Sanità pubblica e modifiche al Codice per il trattamento dei dati personali in Italia.
Grazia Bertiglia, Dors - Elisa Valesio, Regione Piemonte

La norma italiana a completamento del Regolamento Europeo 2016/679

Il 10 agosto 2018 è stato approvato il D.Lgs. 101: la scelta è stata, alla fine, di conservare – per quel che si poteva - il Codice italiano (D.Lgs. 196/2003) modificandolo alla luce del Regolamento Europeo.

Il decreto pubblicato sulla Gazzetta ufficiale il 7 settembre non è di agevole lettura: gran parte è dedicato a modificare abrogare gli articoli del Codice; gli ultimi articoli, da 17 a 26 contengono invece norme originali. Riportiamo perciò in allegato sia il testo del decreto 101/2018, sia il testo modificato del (D. Lgs. 196/2003) in vigore dal 19.9.2018.

Purtroppo la materia specifica di cui trattiamo non è fra quelle su cui la stampa, anche specialistica si sia soffermata con commenti di esperti della privacy: l’attenzione, a partire da maggio di quest’anno, è stata rivolta soprattutto ad aspetti di gestione dei sistemi informativi, di trattamento di dati da parte dei colossi dell’informazione, all’impatto nel mondo privato e alle temute sanzioni. Al momento anche il Garante italiano (ora “autorità di controllo” ) non ha dedicato particolare enfasi agli aspetti inerenti i trattamenti di dati per scopi sanitari e di ricerca. In attesa dell’emanazione del D.Lgs. 101/2018, per evitare un vuoto normativo, il   data ha prorogato le autorizzazioni generali, scadute il 25 giugno, all’indomani dell’entrata in vigore piena del Regolamento europeo.

Le disposizioni del Regolamento Europeo per la sanità.

Quali sono oggi, allora, i punti fermi della nuova normativa privacy per chi opera nei servizi di prevenzione e sanità pubblica, per la promozione della salute, la ricerca scientifica, la programmazione dei servizi sanitari?

In primo luogo, occorre tener conto delle nuove regole che valgono per ogni trattamento di dati personali: base giuridica, informazioni, accountability, minimizzazione e pseudonimizzazione, privacy by design e by default, sicurezza e valutazione di impatto. (già esaminati in precedenti  articoli su questo sito).

Il Regolamento Europeo tratta in particolare di questi ambiti specifici in alcuni punti:

Il Considerando 33 riguardo alla ricerca scientifica riconosce che “in molti casi non è possibile individuare pienamente la finalità … al momento della raccolta dei dati” e dà spazio alle comunità scientifiche per definire regole deontologiche adeguate per tutelare le persone anche senza il loro consenso specifico: questo può riguardare anche la ricerca sanitaria, in particolare tutta la ricerca epidemiologica che si basa su dati raccolti in precedenza per le attività di diagnosi, cura e prevenzione.  

Il Regolamento definisce poi puntualmente i dati genetici:

cons 34/art. 4- punto 13: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare  dall’analisi di un campione biologico di detta persona fisica.

e i dati sanitari:

cons.35/art 4- punto 15: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo0 stato di salute;

Riguardo alla base giuridica il cons. 45 indica che dove c’è interesse pubblico, allora ci vuole come base giuridica una norma di legge; il consenso al trattamento dei dati personali in sanità è cosa diversa dal consenso informato all’atto medico, previsto dalla legge n. 219/2017 “Norme in materia di consenso informato e di disposizioni anticipate di trattamento.” che dice all’art. 1 “La presente legge, nel rispetto dei principi di cui agli articoli 2, 13 e 32 della Costituzione e degli articoli 1, 2 e 3 della Carta dei diritti fondamentali dell'Unione europea, tutela il diritto alla vita, alla salute, alla dignità e all'autodeterminazione della persona e stabilisce che nessun trattamento sanitario puo' essere iniziato o proseguito se privo del consenso libero e informato della persona interessata, tranne che nei casi espressamente previsti dalla legge.” 

Fermo restando quanto sopra, il consenso al trattamento dei dati personali in sanità viene ristretto (cons. 32- art 7), ma il Regolamento europeo specifica che quando occorre ottenerlo dal soggetto per trattare i suoi dati, questo consenso è sempre revocabile.

L’art 9 del Regolamento disciplina il trattamento di categorie particolari di dati personali tra cui rientrano i dati relativi alla salute, i dati genetici ecc. Nell’ambito sanitario segnaliamo:

Il paragrafo 1 prevede in linea generale che: “E’ vietato trattare dati personali che rivelino l’origine razziale o etnica,….nonchè trattare dati genetici,…., dati relativi alla salute…”

Il paragrafo 2 prevede delle eccezioni. Non si applica il comma 1 se:

a) l’interessato ha prestato il proprio consenso esplicito… e puo’ revocarlo in ogni momento;

oppure il trattamento è necessario per:

b) assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale ..;

c) tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;

g) motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, …purchè l’interesse sia proporzionato ;

h) finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali ed è condotto da un professionista soggetto a segreto professionale;

i) motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, …;

j) archiviazione nel pubblico interesse ricerca scientifica e statistica (con l’obbligo di pseudonimizzare i dati).

Le modifiche al Codice Privacy italiano

Riguardo alla normativa italiana, esaminiamo le modifiche al Codice sugli articoli riguardanti la sanità e la ricerca introdotte dall’ art. 2 ter d.lgs. 101/2018:

La base giuridica prevista per i trattamenti necessari per adempiere un obbligo legale o per esecuzione di compiti di interesse pubblico o connesso a pubblici poteri di cui è investito il titolare del trattamento è esclusivamente una norma di legge e, se previsto dalla legge, un regolamento.

Per la comunicazione dei dati personali comuni fra Enti, se non è prevista da norma di legge o regolamento, occorre una comunicazione preventiva al Garante 45 giorni prima del trattamento (poi vale il silenzio-assenso).

Sono abrogati gli articoli riguardo all’obbligo di designazione degli incaricati del trattamento e  all’identificazione dei responsabili interni, resta la semplice facoltà di designarli (art 2 quaterdecies).

Resta l’obbligo di segnalare al Garante i trattamenti svolti per un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’art. 35 del Regolamento.Il titolare deve condurre una valutazione (DPIA) e notificare quali cautele metterà in atto e il Garante potrà  prescrivere misure ed accorgimenti a garanzia dell’interessato che il Titolare del trattamento è tenuto ad adottare (art. 2 quinquiesdecies). Il Garante potrà come prima emettere provvedimenti generali con l’indicazione di queste cautele ulteriori.

L’art 2 sexies prevede il trattamento di dati particolari per motivi di interesse pubblico rilevante:  sono comprese ed elencate al comma 2 lettere :

t) attivita' amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonchè alle trasfusioni di sangue umano;

u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonche' compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumita' fisica;

v) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, ivi incluse l'instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;

z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;

aa) tutela sociale della maternita' ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili;

(il testo precedente del d.lgs. 196/2003 le indicava agli att. 85-86, ora abrogati)

Per quanto riguarda il trattamento di dati genetici le misure di garanzia vengono definite dal Garante (e sono riviste ogni due anni). Solo per i dati genetici è possibile richiedere anche il consenso come misura ulteriore di protezione e garanzia.

Ora che la tecnologia permette trattamenti di dati sempre più grandi, rapidi e precisi, è cruciale salvaguardare le persone, garantendo che abbiano tutte le informazioni sul trattamento di loro dati: gli artt. 13 e 14 del Regolamento Europeo definiscono la lista completa delle informazioni, da fornire sempre, sia se si raccolgono i dati dall’interessato sia se si ottengono da altre fonti. Nel caso della ricerca scientifica, sono ammesse eccezioni, in particolare se dare le informazioni può compromettere l’esito della ricerca stessa o richiede uno sforzo sproporzionato. Ciò naturalmente non pregiudica tutte le garanzie sul trattamento da osservare.

Il d.lgs. 101/2018 introduce aspetti di dettaglio per informare l’interessato nel caso di trattamento di dati personali in ambito sanitario. Gli articoli di riferimento, tutti modificati, sono il 78, 79 e 80. In particolare, è stato eliminato da tutti gli articoli del Codice il riferimento al consenso.

 Le informazioni – complete e comprensibili per l’interessato - devono essere rilasciate preferibilmente per iscritto o esposte in modo visibile nei locali / sui siti a cui si accede e vanno date per i dati raccolti direttamente dall’interessato e per quelli che si ottengono da altre fonti, ad es. archivi interni al SSN.

I Medici di Medicina Generale dovranno informare i pazienti dei trattamenti di dati anche per quanto riguarda il Fascicolo sanitario elettronico, tuttora soggetto a consenso, e per i registri e sorveglianze previste dalla legge.

Visto che il titolare del trattamento dev’essere in grado di dimostrare di aver dato le informazioni, è opportuno mantenere una traccia scritta di questo fatto, a far valere in caso di contestazioni da parte dell’autorità di controllo o ricorsi da parte degli interessati.

Riguardo all’ambito della ricerca storica, scientifica e statistica l’ art 99 consente espressamente il riuso di dati raccolti in precedenza per altre finalità: Il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici puo' essere effettuato anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.

A salvaguardia dei diritti degli interessati, oltre alle cautele imposte dal Regolamento europeo (art 89) riguardo alla ricerca medica, biomedica ed epidemiologica si esplicita che:

Art. 110  Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non e' necessario quando la ricerca e' effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformita' all'articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed e' condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento.

Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento.  (omissis)

Art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici)4 1. Il Garante puo' autorizzare il trattamento ulteriore di dati personali, compresi quelli dei trattamenti speciali di cui all'articolo 9 del Regolamento, a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, in conformita' all'articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati.

L’obbligo di condurre la valutazione preventiva di impatto del trattamento (DPIA) rende necessaria una progettazione accurata sia dello studio sia dei sistemi di protezione che verranno messi in atto (cosiddetta privacy by design). Il ruolo dei comitati etici e dell’autorità garante è quello di controllori preventivi e in corso d’opera e rendere pubblica la DPIA consente a chiunque di individuare le potenziali lacune e eventuali difformità in fase di trattamento dei dati.

Maggiore controllo e sicurezza, informazione e trasparenza sono fattori essenziali per ottenere la piena fiducia degli interessati.

Anche riguardo a quest’ambito il Garante può emettere provvedimenti generali di autorizzazione (come è l’autorizzazione generale n. 9) che facilitano i compiti dei ricercatori e dell’autorità stessa e dovrebbero scongiurare ritardi nell’iter di autorizzazaione, dove previsto.

Norme specifiche e transitorie del D.Lgs. 101/2018

Fra gli ultimi articoli del D.Lgs.101/2018 che contengono norme originali, ossia non modificative di articoli del Codice privacy,  quelle che riguardano il nostro ambito di interesse sono:

l’art. 20, che conferma la validità dei Codici di deontologia e di buona condotta già allegati al Codice; essi verranno rivisti dall’Autorità garante per dare loro piena conformità alle norme del Regolamento europeo e ripubblicati come “regole deontologiche”entro 90 giorni. Ove necessario le comunità scientifiche saranno invitate a definire nuove regole e l' art. 21,  che  allo stesso modo proroga le autorizzazioni generali fissando lo stesso termine per verificarne la piena compatibilità con il Regolamento europeo.

L' art 22 contiene numerose norme che consentono di agire su specifici trattamenti e ambiti nella fase di avvio delle nuove modalità.  Il comma 13, peraltro, non può essere inteso come una deroga temporanea all’applicazione piena delle nuove norme.

A livello regionale, resta applicabile il Regolamento per il trattamento dei dati personali sensibili della Regione e delle ASL, emanato nel 2012 sulla base dello schema tipo approvato dal Garante, nelle more delle eventuali nuove indicazioni del Garante stesso. (ai sensi  dell' art 2 sexies punto 1 - Trattamento di categorie particolari di  dati personali necessario per motivi di interesse pubblico rilevante).

 

 


DOWNLOAD & LINK