Sul trattamento dei dati sanitari: l’attività del Garante per la protezione dei dati personali del 2018

di Stefano Corso -

Il 7 maggio 2019, a distanza di due mesi dal provvedimento con cui il Garante per la protezione dei dati personali ha fornito chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario (v. a tal proposito il commento di Busca, presente nel sito di questa Rivista, al seguente link: http://www.rivistaresponsabilitamedica.it/chiarimenti-sullapplicazione-della-disciplina-protezione-dei-dati-ambito-sanitario/), è stata pubblicata la Relazione del Garante sull’attività svolta nel 2018, unitamente al discorso del Presidente dell’Autorità.

Una parte significativa del contenuto di questi documenti è dedicata al trattamento dei dati relativi alla salute della persona.

Come indicato nel discorso del Presidente Antonello Soro, atteso che il 2018 è stato definito dal Clusit, Associazione Italiana per la Sicurezza Informatica, l’anno peggiore in relazione alla sicurezza cibernetica, nel settore sanitario gli attacchi sono incrementati raggiungendo il picco del 99% rispetto all’anno precedente, «con effetti tanto più gravi che in altri settori perché l’alterazione dei dati sanitari può determinare – come abbiamo sottolineato anche rispetto al fascicolo sanitario elettronico – errori diagnostici o terapeutici. La carente sicurezza dei dati e dei sistemi che li ospitano può rappresentare, in altri termini, una causa di malasanità. […] Specularmente, la protezione dei dati è un fattore determinante di efficienza sanitaria, funzionale anche alla correttezza del processo analitico fondato su big data».

Nella Relazione particolare rilievo è stato assegnato, con riguardo all’attività svolta dal Garante, alla sanità e ai dati genetici. Separatamente è stata affrontata l’attività avente ad oggetto: i trattamenti per fini di cura; i trattamenti di dati relativi alle condizioni di salute per fini amministrativi; la ricerca in ambito sanitario; le prime attività derivanti dal reg. U.E. n. 679 del 2016 e dal d.lgs. n. 101/2018.

Circa i trattamenti di dati sulla salute per fini amministrativi, l’Autorità ha evidenziato il ruolo svolto relativamente alla protezione dei dati personali delle disposizioni anticipate di trattamento (DAT) di cui alla l. n. 219/2017, anche con la partecipazione al tavolo di lavoro presso il Ministero della Salute per la costituzione della banca dati nazionale, in occasione delle cui operazioni è stata formulata una richiesta di parere al Consiglio di Stato. A tali quesiti i giudici di Palazzo Spada hanno dato risposta con parere del 18 luglio 2018 (cfr. le annotazioni redazionali del sito di questa Rivista, al seguente link: http://www.rivistaresponsabilitamedica.it/parere-del-consiglio-le-legge-sul-fine-vita-potra-pienamente-attuata/).

Sempre nell’ambito delle finalità amministrative, si è messo in luce l’operato del Garante in ordine alla valutazione degli aspetti di protezione dei dati personali connessi agli obblighi vaccinali previsti dall’art. 1, d.l. n. 73/2017 (il c.d. decreto vaccini), che, al fine di assicurare la tutela della salute pubblica e il mantenimento di adeguate condizioni di sicurezza epidemiologica in termini di profilassi e di copertura vaccinale, prevede per i minori di età compresa tra zero e sedici anni e per tutti i minori stranieri non accompagnati una serie di vaccinazioni obbligatorie e gratuite, in base alle specifiche indicazioni del Calendario vaccinale nazionale relativo a ciascuna coorte di nascita (cfr., con particolare riferimento al mondo della scuola e al percorso storico, Rossi, Obbligo vaccinale e legislazione sanitaria in ambito scolastico, ovvero i corsi e ricorsi della storia, in Marescotti – Thiene (a cura di), La relazione tra Scuola e Famiglia nel segno del superiore interesse del minore, in Annali online della Didattica e della Formazione Docente, n. 15-16, 2018, 68 ss.).

La ricerca in ambito sanitario ha coinvolto l’Autorità in merito all’acquisizione di cartelle cliniche relative a pazienti affetti da patologia neoplastica e al funzionamento del c.d. registro tumori.

La parte più consistente dell’attività del Garante, come descritta nella Relazione, è stata però quella che ha riguardato i trattamenti dei dati per fini di cura.

Così si è posto in evidenza come i trattamenti di dati personali effettuati attraverso i Fse regionali sono stati oggetto di numerose istruttorie. Il dialogo con le istituzioni implicate nella realizzazione del Fse (Ministero della Salute, Mef, regioni) circa l’applicazione della disciplina in materia di protezione dei dati personali ai trattamenti effettuati attraverso il fascicolo è continuo, anche alla luce dei nuovi adempimenti dettati dal reg. U.E. n. 679 del 2016.

Massima attenzione è prestata al trattamento di dati personali in relazione all’accertamento dell’infezione da HIV.

Nel dettaglio, sulle misure a tutela della dignità e della riservatezza dei malati di HIV in occasione dell’erogazione di prestazioni sanitarie, l’Autorità è intervenuta, in un caso, fornendo specifiche indicazioni in merito alla possibilità da parte degli esercenti le professioni sanitarie di comunicare lo stato di sieropositività di una paziente alle persone più vicine alla stessa, specialmente al partner, anche in mancanza di consenso dell’interessata; ciò in quanto la paziente stessa si era rifiutata di comunicare al partner la propria condizione esponendolo al rischio di contagio. «È stato ritenuto che, ai fini della comunicazione ai familiari dello stato di sieropositività del paziente, vada ricercato il consenso della persona interessata in tutti i modi possibili. In proposito, è stata valutata l’opportunità che il medico provvedesse a sensibilizzare la persona sieropositiva circa il grave rischio per la vita del partner ingenerato da un suo comportamento omissivo, cercando di persuaderla a comunicare a questi la propria sieropositività oppure a manifestare il proprio consenso alla rivelazione da parte dello stesso medico […]. Ciò anche alla luce delle possibili responsabilità penali del soggetto che, consapevole del proprio stato patologico, ometta di informare il partner (cfr. artt. 582-583 c.p., nonché Cass. pen. n. 30425/2001). Sempre sotto il profilo penale, possono essere tenute parimenti in considerazione le riflessioni in ambito giuridico e scientifico circa i presupposti per l’eventuale applicazione dell’esimente dello stato di necessità (art. 54 c.p.) o della “giusta causa” – richiamata anche dalle norme di deontologia medica – che legittimerebbe la rivelazione di informazioni eventualmente coperte da segreto professionale (art. 622 c.p., nonché codice di deontologia medica 2014, artt. 10, 12 e 34) nel caso in cui la sieropositività sia resa nota dal medico senza il consenso dell’interessato a un suo familiare, allorché vi sia l’urgenza di salvaguardare l’integrità psico-fisica del familiare medesimo, laddove sia in grave (e altrimenti non evitabile) pericolo la salute o la vita di questi (nota 9 marzo 2018)».

È stato invece avviato un procedimento sanzionatorio in ragione di una comunicazione illegittima. Si trattava della trasmissione, effettuata da un Servizio di politiche del lavoro e formazione professionale provinciale, di copia della documentazione sanitaria da cui emergeva la diagnosi di HIV alla società presso la quale l’interessato prestava la propria attività lavorativa. Per attuare gli obblighi normativi inerenti alla verifica delle reali condizioni di salute del lavoratore da parte del datore di lavoro, è previsto infatti che sia fornita un’apposita documentazione a giustificazione dell’assenza, consistente in un certificato medico contenente la sola indicazione dell’inizio e della durata presunta dell’infermità. Peraltro, in assenza di speciali disposizioni di natura normativa che dispongano diversamente per specifiche figure professionali, il datore di lavoro pubblico non è mai legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi.

Il testo della Relazione e del discorso del Presidente sono reperibili nel sito del Garante per la protezione dei dati personali (https://www.garanteprivacy.it), accompagnati dal comunicato stampa del 7 maggio 2019 [doc. web n. 9109075].