L’avvento del nuovo Regolamento UE 679/2016 ha travolto anche tutti coloro che trattano dati idonei a rilevare lo stato di salute di un individuo.
Il precedente Codice sulla Privacy, agli artt. 75 a 94, regolamentava la disciplina sul trattamento dei dati sensibili, fornendo importanti linee guide per gli operatori sanitari ed in generale tutti coloro che trattato tali tipologie di dati.
Il Codice chiariva che il trattamento poteva essere effettuato con l’esplicito consenso dell’interessato e senza la preventiva autorizzazione da parte dell’autorità di controllo, se i dati trattati riguardavano attività indispensabili per perseguire finalità di tutela della saluta o dell’incolumità fisica del soggetto, ovvero senza il suo esplicito consenso, ma previa autorizzazione del Garante, nel caso in cui le finalità riguardavano un terzo o la collettività.
Il Regolamento UE 679/2016, abrogativo della precedente disciplina in materia di Privacy, non fornisce altrettanti dettagli in merito al trattamento di dati sanitari, ferma restando l’attenzione comunque rivolta alla fattispecie in esame, contenuta nel considerando 35, dove si chiarisce che: “nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
In virtù della particolare natura dei dati in esame, oggetto di tutela costituzionale, il GDPR li ha catalogati come dati sensibili, in linea con la precedente disciplina, racchiudendoli in una specifica protezione.
La differenza sostanziale rispetto alla precedente normativa, è che il Regolamento ricomprende sotto la voce “dati sensibili” anche quelli genetici e biometrici, il cui trattamento, come quello dei dati sanitari, può essere sottoposto ad ulteriori limitazioni e discipline introdotto dai singoli Stati membri.
Nel GDPR è contenuto all’art. 9 il divieto di trattare dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza a sindacati, nonché trattare dati genetici e biometrici con i quali si può risalire in maniera univoca ad una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di un individuo.
Ma tale divieto trova delle specifiche deroghe in caso di erogazione di prestazione sanitaria complessivamente intesa, annoverando ipotesi molto più ampie che legittimino il trattamento dei dati sanitari, come ad esempio nel caso in cui si perseguano interessi pubblici.
Ruolo fondamentale assumono le informative ed i consensi sottoposti all’interessato, con le quali, in maniera chiara e semplice, si comunicano allo stesso l’oggetto, le modalità, i tempi di conservazione nonché i soggetti ai quali verranno trasmessi i dati.
Avv. Amanda Capasso
