Dati personali e GDPR: quali le implicazioni per la Struttura Sanitaria privata e la sua possibilità di utilizzare l’interesse pubblico quale base giuridica per il trattamento dei dati personali?
Nella precedente disamina su dati personali e GDPR e le caratteristiche dell’interesse pubblico nella sanità appare che tale base giuridica non è riconosciuta solo alle Strutture Sanitarie pubbliche. Infatti, sia per il GDPR che per il Codice Privacy ogni Struttura Sanitaria può utilizzare l’interesse pubblico rilevante quale base giuridica per i trattamenti dei dati personali. Ma può farlo soltanto nei casi previsti dalla legge o da un regolamento.
Ne deriva un’impasse con tutto il sistema che disciplina la materia della tutela della salute. È noto, infatti, che la sanità è regolamentata per lo più attraverso atti amministrativi della Regione. A questo punto qual è la fonte normativa che legittima la Struttura Sanitaria all’uso dell’interesse pubblico? Il Garante Privacy è intervenuto facendo chiarezza su alcuni punti.
Dati personali e GDPR: i chiarimenti del Garante italiano
Per trovare una risposta concreta al quesito dobbiamo necessariamente addentrarci nella normativa del settore sanitario, comprendere il ruolo delle diverse Autorità coinvolte e verificare se effettivamente esista una legge oppure un regolamento che riconosca ad una Struttura Sanitaria privata un compito di interesse pubblico. Significativo è stato l’intervento del Garante Privacy in tema di trattamenti di categorie particolari di dati personali per motivi di interesse pubblico.
Innanzitutto il Garante ha confermato l’estensione dell’interesse pubblico rilevante ai soggetti privati che trattino dati personali nelle materie previste dal Codice privacy. Ne deriva che le Strutture Sanitarie private perseguono finalità di interesse pubblico rilevante. A titolo esemplificativo, infatti, la Regione Lombardia ha adottato il Testo Unico delle leggi regionali in materia di sanità, disciplinando l’organizzazione, i compiti e le finalità del servizio sanitario, sociosanitario e sociale regionale integrato lombardo (SSL), dichiarando che “i soggetti erogatori privati sanitari rientrano nella programmazione e nelle regole del SSL e ne sono parte integrante”.
Quindi esiste una formale e sostanziale equiparazione tra la Struttura Sanitaria pubblica e privata nel garantire il diritto inviolabile, costituzionalmente garantito, alla tutela della salute.
L’interesse pubblico rilevante deve essere previsto dalla legge
Successivamente il Garante ha chiarito il significato della necessità di una fonte normativa (quale in particolare la legge o regolamento nei casi previsti dalla legge) che legittimi il Titolare a trattare categorie particolari di dati per il perseguimento di un interesse pubblico rilevante. Nell’ambito dei dati personali e GDPR, il Regolamento europeo è chiaro: la condizione essenziale al trattamento di tali dati è “il diritto degli Stati membri”, un presupposto generico e non limitato esclusivamente alla legge.
Diversamente, spiega il Garante, quando il Codice Privacy richiama espressamente la legge o il regolamento non intende condizionare il trattamento di categorie particolari di dati per un interesse pubblico rilevante ai soli casi previsti tassativamente dalla legge. Infatti la locuzione “disposizioni di legge o di regolamento nei casi previsti dalla legge” deve essere interpretata come un rinvio a tutti quei casi in cui il soggetto chiamato a disciplinare le particolari categorie di dati sia – in base a specifico atto di legge – titolare di poteri regolamentari.
Questo chiarimento è stato fondamentale per l’ambito sanitario che per sua stessa natura è disciplinato da leggi, nazionali e regionali, da regolamenti e soprattutto da atti amministrativi (si pensi ai decreti e circolari ministeriali nonché alle delibere della giunta regionale) che non sono riconducibili nella definizione di legge e di regolamento ma rappresentano gli strumenti principali di regolamentazione del settore.
Quindi, sulla base di quanto precisato dal Garante, la Regione, essendo un ente investito – per il tramite di un atto legislativo – del potere regolamentare nell’ambito del diritto alla salute, può disciplinare attraverso “i suoi” atti amministrativi tutti i trattamenti di dati personali (e tra questi anche categorie particolari di dati) che le strutture sanitarie, anche private, possono porre in essere perseguendo un motivo di interesse pubblico rilevante.
Le strutture sanitarie private devono essere consapevoli delle basi giuridiche
Ne consegue che è assolutamente ragionevole sostenere che le Strutture Sanitarie – siano esse di natura pubblica o privata – ricorrano all’interesse pubblico quale base giuridica per il trattamento di dati personali (nonché delle categorie particolari di dati personali) nell’ambito di attività essenziali per il perseguimento di finalità esplicitamente connesse alla cura della salute. Ciò anche in considerazione del fatto che, tra le basi giuridiche previste dal GDPR per il trattamento di categorie particolari di dati, non compare l’adempimento di un obbligo legale, rendendo quindi difficile individuare soluzioni alternative a quella qui prospettata.
A sostegno di questa tesi anche parte della dottrina suggerisce di ricorrere all’interesse pubblico rilevante ogni qual volta il Titolare abbia la necessità di trattare categorie particolari di dati in adempimento ad un obbligo legale al quale è soggetto.
Ovviamente, vista la complessità e talvolta la non coerenza delle disposizioni normative, è necessario che la Struttura Sanitaria privata sia consapevole dei ragionamenti sottesi alle proprie scelte e altrettanto in grado di dimostrare l’efficacia delle stesse nell’ambito del contesto in cui opera e nel rispetto dei diritti e delle libertà degli interessati.
