Categorie particolari: trattamento di dati sanitari, genetici e biometrici
È sempre stato possibile distinguere tra i dati personali quelli identificativi, quali ad esempio il nome, l’indirizzo e-mail, l’indirizzo di residenza, da quelli definiti finora sensibili o addirittura supersensibili, ovvero quelle informazioni relative ad una persona fisica idonee a rivelarne l’origine raziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati relativi alla salute, alla vita o all’orientamento sessuale.
Il nuovo Regolamento UE 679/2016, c.d. GDPR applicabile negli Stati membri dallo scorso 25 maggio, delinea all’articolo 9 il trattamento di categorie particolari di dati ricalcando la disciplina italiana del Codice Privacy (D.Lgs. 196/2003), includendo anche i dati genetici e i dati biometrici nella sfera dei dati maggiormente bisognosi di tutela.
Il trattamento di queste categorie di dati è, di regola, vietato. Esistono tuttavia delle condizioni, elencate tassativamente al paragrafo 2 del sopra citato articolo 9, per cui tale trattamento viene ritenuto legittimo, qualora ad esempio venga prestato il consenso da parte dell’interessato.
In questa cornice europea, la disciplina italiana relativa al trattamento dei dati sanitari era solita prevedere il consenso scritto da parte dell’interessato nei confronti del Titolare del trattamento, ad esempio medici e dentisti. Attenzione, si sta facendo riferimento all’autorizzazione al trattamento dei dati personali, non al consenso al trattamento medico-sanitario, c.d. “consenso informato”.
Una delle novità più rilevanti in questo settore è proprio la legittimità del trattamento dei dati relativi alla salute, di quelli genetici e di quelli biometrici anche senza la prestazione del consenso da parte dell’interessato per le finalità di prevenzione, diagnosi e cura. I presupposti si trovano sia nella lettera “h” dell’articolo 9, ovvero quando ricorrono “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”, sia nella lettera “i”, quando ricorrono “motivi di interesse pubblico nel settore della sanità pubblica”.
Occorre sottolineare che la condizione di cui alla lettera “h” è legittima se i dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale o da un’altra persona soggetta all’obbligo di segretezza. A riguardo, è al vaglio del Consiglio dei Ministri una legge di riforma e riordino delle professioni sanitarie (L. 3/2018), utile a comprendere meglio chi saranno i soggetti esercitanti una professione sanitaria.
Il Regolamento prevede per gli Stati membri la possibilità di mantenere o introdurre ulteriori condizioni, comprese limitazioni, al trattamento di tali categorie (articolo 9 paragrafo 4).
Il legislatore italiano, con il recente D. Lgs. 101/2018 di armonizzazione del GDPR in vigore dal prossimo 19 settembre, ha scelto di abrogare quasi in toto le norme sul tema presenti nel Codice Privacy, mantenendo solo alcuni articoli relativi alle modalità semplificate per l’informativa.
Il nuovo articolo 2-septies introduce misure di garanzia a tutela di dati genetici, biometrici e relativi alla salute. Tali misure dovranno essere predisposte dall’Autorità Garante con cadenza almeno biennale e comprendono misure di sicurezza, comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.
Viene specificato che le misure di garanzia per i dati genetici e quelli relativi alla salute per finalità di prevenzione, diagnosi e cura sono adottate dopo aver consultato il Ministro della Salute, previo parere del Consiglio Superiore di Sanità; solo per i dati genetici, in relazione all’elevato livello di rischio, potrebbe essere previsto il consenso come misura di tutela rafforzativa.
Quanto ai dati biometrici, è ammesso il loro trattamento per le procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, tenendo comunque presenti le precedenti misure di garanzia.
Rispetto al passato, appare più severo l’apparato sanzionatorio: la violazione delle norme che disciplinano i trattamenti di dati particolari, sempre che ricorra il dolo specifico, prevede la reclusione da uno a tre anni se viene arrecato un danno all’interessato.
Ora che il quadro normativo risulta più delineato, occorre attendere linee guida e pareri del Garante sul tema, considerando che il settore risulta particolarmente delicato e in continua evoluzione tecnologica. Sono sempre più affidati al digitale infatti sia l’archiviazione dei dati, ad esempio l’uso del fascicolo sanitario elettronico, del cloud e di applicazioni su smartphone, sia la strumentazione tecnica, con lo sviluppo di immagini e stampa in 3D e l’ingresso della robotica e dei droni.