02.06.02 I dati personali afferenti alla salute umana: un concetto ampio e la cui importanza giuridica è stata messa in particolare evidenza nel periodo pandemico 2020-2022 [DEMO]
Quando si parla di dati personali attinenti alla salute umana non si può prescindere dalla lettura ed analisi di due motivazioni cruciali per la corretta individuazione di tale concetto. Motivazioni che si trovano, in particolare, nel considerando n. 35 del GDPR e nel considerando n. 24 della GPDPG (Dir. UE n. 680/216 - [link]).
Pare perciò essenziale riportare nel seguito il contenuto del Considerando 35 del GDPR, pressoché speculare a quello presente nel Considerando n. 24
«(C24) Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono le informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio (1); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro». ↑
della (in acronimo già citata) DPDPG:
C35 del GDPR: «Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio (9); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro».
Il considerando fa emergere un concetto molto ampio di dato personale afferente alla salute umana, rendendolo indipendente da un accertamento medico o clinico, ovvero da una diagnosi seria che conclami una malattia, una disfunzione o un qualsiasi altro esito diagnostico comprovato o comprovabile.
Perciò, anche il mero ipotetico rischio di contrarre una malattia, ovvero di poterla contrarre più facilmente di altri, è un dato afferente alla salute che, come tale, dovrebbe essere trattato poiché, in primis, rientrante nell’alveo applicativo dell’art. 9 del GDPR.
Ove si ritenesse, ad esempio, che la mancata assunzione di un farmaco esponesse l’individuo che non lo assume ad un maggior (anche ipotetico e blando) rischio di contrarre una qualsiasi malattia, saremmo in presenza di un dato di salute con tutto ciò che ne conseguirebbe in relazione ai correlati incombenti speciali di trattamento e protezione.
Poi, il concetto di mera «connessione» ad informazioni che, direttamente o indirettamente, potrebbero rivelare lo stato di salute di una certa persona, resa individuabile o identificabile, porta a ritenere che, sempre ad esempio, la mera conoscenza della degenza (o mera presenza quale utente) della stessa persona presso una qualsiasi struttura medico-clinica, sanitaria o socio sanitaria, sia comunque un dato personale di natura particolare.
Alla luce di quanto esposto in senso generale, rispetto alla complessa tematica del trattamento del dato personale afferente alla salute,pare perciò opportunoprocedere mediante un rapido e sintetico excursusnormativo e motivazionale che tenga conto delle imprescindibili fonti del diritto (sovranazionali e domestiche e) dalle quali lo stesso trae origine e forza.
Ciò permetterà di comprendere più facilmente i passaggi critici, ed alcuni concetti giuridici attinenti, che verranno successivamente meglio esposti poiché, in particolare negli ultimi due/tre anni di “pandemia”, sono stati spesso trascurati, omessi ovvero sovrapposti (anche da parte di alcuni autorevoli commentatori della materia), se non pure “travisati”.
Bisogna,anche qui, procedere con ordine, mettendo in rassegna decrescente i più importanti principi normativi che caratterizzano il trattamento dei dati personali afferenti alla salute.
L’art. 8 della Carta dei diritti fondamentali dell’UE, al pari dell’art. 16 del TFUE, sancisce che ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tale concetto è particolarmente importante quando si tratta di dati personali attinenti alla salute poiché, come già visto, gli stessi sono costituiti da informazioni in grado di incidere profondamente sull’identità sociale delle persone ed avere pertanto pesanti ricadute sui diritti ed opportunità che le stesse possono e debbono esercitare o voler mantenere nelle più disparate relazioni umane: va quasi da sé, per fare un esempio banale ma non superficiale, che un datore di lavoro potrebbe assumere più volentieri una persona ritenuta sana rispetto a chi potrebbe ammalarsi più facilmente. E gli esempi potrebbero essere pressoché infiniti.
L'art. 9 del GDPR, al paragrafo 1, sancisce che è vietato trattare // dati relativi alla salute // ma al paragrafo 2, stabilisce anche che il paragrafo 1 non si applica se si verifica uno dei seguenti casi: h) il trattamento è necessario per // gestione dei sistemi/servizi sanitari //; i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero //.
Tale ultima precisazione (di non applicazione del divieto generale) è rafforzata pure dal fatto che, in base all’art. 17 del GDPR, ad esempio, l'interessato ha sì il diritto di ottenere dal titolare la cancellazione dei dati personali che lo riguardano
E, oltretutto, il titolare, se ha reso pubblici dati personali ed è obbligato a cancellarli, adotta le misure tecniche ragionevoli per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link o copia dei suoi dati// (cfr. Art. 17 GDPR). ↑
ma, in base ai paragrafi 1 e 2 della stessa norma, tale cancellazione non avviene nella misura in cui il trattamento sia necessario, appunto, // c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’art. 9, p. 2, lett. h) e i).
Oltretutto, in base al considerando 46 del GDPR, il trattamento dei dati è lecito quando è necessario per proteggere un interesse essenziale per la vita dell'interessatoo di un'altra persona// e la motivazione spiega che alcuni tipi di trattamento dei dati possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell'interessato, se il trattamento è necessario per tenere sotto controllo l'evoluzione di epidemie e la loro diffusione//.
Inoltre, il Considerando n. 52 del GDPR motiva che la deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita // laddove avvenga: nell'interesse pubblico; per finalità di sicurezza sanitaria, controllo e allerta; per la prevenzione/controllo di malattie trasmissibili; altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria //.
Il Considerando 53 indica che le categorie particolari di dati che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute per conseguire tali finalità a beneficio dell'intera società in particolare nel contesto della gestione dei sistemi di assistenza sanitaria, compreso il trattamento// da parte delle autorità sanitarie, per garantire la continuità dell'assistenza sanitaria o per finalità di sicurezza sanitaria, controllo e allerta //.
Il Considerando n. 54 esprime bene il concetto in base al quale il trattamento di dati particolari può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica senza il consenso dell'interessato. Ma anche che il trattamento dei dati di salute effettuato per motivi di interesse pubblico non dovrebbe comportare il trattamento per altre finalità da parte di terzi. Facciamo un esempio: “due italiani si trovano in un paese tropicale ove scoppia un’epidemia, così decidono di ripartire per l’Italia. Una volta tornati in patria vengono sottoposti a misure di isolamento e controllo per verificare che non abbiano contratto malattie. I loro dati personali vengono trattati senza il loro consenso”.
Il Considerando n. 73 del GDPR motiva che il diritto UE o degli Stati membri può imporre limitazioni ai diritti dell’interessato e ad alcuni obblighi del titolari ove ciò sia necessario per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita // la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica // o per la tutela dell'interessato // compresi la sanità pubblica.
Il Considerando n. 112 del GDPR precisa che le deroghe [al divieto di trasferire i dati verso un paese terzo o un'organizzazione internazionale] dovrebbero valere per i trasferimenti richiesti per motivi di interesse pubblico, ad es., nel caso di scambio di dati tra servizi competenti in materia di sanità pubblica in caso di ricerca di contatti per malattie contagiose [esempio OMS]. Il trasferimento dei dati dovrebbe essere lecito quando è necessario per salvaguardare un interesse che è essenziale per l'interessato o di un'altra persona, comprese la vita o l'integrità fisica, qualora l'interessato si trovi nell'incapacità di prestare il proprio consenso.
l’art. 82 del Dlgs n. 196/2003, in tema di “emergenze e tutela della salute e dell'incolumità fisica”, prevede che le informazioni ex artt. 13 e 14 Reg. UE 679/2016 (le c.d. “Informative” agli interessati) possono essere rese successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato un'ordinanza contingibile ed urgente, ed anche che tali informazioni possono essere rese dopo la prestazione in caso di: i) impossibilità fisica, incapacità di agire/intendere/volere dell'interessato; ii) rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato. Ed infine che le dette informazioni possano essere rese senza ritardo, successivamente alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dal loro preventivo rilascio.
L’art. 110 del Dlgs n. 196/2003 in tema di “ricerca medica, biomedica ed epidemiologica” stabilisce che il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando:i)la ricerca è effettuata in base a disposizioni di legge o regolamento o diritto dell’UE; ii) a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, sempre secondo la norma, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’art. 36 del GDPR.
L’art. 32 della Costituzione italiana, quale unica norma della costituzionale ove è utilizzato l’aggettivo fondamentale, sancisce infine che: «La Repubblica tutela la salute come fondamentale diritto dell’individuo e interesse della collettività//. Nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizioni di legge. La legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana».