Sanità, dati personali e fonti normative: con questo articolo cerchiamo di conoscere preliminarmente le caratteristiche dell’interesse pubblico quale valida alternativa al contratto. Le strutture sanitarie, infatti, nel trattamento dei dati personali per finalità “strettamente correlate all’attività di diagnosi, assistenza o terapia sanitaria”, come base giuridica scelgono prevalentemente l’esecuzione del contratto di cui il paziente è parte.
Il GDPR e il Codice Privacy suggeriscono al Titolare del trattamento l’esistenza dell’interesse pubblico tra le altre condizioni di liceità del trattamento di dati personali e categorie particolari di dati. Approfondirne la nozione e comprenderne il contesto permette di valorizzare gli strumenti che la normativa europea e nazionale mettono a disposizione delle strutture sanitarie, siano esse di natura pubblica o privata.
In un articolo successivo proseguiremo con un focus dedicato all’interesse pubblico delle strutture sanitarie private.
GDPR: le basi giuridiche
Il Titolare del trattamento nell’ambito dei propri servizi sanitari volti al raggiungimento di una finalità esplicitamente connessa alla cura del paziente raccoglie diverse tipologie di dati personali. Generalmente sono riconducibili ai dati personali “comuni”; per esempio, dati anagrafici e recapiti di contatto. Oppure si tratta dio categorie particolari di dati, come quelli relativi allo stato di salute, all’orientamento o alla vita sessuale, e persino dati genetici. Tra le basi giuridiche che la struttura sanitaria può scegliere per rendere lecito il trattamento di tali tipologie di dati esiste anche l’esecuzione di un compito di interesse pubblico del quale è investito il Titolare per giustificare il trattamento di dati personali e i motivi di interesse pubblico rilevante per supportare il trattamento di categorie particolari di dati.
Entrambe le basi giuridiche prevedono alcuni aspetti tra loro connessi e da non sottovalutare.
Sanità dati personali e interesse pubblico: requisiti
Innanzitutto richiedono uno stesso pre-requisito: perché tali basi giuridiche siano utilizzabili è necessario che il diritto dell’Unione Europea o dello Stato italiano le abbia stabilite da qualche parte. Per il GDPR l’atto legislativo che individua l’interesse pubblico come base giuridica:
- è di per sé sufficiente a giustificare più trattamenti di dati da parte del medesimo Titolare;
- dovrebbe stabilire la finalità del trattamento, nonché eventualmente precisare ulteriori condizioni afferenti al trattamento;
- dovrebbe stabilire se il Titolare che esegue un compito svolto nel pubblico interesse (…) per finalità inerenti alla salute (quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria) debba essere (…) una Struttura pubblica e/o una Struttura privata.
Un altro aspetto importante è che lo Stato italiano, come ogni altro Stato europeo, al fine di assicurare una protezione dei dati personali più efficace e coerente alla normativa nazionale può prevedere requisiti ulteriori rispetto a quelli già previsti dal GDPR.
In questa direzione è intervenuto il Codice Privacy prevedendo condizioni specifiche che consentono al Titolare l’uso dell’interesse pubblico quale base giuridica per il trattamento dei dati personali e categorie particolari.
Le modifiche nel Codice Privacy
A seguito del D.lgs. 101/2018 il Codice Privacy dedica due articoli a questo tema (Artt. 2-ter e 2sexies, Codice in materia di protezione dei dati personali). Uno è per il trattamento di dati personali e l’altro per il trattamento di categorie particolari. Per entrambi i casi introduce una stessa condizione: perché si possa ricorrere all’esecuzione di un compito di interesse pubblico quale base giuridica per il trattamento dei dati è necessario che ciò sia previsto soltanto da uno specifico atto normativo dello Stato italiano.
Se da un lato il Codice Privacy esclude, almeno apparentemente, ogni possibilità per la struttura sanitaria di richiamare un atto amministrativo – come, per esempio, decreti o circolari ministeriali oppure delibere della giunta regionale e via di seguito – pare tuttavia introdurre un elemento di novità. Infatti, il Codice non fa più menzione della natura giuridica – pubblica e/o privata – del Titolare del trattamento tale da non escludere che anche una struttura sanitaria privata possa svolgere un compito nell’interesse pubblico ove attribuitogli da norma di legge o di regolamento.
Interesse pubblico: le attività rilevanti
Nell’intento di inquadrare meglio le attività che una struttura sanitaria può svolgere sulla base dell’interesse pubblico, il Codice Privacy ci supporta attraverso l’individuazione di ambiti qualificandoli implicitamente portatori di un interesse pubblico rilevante ai fini del trattamento dei dati personali. In particolare si tratta di:
- attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
- compiti del Servizio Sanitario Nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
- programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
- vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria.
Sanità e dati personali: conta la fonte normativa
Da una prima analisi appare ragionevole affermare che le strutture sanitarie – siano esse di natura pubblica o privata – possono ricorrere all’interesse pubblico quale base giuridica per il trattamento di dati personali e categorie particolari nell’ambito di attività essenziali al raggiungimento di una o più finalità connesse alla cura.
Tuttavia in un’ottica di accountability è necessario che la struttura sanitaria, soprattutto se di natura privata, individui la fonte normativa (legge o regolamento nei casi previsti) che le consenta di affermare che le attività di trattamento di dati, giustificate da un interesse pubblico, siano riconducibili negli ambiti sopra individuati.
Questo tema è oggetto di ulteriore approfondimento nel successivo articolo dedicato in particolare all’individuazione della fonte normativa che giustificherebbe una struttura sanitaria privata all’uso dell’interesse pubblico nella gestione dei dati personali.