Diritto alla Privacy in Italia: da fine maggio non sarà più costantemente violato.

La tutela dei dati sensibili di ordine sanitario [stato di salute – rientra tra questo anche lo status vaccinale – e vita sessuale della persona] affianca quanto già previsto dal segreto professionale.

Tutelare la privacy in ambito sanitario costituisce forse uno degli aspetti più complessi della tutela di tale diritto inteso in senso generale. In tale ambito, infatti, oltre agli aspetti legati alla tutela della riservatezza e all’acquisizione del consenso informato dei dati sensibili espresso dal titolare previa una completa informativa resa al momento della loro raccolta, esistono altri rilevanti aspetti che spaziano dalla corretta modalità di raccolta e conservazione, all’identificazione di chi li deve conoscere informa completa, aggiornata, sicura e corretta [non deve essere sottovalutato il rischio connesso a un dato sanitario errato, incompleto o addirittura mancante].

A tal proposito si riportano integralmente gli artt. 11 e 12 del Codice di deontologia medica:

«Il medico acquisisce la titolarità dei dati personali previo consenso informato dell’assistito o del suo rappresentante legale ed è tenuto al rispetto della riservatezza, in particolare dei dati inerenti alla salute e alla vita sessuale. Il medico assicura la non identificabilità dei soggetti coinvolti nelle pubblicazioni e nelle divulgazioni scientifiche di dati e studi clinici. Il medico non collabora alla costituzione, alla gestione o all’utilizzo di banche dati relative a persone assistite, in assenza di garanzie sulla preliminare acquisizione del loro consenso informato e sulla tutela della riservatezza e della sicurezza dei dati stessi». [Art. 11]

«Il medico può trattare i dati sensibili idonei a rivelare lo stato di salute della persona solo con il consenso informato della stessa o del suo rappresentante legale e nelle specifiche condizioni previste dall’ordinamento». [Art. 12]

Normative attualmente in vigore per il trattamento dei dati

La tutela della riservatezza [protezione dei dati sensibili] è stata disciplinata in Italia con la Legge n. 675/96 [Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali], meglio nota come “Legge sulla Privacy“, per rispettare gli Accordi di Schengen; tale Legge è entrata in vigore nel maggio 1997.

Sono “sensibili” «i dati personali idonei a rivelare lo stato di salute e la vita sessuale dell’individuo».

In seguito, si sono affiancate a tale norma altre disposizioni riguardanti specifici aspetti del trattamento dei dati, che sono state incluse nel D.Lgs 196/2003 [Codice in materia di protezione dei dati personali] entrato in vigore il 1° gennaio 20014, megli noto come “Testo unico sulla Privacy“. Il D.Lgs 196/2003 ha abrogato la precedente Legge n. 675/96. Sull’applicazione della normativa vigila l’autorità garante per la protezione dei dati personali istituita dalla Legge n. 675/96 e confermata dal Testo unico sulla Privacy del 2003.
Per quanto riguarda l’ambito sanitario, le disposizioni legislative sono contenute negli articoli dell’intero Titolo V del suddetto decreto legislativo [Trattamento di dati personali in ambito sanitario], che coniuga elementi di puro adempimento formali ed altri di maggiore spessore etico. I dati di maggior rilievo sono riassunti nei sottostanti cinque punti.

  1. L’autorizzazione al trattamento dei dati personali deve avvenire con il consenso dell’interessato. Questo, in via semplificata, è sufficiente che sia dato una volta sola al medico di medicina generale o al pediatra di libera scelta, all’istituzione territoriale od ospedaliera [il consenso viene implicitamente esteso ai sanitari della cui consulenza ci si dovesse avvalere].
  2. In caso di interesse di terzi o della collettività, se non vi è il consenso dell’interessato, è necessaria l’autorizzazione del garante.
  3. Si devono predisporre adeguate misure per garantire: distanze di cortezia e riservatezza, chiamate che non siano nominative, assenza di promiscuità nella gestione della documentazione sanitaria, accorgimenti per l’accesso agli archivi cartacei ed informatici, restrizioni nelle informazioni telefoniche, cautela nel rilascio delle cartelle cliniche, l’occultamento delle generalità nelle ricette mediche [anche se svelabili nei casi d’effettiva necessità], l’osservanza di analoghe regole di condotta da parte di tutti i collaboratori, compresi gli amministrativi, gli ausiliari, il personale di vigilanza, ecc.
  4. I dati devono essere trattati dal titolare in modo pertitente e non eccedente rispetto alla finalità dichiarata, secondo il principio della buona fede. Devono essere aggiornati se necessario.
  5. Necessità dell’apposita autorizzazione del garante per il trattamento dei dati genetici.

Il settore sanitario negli ultimi anni è stato tra i principali protagonisti della rivoluzione tecnologica, con la conseguenza che una particolare attenzione è stata riservata al trattamento dei dati nel suo ambito. Esso infatti costituisce uno dei contesti più delicati in ragione della natura “ultrasensibile” dei dati che attengono allo stato di salute e alla vita sessuale degli interessati, rispetto ai quali l’aspettativa di riservatezza e confidenzialità è, tradizionalmente, molto elevata e per cui la Legge deve garantire i più alti livelli di protezione.

Tutto ciò ha portato il garante per la protezione dei dati personali a istituire un quadro regolatorio al passo con le trasformazioni in atto corrispondentemente alle esigenze e ai diritti dei cittadini. Sono in tal senso di più recente emanazione:

  • Linee guida in materia di Dossier sanitario – 4 giugno 2015 [pubblicate nella Gazzetta Ufficiale n. 164 del 17 luglio 2015], con cui il garante ha anticipato alcuni dei principali obblighi oggi previsti dal Regolamento Europeo 679/2016, quali il data breach e l’individuazione di un referente per la protezione dei dati personali [DPO – Data Protection Officer], anche in sitonia con quanto espresso nel decreto n. 178/2015 del Presidente del Consiglio dei Ministri, in materia di fascicolo sanitario elettronico [G.U. serie generale n. 263 dell’11 novembre 2015];
  • Autorizzazione n. 2/2016Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale – 15 dicembre 2016 [pubblicata nella Gazzetta Ufficiale n. 303 del 29 dicembre 2016];
  • Autorizzazione n. 8/2016Autorizzazione generale al trattamento dei dati genetici – 15 dicembre 2016 [pubblicata nella Gazzetta Ufficiale n. 303 del 29 dicembre 2016];
  • Autorizzazione n. 9/2016Autorizzazione generale al trattamento dei dati personali effettuato per scopi di ricerca – 15 dicembre 2016 [pubblicata nella Gazzetta Ufficiale n. 303 del 29 dicembre 2016];

Cosa cambia con il Regolamento Europeo 679/2016 in materia di protezione dei dati personali

Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento dell’Unione Europea n. 679/2016 in materia di protezione dei dati personali [GDPR – General Data Protection Regulation] che costituisce un salto di qualità nel sistema delle responsabilità e nell’implementazione delle misure di sicurezza a protezione dei dati personali.

Tale regolamento, approvato il 14 aprile 2016 dal Parlamento Europeo e pubblicato in Gazzetta Ufficiale Europea del 4 maggio 2016 [ma che troverà applicazione negli Stati membri solo alla data del 25 maggio 2018], costituisce un prezioso tentativo di armonizzazione delle regole sulla privacy nei vari Stati.

Secondo tale regolamento i dati sulla salute possono essere utilizzati solo per finalità connesse alla salute [finalità di cura], per la supervisione del Sistema Sanitario Nazionale [finalità di governo] e per la ricerca nel pubblico interesse. Lascia tuttavia agli Stati membri la possibilità di mantenere o introdurre condizioni particolari o ulteriori limiti per il trattamento.

Tra i principi contenuti nel regolamento appaiono rilevanti quelli definiti “Privacy by Design” e “Privacy by Default” che invitano gli sviluppatori di prodotti, servizi e applicazioni [hardware e software per il trattamento dei dati personali] a tenere conto del diritto della protezione dei dati sin dalla fase d iloro progettazione e impongono che ai dati personali possano accedere esclusivamente soggetti previamente autorizzati.
Si sottolinea, inoltre, come in un sistema sanitario sempre più “dipendente” dai dati personali trattati informaticamente [fascicolo sanitario elettronico, sistemi di diagnostica, telemedicina, dispositivi medici, archivio vaccinale, ecc.] sia imperativo il rispetto della protezione dei dati, a partire dalla loro liceità, correttezza, trasparenza, esattezza, fino alla loro integrità e sicurezza.
In tal senso, tutti gli operatori del sistema sanitario devono comprendere che oggi l’esercizio della professione sanitaria vuole dire non solo curare le persone, ma prendersi cura anche dei loro dati.

Il regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti.

L’informativa diventerà sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti.

Il consenso dell’interessato al trattamento dei dati personali dovrà essere, come oggi, preventivo ed inequivocabile, anche quando espresso attraverso mezzi elettronici [per esempio, selezionando un’apposita casella in un sito web] oltre che essere «esplicito». Viene esclusa ogni forma di consenso tacito.

Grazie all’introduzione del cosiddetto «diritto all’oblìo», gli interessati potranno ottenere la cancellazione dei propri dati anche on-line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal regolamento; se i dati sono trattati solo sulla base del consenso; se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati in modo illecito; oppure se l’interessato si oppone legittimamente al loro trattamento.
Tutto questo spiega la grande fretta che ASL e Scuole [quest’ultime da sempre non autorizzate a trattare dati sanitari sensibili] hanno di questi tempi nel scambiarsi i dati dei bambini secondo il flusso predisposto dal garante: dal 25 maggio 2018 taluni Dirigenti scolastici, sofferenti della “sindrome dello sceriffo”, avranno parecchie difficoltà nel gestire i dati sensibili dei minori e potranno incorrere in pesanti sanzioni penali qualora seguissero le bizzarre indicazioni delle circolari divulgate per rattoppare la criminale Legge Lorenzin.

REGOLAMENTO EUROPEO PRIVACY mca bis

Il titolare del trattamento avrà il diritto e il dovere di comunicare eventuali violazioni dei dati personali [data breach] all’autorità nazionale di protezione dei dati entro 72 ore dalla conoscenza del fatto.

Il regolamento introduce anche la figura del «Responsabile della protezione dei dati» [Data Protection Officer o DPO], incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.

Sicurezza dei dati e privacy

La tutela della privacy è un argomento molto sentito e dibattuto, negli ultimi anni, nel mondo sanitario.

Il concetto giuridico di “sicurezza informatica” è strettamento collegato alla programmazione e utilizzo di adeguati accorgimenti tecnici e organizzativi atti a presidiare il bene giuridico della riservatezza, anche nei suoi seguiti di confidenzialità, integrità e disponibilità.

E’ più che noto che alcuni canali comunicativi, come per esempio la rete internet, possono essere oggetto di ingerenze da parte di terzi. Si pensi a tal proposito alla gestione amministrativa dei dati sensibili, alla loro trasmissione in tempo reale tra diverse unità operative, alla loro archiviazione in formato digitale, al passaggio dai documenti cartacei a quelli informatici e a tutto quanto può predisporre alla possibilità di una loro maggiore manipolazione, riduzione del diritto alla privacy della persona interessata.

Non si deve dimenticare che lo sambio di dati informatici tra due operatori configura, sul piano medico e legale, una trasmissione di “segreto professionale. Ed è altrettanto ovvio che al rispetto di tale segreto siano tenuti anche tutti coloro, amministrativi e tecnici, che, seppur, non sanitari, per qualunque motivo abbiano accesso alle reti telematiche. In Italia queste problematiche sono regolate dal D.P.R. n. 513 del 1997.

Chi dovrà rispettare il nuovo regolamento europeo?

Il regolamento europeo dovrà essere rispettato da tutte le persone fisiche e dalle aziende che trattano dati personali. I diretti interessati sono quindi tutte quelle imprese ed enti [pubblici o privati] che trasmettono, elaborano e salvano dati appartenenti a terzi.

Che cosa succederà a chi non rispetterà il nuovo regolamento europeo?

L’art. 83 del nuovo regolamento europeo sulla privacy prevede che siano applicate diverse sanzioni per chiunque non rispetti la normativa. Queste possono sfiorare i 20 milioni di euro per le singole persone oppure, per le imprese, il 4% del fatturato mondiale totale annuo. L’articolo dedicato alle sanzioni prevede tuttavia che ogni singolo caso venga esaminato separatamente, tenendo conto della natura, della gravità e della durata della violazione.

 

Riproduzione riservata ©

Annunci