FONTE: DORS.IT
Autrici :Grazia Bertiglia, Dors – Elisa Valesio, Regione Piemonte
La norma italiana a completamento del Regolamento Europeo 2016/679
Il 10 agosto 2018 è stato approvato il D.Lgs. 101: la scelta è stata, alla fine, di conservare – per quel che si poteva – il Codice italiano (D.Lgs. 196/2003) modificandolo alla luce del Regolamento Europeo.
Il decreto pubblicato sulla Gazzetta ufficiale il 7 settembre non è di agevole lettura: gran parte è dedicato a modificare abrogare gli articoli del Codice; gli ultimi articoli, da 17 a 26 contengono invece norme originali. Riportiamo perciò in allegato sia il testo del decreto 101/2018, sia il testo modificato del (D. Lgs. 196/2003) in vigore dal 19.9.2018.
Purtroppo la materia specifica di cui trattiamo non è fra quelle su cui la stampa, anche specialistica si sia soffermata con commenti di esperti della privacy: l’attenzione, a partire da maggio di quest’anno, è stata rivolta soprattutto ad aspetti di gestione dei sistemi informativi, di trattamento di dati da parte dei colossi dell’informazione, all’impatto nel mondo privato e alle temute sanzioni. Al momento anche il Garante italiano (ora “autorità di controllo” ) non ha dedicato particolare enfasi agli aspetti inerenti i trattamenti di dati per scopi sanitari e di ricerca. In attesa dell’emanazione del D.Lgs. 101/2018, per evitare un vuoto normativo, il data ha prorogato le autorizzazioni generali, scadute il 25 giugno, all’indomani dell’entrata in vigore piena del Regolamento europeo.
Le disposizioni del Regolamento Europeo per la sanità.
Quali sono oggi, allora, i punti fermi della nuova normativa privacy per chi opera nei servizi di prevenzione e sanità pubblica, per la promozione della salute, la ricerca scientifica, la programmazione dei servizi sanitari?
In primo luogo, occorre tener conto delle nuove regole che valgono per ogni trattamento di dati personali: base giuridica, informazioni, accountability, minimizzazione e pseudonimizzazione, privacy by design e by default, sicurezza e valutazione di impatto. (già esaminati in precedenti articoli su questo sito).
Il Regolamento Europeo tratta in particolare di questi ambiti specifici in alcuni punti:
Il Considerando 33 riguardo alla ricerca scientifica riconosce che “in molti casi non è possibile individuare pienamente la finalità … al momento della raccolta dei dati” e dà spazio alle comunità scientifiche per definire regole deontologiche adeguate per tutelare le persone anche senza il loro consenso specifico: questo può riguardare anche la ricerca sanitaria, in particolare tutta la ricerca epidemiologica che si basa su dati raccolti in precedenza per le attività di diagnosi, cura e prevenzione.
Il Regolamento definisce poi puntualmente i dati genetici:
cons 34/art. 4- punto 13: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico di detta persona fisica.
e i dati sanitari:
cons.35/art 4- punto 15: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo0 stato di salute;
Riguardo alla base giuridica il cons. 45 indica che dove c’è interesse pubblico, allora ci vuole come base giuridica una norma di legge; il consenso al trattamento dei dati personali in sanità è cosa diversa dal consenso informato all’atto medico, previsto dalla legge n. 219/2017 “Norme in materia di consenso informato e di disposizioni anticipate di trattamento.” che dice all’art. 1 “La presente legge, nel rispetto dei principi di cui agli articoli 2, 13 e 32 della Costituzione e degli articoli 1, 2 e 3 della Carta dei diritti fondamentali dell’Unione europea, tutela il diritto alla vita, alla salute, alla dignità e all’autodeterminazione della persona e stabilisce che nessun trattamento sanitario puo’ essere iniziato o proseguito se privo del consenso libero e informato della persona interessata, tranne che nei casi espressamente previsti dalla legge.”
Fermo restando quanto sopra, il consenso al trattamento dei dati personali in sanità viene ristretto (cons. 32- art 7), ma il Regolamento europeo specifica che quando occorre ottenerlo dal soggetto per trattare i suoi dati, questo consenso è sempre revocabile.
L’art 9 del Regolamento disciplina il trattamento di categorie particolari di dati personali tra cui rientrano i dati relativi alla salute, i dati genetici ecc. Nell’ambito sanitario segnaliamo:
Il paragrafo 1 prevede in linea generale che: “E’ vietato trattare dati personali che rivelino l’origine razziale o etnica,….nonchè trattare dati genetici,…., dati relativi alla salute…”
Il paragrafo 2 prevede delle eccezioni. Non si applica il comma 1 se:
a) l’interessato ha prestato il proprio consenso esplicito… e puo’ revocarlo in ogni momento;
oppure il trattamento è necessario per:
b) assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale ..;
c) tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
g) motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, …purchè l’interesse sia proporzionato ;
h) finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali ed è condotto da un professionista soggetto a segreto professionale;
i) motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, …;
j) archiviazione nel pubblico interesse ricerca scientifica e statistica (con l’obbligo di pseudonimizzare i dati).
L’ARTICOLO PROSEGUE ALLA FONTE DORS.IT