La privacy dei pazienti va difesa ma non è un totem [cit. Antonello Soro, Presidente dell’Autorità Garante per la Protezione dei Dati Personali italiana]

Non so da voi, ma dove abito io ogni volta che si sente la sirena di un’ambulanza, parte la “caccia all’untore”.

C’è chi, in nome della tutela della salute pubblica, vorrebbe sapere non solo il nome e il cognome dei pazienti ricoverati con indicazioni aggiornate sul loro stato di salute, ma addirittura avere una lista dei positivi accertati e dei casi “sospetti” in isolamento; c’è poi chi replica che la salute è un dato “sensibile” da non rivelare mai.

Di questi tempi ci si pone sempre la medesima questione: dove finisce il diritto alla privacy del singolo e comincia la tutela dell’interesse pubblico?

Il dibattito è acceso ma una risposta si trova già nelle norme in vigore.

La pandemia in corso ha reso operativa una norma che solo qualche mese fa avremmo catalogato come un caso di scuola: si tratta dell’art. 9 par. 2 lett. i) del General Data Protection Regulation (GDPR – Regolamento UE 2016/679) che vieta il trattamento di categorie particolari di dati personali, tra i quali rientrano i dati relativi alla salute, senza il consenso dell’interessato, salvo il caso in cui  «il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale». In poche parole, il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico[1] non richiede il consenso dell’interessato pur rimanendo soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche[2].

In Italia la prima disposizione sul  trattamento dei dati personali nell’ambito dell’attuale emergenza sanitaria si trova inserita nel Decreto-Legge del 9 marzo 2020, n. 14 “Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19” in vigore dal 10 marzo 2020[3].

 

Tale normativa, che ha ripreso quanto già previsto nell’Ordinanza del Capo del Dipartimento della Protezione Civile (O.C.D.P.C.) n. 630 del 3 febbraio 2020, pubblicata in data 8 febbraio 2020[4] autorizza espressamente, fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020 (e quindi fino a fine luglio 2020), il trattamento di dati personali e la comunicazione tra i soggetti operanti nel Servizio nazionale di protezione civile, “i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630” (quali le forze armate, le forze di polizia…), nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i “soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13” (quali le autorità locali e comunali), precisando che “possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10[5] del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”.[6]

Pertanto, per ora, l’accertamento e la raccolta di informazioni circa i sintomi del Coronavirus e la rete dei contatti dei contagiati spetta agli operatori sanitari e al “sistema” attivato dalla protezione civile.

Ma non solo. Nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto, è permessa la comunicazione di tali dati anche a soggetti diversi da quelli sopra indicati (che di fatto solo quelli pubblici individuati nel Codice della Protezione Civile di cui al D.Lgs. n. 1/2018), ammettendo quindi anche soggetti privati, quali il datore di lavoro; per questi ultimi , tuttavia,  il Garante della Privacy con comunicato stampa del 2 marzo 2020 ha precisato che “I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.”.

 

In ogni caso l’attività di trattamento deve essere svolta nel rispetto dei principi dell’art. 5 del GDPR (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare del trattamento).

Inoltre i titolari e i responsabili del trattamento, possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti con modalità semplificate, anche oralmente, a persone fisiche, espressamente designate, che operano sotto la loro autorità (nello specifico, si fa riferimento alle autorizzazioni di cui all’articolo 2 -quaterdecies del nostro Codice Privacy[7]); essendo preminente il diritto alla salute dell’intera collettività, è consentito omettere l’informativa di cui all’articolo 13 del GDPR[8] o fornire una informativa semplificata, previa comunicazione orale agli interessati di tale  limitazione.

I dati non potranno essere conservati oltre il termine dello stato di emergenza, cessato il quale sarà necessario adottare misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

 

 

[1] Secondo il considerando 54 del GDPR in tale contesto la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità.

[2] Fermo restando che tale trattamento non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito (considerando 54 GDPR).

[3] L’art. 14 “Disposizioni sul trattamento dei dati personali nel contesto emergenziale” del Decreto-legge 9.3.2020 n. 14 così recita: “1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g) , h) e i) , e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2 -sexies , comma 2, lettere t) e u) , del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. 2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto. 3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. 4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2 -quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente. 5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e) , del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione. 6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.”.

[4] Rispetto alla quale, la nostra Autorità Garante per la Protezione dei dati personali, aveva espresso parere favorevole con Provvedimento n. 15 del 2 febbraio 2020.

[5] L’art. 10 del GDPR si riferisce al trattamento dei dati personali relativi a condanne penali e reati.

[6] In via generale il medico non può comunicare a terzi i dati sanitari, se non con il consenso del paziente.  Il medico è invece tenuto a segnalare all’autorità giudiziaria i dati in suo possesso anche senza il consenso del diretto interessato nei casi in cui sussista l’obbligo di referto (si pensi proprio alla segnalazione di malattie infettive o diffusive in cui si renda necessario tutelare la salute di un terzo o della collettività, oppure di un minore, di un soggetto disabile o comunque di un soggetto in situazione di particolare fragilità).

[7] Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) Cod. in materia di protezione dei dati personali: “1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilita’ e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. 2. Il titolare o il responsabile del trattamento individuano le modalita’ piu’ opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorita’ diretta.”

[8] Il GDPR prescrive all’art. 13 l’obbligo si sottoporre all’interessato l’informativa relativa al trattamento dei dati personali nel momento in cui sono raccolti i suoi dati.