Le prescrizioni del Garante sul trattamento delle categorie particolari di dati, nel dettaglio, con riguardo all’ambito sanitario

di Stefano Corso -

Il provvedimento n. 146 del 2019 del Garante per la protezione dei dati personali, adottato il 5 giugno 2019, torna a definire la posizione degli esercenti le professioni sanitarie in merito al trattamento dei dati personali, compresi quelli di cui alle particolari categorie elencate all’art. 9 del Regolamento UE n. 679 del 2016.

È appena il caso di ricordare che, con provvedimento del 7 marzo 2019, n. 55, l’Autorità garante ha fornito chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario (sia concesso il rimando a Corso, Sul trattamento dei dati relativi alla salute in ambito sanitario: l’intervento del Garante per la protezione dei dati personali, in questa Rivista, 2019, 225 ss.; v. anche la nota di aggiornamento di Busca, reperibile nel sito di questa Rivista al seguente link: http://www.rivistaresponsabilitamedica.it/chiarimenti-sullapplicazione-della-disciplina-protezione-dei-dati-ambito-sanitario/).

Il provvedimento in commento, il n. 146 del 2019, è stato adottato ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, e reca le prescrizioni relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX del Regolamento. In particolare, con questo atto, l’Autorità garante individua le prescrizioni contenute nelle autorizzazioni generali già adottate ai sensi degli artt. 26 e 40 del d.lgs. n. 196 del 2003, c.d. Codice della privacy, ora abrogati dall’art. 27 del citato d.lgs. n. 101/2018, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice.

Le prescrizioni individuate afferiscono a cinque tipologie di trattamenti: 1) di categorie particolari di dati nei rapporti di lavoro (aut. gen. n. 1/2016); 2) di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016); 3) di categorie particolari di dati da parte degli investigatori privati (aut. gen. n. 6/2016); 4) dei dati genetici (aut. gen. n. 8/2016); 5) dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).

Interessano direttamente il mondo delle professioni sanitarie le prescrizioni di cui ai punti 1, 4 e 5.

Circa il trattamento di categorie particolari di dati personali nei rapporti di lavoro, il provvedimento enuncia la sua applicazione a tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro e, nello stilare a questo proposito un elenco di soggetti, vi ricomprende, alla lett. g), il  medico competente in materia di salute e sicurezza sul lavoro, che opera in qualità di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate.

Il provvedimento non rammenta poi il fondamentale paragrafo 1 dell’art. 9 del Regolamento, che sancisce il divieto di trattamento di quelli che, con altro linguaggio, erano definiti “dati sensibili”, ma passa direttamente ad elencare le finalità del trattamento di queste categorie particolari di dati. «Il trattamento delle categorie particolari di dati personali è effettuato solo se necessario (art.9, par. 2 Regolamento UE 2016/679): a) per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno, in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 del Regolamento UE 2016/679), nonché del riconoscimento di agevolazioni ovvero dell’erogazione di contributi, dell’applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale; b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori; c) per perseguire finalità di salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo; d) per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell’Unione europea, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose; resta salvo quanto stabilito dall’art. 60 del Codice; e) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale; f) per garantire le pari opportunità nel lavoro; g) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro».

Il Garante specifica che i dati idonei a rivelare lo stato di salute, oltreché l’origine razziale ed etnica, dei candidati all’instaurazione di un rapporto di lavoro o di collaborazione possono essere trattati dalle agenzie per il lavoro e dagli altri soggetti che, in conformità alla legge, svolgono, nell’interesse proprio o di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto. In ogni caso, i dati genetici non possono essere trattati al fine di stabilire l’idoneità professionale di un candidato all’impiego, neppure con il consenso dell’interessato, e così pure non possono assolutamente essere trattati dal datore di lavoro al fine di stabilire l’idoneità professionale di un dipendente.

Con riguardo al trattamento dei dati genetici, il provvedimento procede preliminarmente fornendo le definizioni. In primo luogo, quella di “dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione; in secondo luogo le definizioni di: campione biologico; test genetico; test farmacogenetico; test farmacogenomico; test sulla variabilità individuale; screening genetico; consulenza genetica; informazione genetica.

Il provvedimento prescrive l’adozione, in ogni caso, di precise cautele per la custodia e la sicurezza dei dati genetici e dei campioni biologici.

Sulle informazioni da rendere agli interessati ai sensi degli artt. 13 e 14 del Regolamento e anche ai sensi degli artt. 77 e 78 del d.lgs. n. 196/2003 per il medico di medicina generale e per il pediatra di libera scelta, l’Autorità precisa come esse evidenzino, altresì, i risultati conseguibili, pure in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati genetici, e la facoltà o meno, per l’interessato, di limitare l’ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici, nonché l’eventuale utilizzo di tali dati per ulteriori scopi.

In merito alla consulenza genetica, il Garante aggiunge che «l’attuazione di ricerche scientifiche su isolati di popolazione è preceduta da un’attività di informazione presso le comunità interessate, anche mediante adeguati mezzi di comunicazione e presentazioni pubbliche, volta ad illustrare la natura della ricerca, le finalità perseguite, le modalità di attuazione, le fonti di finanziamento e i rischi o benefici attesi per le popolazioni coinvolte. L’attività di informazione evidenzia anche gli eventuali rischi di discriminazione o stigmatizzazione delle comunità interessate, nonché quelli inerenti alla conoscibilità di inattesi rapporti di consanguineità e le azioni intraprese per ridurre al minimo tali rischi».

Al punto 4.5, il provvedimento elenca quattro fattispecie in cui il consenso al trattamento dei dati genetici è definito “necessario”.

Vengono poi dettate le prescrizioni nel cui rispetto possono svolgersi comunicazione e diffusione, ferme restando le norme generali che disciplinano la comunicazione e la diffusione delle particolari categorie di dati, ivi compresi i dati genetici (art. 9, Regolamento e art. 2-sexies del Codice della privacy). Per la deroga al principio del consenso, già eccezionale rispetto al divieto di cui al par. 1 dell’art. 9 menzionato, merita attenzione la prescrizione secondo cui «gli esiti di test e di screening genetici, nonché i risultati delle ricerche, qualora comportino un beneficio concreto e diretto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, anche per gli appartenenti alla stessa linea genetica dell’interessato, possono essere comunicati a questi ultimi, su loro richiesta, qualora l’interessato vi abbia espressamente acconsentito oppure qualora tali risultati siano indispensabili per evitare un pregiudizio per la loro salute, ivi compreso il rischio riproduttivo, e il consenso dell’interessato non sia prestato o non possa essere prestato per effettiva irreperibilità».

Il trattamento dei dati genetici – prosegue il Garante – può essere effettuato, nel caso in cui il consenso dell’interessato non sia prestato o non possa essere prestato per impossibilità fisica, per incapacità di agire o per incapacità d’intendere o di volere, nonché per effettiva irreperibilità, limitatamente ai dati genetici disponibili, qualora sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla necessità, per il terzo, di interventi di natura preventiva o terapeutica.

Considerazioni più specifiche valgono per il trattamento di dati genetici per finalità di ricerca scientifica e statistica.

In relazione infine al trattamento dei dati personali effettuato per scopi di ricerca scientifica, il provvedimento espressamente statuisce l’applicazione delle prescrizioni nei confronti, tra l’altro, proprio degli esercenti le professioni sanitarie e degli organismi sanitari.

Queste prescrizioni concernono il trattamento di dati personali per finalità di ricerca medica, biomedica ed epidemiologica effettuati anche quando il trattamento è necessario per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso.

Quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea – chiarisce il Garante – il consenso dell’interessato non è necessario. Negli altri casi, quando non è possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare «la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, tra le quali in particolare: 1. i motivi etici riconducibili alla circostanza che l’interessato ignora la propria condizione. […]; 2. i motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati […]. Con riferimento a tali motivi di impossibilità organizzativa, le seguenti prescrizioni concernono anche il trattamento dei dati di coloro i quali, all’esito di ogni ragionevole sforzo compiuto per contattarli […] risultino essere al momento dell’arruolamento nello studio: deceduti o non contattabili; 3. motivi di salute riconducibili alla gravità dello stato clinico in cui versa l’interessato a causa del quale questi è impossibilitato a comprendere le indicazioni rese nell’informativa e a prestare validamente il consenso. […]».

Sulle modalità di trattamento il provvedimento prevede che, in applicazione del principio di minimizzazione, il trattamento di dati personali per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico possa riguardare i dati relativi alla salute degli interessati e, solo ove indispensabili per il raggiungimento delle finalità della ricerca, congiuntamente anche i dati relativi alla vita sessuale o all’orientamento sessuale, nonché all’origine razziale ed etnica (art. 5, par. 1, lett. c), del Regolamento).

Ulteriori e dettagliate prescrizioni sono contemplate alle fine per comunicazione e diffusione, conservazione dei dati e dei campioni, custodia e sicurezza.