Privacy e salute, la parola dell’esperto

Privacy e salute, la parola dell’esperto

L’Avv. Monica Gobbato (Data Protection Officer) e la Dottoressa Deborah Bettini (Data Protection Specialist) ci parlano del trattamento dei dati in ambito sanitario. Oltre ai dati personali comuni, vengono raccolti i cosiddetti dati particolari di cui all’art. 9 del Regolamento UE 2016/679, idonei a rivelare informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dell’interessato e perciò considerati bisognosi di una tutela superiore.


Cosa dice la legge

Ai sensi del citato art. 9, il trattamento di tali dati è in primo luogo consentito sulla base del consenso prestato dall’interessato (lett. a). Tuttavia, il trattamento è altresì consentito, in assenza del consenso, se il trattamento è necessario per tutelare un interesse vitale dell’interessato (lett. c); per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (lett. h) se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale (art. 9, comma 3) o, infine, per motivi di interesse pubblico nel settore della sanità pubblica (lett. i). Con evidenza, si tratta di finalità attinenti alla sfera sanitaria, intesa in senso lato, dell’individuo o della collettività.

Oltre ai casi di cui sopra, l’art. 9 annovera tra i fini che consentono il trattamento dei dati particolari senza un consenso specifico, quello di archiviazione nel pubblico interesse e di ricerca scientifica o storica o a fini statistici, seppure a talune condizioni (lett. j).

Va chiarito fin d’ora che le finalità di archiviazione e ricerca, ulteriori rispetto al trattamento per cui i dati sono stati raccolti, restano subordinate alla prestazione del consenso da parte del paziente (lett. a) o alle predette ipotesi di cui alle lett. c), h) e i) e che rimane fermo l’obbligo di indicare nell’informativa tali trattamenti, sì da rendere edotto l’interessato circa i trattamenti effettuati dal titolare o dal responsabile del trattamento.


Cosa si intende per archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

È possibile ritenere che con il termine “archiviazione” il Regolamento intenda riferirsi alla conservazione dei dati e alla loro organizzazione in insiemi strutturati[1]; manca invece la definizione precisa degli ulteriori fini di ricerca. Il loro significato è specificato, invece, nel Codice della Privacy[2] che definisce cosa debba intendersi per “scopi scientifici“, ossia “finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore”, per “scopi storici”, cioè “finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato” nonché per “scopi statistici”, ossia “le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici”.

Vale la pena, ad ogni modo, ribadire anche in questa sede che per ricerca scientifica non si intende la partecipazione del soggetto a trattamenti sperimentali, attuabili solo dopo la prestazione del (diverso) consenso relativo al trattamento sanitario, ma semplicemente l’utilizzo dei dati raccolti per il trattamento originario anche per le finalità in parola.

Come visto, nel caso delle lettere a), c), h) e i) dell’art. 9 del Regolamento, il trattamento dei dati risponde a una finalità di cura sanitaria, immediata o al limite preventiva, del singolo o dell’intera collettività. Nell’ambito delle finalità della lettera j), invece, il trattamento prescinde dalla cura immediata dell’interessato, ma si riferisce ad un interesse pubblico la cui effettiva utilità potrà essere per lo più percepita da soggetti diversi dall’interessato in un tempo futuro. In particolare, il considerando 157 del Regolamento spiega come il trattamento di cui alla lettera j) possa rispondere a detti fini, individuando la rilevanza di questi dati nella possibilità per i ricercatori di combinare le informazioni provenienti dai registri, ottenendo nuove conoscenze di grande utilità relativamente a patologie diffuse e ricerche di maggiore rilevanza, essendo basate su una popolazione più ampia.


Il parere dell’esperto

Mentre altri autori si sono chiesti se la protezione dei dati limiti o meno la ricerca, a parere di chi scrive pare opportuno porsi in un’ottica diametralmente opposta, ovverosia come tutelare l’interesse dell’individuo di fronte all’interesse pubblico sopra descritto. È evidente, infatti, il favore del Legislatore Europeo nei confronti delle finalità di archiviazione e di ricerca che appaiono come prevalenti rispetto a quello dell’interessato. Non solo, infatti, il trattamento per l’archiviazione e la ricerca non prevede il consenso ed è addirittura considerato compatibile con il trattamento per il quale i dati sono stati raccolti[3], ma il Regolamento prevede, all’art. 89[4], espresse deroghe ai diritti di accesso, di rettifica, di cancellazione, di limitazione e di portabilità dei dati nonché all’obbligo di notificazione ex art. 19, nella misura in cui l’esercizio di tali diritti rischia di rendere impossibile o di pregiudicare gravemente il conseguimento di tali finalità.

Proprio per controbilanciare l’interesse pubblico prevalente, il Regolamento ha richiamato l’esigenza di “appropriate e specifiche garanzie per tutelare i diritti fondamentali e gli interessi dell’interessato”, come peraltro già previsto dalla Direttiva 95/46. In particolare, l’art. 89 del Regolamento prevede la predisposizione di misure tecniche e organizzative, come la pseudonimizzazione[5], affinché sia rispettato il principio della minimizzazione dei dati[6]. Conseguentemente, ogni qual volta sia possibile perseguire le finalità di archiviazione e di ricerca senza ricorrere all’identificazione dell’interessato, il titolare o il responsabile del trattamento dovranno procedere in tal senso, pena la violazione del principio di minimizzazione.

Il Regolamento UE 2016/679, pertanto, in continuità con la disciplina previgente, prevede un’espressa deroga ai diritti dell’interessato qualora i dati risultino utili per le finalità di interesse pubblico di archiviazione e ricerca, seppure con la previsione di opportune cautele a tutela del singolo destinate, tuttavia, a venire meno laddove pregiudichino tali finalità.

[1] Art. 4, numero 6, Regolamento UE 2016/679
[2] Art. 4, comma 4, D. Lgs. 196/2003
[3] C50, Regolamento UE 2016/679 e, prima, C29, Direttiva 95/46
[4] Si veda anche art. 8, comma 4, Direttiva 95/46
[5] Art. 4, numero 5), Regolamento UE 2016/679
[6] Art. 5, comma 1, lett. C), Regolamento UE 2016/679

(Visited 43 times, 1 visits today)