Il Trattamento dei dati sanitari ed il Provvedimento del Garante del marzo 2019

Manlio d’Agostino Panebianco

(BASC – Università Milano Bicocca)

 

Il Sistema Sanitario Italiano è – da un lato – molto peculiare poiché è completamente misto, tanto per la compartecipazione di attori pubblici e privati nella erogazione dei servizi e prestazioni, e – dall’altro – da considerarsi molto “delicato”, poiché in questo ambito si configurano ed instaurano rapporti di fiducia medico-paziente, in cui la riservatezza medica deve potersi coniugare con la privacy.  In questo caso di devono gestire categorie “particolari” di dati (inerenti la salute e le patologie), che potrebbero esporre la persona a molteplici rischi, sia in ragione dell’elevato numero di soggetti coinvolti nei trattamenti (interessato-paziente), sia per gli effetti (presenti e futuri) della raccolta e del successivo utilizzo (anche a lungo termine).

Il punto di partenza è, dunque, la strutturazione del Sistema Sanitario Nazionale italiano, che è fondamentalmente basato su due pilastri: il «federalismo» (introdotto dalla modifica del Titolo V della Costituzione del 2001) e il «principio di sussidiarietà». Entrambi che assicurano la necessaria efficienza e velocità decisionale, avvicinando le istituzioni al momento ed al luogo in cui nasce il bisogno (il cittadino e la comunità locale).

La sua declinazione è un sistema complesso e multidimensionale «misto», in cui il ruolo del privato è strutturale in termini di finanziamento, erogazione delle cure e dei servizi sanitari (poco meno della metà delle prestazioni sono erogate in convenzione in regime di pura solvenza).

La “piramide” che descrive la struttura operativa vede al suo vertice lo Stato Centrale, con una funzione di coordinamento e di finanziamento ed al di sotto le Regioni e le provincie a statuto speciale. Queste ultime devono provvedere alla erogazione (attraverso le ASL, i presidi direttamente gestiti, le aziende ospedaliere,) ed al convenzionamento e/o accreditamento dei privati (medici di base, liberi professionisti, case di cura, laboratori di analisi e clinici, strutture di riabilitazione, etc.). A completare il quadro – in particolare con riferimento ai trattamenti dei dati – vanno citati anche quegli Enti istituzionali come l’INPS e l’INAIL e (dal lato privato) le compagnie assicurative, i fondi privati e le casse mutue, che possono intervenire in specifiche situazioni per erogare forme risarcitorie, di rimborso o di contribuzione.

Proprio per questo la correlazione con la “privacy” è importante nella prospettiva di garantire contemporaneamente i due diritti: alla salute ed alla riservatezza.

Questa consapevole attenzione è prestata anche dal Garante per la Protezione dei Dati Personali che, infatti, dopo l’entrata in vigore del GDPR (dal 25 maggio 2018 è diventato pienamente applicabile), ha emanato un Provvedimento il 07 marzo 2019, fornendo le linee guida da adottare per i Titolari e Responsabili al Trattamento al fine di garantire il rispetto dei diritti degli interessati. In tal senso, sembra opportuno richiamare una affermazione di Francesco Modafferi (Direttore del Dipartimento Libertà Pubbliche e Sanità del Garante per la Privacy): «in questo complesso scenario una particolare attenzione merita il trattamento dei dati in ambito sanitario che costituisce uno dei contesti più delicati in ragione della natura ultrasensibile dei dati che attengono allo stato di salute degli interessati, dati rispetto ai quali l’aspettativa di riservatezza e confidenzialità è, tradizionalmente, molto elevata e la legge garantisce i più alti livelli di protezione».

 

Nello specifico, vigono in modo reciprocamente complementare, tanto il “diritto alla riservatezza” («il diritto del paziente affinché vengano protette e non divulgate a terzi notizie concernenti il suo stato di salute, le prestazioni eseguite e tutto ciò che egli ha confidato al medico relativamente alle sue condizioni psicofisiche») quanto il “segreto professionale” («il dovere del medico, giuridicamente previsto, di non divulgare e proteggere tutto ciò che gli è stato confidato dal paziente o che può conoscere in ragione della sua professione, comprese le prestazioni professionali effettuate e programmate»), che culminano e si possono sintetizzare nel più noto «giuramento di Ippocrate», conditio sine qua non per l’esercizio della professione.

Da notare che, come per il trattamento dei dati, questo secretum deve applicarsi tanto se il paziente è in vita quanto post mortem, estendendo la medesima condotta anche ai propri collaboratori. 

 

Dalla prospettiva della “privacy”, è opportuno evidenziare come il GDPR introduca una innovazione significativa, vietando il trattamento di dati “particolari” (tra cui quelli definiti dal Codice italiano come “sensibili”), proprio per limitarne gli abusi, pur con le dovute e necessarie eccezioni. In tal senso, il citato Provvedimento fornisce i dovuti chiarimenti applicativi, le casistiche e richiamando ed individuando puntualmente le deroghe, al consenso informato, comune ad entrambi gli ambiti (originariamente nasce dall’articolo 32 della Carta Costituzionale, sancendo la libertà della persona umana di decidere a quali cure sottoporsi) come, ad esempio, nell’ambito dei trattamenti per «finalità di cura» effettuati da un professionista sanitario soggetto al segreto professionale nel contesto dei trattamenti “necessari” (principio di necessità del trattamento).

 

Nello specifico, il Garante identifica le circostanze in cui è possibile derogare al generale divieto di trattamento dei dati particolari imposto dal Regolamento quando vi siano motivi di interesse pubblico rilevante nel settore della sanità pubblica (come la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale). Ed ancora, per le finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali («finalità di cura»), se questi sono effettuati da un professionista sanitario soggetto al segreto professionale, o quantomeno sotto la sua responsabilità. 

In questo emerge una interessante novità: nella casistica appena citata, e solo per i trattamenti che rientrano nel “principio di necessità”, non è richiesto il consenso del paziente-interessato, senza differenza alcuna tra la figura del libero professionista o di strutturato in una azienda pubblica o privata.

Resta, invece, l’obbligo di ottenere un consenso – a seguito di idonea informativa – nei casi di utilizzo di “app mediche” (per finalità diverse dalla telemedicina), eventuali programmi di fidelizzazione della clientela o per finalità promozionali o commerciali, e per tutte le altre che non rispondono al principio di necessità. 

Un caso a parte, che lo stesso Garante afferma necessiti di un successivo approfondimento di merito, riguarda il Fascicolo Sanitario Elettronico (FSE), per il quale “al momento” secondo le precedenti disposizioni, richiede ancora uno specifico consenso.

 

Per approfondimenti sul tema si veda dello stesso autore “Il trattamento dei dati nel Sistema Sanitario Nazionale italiano alla luce del Provvedimento del Garante del 7 marzo 2019”, pubblicato su Ciberspazio e Diritto (Rivista Internazionale di Informatica Giuridica), Vol. 20, n. 62 (1-2 – 2019).
Facebooktwitterlinkedinmail

Be the first to comment on "Il Trattamento dei dati sanitari ed il Provvedimento del Garante del marzo 2019"

Leave a comment

Your email address will not be published.


*