|
Principi
generali – tutela della riservatezza e parametri costituzionali
( tutela della personalità e della salute) . Gli effetti del
trattamento dei dati e le nuove esigenze di tutela e il
bilanciamento con altri interessi.
|
Nell’era
dei computer e della raccolta automatica, fruizione, trattamento ed
elaborazione digitale dei dati e vieppiù con Internet,
l’ottocentesco richiamo al “ right to be
let alone “ , diritto ad essere lasciati soli, appare un
primordiale antecedente, un antico richiamo giuridico alla tutela
dell’individuo nella sua sfera privata.
Le
tutele giuridiche tradizionali apprestate alla persona, tipiche
della normazione della prima metà del secolo passato, (da noi -
immagine e tutela inibitoria contro l'abuso dell'immagine quando
arrechi "pregiudizio al decoro o alla reputazione della persona
– art 10 cod. civ. - Segretezza della corrispondenza (art. 15
cost.) - Inviolabilità del domicilio (art. 14 cost.) - Riserbo
(Petacci c. Palazzi, Cass. 990/1963):inteso come titolarità sui
fatti privati non su quelli pubblici. - diritti della personalità,
art. 5, nome 6-7, immagine 10 c.c. e 9 ss l.d.a. …) ex art. 2 Cost.
(App. Milano con esplicito riferimento anche all'art. 8 Convenzione
per i diritti dell'uomo e delle libertà fondamentali ratificata con
l. 4 agosto 1955 n. 848 ) e le loro corrispondenti estrinsecazioni
nelle più incisive tutele in sede penale ( diffamazione, illecite
interferenze di vario tenore etc ) si erano già evolute negli anni
’60 e ’70, alla luce dei principi costituzionali, ed attraverso
le applicazioni concrete dei giudici nostrani, giungendo ad una
accezione più amplia ed evoluta del diritto alla riservatezza .
Diritto
alla riservatezza inteso quale esplicazione di un unico diritto della
personalità che si distingue dal diritto al nome e dal diritto
all'immagine e che a loro volta ne costituiscono solo un'esplicazione
concreta . In tale accezione la nozione giuridica di privacy era già
giunta, oltre trenta anni fa, alla tutela delle situazioni
strettamente personali e familiari, la cui conoscenza non
rappresenti un interesse apprezzabile per i terzi ( prescindendo
dall'offesa all'onore e alla reputazione, e andando oltre il
diritto alla identità personale, secondo la logica dello
svolgimento dell'intimità personale e familiare in un domicilio
ideale (individuando una vera e propria PRIVACY “ SPAZIALE “ ).
Tale privacy spaziale verrà tutelata dal legislatore nella prima
metà degli anni ‘90 persino anche attraverso la fattispecie che
sanziona penalmente, a querela, le intrusioni in computer e
sistema informatico personale ( domicilio “ informatico “ con
espressione impropria ma efficace ).
Proprio
tale ultima “ privacy spaziale” nella società
dell'informazione è stata da tempo affiancata ed anzi superata da
una vera e propria “ PRIVACY INFORMATIVA “..
A
livello normativo siamo perciò, ormai da oltre un decennio, entrati
nell’era del “diritto a mantenere il controllo sulle
informazioni che ci riguardano” a tutela della sfera personale
intangibile, Una tutela volta ad elidere o mitigare i nuovi
pericoli per l’individuo creati dalla evoluzione vorticosa della
società cibernetica.
Erano
difatti e sono fondamentalmente due i rischi insiti nell’elaborazione
di ogni genere di dato personale. Da un lato quello di un eccessivo
controllo sociale da parte di poteri forti, “ di orwelliana
memoria “, un pericolo oggi accresciutosi a dismisura .
Dall’altro, più in generale, la possibilità che anche da
informazioni disperse ed impersonali o “dagli atti più banali
dell’individuo si possa risalire ai suoi più intimi segreti” e
consentirne un uso invasivo, onnipresente, oppressivo, anche solo a
fini commerciali. Ma il pericolo è cresciuto esponenzialmente,
tramutandosi in una realtà dannosa onnipresente, proprio grazie
alla costituzione di banche enormi di dati ed alla concomitante
possibilità tecnologica di trattamento informatizzato ed incrocio
dei dati.
Ideologi,
sociologi, giuristi ed intellettuali erano però arrivati a queste
conclusioni di massima ben prima dell’ultimo nostro T.U. DGLVO 196
del 2003 , e della antecedente legge 675/96 e delle direttive europee
46 del 1995 e 48 del 2002: la privacy, in una società informatica.
si può tutelare effettivamente solo disciplinando la libertà di
raccogliere, elaborare e memorizzare dati, in quanto di per sé tale
libertà è potenzialmente lesiva della privacy e può conferire
poteri e conoscenze enormi ai soggetti che trattino i dati mettendoli
in relazione globale con ogni altro dato disponibile. Necesse est
regolamentare perciò e i benefici di conoscenza, e le utilità
positive che il potere derivato dall’informatizzazione comporta,
non sono azzerabili mediante un ipotetico diktat antistorico,
irrealizzabile: quindi la unica strada percorribile è quella di
bilanciare ed equilibrare gli interessi in giuoco, disciplinando
diritti e facoltà, doveri ed obblighi, e mezzi di controllo e
tutela, con modalità necessariamente duttili, atte cioè a
consentire un adeguamento continuo alla realtà in movimento ed alle
conoscenze acquisite sulla realtà in particolare attraverso una
nuova figura di specifico rilievo , il Garante.
Di
qui la impossibilità di prevedere meri divieti od una legislazione
fatta solo di principi o divieti generali eventualmente sanzionati,
mentre la necessaria complessità della normazione da adottare, e
una graduazione gerarchica delle facoltà e dei correlati obblighi e
doveri, , dei divieti particolari e delle limitazioni al trattamento,
e delle fonti di regolamentazione , e delle autorizzazioni che
rimuovono limiti in via generale ovvero ad hoc, ha reso a sua volta
più necessaria che mai la creazione di agenzie di tutela garanti
della privacy, con compiti complessi di controllo e tutela ma anche
analisi , studio e “ regolamentazione integrativa e dinamica “
dei fenomeni.
E’
in primo luogo è proprio a queste considerazioni e premesse generali
che occorre fare mente locale, quando si manifestano le insofferenze,
ai laccioli, vincoli e responsabilità che le normative sulla privacy
impongono : le critiche e manifestazioni giustificate delle
difficoltà solo così diventano costruttive, e non gettano il
bambino con l’acqua sporca.
Va
poi tenuto espressamente presente che la pretesa a controllare i
termini entro cui informazioni personali - identificabili per
l’individuo sono acquisite, raccolte, trattate , usate ed
eventualmente divulgate (quando non vietato) è connotata in modo
specifico nei sistemi giuridici continentali e nella comunità
economica europea cui apparteniamo.
Vi
è sì, in comune con la esperienza statunitense, la attenzione
alla privacy intesa quale sfera di autodeterminazione informativa e
quale elemento determinante della fiducia degli individui e
necessaria ad esempio, tra l’altro, al proliferare del commercio
elettronico. Ma lì prevale l’affidamento a normative settoriali,
non costruite in funzione di garantire la trasparenza del
trattamento o di impedire i trattamenti secondari: la fonte primaria
di regolamentazione è il contratto ( spesso però tra soggetti di
diseguale capacità e forza ) assieme all'autoregolamentazione
spontanea di settore, con affidamento pressoché esclusivo a codici
di condotta e pratiche sviluppate unilateralmente da singole
industrie.
In
Europa ed in Italia invece la attenzione allo statuto dell’individuo
e dei diritti della persona, presuppone quantomeno il ruolo centrale
della statuizione normativa e dell’intervento di garanzia dello
Stato e antepone, di massima, le esigenze di protezione sociale
all’affidamento alle ipotetiche capacità di autoregolamentazione
del libero mercato. Dalla medesima scelta di protezione sociale
deriva poi la necessità di un continuo e complesso bilanciamento del
diritto alla privacy informativa con altri diritti fondamentali c.d.
di pari rango e con gli interessi pubblici diretti a tutelare beni
primari (sicurezza e salute collettiva ad es.) . Ed il medesimo
ricorso alle fonti di autoregolamentazione ( codici adottati dalle
categorie professionali, e con procedure individuate ) non può che
essere inquadrato e incastonato in tale specifico contesto
istituzionale
Ma
sempre per tale ragione la disciplina della privacy si rivolge ad
ogni soggetto pubblico e privato. Attraverso di essa lo Stato, anche
in nome dello statuto dell’individuo e della esigenza di protezione
sociale, autolimita e disciplina di principio innanzitutto il
proprio potere di trattare ed utilizzare i diversi tipi di dati. E di
qui la ulteriore spiegazione del perché al Garante della privacy
vengano affidati poteri e ruolo tali da averne fatto lumeggiare quasi
una collocazione intermedia atipica. Peraltro la Cassazione ha ormai
autorevolmente escluso che si tratti di organo paragiurisdizionale (
risultando i provvedimenti affidati al Garante sottoposti al vaglio
giurisdizionale ed il Garante legittimato quale parte nei processi
ordinari mentre la tutela risarcitoria del danno ex art 2059 CC deve
ritenersi ricondotta in alveo giurisdizionale ordinario ).
Altra
questione è poi se, nel concreto momento politico , per quella
eterogenesi dei fini che spesso caratterizza le scelte, il
bilanciamento effettuato si sia proceduto talvolta inutilmente
sacrificando qualche interesse pubblico, peraltro di primaria
importanza. Alludo alla disciplina, rivista di recente, della
tenuta ed acquisizione poi da parte della autorità giudiziaria dei
dati relativi alle comunicazioni telefoniche ed ancor più alla
facoltà/possibilità, di fatto riconosciuta ai gestori di servizi di
telefonia per la rete ed agli Internet Providers, di cancellare
tout court i dati afferenti i log delle connessioni in rete, in
quanto non più necessari, ( e non lo sono dal giorno dopo e di
regola neanche per le fatturazioni, attesa la tipologia dei contratti
stipulati, sempre di più a forfait ). Con quali danni per la tutela
della legalità e per le indagini della a.g. che sono da tempo
relative ad ogni tipo di fatto criminale consumato o preparato
tramite INTERNET, è facile immaginare.
Art.
153. Il Garante . La Corte di cassazione, ha osservato correggendo
orientamenti espressi sia dal Tribunale di Milano nel 1999 che del
Tribunale di Roma nel 2000, che la protezione assicurata ai
diritti della persona si realizza (anche nel contesto del codice
appena entrato in vigore) attraverso un coordinato meccanismo di
interventi da parte del Garante, in cui si prevedono attività di
prevenzione nei confronti di comportamenti potenzialmente lesivi,
acquisizione di ufficio di informazioni o pareri e decisioni su
ricorso degli interessati o d’ufficio. Nel caso in cui
l’intervento del Garante sia conseguenza di una istanza
dell’interessato per far valere uno dei diritti di cui all’art.
13 (ora, art. 7 del codice), osserva la Corte, l’accertamento
del fondamento della pretesa di protezione avviene in
contraddittorio con il controinteressato, ed il procedimento
prevede anche taluni poteri di natura istruttoria in capo al
Garante, con impugnazione in unico grado di merito, davanti al
Tribunale ordinario; nel caso in cui l’attività del Garante si
dispiega di ufficio e dà luogo ad un divieto di trattamento
ritenuto contrastante con i principi e gli obblighi di legge, il
provvedimento del Garante è impugnabile davanti al giudice
ordinario analogamente a quello emesso da impulso di parte
ancorché senza contraddittorio.Conseguentemente, secondo il
supremo Collegio, solo la domanda con la quale si intende far
valere un diritto, alternativo alla azione giudiziaria, apre il
particolare procedimento in contraddittorio, mentre negli altri
casi, il provvedimento del Garante è direttamente impugnabile
davanti al giudice, con la stessa procedura prevista per i
provvedimenti resi in contraddittorio con il titolare e
l’interessato. Dunque, non è esatto sostenere che i fini
dell’Ufficio del Garante di tutela dei diritti della persona
giustificano una posizione dell’Autorità parificabile a quella
dì “giudice di conflitti ìntersoggettivi dìspiegata
all’interno di un processo di tipo giudiziario” poiché tale
situazione è comparabile con quella di altre autorità
indipendenti, a cui è affidata la tutela di diritti soggettivi di
rango costituzionale (come la tutela della struttura
concorrenziale del mercato) mediante l’adozione di
provvedimenti che sono, pur sempre, sottoposti al controllo dell’Autorità giudiziaria. In conclusione, poiché non è dato rinvenite nell’ordinamento giudiziario vigente un tertium genus tra amministrazione e giurisdizione, non può esistere nemmeno, secondo il Giudice dì legittimità, una forma paragiurisdizionale, distinta dall’amministrazione e dalla giurisdizione. |
Art.
153. Il Garante ha il compito di:
|
a)
controllare i trattamenti ( funzione di controllo ed ispettiva )
|
b)
esaminare i reclami e le segnalazioni e provvedere sui ricorsi
|
c)
prescrivere anche d'ufficio misure necessarie per rendere il
trattamento lecito e conforme
|
d)
vietare anche d'ufficio, in tutto o in parte, trattamenti illeciti
o non corretti o disporre il blocco di dati
|
e)
promuovere la sottoscrizione di codici deontologici ai sensi
dell'articolo 12 e dell'articolo 139;
|
f)
segnalare al Parlamento e al Governo l'opportunità di interventi
normativi di aggiornamento;
|
g)
esprimere pareri nei casi previsti; ( funzione consultiva )
|
h)
curare la conoscenza tra il pubblico della disciplina (
trattamento dati, finalità, e misure di sicurezza )
|
i)
denunciare i reati perseguibili d'ufficio ( pleonastico ) ;
|
l)
tenere il registro dei trattamenti formato sulla base delle
notificazioni di cui all'articolo 37;
|
m)
predisporre annualmente una relazione sull'attività svolta e
sullo stato di attuazione del codice,
|
2.
Il Garante svolge altresì, ai sensi del comma 1, la funzione di
controllo o assistenza in materia di trattamento dei dati
personali prevista da leggi di ratifica di accordi o convenzioni
internazionali o da regolamenti comunitari e, in particolare:
|
a)
dalla legge 30 settembre 1993, n. 388, e successive modificazioni,
di ratifica ed esecuzione dei protocolli e degli accordi di
adesione all'accordo di Schengen e alla relativa convenzione di
applicazione;
|
b)
dalla legge 23 marzo 1998, n. 93, e successive modificazioni, di
ratifica ed esecuzione della convenzione istitutiva dell'Ufficio
europeo di polizia (Europol);
|
c)
dal regolamento (Ce) n. 515/97 del Consiglio, del 13 marzo1997, e
dalla legge 30 luglio 1998, n. 291, e successive modificazioni, di
ratifica ed esecuzione della convenzione sull'uso dell'informatica
nel settore doganale;
|
d)
dal regolamento (Ce) n. 2725/2000 del Consiglio, dell'11 dicembre
2000, che istituisce l"Eurodac" per il confronto delle
impronte digitali e per l'efficace applicazione della convenzione
di Dublino;
|
e)
nel capitolo IV della convenzione n. 108 sulla protezione delle
persone rispetto al trattamento automatizzato di dati di carattere
personale, adottata a Strasburgo il 28 gennaio 1981 e resa
esecutiva con legge 21 febbraio 1989, n. 98, quale autorità
designata ai fini della cooperazione tra Stati ai sensi
dell'articolo 13 della convenzione medesima.
|
Comunque
i principi portanti della normativa vengono nel codice della privacy
felicemente fissati: “ Chiunque ha diritto alla protezione dei
dati personali che lo riguardano “ “ Il trattamento dei dati
personali deve svolgersi nel rispetto di diritti, libertà
fondamentali e dignità dell’interessato, con particolare
riferimento alla riservatezza, all'identità personale e al diritto
alla protezione dei dati personali “ Tutela di diritti e libertà
indicati deve essere assicurata mediante modalità semplificate
armonizzate ed efficaci non solo per il loro esercizio da parte
degli interessati, ma anche per l’adempimento degli obblighi da
parte dei titolari del trattamento “. “ Trattamento ed utilizzo
di dati personali ed identificativi deve essere limitato al
necessario ed i dati debbono essere resi anonimi, ovunque possibile,
salvo modalità che permettano di identificare l’interessato in
caso di necessità.”.
Spicca
in questo quadro tra gli altri il divieto di Profiling che è
diretta e quasi iconografica espressione della tutela dell’individuo
nelle società cibernetica : “Art. 14 (Definizione di profili e
della personalità dell’interessato) 1. Nessun atto o provvedimento
giudiziario o amministrativo che implichi una valutazione del
comportamento umano può essere fondato unicamente su un trattamento
automatizzato di dati personali volto a definire il profilo o la
personalità dell'interessato. 2. L'interessato può opporsi ad ogni
altro tipo di determinazione adottata sulla base del trattamento
indicato salvo che la determinazione sia stata adottata in occasione
della conclusione o dell'esecuzione di un contratto, in accoglimento
di una proposta dell'interessato o sulla base di adeguate garanzie
individuate dal presente codice o da un provvedimento del Garante. E
“ Art 22 10 co. I dati sensibili e giudiziari non possono essere
trattati nell'ambito di test psico-attitudinali volti a definire il
profilo o la personalità dell'interessato.”
LA
disciplina introdotta dal codice per la
tutela della privacy informativa, si presenta poi :
- Unitaria in funzione della regolamentazione del trattamento dei dati personali, ma più specifica per i c.d. dati sensibili, ed ulteriormente specificata per i dati idonei a rilevare lo stato di salute dell’individuo , in ambito sanitario e non;.
- Sedimentata con riguardo alla diversa natura ed alle molteplici finalità istituzionali dei soggetti pubblici, avendo trasfuso l’ esperienza accumulata del Garante dal 1997 al 2002, e quindi organizzata regolamentando distinti sistemi, ambiti e settori ( giudiziario, forze di polizia, difesa e sicurezza dello Stato, sanitario, istruzione, lavoro e previdenza sociale, bancario, finanziario ed assicurativo, marketing diretto, comunicazioni elettroniche, libere professioni ed investigazione privata, giornalismo ed espressione artistica e letteraria, ambito pubblico in genere con riguardo al bilanciamento tra privacy e diritto di accesso ai dati, registri pubblici, albi professionali, cittadinanza, immigrazione , diritti politici ed altro ). E le interferenze tra le discipline di settore e, per quel che ci interessa, la disciplina sul trattamento dei dati afferenti lo stato di salute individuale sono innumerevoli.
Tale
disciplina si presenta infine come peculiarmente indirizzata a
risolvere conflitti ed interferenze tra diritti di pari rango
rispetto al diritto alla riservatezza e tra questo ed interessi
pubblici rilevanti e concomitanti.
Una
sola avvertenza ulteriore, da rammentare: diverse sono le fonti di
disciplina: il codice richiama non solo fonti normative primarie (
riservando alla sola legge la possibilità di autorizzare certi
trattamenti di dati ) e secondarie ( regolamenti ), ma anche (
oltre ai codici deontologici di particolari categorie professionali,
ed approntati con apposita procedura previo parere del Garante ) la
potestà autorizzatoria generale del Garante, Tale potestà avendo
caratteristiche generali ed astratte, in ragione delle quali è
prevista la pubblicazione dell’aut. Generale sulla G.U. , si
presenta di principio come una fonte integratrice dinamica ( e per
questo tipizzata ), di natura pararegolamentare, e comunque
quantomeno logicamente distinta dai singoli concreti provvedimenti
di autorizzazione ad hoc ( la autorizzazione generale é preventiva
ed esonera i titolari, che vi si conformino integralmente, dal
richiedere autorizzazioni specifiche).
II
. Il codice della privacy: soggetti interessati consenso,
informativa, e diritti strumentali. Dati personali e sensibili ,
finalità trattamento ed autorizzazioni. L’informativa al
Garante .
|
1.
I dati personali, identificativi e sensibili ed i soggetti che li
trattano. 2. Trattamento di dati personali e dati sensibili. La
distinzione generale tra soggetti pubblici nelle loro funzioni
istituzionali e soggetti privati. 3. Notificazione del trattamento
al Garante solo per alcune categorie di dati personali e dati
sensibili.
|
1.
I dati personali, identificativi e sensibili ed i soggetti che li
trattano
Tali
considerazioni generali aprono ora la riflessione, senza ulteriori
approfondimenti teorici, su quanto rilevante , in questo quadro,
sia la privacy informativa con riferimento ai dati sensibili
attinenti la salute dell’individuo. Ma la architettura generale del
codice della privacy richiede un ulteriore sforzo di attenzione
preliminare. Perché esso è strutturato come le cipolle ( direbbe
Shreck , un noto personaggio del cinema dell’era digitale ), a
strati.
Le
discipline generali fanno da regola e quelle particolari da
eccezione e/o completamento ( così come i codici deontologici
approvati secondo le nuove procedure previste e le autorizzazioni
generali del Garante completano ed integrano le discipline settoriali
), e ciò accade anche, e direi tipicamente, in materia di
trattamento dei dati in ambito sanitario . I dati sensibili
strettamente attinenti la salute dell’individuo necessariamente non
sono che una sola parte dei dati personali trattati ( anche )
congiuntamente in ambito sanitario e altresì anche per distinte
finalità.
Sicché
non abbiamo a disposizione un “ utile ascensore “ : l’edificio
normativo della privacy va percorso, non per esigenze meramente
didascaliche. entrando dalla porta ed a piedi,dopo aver incontrato al
piano terra disciplina dei dati e del trattamento in genere, e dati
individuali e sensibili, raggiungendo per le scale, le stanze dei
dati sensibili afferenti la salute dell’individuo, il piano dei
dati trattati in ambito sanitario .
E’
"dato personale"
qualunque informazione relativa all’ “interessato“ che può
essere persona fisica, persona giuridica, ente od associazione,
identificato o identificabile anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale. L’interessato, anche la fine di
assicurare utile esercizio delle varie facoltà strumentali
riconosciutegli, ha diritto in generale ad una preventiva
informativa senza vincoli di forma, che dia conto di tutte le notizie
afferenti finalità e modalità del trattamento, facoltatività od
obbligatorietà del conferimento dei dati, soggetti cui i dati
possono essere comunicati, dati identificativi del titolare del
trattamento . Ed ha diritto a conoscere l’esistenza ed il
contenuto dei dati che lo riguardano, a chiederne aggiornamento e
rettificazione, cancellazione o trasformazione in forma anonima,
ovvero ottenere il blocco dei dati illegittimamente trattati in
violazione di legge .
Nell’ambito
dei dati personali sono "dati
identificativi", quei dati
personali che permettono l’identificazione diretta
dell’interessato.
I
dati personali vengono considerati in quanto trattati da qualunque
persona fisica, persona giuridica e P.A. , associazione od organismo
individuato come “ titolare “ “ responsabile “e cioè
soggetto unico cui competono , eventualmente anche unitamente ad
altro titolare, le decisioni in ordine alle finalità , modalità di
trattamento dei dati e strumenti adottati a riguardo, anche ai fini
della sicurezza . In base a principi generali del nostro sistema
giuridico ( la responsabilità è personale e nelle organizzazioni
complesse i poteri e le responsabilità sono delegabili con efficacia
liberatoria se la delega presenta i requisiti di effettività
necessari ) viene prevista la figura dell’ “ incaricato” quale
persona fisica autorizzata mediante apposita delega, a compiere le
operazioni di trattamento.
Tutti
i dati personali il cui utilizzo sia liceizzato ( nelle varie forme
previste ) vanno comunque trattati, sia in via primaria che
derivata, in modo lecito e secondo “ correttezza “ , potendo
essere raccolti solo per scopi determinati, espliciti e legittimi,
e vanno conservati, con cautele che consentano l’individuazione
della persona cui si riferiscono, per il solo tempo strettamente
necessario agli scopi per i quali sono stati raccolti o trattati
successivamente, dovendo infine essere custoditi e controllati, in
modo da ridurre al minimo i rischi di distruzione e perdita o di
accessi non autorizzati e trattamenti non consentiti .
Sono
poi “dati personali sensibili”,
meritevoli di incisiva e diversificata regolamentazione, quei dati
personali attinenti le persone fisiche che sono idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose, filosofiche o
di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché ( elettivamente ) i dati
personali idonei a rivelare lo stato di salute e la vita sessuale.
La
ragione della diversificata considerazione riposa nel più intimo
collegamento dei dati sensibili alla sfera della personalità
dell’individuo , e nella maggiore potenzialità offensiva di questa
sfera derivante dalla propalazione ed utilizzo improprio di tali dati
. La particolare protezione destinata al trattamento di dati
sensibili, in special modo da parte di soggetti pubblici, si
ricollega infine anche al pericolo di politiche discriminatorie
Per
i dati afferenti allo stato di salute dell’individuo la tutela è
differenziata ulteriormente, più incisiva in speciale
considerazione anche dello stato di debolezza e indifeso del
soggetto sottoposto a trattamento medico sanitario, e più complessa
ed articolata in ragione della concorrente necessità di
salvaguardia di diritti ed interessi pubblici primari ( integrità ed
incolumità fisica, salute individuale, tutela della salute
collettiva emergenze sanitarie e funzionamento delle istituzioni
pubbliche e private che curano la tutela diretta dei medesimi beni
fondamentali e funzioni di ricerca ed amministrative connesse) E Il
consiglio di Europa ha con riguardo a tali dati rilasciato apposita
raccomandazione ( R 97 del 13/2/1997 che, riprendendo le linee guida
della Convenzione n. 108 del 1981, in ambito sanitario, ha sviluppato
espressamente il tema della tutela dei dati afferenti lo stato di
salute .
2.
Trattamento di dati personali e dati sensibili. La distinzione
generale tra soggetti pubblici nelle loro funzioni istituzionali e
soggetti privati.
A.
DATI PERSONALI .Per i soggetti pubblici ( diversi dagli enti pubblici
economici e dai soggetti privati ) é fissato il principio generale
che il trattamento dei dati personali in genere è lecito, non
richiedendo di massima il consenso dell’interessato nè una
apposita legge o regolamento che lo preveda, ma solo in quanto sia
pertinente ai fini istituzionali . La comunicazione ad altri
soggetti pubblici, anche se solo ammessa per lo svolgimento di
funzioni istituzionali, richiede però comunque apposita
previsione di legge o regolamento,
Viceversa
per i soggetti privati ( ed enti pubblici economici ) vige ( con le
eccezioni elencate nell’art 24 da a) a i), il diverso principio
della necessità del consenso preventivo, previa informativa, In
generale i dati non possono essere diffusi per finalità diverse da
quelle esplicitamente ed appositamente indicate nella notificazione
al Garante circa il trattamento, e comunque quando ne sia stata
ordinata la cancellazione ovvero siano da ritenersi esauriti gli
scopi specifici del trattamento , e sempre fatti salvi gli eventuali
divieti disposti dal Garante o dalla autorità giudiziaria.
B.
DATI SENSIBILI . Per i dati sensibili vi è una
disciplina generale, affatto differente . Per il trattamento dei
dati sensibili da parte dei soggetti pubblici vige difatti il
principio della riserva di legge ( la norma deve altresì specificare
tipologia dei dati ed operazioni eseguibili e le finalità di
rilevante interesse pubblico perseguite e se la legge avendo
indicato le finalità di rilevante interesse pubblico, non specifica
dati ed operazioni previste, gli enti pubblici possono procedere al
trattamento solo con riguardo a dati ed operazioni individuati e
resi pubblici, mediante apposito regolamento sottoposto al
preventivo parere del Garante. In assenza di una disposizione di
legge, solo per il perseguimento di finalità di rilevante interesse
pubblico, può essere autorizzato il trattamento di dati sensibili,
previa apposita decisione affidata al Garante ( art 26 ) Comunque il
trattamento dei dati sensibili e giudiziari può essere effettuato
solo in quanto indispensabile a
svolgere attività istituzionali, mediante procedure di verifica
periodiche atte a garantire esattezza , aggiornamento, pertinenza e
completezza dei dati, previa criptazione e sistemi informatici atti a
consentire accesso al singolo dato solo a soggetti autorizzati con
registrazione dell’accesso e dell’identità mediante password del
soggetto che accede al dato.
Per
i soggetti privati vige il principio che il trattamento dei dati
sensibili è possibile solo previo consenso
scritto dell’interessato e
previa autorizzazione
del Garante, salvo che non si
tratti di dati conferiti e trattati esclusivamente nell’ambito di
associazioni religiose, e di associazioni confederazioni di
categoria e sindacali . Non occorre il consenso ma basta
l’autorizzazione del Garante, alle associazioni senza scopo di
lucro per i dati relativi agli aderenti, se il trattamento attiene
all’espletamento di investigazioni difensive, o per far valere o
difendere un diritto in sede giudiziaria, adempiere specifici
obblighi previsti dalla legge , da regolamento o da norme comunitarie
per la gestione del rapporto di lavoro, anche in materia di igiene e
sicurezza del lavoro e di previdenza ed assistenza, nei limiti
fissati dal Garante con autorizzazione ( generale ) oltrechè
quando il trattamento è necessario per la salvaguardia della vita ed
incolumità di terzi mentre non occorre l’autorizzazione ma basta
il consenso se va tutelata la vita e l’incolumità dell’interessato
medesimo.
In
tutti casi elencati dalla norma è individuabile l’assenza del
pericolo nel trattamento dei dati o la prevalenza accordata ai soli
diritti di pari rango.
3.
Notificazione del trattamento al Garante solo per alcune categorie di
dati personali e dati sensibili .
Una
composita categoria di dati personali e dati sensibili,, espandibile
o riducibile dal Garante con provvedimento generale destinato a
pubblicazione sulla G. U. , viene elencata dall’art 37 che obbliga
i titolari autorizzati ( ex lege o mediante autorizzazione del
Garante ) a notificare con modalità appositamente disciplinate il
trattamento di dati cui intendono procedere ( ed il Garante a creare
un registro delle notificazioni, altresì accessibile a chiunque ).
Tale
elenco è stato modificato con provvedimento a carattere generale del
31 marzo 2004 deliberazione n. 1 pubblicato sulla Gazzetta
Ufficiale del 6 aprile 2004, n. 81, immettendovi tutta una serie di
eccezioni che derivano, a ben vedere, dalla rilettura sistematica
dei principi e quindi dalla consueta esigenza di bilanciamento dei
diritti di pari rango in giuoco o della necessità di rispettare
obblighi di legge preesistenti e riconducibili a diritti di pari
rango. Il Garante ha inteso motivare ulteriormente la
esclusione con la considerazione che i trattamenti elencati risultano
già effettuati con modalità che permettono, allo stato, di
sottrarli all’obbligo di notificazione
Ad
oggi debbono ritenersi assoggettati all’obbligo di notificazione i
trattamenti con le relative eccezioni appresso elencati
1)
dati genetici, biometrici o dati che indicano la posizione geografica
di persone od oggetti mediante una rete di comunicazione elettronica
salvo che non si tratti di :
a)
trattamenti non sistematici di dati genetici o biometrici effettuati
da esercenti le professioni sanitarie, anche unitamente ad altri
esercenti titolari dei medesimi trattamenti, rispetto a dati non
organizzati in una banca di dati accessibile a terzi per via
telematica. Ciò limitatamente ai dati e alle operazioni, compresa la
comunicazione, indispensabili per perseguire finalità di tutela
della salute o dell’incolumità fisica dell’interessato o di un
terzo;
b)
trattamenti di dati genetici o biometrici effettuati nell’esercizio
della professione di avvocato, in relazione alle operazioni e ai dati
necessari per svolgere le investigazioni difensive di cui alla legge
n. 397/2000, o comunque per far valere o difendere un diritto anche
da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto
sia di rango almeno pari a quello dell’interessato e i dati siano
trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento;
c)
trattamenti di dati che indicano la posizione geografica di mezzi di
trasporto aereo, navale e terrestre, effettuati esclusivamente a fini
di sicurezza del trasporto;
2)
dati idonei a rivelare lo stato di
salute e la vita sessuale, trattati a fini di procreazione assistita,
prestazione di servizi sanitari per via telematica relativi a banche
di dati o alla fornitura di beni, indagini epidemiologiche,
rilevazione di malattie mentali, infettive e diffusive,
sieropositività, trapianto di organi e tessuti e monitoraggio della
spesa sanitaria, salvo che non si
tratti di :
trattamenti
di dati idonei a rivelare lo stato di salute e la vita sessuale
effettuati da esercenti le professioni sanitarie, anche unitamente ad
altri esercenti titolari dei medesimi trattamenti:
a)
a fini di procreazione assistita, di trapianto di organi e tessuti,
indagine epidemiologica, rilevazione di malattie mentali,
infettive, diffusive o di sieropositività. Ciò sempre che i
trattamenti siano effettuati non sistematicamente, rispetto a dati
non organizzati in una banca di dati accessibile a terzi per via
telematica e limitatamente ai dati e alle operazioni indispensabili
per la tutela della salute o dell’incolumità fisica
dell’interessato o di un terzo;
b)
ad esclusivi fini di monitoraggio della spesa sanitaria o di
adempimento di obblighi normativi in materia di igiene e sicurezza
del lavoro e della popolazione;
3)
dati idonei a rivelare
la vita sessuale o la sfera psichica
trattati da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, a carattere politico, filosofico, religioso o
sindacale salvo che non si tratti di :
trattamenti
di dati idonei a rivelare la sfera psichica di lavoratori:
a)
effettuati da associazioni, enti od organismi a carattere sindacale
per adempiere esclusivamente a specifici obblighi o compiti previsti
dalla normativa in materia di rapporto di lavoro o di previdenza,
anche in tema di diritto al lavoro dei disabili;
b)
effettuati da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, a carattere politico, filosofico o religioso
riguardo a dati di propri dipendenti o collaboratori, per adempiere
esclusivamente a specifici obblighi previsti dalla normativa in
materia di rapporto di lavoro o di previdenza;
4)
dati trattati con l’ausilio di strumenti elettronici volti a
definire il profilo o la personalità dell’interessato, o ad
analizzare abitudini o scelte di consumo, ovvero a monitorare
l’utilizzo di servizi di comunicazione elettronica con esclusione
dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti salvo che non si tratti di :
trattamenti
di dati personali:
a)
che non siano fondati unicamente su un trattamento automatizzato
volto a definire profili professionali, effettuati per esclusive
finalità di occupazione o di gestione del rapporto di lavoro, fuori
dei casi di cui alla lettera e) del medesimo art. 37, comma 1;
b)
che non siano fondati unicamente su un trattamento automatizzato
volto a definire il profilo di un investitore, effettuati
esclusivamente per adempiere a specifici obblighi previsti dalla
normativa in materia di intermediazione finanziaria;
c)
relativi all’utilizzo di marcatori elettronici o di dispositivi
analoghi installati, oppure memorizzati temporaneamente, e non
persistenti, presso l’apparecchiatura terminale di un utente,
consistenti nella sola trasmissione di identificativi di sessione in
conformità alla disciplina applicabile, all’esclusivo fine di
agevolare l’accesso ai contenuti di un sito Internet;
5)
dati sensibili registrati in banche di dati a
fini di selezione del personale per conto terzi, nonché dati
sensibili utilizzati per sondaggi di opinione, ricerche di mercato e
altre ricerche campionarie salvo che non si tratti di :
trattamenti
di dati sensibili effettuati:
a)
al solo fine di selezione di personale per conto esclusivamente di
soggetti appartenenti al medesimo gruppo bancario o societario;
b)
da soggetti pubblici per adempiere esclusivamente a specifici
obblighi o compiti previsti dalla normativa in materia di occupazione
e mercato del lavoro;
c)
da associazioni o organizzazioni di categoria al solo fine di
svolgere ricerche campionarie relativamente a dati riguardanti
l’adesione alla medesima associazione o organizzazione;
6)
dati registrati in apposite banche di dati
gestite con strumenti elettronici e relative al rischio sulla
solvibilità economica, alla situazione patrimoniale, al corretto
adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
salvo che non si tratti di :
trattamenti
di dati personali:
a)
effettuati da soggetti pubblici per la tenuta di pubblici registri o
elenchi conoscibili da chiunque;
b)
registrati in banche di dati utilizzate in rapporti con l’interessato
di fornitura di beni, prestazioni o servizi, o per adempimenti
contabili o fiscali, anche in caso di inadempimenti contrattuali,
azioni di recupero del credito e contenzioso con l’interessato;
c)
registrati in banche di dati utilizzate da soggetti pubblici o
privati per adempiere esclusivamente ad obblighi normativi in materia
di rapporto di lavoro, previdenza o assistenza;
d)
registrati in banche di dati utilizzate da soggetti pubblici al solo
fine della tenuta ed esecuzione di atti, provvedimenti e documenti,
in tema di riscossione di tributi, applicazione di sanzioni
amministrative, o rilascio di licenze, concessioni o autorizzazioni;
e)
relativi a immagini o suoni conservati temporaneamente per esclusive
finalità di sicurezza o di tutela delle persone o del patrimonio;
f)
trattati, in base alla legge, dai soggetti autorizzati in relazione
alle operazioni e ai dati necessari all’esclusivo fine di prestare
l’attività di garanzia collettiva dei fidi e i servizi a essa
connessi o strumentali ("confidi");
III
. I dati idonei a rivelare lo stato di salute. Trattamenti in
genere ed in ambito sanitario
|
1.
La tenuta separata dei dati idonei a
rivelare lo stato di salute. in genere ed in ambito sanitario. il
divieto di identificazione per alcune categorie speciali di dati.
2. Trattamenti appositamente disciplinati:
dati genetici e donatori di midollo osseo, certificato di
assistenza al parto, banche dati nazionali preesistenti. 3.
Trattamento dati sullo stato di salute: a) con finalità di
tutela della salute e della incolumità fisica dell’interessato.
La tutela dei terzi e della collettività. Il principio del
consenso informato preventivo e la tutela di interessi di pari
rango prevalenti 4. Trattamento dati sullo stato di salute: b)
secondo finalità di rilevante interesse pubblico. Compiti del
Servizio Sanitario Nazionale e settori vari individuati ex lege .
5. Tutte le ipotesi di trattamento dati sulla salute anche
alla luce della autorizzazione generale
del garante n. 2/2004. Didascalia riepilogativa dei trattamenti
non necessitanti autorizzazione o liceizzati per i quali non dovrà
comunque essere richiesta autorizzazione ad hoc al garante
(conformandosi però il titolare responsabile esattamente alla
autorizzazione generale. 6. Modalità semplificate per
l’informativa all’interessato nel caso di trattamento dati
raccolti in ambito sanitario per finalità di tutela della salute
ed incolumità fisica da parte di organismi sanitari pubblici e
privati, ed esercenti professioni sanitarie nonché anche di
trattamento dei dati a fini di tutela dell’igiene e sicurezza
del lavoro. 7 In particolare l’informativa dei medici di
famiglia e dei pediatri e le ulteriori modalità semplificate per
il consenso dell’interessato finalizzate a coprire la intera
filiera sanitaria degli interventi medico terapeutici 8 Le
informazioni mediche all’interessato. 9. Le prescrizioni mediche
come documento contenente dati personali: le soluzioni
legislative. 10. Diritto di accesso ai dati delle cartelle
cliniche. 11. Gli illeciti sanzionati in genere ed i soggetti
responsabili in ambito sanitario
|
1.
La tenuta
separata dei dati idonei a rivelare lo stato di salute. in genere ed
in ambito sanitario. il divieto di identificazione per alcune
categorie speciali di dati.
I
dati inerenti lo stato di salute individuale sono assoggettati
innanzitutto a divieto di diffusione che riguarda sia i soggetti
pubblici ( art 22 8° co ) che i privati ( art 26 5° co. ) .che li
trattino.
Ma
la notizia relativa può invece essere pubblicata/diffusa, nei
limiti del principio di essenzialità dell’informazione, se di
interesse pubblico e relativa in particolare a persona “pubblica”.
La operazione di bilanciamento tra diritti di pari rango viene
riportata ad “ unità” dalla previsione della opponibilità
del segreto professionale giornalistico ( art 138 )
Articolo
5 Codice deontologico dei giornalisti
Diritto
all'informazione e dati personali
1.
Nel raccogliere dati personali atti a rivelare origine razziale ed
etnica, convinzioni religiose, filosofiche o di altro
genere,
opinioni politiche, adesioni a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico
o sindacale, nonché dati atti a rivelare le condizioni di salute
e la sfera sessuale, il giornalista garantisce il diritto
all'informazione su fatti di interesse pubblico, nel rispetto
dell'essenzialità dell'informazione, evitando riferimenti a
congiunti o ad altri soggetti non interessati ai fatti.
|
Nell’ambito
pubblico i dati sensibili sullo stato di salute ( e sulla vita
sessuale ) debbono essere comunque conservati, con prescrizione
aggiunta, rispetto a quelle concernenti gli altri dati sensibili,
in archivi separati da quelli relativi a dati personali trattati per
finalità che non richiedono utilizzo di dati sensibili ( principio
di obbligatoria realizzazione di banche dati “ relazionali “
separate od archivi cartacei analogamente concepiti art 22 7° co) .
Resta
fermo il divieto ( ribadito nella AUT GENERALE 2/2004 ) di
consentire l’identificazione delle persone interessato per le
rilevazioni statistiche delle infezioni da HIV ( art 5 co 2 L
5/6/1990 n. 135 modificato dall’art 178 Codice ), nelle
dichiarazioni sulle interruzioni di gravidanza da trasmettere al
medico provinciale ai sensi art art 11 L 22/5/1978 n. 194, e con
riferimento ai minorenni sottoposti a violenza sessuale / art 734 bis
CP ). A questa casistica vanno aggiunti l’anonimato dei donatori
di midollo osseo ( qualificato come diritto-dovere sia nei confronti
del ricevente che dei terzi ) e il diritto della madre che non
intenda essere nominata nel certificato di assistenza al parto ai
sensi 30, comma 1, del decreto del Presidente della Repubblica
3 novembre 2000, n. 396 ( bilanciato dal diritto dei discendenti di
ottenere certificazione completa – solo, ma comunque - dopo cento
anni )
I
titolari del trattamento di dati afferenti lo stato di salute
individuale sono poi vincolati alla notificazione al Garante ( ex art
37 cit. ) secondo la procedura ed utilizzando la modulistica
previste, solo qualora trattino alcuni di questi dati ed in
particolare per quello che in questa
sede può interessare a) dati genetici, biometrici b) dati idonei a
rivelare lo stato di salute e la vita sessuale, trattati a fini di
procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni,
indagini epidemiologiche, rilevazione di malattie mentali, infettive
e diffusive, sieropositività, trapianto di organi e tessuti e
monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita
sessuale o la sfera psichica trattati da associazioni,
2.
Trattamenti appositamente disciplinati: dati genetici e donatori di
midollo osseo, certificato di assistenza al parto, banche dati
nazionali preesistenti.
Norme
particolari che in questa sede possiamo solo ricordare sono state
fissate per Trattamento dei dati genetici e donatori di midollo
osseo ; certificato di assistenza al parto; banche dati nazionali
preesistenti.
CAPO
V DATI GENETICI Art. 90 (Trattamento dei dati genetici e donatori
di midollo osseo) 1. Il trattamento dei dati genetici da chiunque
effettuato è consentito nei soli casi previsti da apposita
autorizzazione rilasciata dal Garante sentito il Ministro della
salute, che acquisisce, a tal fine, il parere del Consiglio
superiore di sanità. 2. L’autorizzazione di cui al comma 1
individua anche gli ulteriori elementi da includere
nell’informativa ai sensi dell’articolo 13, con particolare
riguardo alla specificazione delle finalità perseguite e dei
risultati conseguibili anche in relazione alle notizie inattese
che possono essere conosciute per effetto del trattamento dei dati
e al diritto di opporsi al medesimo trattamento per motivi
legittimi. 3. Il donatore di midollo osseo, ai sensi della legge 6
marzo 2001, n. 52, ha il diritto e il dovere di mantenere
l’anonimato sia nei confronti del ricevente sia nei confronti di
terzi. CAPO VI DISPOSIZIONI VARIE Art. 91 (Dati trattati mediante
carte) 1. Il trattamento in ogni forma di dati idonei a rivelare
lo stato di salute o la vita sessuale eventualmente registrati su
carte anche non elettroniche, compresa la carta nazionale dei
servizi, o trattati mediante le medesime carte è consentito se
necessario ai sensidell’articolo 3, nell’osservanza di misure
ed accorgimenti prescritti dal Garante nei modi di cui
all’articolo 17.
Art.
93 (Certificato di assistenza al parto) 1. Ai fini della
dichiarazione di nascita il certificato di assistenza al parto è
sempre sostituito da una semplice attestazione contenente i soli
dati richiesti nei registri di nascita. Si osservano, altresì, le
disposizioni dell’articolo 109. 2. Il certificato di assistenza
al parto o la cartella clinica, ove comprensivi dei dati personali
che rendono identificabile la madre che abbia dichiarato di non
voler essere nominata avvalendosi della facoltà di cui
all’articolo 30, comma 1, del decreto del Presidente della
Repubblica 3 novembre 2000, n. 396, possono essere rilasciati in
copia integrale a chi vi abbia interesse, in conformità alla
legge, decorsi cento anni dalla formazione del documento. 3.
Durante il periodo di cui al comma 2 la richiesta di accesso al
certificato o alla cartella può essere accolta relativamente ai
dati relativi alla madre che abbia dichiarato di non voler essere
nominata, osservando le opportune cautele per evitare che
quest’ultima sia identificabile.
Art.
94 (Banche di dati, registri e schedari preesistenti in ambito
sanitario) 1. Il trattamento di dati idonei a rivelare lo stato di
salute contenuti in banche di dati, schedari, archivi o registri
tenuti in ambito sanitario, è effettuato nel rispetto
dell’articolo 3 anche presso banche di dati, schedari, archivi o
registri già istituiti alla data di entrata in vigore del
presente codice e in riferimento ad accessi di terzi previsti
dalla disciplina vigente alla medesima data, in particolare
presso: a) il registro nazionale dei casi di mesotelioma
asbesto-correlati istituito presso l’Istituto superiore per la
prevenzione e la sicurezza del lavoro (Ispesl), di cui
all’articolo 1 del decreto del Presidente del Consiglio dei
ministri 10 dicembre 2002, n. 308; b) la banca di dati in materia
di sorveglianza della malattia di Creutzfeldt-Jakob o delle
varianti e sindromi ad essa correlate, di cui al decreto del
Ministro della salute in data 21 dicembre 2001, pubblicato nella
Gazzetta Ufficiale n. 8 del 10 gennaio 2002; c) il registro
nazionale delle malattie rare di cui all’articolo 3 del decreto
del Ministro della sanità in data 18 maggio 2001, n. 279; d) i
registri dei donatori di midollo osseo istituiti in applicazione
della legge 6 marzo 2001, n. 52; e) gli schedari dei donatori di
sangue di cui all’articolo 15 del decreto del Ministro della
sanità in data 26 gennaio 2001, pubblicato nella Gazzetta
Ufficiale n. 78 del 3 aprile 2001.
|
3.
Trattamento dati sullo stato di salute: a) con finalità di tutela
della salute e della incolumità fisica dell’interessato. La tutela
dei terzi e della collettività. Il principio del consenso
informato preventivo e la tutela di interessi di pari rango
prevalenti
A.
Per i dati idonei a rivelare lo stato di salute qualora
si tratti di dati ed operazioni di trattamento indispensabili a
perseguire finalità di tutela della salute e della incolumità
fisica dell’interessato. vige il
principio della necessità del consenso al trattamento dei dati,
consenso informato, con modalità semplificate e previste ad hoc,
e di norma preventivo ( ma senza necessaria autorizzazione del
Garante ) .
Nel
ristretto ambito del codice della privacy, tale principio appare
come eccezione alla regola generale fissata in materia di dati
sensibili per i soggetti pubblici, e riguarda in particolare gli
esercenti le professioni sanitarie e gli organismi sanitari pubblici.
( l’art. 85 2° co esclude espressamente che in questi casi si
tratti di finalità di rilevante interesse pubblico che consentono
invece l’applicazione della disciplina generale per il trattamento
dei dati sensibili da parte di soggetti pubblici ).
In
realtà questo principio costituisce, applicazione parallela del
principio del consenso al trattamento medico ( e divieto di
trattamenti sanitari coattivi, salvo le eccezioni previste dalla
norma costituzionale) pur spiegandosi già con la più incisiva
tutela apprestata alla particolare tipologia di dati sensibili. Il
consenso dell’interessato rimane condizione di liceità del
trattamento volto a salvaguardarne incolumità e salute. Una scelta
criticata , ma mitigata nelle sue conseguenze pratiche, dalla
semplificazione ed armonizzazione delle procedure per l’informativa
e la prestazione del consenso.
La
chiave di lettura più amplia che guarda all’art 32 della
costituzione fornisce uno strumento interpretativo indispensabile
anche per le numerose e necessarie eccezioni alla regola.
Così
è immediatamente percepibile la portata dell’ulteriore principio
secondo il quale non occorre il previo consenso dell’interessato (
ma basta l’autorizzazione del Garante, per l’appunto conferita in
via generale con l’autorizzazione n. 2 del Giugno 2004 ) quando
il trattamento e l’utilizzo dei dati sia necessario a salvaguardare
l’incolumità fisica e la salute di terzi.
E
sempre in tale chiave è facilmente comprensibile la norma generale
( di cui all’art 26 4° co. Lett. b ) secondo la quale quando
l’interessato è impossibilitato di fatto o giuridicamente a
prestare il consenso ( impossibilità fisica, incapacità di agire od
incapacità di intendere e volere ) non solo il consenso può essere
dato da terzi soggetti posti un relazione tipica con l’interessati
(esercente la potestà legale, prossimo congiunto, familiare,
convivente ) ma anche. in loro assenza, del titolare della struttura
presso cui l’interessato è ricoverato. Negli ultimi due casi è
quindi in giuoco il bene di rango superiore della vita e salute dei
terzi o del medesimo interessato e prevale la tutela di questo sul
diritto alla privacy informativa.
E
la omologa norma ( art 82 2° co lett a) che autorizza in ambito
sanitario il consenso successivo dell’interessato al trattamento,
quando impossibilitato di fatto e giuridicamente al momento della
prestazione, si spiega sempre con la prevalenza del diritto al
trattamento sanitario ed alla tutela della salute.
Ancora
l’art 82 al 2° co lett B) prevede poi la eccezione al consenso
preventivo e la possibilità di consenso successivo in tutti
i casi nei quali vi sia rischio grave , imminente ed irreparabile per
la salute ed incolumità fisica dell‘interessato, sempre
privilegiando il bilanciamento a favore del diritto di pari rango
prevalente .E persino quando vi sia la possibilità di intempestività
od inefficacia dell’intervento terapeutico è previsto il consenso
successivo ( art 82 3° co. ).
Ed
anche in ambito privato deve ritenersi sufficiente l’autorizzazione
del garante ( generale e puntualmente intervenuta ) se il trattamento
dei dati afferenti lo stato di salute riguarda la salvaguardia della
incolumità e della vita del terzo mentre se riguarda l’interessato,
che non può prestare il consenso è appositamente disciplinata la
prestazione del consenso alternativamente ed anche disgiuntamente di
soggetti legittimati ex lege ed in caso di loro assenza, dal
responsabile della struttura ove dimora l’interessato
Una
disposizione ad hoc individua infine l’ipotesi di emergenze
sanitarie o di igiene pubblica, per le quali sia stata emessa
ordinanza contingibile ed urgente, consentendo anche in tale ipotesi
il consenso successivo alla prestazione ( art 82 1° co ) .
4.
Trattamento dati sullo stato di salute: b) secondo finalità di
rilevante interesse pubblico. Compiti del Servizio Sanitario
Nazionale e settori vari individuati ex lege
Gli
artt. 85 ed 86 elencano compiti del Servizio sanitario Nazionale e
finalità di rilevante interesse pubblico, che consentono di
applicare la disciplina generale sul trattamento dei dati sensibili,
anche ai dati sullo stato di salute ( non occorre cioè il consenso
ed il trattamento è lecito purchè sia data idonea pubblicità su
tipologia dei dati ed operazioni eseguibili )
COMPITI
DEL SERVIZIO SANITARIO NAZIONALE a) attività amministrative
correlate a quelle di prevenzione, diagnosi, cura e riabilitazione
dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa
l'assistenza degli stranieri in Italia e dei cittadini italiani
all'estero, nonché di assistenza sanitaria erogata al personale
navigante ed aeroportuale; b) programmazione, gestione, controllo e
valutazione dell'assistenza sanitaria; c) vigilanza sulle
sperimentazioni, farmacovigilanza, autorizzazione all'immissione in
commercio e all'importazione di medicinali e di altri prodotti di
rilevanza sanitaria; d) attività certificatorie; e) l'applicazione
della normativa in materia di igiene e sicurezza nei luoghi di lavoro
e di sicurezza e salute della popolazione; f) le attività
amministrative correlate ai trapianti d'organo e di tessuti, nonché
alle trasfusioni di sangue umano, anche in applicazione della legge 4
maggio 1990, n. 107; g) instaurazione, gestione, pianificazione e
controllo dei rapporti tra l'amministrazione ed i soggetti
accreditati o convenzionati del Servizio sanitario nazionale.
FINALITÀ
DI RILEVANTE INTERESSE PUBBLICO,a) tutela sociale della
maternità e di interruzione volontaria della gravidanza, con
particolare riferimento a quelle svolte per la gestione di consultori
familiari e istituzioni analoghe, per l'informazione, la cura e la
degenza delle madri, nonché per gli interventi di interruzione della
gravidanza; b) stupefacenti e sostanze psicotrope, con particolare
riferimento a quelle svolte al fine di assicurare, anche avvalendosi
di enti ed associazioni senza fine di lucro, i servizi pubblici
necessari per l'assistenza socio-sanitaria ai tossicodipendenti, gli
interventi anche di tipo preventivo previsti dalle leggi e
l’applicazione delle misure amministrative previste; c) assistenza,
integrazione sociale e diritti delle persone handicappate effettuati,
in particolare, al fine di:1) accertare l'handicap ed assicurare la
funzionalità dei servizi terapeutici e riabilitativi, di aiuto
personale e familiare, nonché interventi economici integrativi ed
altre agevolazioni; 2) curare l'integrazione sociale, l'educazione,
l'istruzione e l’informazione alla famiglia del portatore di
handicap, nonché il collocamento obbligatorio nei casi previsti
dalla legge; 3) realizzare comunità-alloggio e centri socio
riabilitativi; 4) curare la tenuta degli albi degli enti e delle
associazioni ed organizzazioni di volontariato impegnati nel settore
5.
Tutte le ipotesi di trattamento dati sulla salute anche alla luce
della autorizzazione generale del
garante n. 2/2004. Didascalia riepilogativa dei trattamenti non
necessitanti autorizzazione o liceizzati per i quali non dovrà
comunque essere richiesta autorizzazione ad hoc al garante
(conformandosi però il titolare responsabile esattamente alla
autorizzazione generale .
Il
quadro della disciplina andrebbe completato con un “ricca”
casistica di utilizzo e trattamento dei dati sulla salute per fini
diversi ( assicurativi, tutela interna agli ambienti di lavoro, scopi
scientifici, cultural-storici, società sportive e
così via ) ma è stato anche integrato, incisivamente, dalla
autorizzazione generale del Garante n. 2/2004 più volte citata.
Alla
luce di tale intervento autorizzatorio generale i dati sensibili
afferenti lo stato di salute individuale sono soggetti alla seguente
concreta disciplina:
A)
dati trattati a fini di salute e per la salvaguardia
dell’incolumità fisica da parte di organismi sanitari pubblici
ovvero da esercenti la professione sanitaria ( consenso
preventivo dell’interessato, quantomeno registrato in forma scritta
o con modalità formalizzate, previa informativa semplificata e
trattamento liceizzato per tutte le attività terapeutiche e di
trattamento sanitario derivate, senza necessità di
autorizzazione del Garante ( artt 76 ed 85 2° co che rinvia al
76)
In
questo ambito :
- Costituiscono eccezioni al principio del consenso personale ( e per i quali è necessaria e sufficiente la già emessa autorizzazione in via generale dal Garante - aut. N. 2/2004 ) tutti i casi nei quali entra in giuoco la salvaguardia della vita e dell’incolumità individuale del terzo ( art 26 4° co lett b) o della collettività ( art 76 1° co. Lett. B) ed in cui in particolare il consenso può essere prestato in caso di impossibilità giuridica o materiale dell’interessato, da soggetti legati da rapporto di parentela, familiare o di convivenza con l’interessato ed in loro assenza dal titolare della struttura
- Costituiscono eccezioni al principio del consenso preventivo ( nei quali il consenso dell’interessato può intervenire successivamente , senza ritardo ) tutti i casi elencati dall’art 82 ( emergenza sanitaria o di igiene pubblica in costanza di ordinanza contingibile ed urgente, rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell’interessato, impossibilità materiale o giuridica dell’interessato - con applicazione delle medesime regole dell’art 26 co 4 lett b – possibilità di pregiudizio per la tempestività ed efficacia della prestazione medica
- Viene riaffermato il principio della necessità del consenso anche attraverso la norma di cui all’art 82 4° co che prevede la riacquisizione del consenso personale del minorenne divenuto maggiorenne se ancora oggetto di interventi medico sanitari .
B)
dati trattati a fini di salute e per la salvaguardia
dell’incolumità fisica in genere da parte di organismi sanitari
privati e case di cura private ovvero quando il trattamento sia
necessario a tutela della incolumità fisica di terzi o della
collettività trattati da qualunque soggetto *, e ulteriormente se
l’interessato sia effettivamente IRREPERIBIL e quando trattati da
esercenti le professioni sanitarie e da organismi sanitari pubblici
che istituiti presso le Università agiscano come autorità sanitarie
svolgendo attività amministrative diverse da quelle di prevenzione
diagnosi e cura che già ricadono nell’art 85 1à e 2° co ) (
per questa amplia casistica, intervenuta la autorizzazione generale
del Garante con provvedimento n. 2/2004 pubblicata sulla G. U. , in
concreto, non deve essere quindi inoltrata la richiesta di
autorizzazione al Garante )
*
L'autorizzazione è rilasciata:
a)
ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli
psicologi e agli altri esercenti le professioni sanitarie iscritti
in albi o in elenchi;
b)
al personale sanitario infermieristico, tecnico e della
riabilitazione che esercita l'attività in regime di libera
professione;
c)
alle istituzioni e agli organismi sanitari privati, anche quando
non operino in rapporto con il servizio sanitario nazionale.
In
tali casi, l'autorizzazione è rilasciata anche per consentire ai
destinatari di adempiere o di esigere l'adempimento di specifici
obblighi o di eseguire specifici compiti previsti da leggi, dalla
normativa comunitaria o da regolamenti, in particolare in materia
di igiene e di sanità pubblica, di prevenzione delle malattie
professionali e degli infortuni, di diagnosi e cura, ivi compresi
i trapianti di organi e tessuti, di riabilitazione degli stati di
invalidità e di inabilità fisica e psichica, di profilassi delle
malattie infettive e diffusive, di tutela della salute mentale, di
assistenza farmaceutica e di assistenza sanitaria alle attività
sportive o di accertamento, in conformità alla legge, degli
illeciti previsti dall'ordinamento sportivo. Il trattamento può
riguardare anche la compilazione di cartelle cliniche, di
certificati e di altri documenti di tipo sanitario, ovvero di
altri documenti relativi alla gestione amministrativa la cui
utilizzazione sia necessaria per i fini appena indicati.
Qualora
il perseguimento di tali fini richieda l'espletamento di compiti
di organizzazione o di gestione amministrativa, i destinatari
della presente autorizzazione devono esigere che i responsabili e
gli incaricati del trattamento preposti a tali compiti osservino
le stesse regole di segretezza alle quali sono sottoposti i
medesimi destinatari della presente autorizzazione, nel rispetto
di quanto previsto anche dall'art. 83, comma 1, del Codice.
|
C)
dati trattati per finalità di rilevante interesse pubblico ovvero
nell’ambito dei compiti del Servizio Sanitario nazionale (
artt 85 ed 86 ) per i quali il trattamento é consentito ex lege ( la
riserva di legge di cui all’art 20 è soddisfatta dai due articoli
richiamati )
D)
dati trattati per finalità diverse da quelle appena indicate,
rientranti nella disciplina generale dei dati sensibili, per i quali
i soggetti pubblici non debbono avere il consenso dell’interessato
ma debbono essere autorizzati ex lege con eventuale regolamentazione
integrativa o espressa autorizzazione del Garante ai sensi art 20
mentre i soggetti privati debbono avere sia il consenso
dell’interessato che l’autorizzazione del Garante ( art 26 )
( ESEMPI : Trattamento dei dati sulla salute dei propri dipendenti da
parte del datore di lavoro, ovvero da parte di imprese assicurative
per istruzione ed esecuzione di contratti assicurativi )
Una
ricca casistica è stata coperta dalla autorizzazione generale del
Garante n. 2/2004 e riguarda anche dati trattati nell’ambito di
particolari settori di attività e(o professionali non mediche per i
quali si applicherà la particolare disciplina dell’ambito nonché
i principi fissati nell’autorizzazione del Garante .
Sulla
scorta della AUT 2/2004 i seguenti soggetti non devono più
richiedere singole autorizzazioni ad hoc, purché dati, trattamento e
finalità siano conformi alla aut. generale :
a)
persone fisiche o giuridiche, enti, associazioni e altri organismi
privati, per scopi di ricerca scientifica, anche statistica,
finalizzata alla tutela della salute dell'interessato, di terzi o
della collettività in campo medico, biomedico o epidemiologico,
allorché si debba intraprendere uno studio delle relazioni tra i
fattori di rischio e la salute umana, o indagini su interventi
sanitari di tipo diagnostico, terapeutico o preventivo, ovvero
sull'utilizzazione di strutture socio-sanitarie, e la disponibilità
di dati solo anonimi su campioni della popolazione non permetta alla
ricerca di raggiungere i suoi scopi. In tali casi occorre però
sempre acquisire il consenso (in conformità a quanto previsto dagli
articoli 106, 107 e 110 del Codice), e il trattamento successivo
alla raccolta non deve permettere di identificare gli interessati
anche indirettamente, salvo che l'abbinamento al materiale di ricerca
dei dati identificativi dell'interessato sia temporaneo ed essenziale
per il risultato della ricerca, e sia motivato, altresì, per
iscritto. I risultati della ricerca non possono essere diffusi se non
in forma anonima. Resta fermo quanto previsto dall'art. 98 del
Codice;
b)
organizzazioni di volontariato o assistenziali, limitatamente ai dati
e alle operazioni indispensabili per perseguire scopi determinati e
legittimi previsti, in particolare, nelle rispettive norme
statutarie;
c)
comunità di recupero e di accoglienza, alle case di cura e di
riposo, limitatamente ai dati e alle operazioni indispensabili per
perseguire scopi determinati e legittimi previsti, in particolare,
nelle rispettive norme statutarie;
d)
enti, associazioni e organizzazioni religiose riconosciute,
relativamente ai dati e alle operazioni indispensabili per perseguire
scopi determinati e legittimi nei limiti di quanto stabilito
dall'art. 26, comma 4, lett. a), del Codice, fermo restando quanto
previsto per le confessioni religiose dagli articoli 26, comma 3,
lett. a), e 181, comma 6, del Codice e dell'autorizzazione n.
3/2004;
e)
persone fisiche e giuridiche, imprese, enti, associazioni ed altri
organismi, limitatamente ai dati, ove necessario attinenti anche alla
vita sessuale, e alle operazioni indispensabili per adempiere agli
obblighi, anche precontrattuali, derivanti da un rapporto di
fornitura all'interessato di beni, di prestazioni o di servizi. Ma se
il rapporto intercorre con istituti di credito, imprese assicurative
o riguarda valori mobiliari, devono considerarsi indispensabili i
soli dati ed operazioni necessari per fornire specifici prodotti o
servizi richiesti dall'interessato. Il rapporto può riguardare anche
la fornitura di strumenti di ausilio per la vista, per l'udito o per
la deambulazione;
f)
persone fisiche e giuridiche, enti, associazioni e altri
organismi che gestiscono impianti o strutture sportive, limitatamente
ai dati e alle operazioni indispensabili per accertare l'idoneità
fisica alla partecipazione ad attività sportive o agonistiche;
g)
persone fisiche e giuridiche e altri organismi, limitatamente ai
dati dei beneficiari e dei donatori e alle operazioni indispensabili
per effettuare trapianti di organi e tessuti, nonché donazioni di
sangue.
Inoltre
è stato autorizzato il trattamento
a)
per lo svolgimento delle investigazioni difensive di cui alla legge
7 dicembre 2000, n. 397, o comunque per far valere o difendere un
diritto anche da parte di un terzo in sede giudiziaria, nonché in
sede amministrativa o nelle procedure di arbitrato e di conciliazione
nei casi previsti dalle leggi, dalla normativa comunitaria, dai
regolamenti o dai contratti collettivi, sempre che il diritto sia di
rango pari a quello dell'interessato, ovvero consistente in un
diritto della personalità o in altro diritto o libertà fondamentale
e inviolabile, e i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario per il loro
perseguimento;
b)
al fine di adempiere o esigere l'adempimento di specifici obblighi o
per eseguire specifici compiti previsti dalla normativa comunitaria,
da leggi, da regolamenti o da contratti collettivi per la gestione
del rapporto di lavoro, nonché della normativa in materia di
previdenza e assistenza o in materia di igiene e sicurezza del lavoro
o della popolazione, nei limiti previsti dalla autorizzazione
generale del Garante n. 1/2004 e ferme restando le disposizioni del
codice di deontologia e di buona condotta di cui all'articolo 111 del
Codice.
Per
i soggetti non ricompresi nella casistica disciplinata
integrativamente anche con la aut. Generale indicata, rimane ferma la
necessità del consenso e della specifica autorizzazione da parte
del Garante, richiesta ad hoc, ferma restando quindi l’applicazione
della disciplina per i dati sensibili.
Informativa
secondo modalità semplificate /accorpate e semplificazione delle
modalità di prestazione del consenso da parte del paziente sono due
tra le caratteristiche salienti della disciplina dei dati trattati in
ambito sanitario.
6.
Modalità semplificate per l’informativa all’interessato nel
caso di trattamento dati raccolti in ambito sanitario per finalità
di tutela della salute ed incolumità fisica da parte di organismi
sanitari pubblici e privati, ed esercenti professioni sanitarie
nonché anche di trattamento dei dati a fini di tutela dell’igiene
e sicurezza del lavoro.
Le
modalità c.d. semplificate per l’informativa all’interessato,
ai sensi dell’art 77 1° co lett a) , b) e c), riguardano
tipicamente il trattamento dei dati raccolti per finalità di
tutela della salute e salvaguardia dell’incolumità fisica
dell’interessato da parte di organismi sanitari pubblici ed
esercenti professioni sanitarie ( e di tutti dati raccolti per la
finalità di cura e tutela della salute dell’interessato, anche se
non direttamente provenienti dalla voce del medesimo interessato e
quindi da terzi ed anche i dati personali connessi e non
strettamente relativi allo stato di salute ),
Per
identità di ratio e di finalità ( e necessità di semplificazione
armonizzazione ed efficienza ) sono state estese agli organismi
sanitari privati e anche per i trattamenti a fini amministrativi ai
soggetti pubblici operanti in ambito sanitario o di prevenzione e
sicurezza del lavoro ( artt 77 ed 80
Va
innanzitutto chiarito in tema di c.d. semplificazione
dell’informativa che la norma disciplinando la possibilità di
accorpare in un unico documento le informative di legge per :i
professionisti o soggetti che collaborano nella prestazione di una
attività sanitaria per l’assistenza e la cura dell’interessato
non implica affatto però una delimitazione semplificata o riduzione
del contenuto dell’informativa: essa rimane ancorata ai principi
generali ed ulteriormente specificati nell’ambito delle prestazioni
sanitarie.
L’informativa
difatti in via generale : a) deve rispettare tutti i contenuti
indicati per i dati sensibili ( art 13 ); b) deve essere
preferibilmente fornita in forma scritta; c) deve essere formulata
in maniera chiara e comprensibile c) ha anche il compito di avvisare
il paziente dei pericoli per la privacy connessi a particolari
modalità di trattamento dei dati:indicate dalla legge o ritenute dal
Garante ( eventi ritenuti rischiosi per la privacy )
In
secondo luogo la informativa c.d. semplificata concerne i i titolari
e soggetti base della filiera sanitaria ( medico di base e pediatra
). Sotto questo aspetto i principi di accorpamento/ semplificazione
dell’informativa , tengono conto sia delle caratteristiche del
contesto in cui si effettua io specifico trattamento ( l’esistenza
di una filiera di soggetti che intervengono nel trattamento: medico
di famiglia, specialisti, reparti. infermieri, laboratori di analisi
etc.) che della circostanza che la registrazione dei dati avviene
nell’ambito del rapporto medico - paziente, cioé nel contesto di
una relazione confidenziale. liberamente scelta dal paziente: I dati
sono raccolti da professionisti sanitari che sono tenuti ad obblighi
dì riservatezza ed a regole deontologiche nello svolgimento della
propria attività. Peraltro secondo la migliore interpretazione,
anche i professionisti direttamente aditi ( saltando il medico di
famiglia ) possano fornire una informativa unica accorpata, che copra
i successivi trattamenti.
Non
va dimenticato, in questa sede che la riservatezza dei dati
personali utilizzati in ambito sanitario era tematica già nota e
cara al mondo dei medici. ed era già prevista, entro limiti
circoscritti, in separate disposizioni di natura normativa e
autodisciplinare. Il Codice di Deontologia Medica già prevedeva
per il medico l'obbligo di «tutelare/a riservatezza dei dati
personali e de/la documentazione in suo possesso riguardante le
persone anche se affidata a codici o sistemi informatici » (art.
10). Inoltre, «nella comunicazione di atti o di documenti.
relativi a singole persone anche se destinati ad Enti o Autorità
che svolgono attività sanitaria.iIl medico deve porre in essere
ogni precauzione atta a garantire la tutela del segreto
professionale, il medico, nella diffusione di bollettini medici,
deve preventivamente acquisire consenso de/l’interessato o dei
suoi legali rappresentanti. Il medico non può collaborare a//a
costituzione di banche di dati sanitari, ove non esistano garanzie
di tutela de/In riservatezza. della sicurezza e della vita privata
del/a persona» (art, 11). In precedenza. la legge 675/1996 e sue
successive modificazioni, prevedeva all'articolo 23 una disciplina
specifica per i dati idonei a rivelare lo stato di salute.
distinta da quella generale per dati sensibili, in applicazione di
una esplicita previsione della direttiva europea [art. 8(3) dir
95/46]. Tale regolamentazione era finalizzata alla tutela della
riservatezza e della dignità dell’interessato. da una parte. e
della incolumità fisica e della salute dell’interessato di
terzi e dell’intera collettività, dall'altra parte. L’articolo
23 conteneva sia disposizioni direttamente applicabili ai dati
sanitari. qualunque fosse la finalità del loro utilizzo. sia
prescrizioni particolari per uso di tali i:informazioni nei
trattamenti a tutela della salute. tale promiscuità, insieme alla
sovrapposizione di regolamentazione per entrambi i settori
pubblico e privato, ed aveva ingenerato più di una difficoltà
interpretativa.
|
7
In particolare l’informativa dei medici di famiglia e dei pediatri
e le modalità semplificate per il consenso dell’interessato
finalizzate a coprire la intera filiera sanitaria degli interventi
medico terapeutici
Dettagliata
è la disposizione che disciplina l’informativa data dai medici di
famiglia/pediatri
Alla
luce dell’art 78 deve ritenersi che debbano essere fornite
informazioni chiare e comprensibili quantomeno documentate per
iscritto circa a) le finalità e le modalità
del trattamento cui sono destinati i dati; b) la natura facoltativa (
e non obbligatoria , nel caso di specie ) del conferimento dei dati;
c) le conseguenze di un eventuale mancato conferimento dei
dati; d) i soggetti o le categorie di soggetti ai quali i dati
personali possono essere comunicati o che possono venirne a
conoscenza in qualità di responsabili o incaricati, e l'ambito di
diffusione dei dati medesimi; e) le facoltà strumentali nell’ambito
del diritto alla privacy informativa di cui gode l’interessato (
art. 7); f) gli estremi identificativi del titolare del trattamento
( e , se designati, del rappresentante nel territorio dello Stato ai
sensi dell’articolo 5 e del responsabile . Inoltre qualora il
titolare abbia designato più responsabili deve essere indicato
almeno uno di essi, precisando il sito della rete di comunicazione o
le modalità attraverso le quali è ( reso ) conoscibile in modo
agevole l’elenco aggiornato dei responsabili. Quando è stato
designato un responsabile per il riscontro all’interessato in caso
di esercizio dei diritti di cui all’articolo 7, è indicato tale
responsabile.
L’informativa
può essere unica, e ( va preferibilmente ) fornita per il
complessivo trattamento dei dati personali, raccolti dall’interessato
ma eventualmente raccolti anche presso terzi per le medesime
finalità, trattamento necessario per attività di prevenzione,
diagnosi, cura e riabilitazione, svolte dal medico o dal pediatra a
tutela della salute o dell’incolumità fisica dell’interessato,
su richiesta dello stesso o di cui questi è informato in quanto
effettuate nel suo interesse.
L’informativa
deve però riguardare di regola ( salvo che non sia diversamente
specificato ed indicato appositamente dal medico ) anche il
trattamento di dati correlato a quello effettuato dal medico di
medicina generale o dal pediatra di libera scelta, se effettuato da
un professionista o da altro soggetto, parimenti individuabile in
base alla prestazione richiesta, che:
a)
sostituisce temporaneamente il medico o il pediatra;b) tornisce una
prestazione specialistica su richiesta del medico e del pediatra;c)
può trattare lecitamente i dati nell’ambito di un’attività
professionale prestata in forma associata;d) fornisce farmaci
prescritti; e) comunica dati personali al medico o pediatra in
conformità alla disciplina applicabile.
L’informativa
deve inoltre evidenziare analiticamente eventuali trattamenti di dati
personali che presentano rischi specifici per i diritti e le libertà
fondamentali, nonché per la dignità dell’interessato, in
particolare ex lege ( ma non esclusivamente attesa la potestà
riconosciuta al Garante di individuare altre eventualità “
rischiose “ in caso di trattamenti effettuati:
a)
per scopi scientifici, anche di ricerca scientifica e di
sperimentazione clinica controllata di medicinali, in conformità
alle leggi e ai regolamenti, ponendo in particolare evidenza clic il
consenso, ove richiesto, è manifestato liberamente;
b)
nell’ambito della teleassistenza o telemedicina;
c)
per tornire altri beni o servizi all’interessato attraverso una
rete di comunicazione elettronica’
La
scelta ulteriore di individuare modalità di prestazione del consenso
appositamente semplificate solo con riguardo al trattamento dei
dati nell’ambito della filiera degli interventi connessi alla
assistenza medico terapeutica prestata alla singola persona, comporta
poi , a ben guardare, una non perfetta coincidenza tra
accorpamento/semplificazione dell’informativa e semplificazione del
consenso.
L’art
81 prevede che il consenso possa essere
manifestato con un'unica dichiarazione, anche oralmente. Ma, se
prestato oralmente, debba essere documentato, anziché con atto
scritto dell’interessato, con annotazione dell’esercente la
professione sanitaria o dell’organismo sanitario pubblico, riferita
al trattamento di dati effettuato da uno o più soggetti e
all’informativa all’interessato, nei modi indicati negli articoli
78, 79 e 80. .Qualora l’informativa sia stata fornita anche con
riguardo a più prestazioni anche specialistiche ed in riferimento a
più professionisti, il medico di famiglia/pediatra deve assicurare
la conoscenza del consenso agli altri soggetti della filiera medico
terapeutica, mediante apposita menzione/annotazione od apposizione di
apposito bollino o tagliando su carta elettronica o tessere
sanitaria, ( Nella annotazione menzione vanno espressamente indicate
le diverse specificazioni apposte all’informativa fornita ).
La
previsione dell’informativa accorpata e del consenso unico, e di
modalità di registrazione documentale e trasmissione per conoscenza
dello strumento documentale cui è affidata la registrazione (
certificazione e documentazione), del consenso prestato e del
contenuto della informativa fornita, appaiono ispirate ad una
prevalente finalità: la necessità di tutelare l’interessato e
l’insieme dei soggetti ed organismi sanitari preposti alla tutela
della salute e cura dello stesso, dalla ridondanza degli adempimenti
( e dalla reiterazione burocratica di questi, che contribuirebbe anzi
a svuotarne significato ed utilità ) così comunque assicurando
specificamente il rispetto dei principi programmatici indicati
nell’art 3 del codice .
Non
vi è dubbio che proprio la previsione del consenso c.d.
semplificato/accorpato possa aver contribuito a far infine “
digerire “ il principio di necessità del consenso informato
preventivo sul trattamento informatico dei dati specifici nell’ambito
sanitario, mitigando le obiezioni circa difficoltà, inutilità e
natura burocratica che dinanzi agli adempimenti necessari sono state
sollevate da più parti.
8
Le informazioni mediche all’interessato.
La
disciplina delle informazioni mediche all’interessato, riservando
il dovere di informazione in primis ai medici e tipizzando la sola
possibilità di individuare esercenti le professioni sanitarie
appositamente delegati e diversi dal medico titolare del trattamento,
presenta uno specifico rilievo, anche perché la relativa violazione
è accompagnata da una sanzione penale ad hoc.
Art.
84 (Comunicazione di dati all’interessato)
1.
I dati personali idonei a rivelare lo stato di salute possono essere
resi noti all’interessato o ai soggetti di cui all’articolo 82,
comma 2, lettera a), da parte di esercenti le professioni sanitarie
ed organismi sanitari, solo per il tramite di un medico designato
dall’interessato o dal titolare. Il presente comma non si applica
in riferimento ai dati personali forniti in precedenza dal medesimo
interessato.
2.
Il titolare o il responsabile possono autorizzare per iscritto
esercenti le professioni sanitarie diversi dai medici, che
nell'esercizio dei propri compiti intrattengono rapporti diretti
con i pazienti e sono incaricati di trattare dati personali idonei a
rivelare lo stato di salute, a rendere noti i medesimi dati
all'interessato o ai soggetti di cui all'articolo 82, comma 2,
lettera a). L’atto di incarico individua appropriate modalità e
cautele rapportate al contesto nel quale è effettuato il trattamento
di dati.
9.
Le prescrizioni mediche come documento contenente dati personali: le
soluzioni legislative .
Anche
in tema di soluzioni normative approntate per le certificazioni
mediche non appare opportuna una più approfondita analisi, dovendosi
registrare comunque l’equilibrio definitivamente e tecnicamente
raggiunto in tema ( Uso di apposite ricette con tagliando atto a
mascherare le generalità del destinatario della prescrizione, ma
temporaneamente rimovibile solo al fine di accertare la correttezza
della prescrizione od in sede eper finalità di ricerca e
segnatamente epidemiologiche ) .
Coerenti
con il sistema le soluzioni in deroga volte a continuare a
consentire in particolare controlli sulla attività in genere di
prescrizione medica e sulle prescrizioni di particolari prodotti e
sostanze ( sempre in funzione delle esigenze di cautela legalmente
individuate e tenuto conto degli obblighi che fanno capo ai
farmacisti.
CAPO
IV PRESCRIZIONI MEDICHE
Art.
87 (Medicinali a carico del Servizio sanitario nazionale)
1.
Le ricette relative a prescrizioni di medicinali a carico, anche
parziale, del Servizio sanitario nazionale sono redatte secondo il
modello di cui al comma 2, conformato in modo da permettere di
risalire all'identità dell'interessato solo in caso di necessità
connesse al controllo della correttezza della prescrizione, ovvero
a fini di verifiche amministrative o per scopi epidemiologici e di
ricerca, nel rispetto delle norme deontologiche applicabili.
2.
Il modello cartaceo per le ricette di medicinali relative a
prescrizioni di medicinali a carico, anche parziale, del Servizio
sanitario nazionale, di cui agli allegati 1, 3, 5 e 6 del decreto
del Ministro della sanità 11 luglio 1988, n. 350, e al capitolo
2, paragrafo 2.2.2. del relativo disciplinare tecnico, è
integrato da un tagliando predisposto su carta o con tecnica di
tipo copiativo e unito ai bordi delle zone indicate nel comma 3.
3.
Il tagliando di cui al comma 2 è apposto sulle zone del modello
predisposte per l’indicazione delle generalità e dell’indirizzo
dell’assistito, in modo da consentirne la visione solo per
effetto di una momentanea separazione del tagliando medesimo che
risulti necessaria ai sensi dei commi 4 e 5.
4..
Il tagliando può essere momentaneamente separato dal modello di
ricetta, e successivamente riunito allo stesso, quando il
farmacista lo ritiene indispensabile, mediante sottoscrizione
apposta sul tagliando, per una effettiva necessità connessa al
controllo della correttezza della prescrizione, anche per quanto
riguarda la corretta fornitura del farmaco.
5.
Il tagliando può essere momentaneamente separato nei modi di cui
al comma 3 anche presso i competenti organi per fini di verifica
amministrativa sulla correttezza della prescrizione, o da parte di
soggetti legittimati a svolgere indagini epidemiologiche o di
ricerca in conformità alla legge, quando è indispensabile per il
perseguimento delle rispettive finalità.
6.
Con decreto del Ministro della salute, sentito il Garante, può
essere individuata una ulteriore soluzione tecnica diversa da
quella indicata nel comma 1, basata sull’uso di una fascetta
adesiva o su altra tecnica equipollente relativa anche a modelli
non cartacei.
Art.
88 (Medicinali non a carico del Servizio sanitario nazionale)
1.
Nelle prescrizioni cartacee di medicinali soggetti a prescrizione
ripetibile non a carico, anche parziale, del Servizio sanitario
nazionale, le generalità dell’interessato non sono indicate.
2.
Nei casi di cui al comma 1 il medico può indicare le generalità
dell’interessato solo se ritiene indispensabile permettere di
risalire alla sua identità, per un’effettiva necessità
derivante dalle particolari condizioni del medesimo interessato o
da una speciale modalità di preparazione o di utilizzazione.
Art.
89 (Casi particolari)
1.
Le disposizioni del presente capo non precludono l’applicazione
di disposizioni normative che prevedono il rilascio di ricette che
non identificano l’interessato o recanti particolari
annotazioni, contenute anche nel decreto-legge 17 febbraio 1998,
n. 23, convertito, con modificazioni, dalla legge 8 aprile 1998,
n. 94.
2.
Nei casi in cui deve essere accertata l’identità
dell’interessato ai sensi del testo unico delle leggi in materia
di disciplina degli stupefacenti e sostanze psicotrope,
prevenzione, cura e riabilitazione dei relativi stati di
tossicodipendenza, approvato con decreto del Presidente della
Repubblica 9 ottobre 1990, n. 309, e successive modificazioni, le
ricette sono conservate separatamente da ogni altro documento che
non ne richiede l’utilizzo.
|
10.
Diritto di accesso ai dati delle cartelle cliniche
Una
specifica menzione merita la regolamentazione delle cartelle
cliniche, con specifico richiamo normativo alla redazione delle
stesse secondo accorgimenti atti a rendere i dati chiari e
comprensibili e a distinguere i dati del paziente da dati afferenti
altri soggetti e segnatamente i nascituri..
Più
in particolare, va però sottolineato che il legislatore ha affidato
ai soggetti responsabili della tenuta delle cartelle cliniche
medesime, il vaglio del diritto all’accesso vantato, prevedendo che
presa visione e rilascio di copia siano consentiti ai terzi ( diversi
dal diretto interessato) , ed in difetto la richiesta da respingere,
solo in presenza di specifici presupposti documentati e valutati .
- Necessità di far valere diritto in sede giurisdizionale e/o ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n.397, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento e che si tratti di “ diritti di pari rango ovvero consistenti in diritti della personalità od altri diritti fondamentali inviolabili “
- di tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.
Ed
a questo specifico proposito il Garante ha emesso nell’estate del
2003 il provvedimento generale di seguito riportato, atto a chiarire
la natura vincolante della previsione, esemplificando casi di diritti
di rango minore a fronte dei quali il responsabile della tenuta
della cartella clinica non può assentire alla visione o rilascio di
copia della cartella medesima o del certificato di dimissione
ospedaliera, e precisando, ad ogni buon conto, che la esigenza di
adeguare il catalogo dei diritti di rango pari e fondamentale
comportava una definizione necessariamente giuridico astratta, onde
assicurare una valutazione in concreto permanentemente adeguata alla
evoluzione normativa e giurisprudenziale.
Provvedimento
generale sui diritti di "pari rango" emesso dal Garante
il 5 Luglio 2003
Il
destinatario della richiesta, nel valutare il "rango"
del diritto di un terzo che può giustificare l’accesso o la
comunicazione, deve utilizzare come parametro di raffronto non il
"diritto di azione e difesa" che pure è
costituzionalmente garantito (e che merita in generale protezione
a prescindere dall’"importanza" del diritto
sostanziale che si vuole difendere), quanto questo diritto
sottostante che il terzo intende far valere sulla base del
materiale documentale che chiede di conoscere.
Ciò
chiarito, tale sottostante diritto, come già constatato
dall’Autorità (v. ad es. l’autorizzazione n. 6/2002, al punto
1, lett. a)) e come ora espressamente precisato dal Codice, può
essere ritenuto di "pari rango" rispetto a quello
dell’interessato -giustificando quindi l’accesso o la
comunicazione di dati che l’interessato stesso intende spesso
mantenere altrimenti riservati- solo se fa parte della categoria
dei diritti della personalità o è compreso tra altri diritti o
libertà fondamentali ed inviolabili: v. gli artt. 71, 92 comma 2
e 60 del Codice.
In
particolare, la norma da ultimo citata prevede espressamente che
"quando il trattamento concerne dati idonei a rivelare lo
stato di salute o la vita sessuale, il trattamento è consentito
se la situazione giuridicamente rilevante che si intende tutelare
con la richiesta di accesso ai documenti amministrativi è di
rango almeno pari ai diritti dell’interessato, ovvero consiste
in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile".
In
ogni altra situazione riguardante dati sulla salute o la vita
sessuale, non è quindi possibile aderire alla richiesta di
accesso o di comunicazione da parte di terzi se i dati o il
documento sono ritenuti utili dal richiedente per tutelare in
giudizio un interesse legittimo o un diritto soggettivo che
possono essere anche di rilievo, ma che restano comunque
subvalenti rispetto alla concorrente necessità di tutelare la
riservatezza, la dignità e gli altri diritti e libertà
fondamentali dell’interessato: si pensi al caso dell’accesso
-in un caso, denegato dalla giurisprudenza- volto a soddisfare
generiche esigenze basate sulla prospettiva eventuale di
apprestare la difesa di diritti non posti in discussione in quel
momento (Cons. Stato Sez. VI, n. 2542/2002).
Ciò
comporta ad esempio che nella prevalenza dei casi riguardanti meri
diritti di credito non sia possibile accogliere l’istanza di
accesso o di comunicazione, e che si possa invece valutare, con
cautela, caso per caso, l’effettiva necessità di consentire
l’accesso ad una cartella clinica -prima della sua probabile
acquisizione su iniziativa del giudice- in caso di controversia
risarcitoria per danni ascritti all’attività professionale
medica documentata nella cartella.
Il
riferimento normativo ai diritti della personalità e ad altri
diritti e libertà fondamentali è collegato ad un "elenco
aperto" di posizioni soggettive individuabile in chiave
storico-evolutiva, e presuppone una valutazione in concreto, in
modo da evitare per le amministrazioni, gli altri destinatari
delle richieste e per il giudice stesso in caso di impugnazione,
"il rischio di soluzioni precostituite poggianti su una
astratta scala gerarchica dei diritti in contesa" (cfr. Cons.
Stato, Sez. VI n. 1882/2001 e 2542/2002).
|
11.
Gli illeciti sanzionati in genere ed i soggetti responsabili in
ambito sanitario
Come
consueto nel nostro ordinamento, con la entrata in vigore del nuovo
corpo normativo, appariva infine necessario accompagnare i precetti
più rilevanti con la previsioni di sanzioni di vario grado e tenore.
ed il corpo delle sanzioni si riferisce, anche qui secondo una
tecnica normativa consolidata, a condotte omissive minori, violazioni
di principi esenziali inerenti il trattamento e la cessione dei dati,
condotte più gravi e/o dolose.
E’
evidente che pressoché tutte tali condotte possono venire in giuoco
quando si rivesta la qualità di titolare e/o responsabile del
trattamento di dati in ambito sanitario.
Ma
alcune condotte più in particolare interessano direttamente
l’esercente la professione sanitaria
- IN GENERALE SONO CONDOTTE OMISSIVE MENO GRAVI SUSCETTIBILI DI SANZIONI AMMINISTRATIVE, IRROGATE DAL MEDESIMO GARANTE ( artt 161, 162, 163 e 164) :
alcune
violazioni relative a doveri del titolare del trattamento, nei
diretti confronti dell’interessato, ( obbligo di informativa idonea
all’interessato,, divieto di comunicare i dati all’interessato se
non a mezzo di medico o incaricato espressamente nominato ed
esercente altra professione sanitaria, ) o doveri più generali e
tra questi alcuni inerenti le comunicazioni al Garante o il
rispetto di provvedimenti emessi dal Garante (divieto di cessione
dei dati a trattamento cessato od utilizzo secondario non
conforme dei dati, omessa od incompleta notifica al Garante, omessa
informazione od esibizione di documenti, )
LE
VIOLAZIONI AMMINISTRATIVE
|
Tra
questo primo gruppo di illeciti sanzionati con pene pecuniarie ,
presentano maggior interesse ai fini nostri, in particolare :
- La violazione degli obblighi di informativa all'interessato circa i dati, previsti dall'articolo 13 («finalità e modalità del trattamento, natura obbligatoria o facoltativa del loro conferimento»; «termini di una ulteriore comunicazione dei dati» ecc.), ovvero relativa ai dati che presentino, ai sensi dell'articolo 17, rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato; ( sanzione da 5.000 a 30.000 euro se concerne dati sensibili, e quindi tra essi dati idonei a rivelare lo stato di salute , e giudiziari, altrimenti da 3.000 a 18.000 euro )
- La comunicazione di dati idonei a rivelare lo stato di salute, resi noti all'interessato o agli altri soggetti che, in determinate condizioni, possono riceverli in sua vece, , senza il tramite necessario di un medico designato. Ai fini dell'applicazione della sanzione, occorre ricordare che tale modalità di comunicazione (la cui violazione è appunto illecito amministrativo) non trova applicazione in relazione alla comunicazione di dati forniti in precedenza dallo stesso interessato, e inoltre che è consentita l'individuazione da parte del titolare di soggetti esercenti professioni sanitarie diversi dai medici, abilitati a fornire le predette comunicazioni.( sanzione da 500 a 3.000 euro ) .
La
irrogazione della multa da parte del Garante , può implicare solo
eventualmente la sanzione accessoria della pubblicazione
dell'ordinanza-ingiunzione per estratto su quotidiano ( obbligatoria
invece nel caso di omessa informativa al Garante ) e la multa può
essere in ragione delle condizioni economiche del contravventore».
aumentata sino al triplo. Al procedimento dinanzi al Garante si
applica la disciplina generale per le sanzioni amministrative
prevista dalla L 689/’81.
II
SONO POI QUALIFICATE COME REATI CONTRAVVENZIONALI SANZIONATI
PENALMENTE CON AMMENDA E/O ARRESTO ED INDIFFERENTEMENTE; A TITOLO DI
COLPA O DI DOLO ALCUNE CONDOTTE che violano particolari obblighi e
divieti ( adozione delle misure minime di protezione dei dati
personali, divieto di indagini sulle opinioni del lavoratore» e
«violazione delle norme sul controllo a distanza dei lavoratori» )
GLI
ILLECITI PENALI QUALIFICATI COME CONTRAVVENZIONI
|
Tra
questo SECONDO gruppo di illeciti, sanzionati con la pena
alternativa dell’arresto e dell’ammenda o congiunta nel caso di
violazioni in materia di controllo a distanza o delle opinioni dei
lavoratori, presenta maggior interesse nell’ambito di questa
riflessione, in particolare :
- la omessa adozione delle misure minime di sicurezza da adottare nel trattamento dei dati, ai sensi art 33 e ss. ( pena dell'arresto fino a due anni o l'ammenda da diecimila a cinquantamila euro )
Art.
34 (Trattamenti con strumenti elettronici) 1. Il trattamento di
dati personali effettuato con strumenti elettronici è consentito
solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell’allegato B), le seguenti misure minime: a)
autenticazione informatica; b) adozione di procedure di gestione
delle credenziali di autenticazione; c) utilizzazione di un
sistema di autorizzazione; d) aggiornamento periodico
dell’individuazione dell’ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici; e) protezione degli strumenti
elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici; f)
adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi; g) tenuta
di un aggiornato documento programmatico sulla sicurezza; h)
adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di
salute o la vita sessuale effettuati da organismi sanitari.
Art.
35 (Trattamenti senza l’ausilio di strumenti elettronici) 1. Il
trattamento di dati personali effettuato senza l’ausilio di
strumenti elettronici è consentito solo se sono adottate, nei
modi previsti dal disciplinare tecnico contenuto nell’allegato
B), le seguenti misure minime: a) aggiornamento periodico
dell’individuazione dell’ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative; b) previsione di
procedure per un’idonea custodia di atti e documenti affidati
agli incaricati per lo svolgimento dei relativi compiti; c)
previsione di procedure per la conservazione di determinati atti
in archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all’identificazione degli incaricati.
|
Per
tale ipotesi di reato contravvenzionale viene tuttavia previsto,
sulla falsariga del procedimento prescrizionale e di oblazione
disciplinato dal DLGVO 758/94 in materia di contravvenzioni inerenti
la sicurezza ed igiene del lavoro, un particolare procedimento di
oblazione, potendosi estinguere il reato se:1) l'autore del reato
provvede entro sei mesi alla regolarizzazione, in ottemperanza alla
prescrizione emessa del Garante, ; 2) versa una somma pari al quarto
del massimo dell'ammenda stabilita ( 12.500 euro).
III
. SONO POI QUALIFICATI COME DELITTI SANZIONATI PENALMENTE CON
MULTA E/O RECLUSIONE alcuni fatti più gravi relativi a false
attestazioni e dichiarazioni al Garante ( reclusione da sei mesi a
tre anni ) e gravi inosservanze di provvedimenti del Garante (
reclusione da tre mesi a due anni ) e varie ipotesi di trattamento
illecito dei dati,
Nel
caso di trattamento illecito dei dati sono previste pene diverse, a
seconda della condotta con cui si è concretizzato il trattamento
illecito ( comunicazione o diffusione dei dati ovvero più grave
trattamento illecito a fine di profitto o di recare danno, qualora ne
derivi concreto nocumento), con pena ulteriormente aggravata, nel
secondo caso, qualora si tratti di dati sensibili, dati giudiziari
e dati relativi allo stato di salute ( art 167 1° e 2° co )
GLI
ILLECITI PENALI QUALIFICATI COME DELITTI
|
Tra
questo TERZO gruppo di illeciti , delitti penalmente sanzionati,
presenta un qualche interesse ai fini nostri, in particolare :
L'INOSSERVANZA DEI PROVVEDIMENTI EMESSI DAL GARANTE (ARTICOLO 170)
quando concernano misure ed accorgimenti prescritti a garanzia
dell'interessato, nell’autorizzazione per il trattamento dei dati
sensibili, (articolo 26, 2 ° co. ) ed indicazioni di ulteriori
elementi da includere nell’informativa relativa a trattamento dei
dati genetici e dei donatori di midollo osseo (art. 90), ( pena da
tre mesi a due anni di reclusione ) . Va peraltro rammentato che in
materia e segnatamente per i dati idonei a rivelare lo stato salute
nell’ambito del comparto sanitario e per finalità terapeutiche e
di cura , si verte comunque, anche per gli organi sanitari privati,
in regime di autorizzazione generale, mentre i casi di emergenza
sanitaria sono disciplinati ex lege .
CONCLUSIONI.
L’osservazione
attenta della applicazione pratica della disciplina della privacy in
ordine ai dati afferenti lo stato di salute ed al loro trattamento
in ambito sanitario ( ed istituzionale ) consentirà di confermare e
verificare quanto la ambiziosa opera di regolamentazione e
bilanciamento richieda strumenti raffinati e continuamente
differenziati. E l’equilibrio raggiunto appare, se non del tutto
definitivo, quanto mai solido e adeguato alla ponderazione dei
diritti ed interessi in giuoco.
Resta
aperto un interrogativo secondario: se e quanto possa ulteriormente
razionalizzarsi la casistica introdotta e se era sempre necessario
rinviare alla regolamentazione generale del Garante una serie di
ipotesi che pure la legge avrebbe potuto prevedere in astratto.
La
normazione lascia però, opportunamente, spazio ad autorevoli
ipotesi di riadeguamento normativo sollecitato ( anche, ed
emblematicamente ) dal medesimo Garante.
Nel
frattempo, proprio prendendo ad esempio il settore della privacy in
ambito sanitario e la disciplina del trattamento dei dati afferenti
lo stato di salute , ci si augura che anche altri bilanciamenti e
settori di regolamentazione raggiungano questo ( storicamente
provvisorio ma solido ) livello di equilibrata disciplina. Tra i
settori da ripensare ad avviso di alcuni, e di chi scrive, in
particolare vi era quello dei dati afferenti le connessioni in
Internet , mentre la attesa del codice di autoregolamentazione dei
providers , vedeva giorno per giorno consumarsi, proprio le
opportunità di tutela di interessi fondamentali, in sede penale,
rendendo ancor più inadeguato e tardivo l’intervento giudiziario .
Il panorama è di recente cambiato e ci sono volute le norme
antiterrorismo … per evidenziare il tema della (necessaria )
prevalenza dell’interesse pubblico all’accertamento dei reati ( e
sia pure solo di certi reati )..