetto e riferite al medico) e/o alla documentazione medico-clinica portata in visione al medico legale, e/o, paradossalmente un vero e proprio diritto di rettifica rispetto alla parte valutativa della perizia medico legale predisposta dal fiduciario della compagnia assicuratrice.
Si segnala quindi al riguardo l’art. 8 comma 4° del codice, al quale non corrisponde, nella l.n. 675/1996, alcun norma precedente di tenore ed argomento analogo:
4. L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l'indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento.
Tale nuova norma, recependo l’elaborazione “giurisprudenziale” maturata dal Garante negli anni scorsi, in quanto rapportata e riferita alle perizie medico-legali, riconosce il fatto che in tali elaborati convivono appunto quanto meno due componenti, una tendenzialmente oggettiva (“i dati identificativi di tipo anagrafico, la descrizione delle modalità dell’evento, l’anamnesi patologica remota attinente alla valutazione medico legale richiesta, l’identificazione delle lesioni riportate, la visita medica” – così testualmente Cattinelli, op.
cit.) e un’altra indubitabilmente di natura soggettiva (cioè “il giudizio conclusivo, comprendente sia la valutazione sul nesso causale e/o concausale tra evento e lesioni e tra lesioni e menomazioni permanenti, sia l’eventuale indicazione del periodo di invalidità e/o inabilità permanenti, sia l’eventuale indicazione del periodo di invalidità e/o inabilità temporanea, sia l’indicazione orientativa del grado di invalidità permanente residuata …”
Cattinelli, op. cit.).
Viene in rilievo infine la questione già regolata dall’art. 23, comma 2°, l. n. 675/1996: “I dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato o ai soggetti di cui al comma 1-ter solo per il tramite di un medico designato dall'interessato o dal titolare.”, ed ora, a far data dal 01.01.2004, dall’art. 84, comma 1° del codice: “1. I dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato o ai soggetti di cui all'articolo 82, comma 2, lettera a), da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato dall'interessato o dal titolare. Il presente comma non si applica in riferimento ai dati personali forniti in precedenza dal medesimo interessato”.
E’ noto che il Garante ebbe a sanzionare il comportamento di una compagnia assicuratrice che aveva inviato direttamente all’interessato la perizia medico-legale (peraltro dopo essere stata a ciò sollecitata dal Garante a seguito dell’accoglimento del ricorso interposto
