venerdì 28 ottobre 2005

PRIVACY E TRATTAMENTO DATI IN AMBITO SANITARIO


  1. I PRIVACY IN GENERALE
Principi generali – tutela della riservatezza e parametri costituzionali ( tutela della personalità e della salute) . Gli effetti del trattamento dei dati e le nuove esigenze di tutela e il bilanciamento con altri interessi.

Nell’era dei computer e della raccolta automatica, fruizione, trattamento ed elaborazione digitale dei dati e vieppiù con Internet, l’ottocentesco richiamo al “ right to be let alone “ , diritto ad essere lasciati soli, appare un primordiale antecedente, un antico richiamo giuridico alla tutela dell’individuo nella sua sfera privata.
Le tutele giuridiche tradizionali apprestate alla persona, tipiche della normazione della prima metà del secolo passato, (da noi - immagine e tutela inibitoria contro l'abuso dell'immagine quando arrechi "pregiudizio al decoro o alla reputazione della persona – art 10 cod. civ. - Segretezza della corrispondenza (art. 15 cost.) - Inviolabilità del domicilio (art. 14 cost.) - Riserbo (Petacci c. Palazzi, Cass. 990/1963):inteso come titolarità sui fatti privati non su quelli pubblici. - diritti della personalità, art. 5, nome 6-7, immagine 10 c.c. e 9 ss l.d.a. …) ex art. 2 Cost. (App. Milano con esplicito riferimento anche all'art. 8 Convenzione per i diritti dell'uomo e delle libertà fondamentali ratificata con l. 4 agosto 1955 n. 848 ) e le loro corrispondenti estrinsecazioni nelle più incisive tutele in sede penale ( diffamazione, illecite interferenze di vario tenore etc ) si erano già evolute negli anni ’60 e ’70, alla luce dei principi costituzionali, ed attraverso le applicazioni concrete dei giudici nostrani, giungendo ad una accezione più amplia ed evoluta del diritto alla riservatezza .
Diritto alla riservatezza inteso quale esplicazione di un unico diritto della personalità che si distingue dal diritto al nome e dal diritto all'immagine e che a loro volta ne costituiscono solo un'esplicazione concreta . In tale accezione la nozione giuridica di privacy era già giunta, oltre trenta anni fa, alla tutela delle situazioni strettamente personali e familiari, la cui conoscenza non rappresenti un interesse apprezzabile per i terzi ( prescindendo dall'offesa all'onore e alla reputazione, e andando oltre il diritto alla identità personale, secondo la logica dello svolgimento dell'intimità personale e familiare in un domicilio ideale (individuando una vera e propria PRIVACY “ SPAZIALE “ ). Tale privacy spaziale verrà tutelata dal legislatore nella prima metà degli anni ‘90 persino anche attraverso la fattispecie che sanziona penalmente, a querela, le intrusioni in computer e sistema informatico personale ( domicilio “ informatico “ con espressione impropria ma efficace ).
Proprio tale ultima “ privacy spaziale” nella società dell'informazione è stata da tempo affiancata ed anzi superata da una vera e propria “ PRIVACY INFORMATIVA “..
A livello normativo siamo perciò, ormai da oltre un decennio, entrati nell’era del “diritto a mantenere il controllo sulle informazioni che ci riguardano” a tutela della sfera personale intangibile, Una tutela volta ad elidere o mitigare i nuovi pericoli per l’individuo creati dalla evoluzione vorticosa della società cibernetica.
Erano difatti e sono fondamentalmente due i rischi insiti nell’elaborazione di ogni genere di dato personale. Da un lato quello di un eccessivo controllo sociale da parte di poteri forti, “ di orwelliana memoria “, un pericolo oggi accresciutosi a dismisura . Dall’altro, più in generale, la possibilità che anche da informazioni disperse ed impersonali o “dagli atti più banali dell’individuo si possa risalire ai suoi più intimi segreti” e consentirne un uso invasivo, onnipresente, oppressivo, anche solo a fini commerciali. Ma il pericolo è cresciuto esponenzialmente, tramutandosi in una realtà dannosa onnipresente, proprio grazie alla costituzione di banche enormi di dati ed alla concomitante possibilità tecnologica di trattamento informatizzato ed incrocio dei dati.
Ideologi, sociologi, giuristi ed intellettuali erano però arrivati a queste conclusioni di massima ben prima dell’ultimo nostro T.U. DGLVO 196 del 2003 , e della antecedente legge 675/96 e delle direttive europee 46 del 1995 e 48 del 2002: la privacy, in una società informatica. si può tutelare effettivamente solo disciplinando la libertà di raccogliere, elaborare e memorizzare dati, in quanto di per sé tale libertà è potenzialmente lesiva della privacy e può conferire poteri e conoscenze enormi ai soggetti che trattino i dati mettendoli in relazione globale con ogni altro dato disponibile. Necesse est regolamentare perciò e i benefici di conoscenza, e le utilità positive che il potere derivato dall’informatizzazione comporta, non sono azzerabili mediante un ipotetico diktat antistorico, irrealizzabile: quindi la unica strada percorribile è quella di bilanciare ed equilibrare gli interessi in giuoco, disciplinando diritti e facoltà, doveri ed obblighi, e mezzi di controllo e tutela, con modalità necessariamente duttili, atte cioè a consentire un adeguamento continuo alla realtà in movimento ed alle conoscenze acquisite sulla realtà in particolare attraverso una nuova figura di specifico rilievo , il Garante.
Di qui la impossibilità di prevedere meri divieti od una legislazione fatta solo di principi o divieti generali eventualmente sanzionati, mentre la necessaria complessità della normazione da adottare, e una graduazione gerarchica delle facoltà e dei correlati obblighi e doveri, , dei divieti particolari e delle limitazioni al trattamento, e delle fonti di regolamentazione , e delle autorizzazioni che rimuovono limiti in via generale ovvero ad hoc, ha reso a sua volta più necessaria che mai la creazione di agenzie di tutela garanti della privacy, con compiti complessi di controllo e tutela ma anche analisi , studio e “ regolamentazione integrativa e dinamica “ dei fenomeni.

E’ in primo luogo è proprio a queste considerazioni e premesse generali che occorre fare mente locale, quando si manifestano le insofferenze, ai laccioli, vincoli e responsabilità che le normative sulla privacy impongono : le critiche e manifestazioni giustificate delle difficoltà solo così diventano costruttive, e non gettano il bambino con l’acqua sporca.
Va poi tenuto espressamente presente che la pretesa a controllare i termini entro cui informazioni personali - identificabili per l’individuo sono acquisite, raccolte, trattate , usate ed eventualmente divulgate (quando non vietato) è connotata in modo specifico nei sistemi giuridici continentali e nella comunità economica europea cui apparteniamo.
Vi è sì, in comune con la esperienza statunitense, la attenzione alla privacy intesa quale sfera di autodeterminazione informativa e quale elemento determinante della fiducia degli individui e necessaria ad esempio, tra l’altro, al proliferare del commercio elettronico. Ma lì prevale l’affidamento a normative settoriali, non costruite in funzione di garantire la trasparenza del trattamento o di impedire i trattamenti secondari: la fonte primaria di regolamentazione è il contratto ( spesso però tra soggetti di diseguale capacità e forza ) assieme all'autoregolamentazione spontanea di settore, con affidamento pressoché esclusivo a codici di condotta e pratiche sviluppate unilateralmente da singole industrie.
In Europa ed in Italia invece la attenzione allo statuto dell’individuo e dei diritti della persona, presuppone quantomeno il ruolo centrale della statuizione normativa e dell’intervento di garanzia dello Stato e antepone, di massima, le esigenze di protezione sociale all’affidamento alle ipotetiche capacità di autoregolamentazione del libero mercato. Dalla medesima scelta di protezione sociale deriva poi la necessità di un continuo e complesso bilanciamento del diritto alla privacy informativa con altri diritti fondamentali c.d. di pari rango e con gli interessi pubblici diretti a tutelare beni primari (sicurezza e salute collettiva ad es.) . Ed il medesimo ricorso alle fonti di autoregolamentazione ( codici adottati dalle categorie professionali, e con procedure individuate ) non può che essere inquadrato e incastonato in tale specifico contesto istituzionale
Ma sempre per tale ragione la disciplina della privacy si rivolge ad ogni soggetto pubblico e privato. Attraverso di essa lo Stato, anche in nome dello statuto dell’individuo e della esigenza di protezione sociale, autolimita e disciplina di principio innanzitutto il proprio potere di trattare ed utilizzare i diversi tipi di dati. E di qui la ulteriore spiegazione del perché al Garante della privacy vengano affidati poteri e ruolo tali da averne fatto lumeggiare quasi una collocazione intermedia atipica. Peraltro la Cassazione ha ormai autorevolmente escluso che si tratti di organo paragiurisdizionale ( risultando i provvedimenti affidati al Garante sottoposti al vaglio giurisdizionale ed il Garante legittimato quale parte nei processi ordinari mentre la tutela risarcitoria del danno ex art 2059 CC deve ritenersi ricondotta in alveo giurisdizionale ordinario ).
Altra questione è poi se, nel concreto momento politico , per quella eterogenesi dei fini che spesso caratterizza le scelte, il bilanciamento effettuato si sia proceduto talvolta inutilmente sacrificando qualche interesse pubblico, peraltro di primaria importanza. Alludo alla disciplina, rivista di recente, della tenuta ed acquisizione poi da parte della autorità giudiziaria dei dati relativi alle comunicazioni telefoniche ed ancor più alla facoltà/possibilità, di fatto riconosciuta ai gestori di servizi di telefonia per la rete ed agli Internet Providers, di cancellare tout court i dati afferenti i log delle connessioni in rete, in quanto non più necessari, ( e non lo sono dal giorno dopo e di regola neanche per le fatturazioni, attesa la tipologia dei contratti stipulati, sempre di più a forfait ). Con quali danni per la tutela della legalità e per le indagini della a.g. che sono da tempo relative ad ogni tipo di fatto criminale consumato o preparato tramite INTERNET, è facile immaginare.

Art. 153. Il Garante . La Corte di cassazione, ha osservato correggendo orientamenti espressi sia dal Tribunale di Milano nel 1999 che del Tribunale di Roma nel 2000, che la protezione assicurata ai diritti della persona si realizza (anche nel contesto del codice appena entrato in vigore) attraverso un coordinato meccanismo di interventi da parte del Garante, in cui si prevedono attività di prevenzione nei confronti di comportamenti potenzialmente lesivi, acquisizione di ufficio di informazioni o pareri e decisioni su ricorso degli interessati o d’ufficio. Nel caso in cui l’intervento del Garante sia conseguenza di una istanza dell’interessato per far valere uno dei diritti di cui all’art. 13 (ora, art. 7 del codice), osserva la Corte, l’accertamento del fondamento della pretesa di protezione avviene in contraddittorio con il controinteressato, ed il procedimento prevede anche taluni poteri di natura istruttoria in capo al Garante, con impugnazione in unico grado di merito, davanti al Tribunale ordinario; nel caso in cui l’attività del Garante si dispiega di ufficio e dà luogo ad un divieto di trattamento ritenuto contrastante con i principi e gli obblighi di legge, il provvedimento del Garante è impugnabile davanti al giudice ordinario analogamente a quello emesso da impulso di parte ancorché senza contraddittorio.Conseguentemente, secondo il supremo Collegio, solo la domanda con la quale si intende far valere un diritto, alternativo alla azione giudiziaria, apre il particolare procedimento in contraddittorio, mentre negli altri casi, il provvedimento del Garante è direttamente impugnabile davanti al giudice, con la stessa procedura prevista per i provvedimenti resi in contraddittorio con il titolare e l’interessato. Dunque, non è esatto sostenere che i fini dell’Ufficio del Garante di tutela dei diritti della persona giustificano una posizione dell’Autorità parificabile a quella dì “giudice di conflitti ìntersoggettivi dìspiegata all’interno di un processo di tipo giudiziario” poiché tale situazione è comparabile con quella di altre autorità indipendenti, a cui è affidata la tutela di diritti soggettivi di rango costituzionale (come la tutela della struttura concorrenziale del mercato) mediante l’adozione di
provvedimenti che sono, pur sempre, sottoposti al controllo dell’Autorità giudiziaria. In conclusione, poiché non è dato rinvenite nell’ordinamento giudiziario vigente un tertium genus tra amministrazione e giurisdizione, non può esistere nemmeno, secondo il Giudice dì legittimità, una forma paragiurisdizionale, distinta dall’amministrazione e dalla giurisdizione.


Art. 153. Il Garante ha il compito di:
a) controllare i trattamenti ( funzione di controllo ed ispettiva )
b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi
c) prescrivere anche d'ufficio misure necessarie per rendere il trattamento lecito e conforme
d) vietare anche d'ufficio, in tutto o in parte, trattamenti illeciti o non corretti o disporre il blocco di dati
e) promuovere la sottoscrizione di codici deontologici ai sensi dell'articolo 12 e dell'articolo 139;
f) segnalare al Parlamento e al Governo l'opportunità di interventi normativi di aggiornamento;
g) esprimere pareri nei casi previsti; ( funzione consultiva )
h) curare la conoscenza tra il pubblico della disciplina ( trattamento dati, finalità, e misure di sicurezza )
i) denunciare i reati perseguibili d'ufficio ( pleonastico ) ;
l) tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all'articolo 37;
m) predisporre annualmente una relazione sull'attività svolta e sullo stato di attuazione del codice,
2. Il Garante svolge altresì, ai sensi del comma 1, la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da regolamenti comunitari e, in particolare:
a) dalla legge 30 settembre 1993, n. 388, e successive modificazioni, di ratifica ed esecuzione dei protocolli e degli accordi di adesione all'accordo di Schengen e alla relativa convenzione di applicazione;
b) dalla legge 23 marzo 1998, n. 93, e successive modificazioni, di ratifica ed esecuzione della convenzione istitutiva dell'Ufficio europeo di polizia (Europol);
c) dal regolamento (Ce) n. 515/97 del Consiglio, del 13 marzo1997, e dalla legge 30 luglio 1998, n. 291, e successive modificazioni, di ratifica ed esecuzione della convenzione sull'uso dell'informatica nel settore doganale;
d) dal regolamento (Ce) n. 2725/2000 del Consiglio, dell'11 dicembre 2000, che istituisce l"Eurodac" per il confronto delle impronte digitali e per l'efficace applicazione della convenzione di Dublino;
e) nel capitolo IV della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale autorità designata ai fini della cooperazione tra Stati ai sensi dell'articolo 13 della convenzione medesima.

Comunque i principi portanti della normativa vengono nel codice della privacy felicemente fissati: “ Chiunque ha diritto alla protezione dei dati personali che lo riguardano “ “ Il trattamento dei dati personali deve svolgersi nel rispetto di diritti, libertà fondamentali e dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali “ Tutela di diritti e libertà indicati deve essere assicurata mediante modalità semplificate armonizzate ed efficaci non solo per il loro esercizio da parte degli interessati, ma anche per l’adempimento degli obblighi da parte dei titolari del trattamento “. “ Trattamento ed utilizzo di dati personali ed identificativi deve essere limitato al necessario ed i dati debbono essere resi anonimi, ovunque possibile, salvo modalità che permettano di identificare l’interessato in caso di necessità.”.
Spicca in questo quadro tra gli altri il divieto di Profiling che è diretta e quasi iconografica espressione della tutela dell’individuo nelle società cibernetica : “Art. 14 (Definizione di profili e della personalità dell’interessato) 1. Nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell'interessato. 2. L'interessato può opporsi ad ogni altro tipo di determinazione adottata sulla base del trattamento indicato salvo che la determinazione sia stata adottata in occasione della conclusione o dell'esecuzione di un contratto, in accoglimento di una proposta dell'interessato o sulla base di adeguate garanzie individuate dal presente codice o da un provvedimento del Garante. E “ Art 22 10 co. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psico-attitudinali volti a definire il profilo o la personalità dell'interessato.”

LA disciplina introdotta dal codice per la tutela della privacy informativa, si presenta poi :
  • Unitaria in funzione della regolamentazione del trattamento dei dati personali, ma più specifica per i c.d. dati sensibili, ed ulteriormente specificata per i dati idonei a rilevare lo stato di salute dell’individuo , in ambito sanitario e non;.
  • Sedimentata con riguardo alla diversa natura ed alle molteplici finalità istituzionali dei soggetti pubblici, avendo trasfuso l’ esperienza accumulata del Garante dal 1997 al 2002, e quindi organizzata regolamentando distinti sistemi, ambiti e settori ( giudiziario, forze di polizia, difesa e sicurezza dello Stato, sanitario, istruzione, lavoro e previdenza sociale, bancario, finanziario ed assicurativo, marketing diretto, comunicazioni elettroniche, libere professioni ed investigazione privata, giornalismo ed espressione artistica e letteraria, ambito pubblico in genere con riguardo al bilanciamento tra privacy e diritto di accesso ai dati, registri pubblici, albi professionali, cittadinanza, immigrazione , diritti politici ed altro ). E le interferenze tra le discipline di settore e, per quel che ci interessa, la disciplina sul trattamento dei dati afferenti lo stato di salute individuale sono innumerevoli.
Tale disciplina si presenta infine come peculiarmente indirizzata a risolvere conflitti ed interferenze tra diritti di pari rango rispetto al diritto alla riservatezza e tra questo ed interessi pubblici rilevanti e concomitanti.
Una sola avvertenza ulteriore, da rammentare: diverse sono le fonti di disciplina: il codice richiama non solo fonti normative primarie ( riservando alla sola legge la possibilità di autorizzare certi trattamenti di dati ) e secondarie ( regolamenti ), ma anche ( oltre ai codici deontologici di particolari categorie professionali, ed approntati con apposita procedura previo parere del Garante ) la potestà autorizzatoria generale del Garante, Tale potestà avendo caratteristiche generali ed astratte, in ragione delle quali è prevista la pubblicazione dell’aut. Generale sulla G.U. , si presenta di principio come una fonte integratrice dinamica ( e per questo tipizzata ), di natura pararegolamentare, e comunque quantomeno logicamente distinta dai singoli concreti provvedimenti di autorizzazione ad hoc ( la autorizzazione generale é preventiva ed esonera i titolari, che vi si conformino integralmente, dal richiedere autorizzazioni specifiche).


II . Il codice della privacy: soggetti interessati consenso, informativa, e diritti strumentali. Dati personali e sensibili , finalità trattamento ed autorizzazioni. L’informativa al Garante .

1. I dati personali, identificativi e sensibili ed i soggetti che li trattano. 2. Trattamento di dati personali e dati sensibili. La distinzione generale tra soggetti pubblici nelle loro funzioni istituzionali e soggetti privati. 3. Notificazione del trattamento al Garante solo per alcune categorie di dati personali e dati sensibili.

1. I dati personali, identificativi e sensibili ed i soggetti che li trattano
Tali considerazioni generali aprono ora la riflessione, senza ulteriori approfondimenti teorici, su quanto rilevante , in questo quadro, sia la privacy informativa con riferimento ai dati sensibili attinenti la salute dell’individuo. Ma la architettura generale del codice della privacy richiede un ulteriore sforzo di attenzione preliminare. Perché esso è strutturato come le cipolle ( direbbe Shreck , un noto personaggio del cinema dell’era digitale ), a strati.
Le discipline generali fanno da regola e quelle particolari da eccezione e/o completamento ( così come i codici deontologici approvati secondo le nuove procedure previste e le autorizzazioni generali del Garante completano ed integrano le discipline settoriali ), e ciò accade anche, e direi tipicamente, in materia di trattamento dei dati in ambito sanitario . I dati sensibili strettamente attinenti la salute dell’individuo necessariamente non sono che una sola parte dei dati personali trattati ( anche ) congiuntamente in ambito sanitario e altresì anche per distinte finalità.
Sicché non abbiamo a disposizione un “ utile ascensore “ : l’edificio normativo della privacy va percorso, non per esigenze meramente didascaliche. entrando dalla porta ed a piedi,dopo aver incontrato al piano terra disciplina dei dati e del trattamento in genere, e dati individuali e sensibili, raggiungendo per le scale, le stanze dei dati sensibili afferenti la salute dell’individuo, il piano dei dati trattati in ambito sanitario .

E’ "dato personale" qualunque informazione relativa all’ “interessato“ che può essere persona fisica, persona giuridica, ente od associazione, identificato o identificabile anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. L’interessato, anche la fine di assicurare utile esercizio delle varie facoltà strumentali riconosciutegli, ha diritto in generale ad una preventiva informativa senza vincoli di forma, che dia conto di tutte le notizie afferenti finalità e modalità del trattamento, facoltatività od obbligatorietà del conferimento dei dati, soggetti cui i dati possono essere comunicati, dati identificativi del titolare del trattamento . Ed ha diritto a conoscere l’esistenza ed il contenuto dei dati che lo riguardano, a chiederne aggiornamento e rettificazione, cancellazione o trasformazione in forma anonima, ovvero ottenere il blocco dei dati illegittimamente trattati in violazione di legge .
Nell’ambito dei dati personali sono "dati identificativi", quei dati personali che permettono l’identificazione diretta dell’interessato.
I dati personali vengono considerati in quanto trattati da qualunque persona fisica, persona giuridica e P.A. , associazione od organismo individuato come “ titolare “ “ responsabile “e cioè soggetto unico cui competono , eventualmente anche unitamente ad altro titolare, le decisioni in ordine alle finalità , modalità di trattamento dei dati e strumenti adottati a riguardo, anche ai fini della sicurezza . In base a principi generali del nostro sistema giuridico ( la responsabilità è personale e nelle organizzazioni complesse i poteri e le responsabilità sono delegabili con efficacia liberatoria se la delega presenta i requisiti di effettività necessari ) viene prevista la figura dell’ “ incaricato” quale persona fisica autorizzata mediante apposita delega, a compiere le operazioni di trattamento.
Tutti i dati personali il cui utilizzo sia liceizzato ( nelle varie forme previste ) vanno comunque trattati, sia in via primaria che derivata, in modo lecito e secondo “ correttezza “ , potendo essere raccolti solo per scopi determinati, espliciti e legittimi, e vanno conservati, con cautele che consentano l’individuazione della persona cui si riferiscono, per il solo tempo strettamente necessario agli scopi per i quali sono stati raccolti o trattati successivamente, dovendo infine essere custoditi e controllati, in modo da ridurre al minimo i rischi di distruzione e perdita o di accessi non autorizzati e trattamenti non consentiti .

Sono poi “dati personali sensibili”, meritevoli di incisiva e diversificata regolamentazione, quei dati personali attinenti le persone fisiche che sono idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché ( elettivamente ) i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
La ragione della diversificata considerazione riposa nel più intimo collegamento dei dati sensibili alla sfera della personalità dell’individuo , e nella maggiore potenzialità offensiva di questa sfera derivante dalla propalazione ed utilizzo improprio di tali dati . La particolare protezione destinata al trattamento di dati sensibili, in special modo da parte di soggetti pubblici, si ricollega infine anche al pericolo di politiche discriminatorie
Per i dati afferenti allo stato di salute dell’individuo la tutela è differenziata ulteriormente, più incisiva in speciale considerazione anche dello stato di debolezza e indifeso del soggetto sottoposto a trattamento medico sanitario, e più complessa ed articolata in ragione della concorrente necessità di salvaguardia di diritti ed interessi pubblici primari ( integrità ed incolumità fisica, salute individuale, tutela della salute collettiva emergenze sanitarie e funzionamento delle istituzioni pubbliche e private che curano la tutela diretta dei medesimi beni fondamentali e funzioni di ricerca ed amministrative connesse) E Il consiglio di Europa ha con riguardo a tali dati rilasciato apposita raccomandazione ( R 97 del 13/2/1997 che, riprendendo le linee guida della Convenzione n. 108 del 1981, in ambito sanitario, ha sviluppato espressamente il tema della tutela dei dati afferenti lo stato di salute .


2. Trattamento di dati personali e dati sensibili. La distinzione generale tra soggetti pubblici nelle loro funzioni istituzionali e soggetti privati.

A. DATI PERSONALI .Per i soggetti pubblici ( diversi dagli enti pubblici economici e dai soggetti privati ) é fissato il principio generale che il trattamento dei dati personali in genere è lecito, non richiedendo di massima il consenso dell’interessato nè una apposita legge o regolamento che lo preveda, ma solo in quanto sia pertinente ai fini istituzionali . La comunicazione ad altri soggetti pubblici, anche se solo ammessa per lo svolgimento di funzioni istituzionali, richiede però comunque apposita previsione di legge o regolamento,
Viceversa per i soggetti privati ( ed enti pubblici economici ) vige ( con le eccezioni elencate nell’art 24 da a) a i), il diverso principio della necessità del consenso preventivo, previa informativa, In generale i dati non possono essere diffusi per finalità diverse da quelle esplicitamente ed appositamente indicate nella notificazione al Garante circa il trattamento, e comunque quando ne sia stata ordinata la cancellazione ovvero siano da ritenersi esauriti gli scopi specifici del trattamento , e sempre fatti salvi gli eventuali divieti disposti dal Garante o dalla autorità giudiziaria.

B. DATI SENSIBILI . Per i dati sensibili vi è una disciplina generale, affatto differente . Per il trattamento dei dati sensibili da parte dei soggetti pubblici vige difatti il principio della riserva di legge ( la norma deve altresì specificare tipologia dei dati ed operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite e se la legge avendo indicato le finalità di rilevante interesse pubblico, non specifica dati ed operazioni previste, gli enti pubblici possono procedere al trattamento solo con riguardo a dati ed operazioni individuati e resi pubblici, mediante apposito regolamento sottoposto al preventivo parere del Garante. In assenza di una disposizione di legge, solo per il perseguimento di finalità di rilevante interesse pubblico, può essere autorizzato il trattamento di dati sensibili, previa apposita decisione affidata al Garante ( art 26 ) Comunque il trattamento dei dati sensibili e giudiziari può essere effettuato solo in quanto indispensabile a svolgere attività istituzionali, mediante procedure di verifica periodiche atte a garantire esattezza , aggiornamento, pertinenza e completezza dei dati, previa criptazione e sistemi informatici atti a consentire accesso al singolo dato solo a soggetti autorizzati con registrazione dell’accesso e dell’identità mediante password del soggetto che accede al dato.
Per i soggetti privati vige il principio che il trattamento dei dati sensibili è possibile solo previo consenso scritto dell’interessato e previa autorizzazione del Garante, salvo che non si tratti di dati conferiti e trattati esclusivamente nell’ambito di associazioni religiose, e di associazioni confederazioni di categoria e sindacali . Non occorre il consenso ma basta l’autorizzazione del Garante, alle associazioni senza scopo di lucro per i dati relativi agli aderenti, se il trattamento attiene all’espletamento di investigazioni difensive, o per far valere o difendere un diritto in sede giudiziaria, adempiere specifici obblighi previsti dalla legge , da regolamento o da norme comunitarie per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e di previdenza ed assistenza, nei limiti fissati dal Garante con autorizzazione ( generale ) oltrechè quando il trattamento è necessario per la salvaguardia della vita ed incolumità di terzi mentre non occorre l’autorizzazione ma basta il consenso se va tutelata la vita e l’incolumità dell’interessato medesimo.
In tutti casi elencati dalla norma è individuabile l’assenza del pericolo nel trattamento dei dati o la prevalenza accordata ai soli diritti di pari rango.

3. Notificazione del trattamento al Garante solo per alcune categorie di dati personali e dati sensibili .

Una composita categoria di dati personali e dati sensibili,, espandibile o riducibile dal Garante con provvedimento generale destinato a pubblicazione sulla G. U. , viene elencata dall’art 37 che obbliga i titolari autorizzati ( ex lege o mediante autorizzazione del Garante ) a notificare con modalità appositamente disciplinate il trattamento di dati cui intendono procedere ( ed il Garante a creare un registro delle notificazioni, altresì accessibile a chiunque ).
Tale elenco è stato modificato con provvedimento a carattere generale del 31 marzo 2004 deliberazione n. 1 pubblicato sulla Gazzetta Ufficiale del 6 aprile 2004, n. 81, immettendovi tutta una serie di eccezioni che derivano, a ben vedere, dalla rilettura sistematica dei principi e quindi dalla consueta esigenza di bilanciamento dei diritti di pari rango in giuoco o della necessità di rispettare obblighi di legge preesistenti e riconducibili a diritti di pari rango. Il Garante ha inteso motivare ulteriormente la esclusione con la considerazione che i trattamenti elencati risultano già effettuati con modalità che permettono, allo stato, di sottrarli all’obbligo di notificazione

Ad oggi debbono ritenersi assoggettati all’obbligo di notificazione i trattamenti con le relative eccezioni appresso elencati
1) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica salvo che non si tratti di :
a) trattamenti non sistematici di dati genetici o biometrici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica. Ciò limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell’incolumità fisica dell’interessato o di un terzo;
b) trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
c) trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto;

2) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria, salvo che non si tratti di :
trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti:
a) a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività. Ciò sempre che i trattamenti siano effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell’incolumità fisica dell’interessato o di un terzo;
b) ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione;

3) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale salvo che non si tratti di :
trattamenti di dati idonei a rivelare la sfera psichica di lavoratori:
a) effettuati da associazioni, enti od organismi a carattere sindacale per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di rapporto di lavoro o di previdenza, anche in tema di diritto al lavoro dei disabili;
b) effettuati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza;

4) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti salvo che non si tratti di :
trattamenti di dati personali:
a) che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro, fuori dei casi di cui alla lettera e) del medesimo art. 37, comma 1;
b) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria;
c) relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet;

5) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie salvo che non si tratti di :
trattamenti di dati sensibili effettuati:
a) al solo fine di selezione di personale per conto esclusivamente di soggetti appartenenti al medesimo gruppo bancario o societario;
b) da soggetti pubblici per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di occupazione e mercato del lavoro;
c) da associazioni o organizzazioni di categoria al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l’adesione alla medesima associazione o organizzazione;

6) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. salvo che non si tratti di :
trattamenti di dati personali:
a) effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque;
b) registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato;
c) registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza;
d) registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni;
e) relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio;
f) trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all’esclusivo fine di prestare l’attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali ("confidi");


III . I dati idonei a rivelare lo stato di salute. Trattamenti in genere ed in ambito sanitario

1. La tenuta separata dei dati idonei a rivelare lo stato di salute. in genere ed in ambito sanitario. il divieto di identificazione per alcune categorie speciali di dati. 2. Trattamenti appositamente disciplinati: dati genetici e donatori di midollo osseo, certificato di assistenza al parto, banche dati nazionali preesistenti. 3. Trattamento dati sullo stato di salute: a) con finalità di tutela della salute e della incolumità fisica dell’interessato. La tutela dei terzi e della collettività. Il principio del consenso informato preventivo e la tutela di interessi di pari rango prevalenti 4. Trattamento dati sullo stato di salute: b) secondo finalità di rilevante interesse pubblico. Compiti del Servizio Sanitario Nazionale e settori vari individuati ex lege . 5. Tutte le ipotesi di trattamento dati sulla salute anche alla luce della autorizzazione generale del garante n. 2/2004. Didascalia riepilogativa dei trattamenti non necessitanti autorizzazione o liceizzati per i quali non dovrà comunque essere richiesta autorizzazione ad hoc al garante (conformandosi però il titolare responsabile esattamente alla autorizzazione generale. 6. Modalità semplificate per l’informativa all’interessato nel caso di trattamento dati raccolti in ambito sanitario per finalità di tutela della salute ed incolumità fisica da parte di organismi sanitari pubblici e privati, ed esercenti professioni sanitarie nonché anche di trattamento dei dati a fini di tutela dell’igiene e sicurezza del lavoro. 7 In particolare l’informativa dei medici di famiglia e dei pediatri e le ulteriori modalità semplificate per il consenso dell’interessato finalizzate a coprire la intera filiera sanitaria degli interventi medico terapeutici 8 Le informazioni mediche all’interessato. 9. Le prescrizioni mediche come documento contenente dati personali: le soluzioni legislative. 10. Diritto di accesso ai dati delle cartelle cliniche. 11. Gli illeciti sanzionati in genere ed i soggetti responsabili in ambito sanitario

1. La tenuta separata dei dati idonei a rivelare lo stato di salute. in genere ed in ambito sanitario. il divieto di identificazione per alcune categorie speciali di dati.

I dati inerenti lo stato di salute individuale sono assoggettati innanzitutto a divieto di diffusione che riguarda sia i soggetti pubblici ( art 22 8° co ) che i privati ( art 26 5° co. ) .che li trattino.


Ma la notizia relativa può invece essere pubblicata/diffusa, nei limiti del principio di essenzialità dell’informazione, se di interesse pubblico e relativa in particolare a persona “pubblica”. La operazione di bilanciamento tra diritti di pari rango viene riportata ad “ unità” dalla previsione della opponibilità del segreto professionale giornalistico ( art 138 )
Articolo 5 Codice deontologico dei giornalisti
Diritto all'informazione e dati personali
1. Nel raccogliere dati personali atti a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche o di altro
genere, opinioni politiche, adesioni a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché dati atti a rivelare le condizioni di salute e la sfera sessuale, il giornalista garantisce il diritto all'informazione su fatti di interesse pubblico, nel rispetto dell'essenzialità dell'informazione, evitando riferimenti a congiunti o ad altri soggetti non interessati ai fatti.

Nell’ambito pubblico i dati sensibili sullo stato di salute ( e sulla vita sessuale ) debbono essere comunque conservati, con prescrizione aggiunta, rispetto a quelle concernenti gli altri dati sensibili, in archivi separati da quelli relativi a dati personali trattati per finalità che non richiedono utilizzo di dati sensibili ( principio di obbligatoria realizzazione di banche dati “ relazionali “ separate od archivi cartacei analogamente concepiti art 22 7° co) .
Resta fermo il divieto ( ribadito nella AUT GENERALE 2/2004 ) di consentire l’identificazione delle persone interessato per le rilevazioni statistiche delle infezioni da HIV ( art 5 co 2 L 5/6/1990 n. 135 modificato dall’art 178 Codice ), nelle dichiarazioni sulle interruzioni di gravidanza da trasmettere al medico provinciale ai sensi art art 11 L 22/5/1978 n. 194, e con riferimento ai minorenni sottoposti a violenza sessuale / art 734 bis CP ). A questa casistica vanno aggiunti l’anonimato dei donatori di midollo osseo ( qualificato come diritto-dovere sia nei confronti del ricevente che dei terzi ) e il diritto della madre che non intenda essere nominata nel certificato di assistenza al parto ai sensi 30, comma 1, del decreto del Presidente della Repubblica 3 novembre 2000, n. 396 ( bilanciato dal diritto dei discendenti di ottenere certificazione completa – solo, ma comunque - dopo cento anni )
I titolari del trattamento di dati afferenti lo stato di salute individuale sono poi vincolati alla notificazione al Garante ( ex art 37 cit. ) secondo la procedura ed utilizzando la modulistica previste, solo qualora trattino alcuni di questi dati ed in particolare per quello che in questa sede può interessare a) dati genetici, biometrici b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni,

2. Trattamenti appositamente disciplinati: dati genetici e donatori di midollo osseo, certificato di assistenza al parto, banche dati nazionali preesistenti.

Norme particolari che in questa sede possiamo solo ricordare sono state fissate per Trattamento dei dati genetici e donatori di midollo osseo ; certificato di assistenza al parto; banche dati nazionali preesistenti.
CAPO V DATI GENETICI Art. 90 (Trattamento dei dati genetici e donatori di midollo osseo) 1. Il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità. 2. L’autorizzazione di cui al comma 1 individua anche gli ulteriori elementi da includere nell’informativa ai sensi dell’articolo 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi. 3. Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n. 52, ha il diritto e il dovere di mantenere l’anonimato sia nei confronti del ricevente sia nei confronti di terzi. CAPO VI DISPOSIZIONI VARIE Art. 91 (Dati trattati mediante carte) 1. Il trattamento in ogni forma di dati idonei a rivelare lo stato di salute o la vita sessuale eventualmente registrati su carte anche non elettroniche, compresa la carta nazionale dei servizi, o trattati mediante le medesime carte è consentito se necessario ai sensidell’articolo 3, nell’osservanza di misure ed accorgimenti prescritti dal Garante nei modi di cui all’articolo 17.

Art. 93 (Certificato di assistenza al parto) 1. Ai fini della dichiarazione di nascita il certificato di assistenza al parto è sempre sostituito da una semplice attestazione contenente i soli dati richiesti nei registri di nascita. Si osservano, altresì, le disposizioni dell’articolo 109. 2. Il certificato di assistenza al parto o la cartella clinica, ove comprensivi dei dati personali che rendono identificabile la madre che abbia dichiarato di non voler essere nominata avvalendosi della facoltà di cui all’articolo 30, comma 1, del decreto del Presidente della Repubblica 3 novembre 2000, n. 396, possono essere rilasciati in copia integrale a chi vi abbia interesse, in conformità alla legge, decorsi cento anni dalla formazione del documento. 3. Durante il periodo di cui al comma 2 la richiesta di accesso al certificato o alla cartella può essere accolta relativamente ai dati relativi alla madre che abbia dichiarato di non voler essere nominata, osservando le opportune cautele per evitare che quest’ultima sia identificabile.

Art. 94 (Banche di dati, registri e schedari preesistenti in ambito sanitario) 1. Il trattamento di dati idonei a rivelare lo stato di salute contenuti in banche di dati, schedari, archivi o registri tenuti in ambito sanitario, è effettuato nel rispetto dell’articolo 3 anche presso banche di dati, schedari, archivi o registri già istituiti alla data di entrata in vigore del presente codice e in riferimento ad accessi di terzi previsti dalla disciplina vigente alla medesima data, in particolare presso: a) il registro nazionale dei casi di mesotelioma asbesto-correlati istituito presso l’Istituto superiore per la prevenzione e la sicurezza del lavoro (Ispesl), di cui all’articolo 1 del decreto del Presidente del Consiglio dei ministri 10 dicembre 2002, n. 308; b) la banca di dati in materia di sorveglianza della malattia di Creutzfeldt-Jakob o delle varianti e sindromi ad essa correlate, di cui al decreto del Ministro della salute in data 21 dicembre 2001, pubblicato nella Gazzetta Ufficiale n. 8 del 10 gennaio 2002; c) il registro nazionale delle malattie rare di cui all’articolo 3 del decreto del Ministro della sanità in data 18 maggio 2001, n. 279; d) i registri dei donatori di midollo osseo istituiti in applicazione della legge 6 marzo 2001, n. 52; e) gli schedari dei donatori di sangue di cui all’articolo 15 del decreto del Ministro della sanità in data 26 gennaio 2001, pubblicato nella Gazzetta Ufficiale n. 78 del 3 aprile 2001.


3. Trattamento dati sullo stato di salute: a) con finalità di tutela della salute e della incolumità fisica dell’interessato. La tutela dei terzi e della collettività. Il principio del consenso informato preventivo e la tutela di interessi di pari rango prevalenti

A. Per i dati idonei a rivelare lo stato di salute qualora si tratti di dati ed operazioni di trattamento indispensabili a perseguire finalità di tutela della salute e della incolumità fisica dell’interessato. vige il principio della necessità del consenso al trattamento dei dati, consenso informato, con modalità semplificate e previste ad hoc, e di norma preventivo ( ma senza necessaria autorizzazione del Garante ) .
Nel ristretto ambito del codice della privacy, tale principio appare come eccezione alla regola generale fissata in materia di dati sensibili per i soggetti pubblici, e riguarda in particolare gli esercenti le professioni sanitarie e gli organismi sanitari pubblici. ( l’art. 85 2° co esclude espressamente che in questi casi si tratti di finalità di rilevante interesse pubblico che consentono invece l’applicazione della disciplina generale per il trattamento dei dati sensibili da parte di soggetti pubblici ).
In realtà questo principio costituisce, applicazione parallela del principio del consenso al trattamento medico ( e divieto di trattamenti sanitari coattivi, salvo le eccezioni previste dalla norma costituzionale) pur spiegandosi già con la più incisiva tutela apprestata alla particolare tipologia di dati sensibili. Il consenso dell’interessato rimane condizione di liceità del trattamento volto a salvaguardarne incolumità e salute. Una scelta criticata , ma mitigata nelle sue conseguenze pratiche, dalla semplificazione ed armonizzazione delle procedure per l’informativa e la prestazione del consenso.
La chiave di lettura più amplia che guarda all’art 32 della costituzione fornisce uno strumento interpretativo indispensabile anche per le numerose e necessarie eccezioni alla regola.
Così è immediatamente percepibile la portata dell’ulteriore principio secondo il quale non occorre il previo consenso dell’interessato ( ma basta l’autorizzazione del Garante, per l’appunto conferita in via generale con l’autorizzazione n. 2 del Giugno 2004 ) quando il trattamento e l’utilizzo dei dati sia necessario a salvaguardare l’incolumità fisica e la salute di terzi.
E sempre in tale chiave è facilmente comprensibile la norma generale ( di cui all’art 26 4° co. Lett. b ) secondo la quale quando l’interessato è impossibilitato di fatto o giuridicamente a prestare il consenso ( impossibilità fisica, incapacità di agire od incapacità di intendere e volere ) non solo il consenso può essere dato da terzi soggetti posti un relazione tipica con l’interessati (esercente la potestà legale, prossimo congiunto, familiare, convivente ) ma anche. in loro assenza, del titolare della struttura presso cui l’interessato è ricoverato. Negli ultimi due casi è quindi in giuoco il bene di rango superiore della vita e salute dei terzi o del medesimo interessato e prevale la tutela di questo sul diritto alla privacy informativa.
E la omologa norma ( art 82 2° co lett a) che autorizza in ambito sanitario il consenso successivo dell’interessato al trattamento, quando impossibilitato di fatto e giuridicamente al momento della prestazione, si spiega sempre con la prevalenza del diritto al trattamento sanitario ed alla tutela della salute.
Ancora l’art 82 al 2° co lett B) prevede poi la eccezione al consenso preventivo e la possibilità di consenso successivo in tutti i casi nei quali vi sia rischio grave , imminente ed irreparabile per la salute ed incolumità fisica dell‘interessato, sempre privilegiando il bilanciamento a favore del diritto di pari rango prevalente .E persino quando vi sia la possibilità di intempestività od inefficacia dell’intervento terapeutico è previsto il consenso successivo ( art 82 3° co. ).
Ed anche in ambito privato deve ritenersi sufficiente l’autorizzazione del garante ( generale e puntualmente intervenuta ) se il trattamento dei dati afferenti lo stato di salute riguarda la salvaguardia della incolumità e della vita del terzo mentre se riguarda l’interessato, che non può prestare il consenso è appositamente disciplinata la prestazione del consenso alternativamente ed anche disgiuntamente di soggetti legittimati ex lege ed in caso di loro assenza, dal responsabile della struttura ove dimora l’interessato
Una disposizione ad hoc individua infine l’ipotesi di emergenze sanitarie o di igiene pubblica, per le quali sia stata emessa ordinanza contingibile ed urgente, consentendo anche in tale ipotesi il consenso successivo alla prestazione ( art 82 1° co ) .

4. Trattamento dati sullo stato di salute: b) secondo finalità di rilevante interesse pubblico. Compiti del Servizio Sanitario Nazionale e settori vari individuati ex lege

Gli artt. 85 ed 86 elencano compiti del Servizio sanitario Nazionale e finalità di rilevante interesse pubblico, che consentono di applicare la disciplina generale sul trattamento dei dati sensibili, anche ai dati sullo stato di salute ( non occorre cioè il consenso ed il trattamento è lecito purchè sia data idonea pubblicità su tipologia dei dati ed operazioni eseguibili )
COMPITI DEL SERVIZIO SANITARIO NAZIONALE a) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa l'assistenza degli stranieri in Italia e dei cittadini italiani all'estero, nonché di assistenza sanitaria erogata al personale navigante ed aeroportuale; b) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria; c) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria; d) attività certificatorie; e) l'applicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute della popolazione; f) le attività amministrative correlate ai trapianti d'organo e di tessuti, nonché alle trasfusioni di sangue umano, anche in applicazione della legge 4 maggio 1990, n. 107; g) instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario nazionale.
FINALITÀ DI RILEVANTE INTERESSE PUBBLICO,a) tutela sociale della maternità e di interruzione volontaria della gravidanza, con particolare riferimento a quelle svolte per la gestione di consultori familiari e istituzioni analoghe, per l'informazione, la cura e la degenza delle madri, nonché per gli interventi di interruzione della gravidanza; b) stupefacenti e sostanze psicotrope, con particolare riferimento a quelle svolte al fine di assicurare, anche avvalendosi di enti ed associazioni senza fine di lucro, i servizi pubblici necessari per l'assistenza socio-sanitaria ai tossicodipendenti, gli interventi anche di tipo preventivo previsti dalle leggi e l’applicazione delle misure amministrative previste; c) assistenza, integrazione sociale e diritti delle persone handicappate effettuati, in particolare, al fine di:1) accertare l'handicap ed assicurare la funzionalità dei servizi terapeutici e riabilitativi, di aiuto personale e familiare, nonché interventi economici integrativi ed altre agevolazioni; 2) curare l'integrazione sociale, l'educazione, l'istruzione e l’informazione alla famiglia del portatore di handicap, nonché il collocamento obbligatorio nei casi previsti dalla legge; 3) realizzare comunità-alloggio e centri socio riabilitativi; 4) curare la tenuta degli albi degli enti e delle associazioni ed organizzazioni di volontariato impegnati nel settore

5. Tutte le ipotesi di trattamento dati sulla salute anche alla luce della autorizzazione generale del garante n. 2/2004. Didascalia riepilogativa dei trattamenti non necessitanti autorizzazione o liceizzati per i quali non dovrà comunque essere richiesta autorizzazione ad hoc al garante (conformandosi però il titolare responsabile esattamente alla autorizzazione generale .

Il quadro della disciplina andrebbe completato con un “ricca” casistica di utilizzo e trattamento dei dati sulla salute per fini diversi ( assicurativi, tutela interna agli ambienti di lavoro, scopi scientifici, cultural-storici, società sportive e così via ) ma è stato anche integrato, incisivamente, dalla autorizzazione generale del Garante n. 2/2004 più volte citata.
Alla luce di tale intervento autorizzatorio generale i dati sensibili afferenti lo stato di salute individuale sono soggetti alla seguente concreta disciplina:
A) dati trattati a fini di salute e per la salvaguardia dell’incolumità fisica da parte di organismi sanitari pubblici ovvero da esercenti la professione sanitaria ( consenso preventivo dell’interessato, quantomeno registrato in forma scritta o con modalità formalizzate, previa informativa semplificata e trattamento liceizzato per tutte le attività terapeutiche e di trattamento sanitario derivate, senza necessità di autorizzazione del Garante ( artt 76 ed 85 2° co che rinvia al 76)
In questo ambito :
  • Costituiscono eccezioni al principio del consenso personale ( e per i quali è necessaria e sufficiente la già emessa autorizzazione in via generale dal Garante - aut. N. 2/2004 ) tutti i casi nei quali entra in giuoco la salvaguardia della vita e dell’incolumità individuale del terzo ( art 26 4° co lett b) o della collettività ( art 76 1° co. Lett. B) ed in cui in particolare il consenso può essere prestato in caso di impossibilità giuridica o materiale dell’interessato, da soggetti legati da rapporto di parentela, familiare o di convivenza con l’interessato ed in loro assenza dal titolare della struttura
  • Costituiscono eccezioni al principio del consenso preventivo ( nei quali il consenso dell’interessato può intervenire successivamente , senza ritardo ) tutti i casi elencati dall’art 82 ( emergenza sanitaria o di igiene pubblica in costanza di ordinanza contingibile ed urgente, rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell’interessato, impossibilità materiale o giuridica dell’interessato - con applicazione delle medesime regole dell’art 26 co 4 lett b – possibilità di pregiudizio per la tempestività ed efficacia della prestazione medica
  • Viene riaffermato il principio della necessità del consenso anche attraverso la norma di cui all’art 82 4° co che prevede la riacquisizione del consenso personale del minorenne divenuto maggiorenne se ancora oggetto di interventi medico sanitari .

B) dati trattati a fini di salute e per la salvaguardia dell’incolumità fisica in genere da parte di organismi sanitari privati e case di cura private ovvero quando il trattamento sia necessario a tutela della incolumità fisica di terzi o della collettività trattati da qualunque soggetto *, e ulteriormente se l’interessato sia effettivamente IRREPERIBIL e quando trattati da esercenti le professioni sanitarie e da organismi sanitari pubblici che istituiti presso le Università agiscano come autorità sanitarie svolgendo attività amministrative diverse da quelle di prevenzione diagnosi e cura che già ricadono nell’art 85 1à e 2° co ) ( per questa amplia casistica, intervenuta la autorizzazione generale del Garante con provvedimento n. 2/2004 pubblicata sulla G. U. , in concreto, non deve essere quindi inoltrata la richiesta di autorizzazione al Garante )

* L'autorizzazione è rilasciata:
a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi;
b) al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l'attività in regime di libera professione;
c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il servizio sanitario nazionale.
In tali casi, l'autorizzazione è rilasciata anche per consentire ai destinatari di adempiere o di esigere l'adempimento di specifici obblighi o di eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti, in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute mentale, di assistenza farmaceutica e di assistenza sanitaria alle attività sportive o di accertamento, in conformità alla legge, degli illeciti previsti dall'ordinamento sportivo. Il trattamento può riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini appena indicati.
Qualora il perseguimento di tali fini richieda l'espletamento di compiti di organizzazione o di gestione amministrativa, i destinatari della presente autorizzazione devono esigere che i responsabili e gli incaricati del trattamento preposti a tali compiti osservino le stesse regole di segretezza alle quali sono sottoposti i medesimi destinatari della presente autorizzazione, nel rispetto di quanto previsto anche dall'art. 83, comma 1, del Codice.

C) dati trattati per finalità di rilevante interesse pubblico ovvero nell’ambito dei compiti del Servizio Sanitario nazionale ( artt 85 ed 86 ) per i quali il trattamento é consentito ex lege ( la riserva di legge di cui all’art 20 è soddisfatta dai due articoli richiamati )

D) dati trattati per finalità diverse da quelle appena indicate, rientranti nella disciplina generale dei dati sensibili, per i quali i soggetti pubblici non debbono avere il consenso dell’interessato ma debbono essere autorizzati ex lege con eventuale regolamentazione integrativa o espressa autorizzazione del Garante ai sensi art 20 mentre i soggetti privati debbono avere sia il consenso dell’interessato che l’autorizzazione del Garante ( art 26 ) ( ESEMPI : Trattamento dei dati sulla salute dei propri dipendenti da parte del datore di lavoro, ovvero da parte di imprese assicurative per istruzione ed esecuzione di contratti assicurativi )

Una ricca casistica è stata coperta dalla autorizzazione generale del Garante n. 2/2004 e riguarda anche dati trattati nell’ambito di particolari settori di attività e(o professionali non mediche per i quali si applicherà la particolare disciplina dell’ambito nonché i principi fissati nell’autorizzazione del Garante .
Sulla scorta della AUT 2/2004 i seguenti soggetti non devono più richiedere singole autorizzazioni ad hoc, purché dati, trattamento e finalità siano conformi alla aut. generale :
a) persone fisiche o giuridiche, enti, associazioni e altri organismi privati, per scopi di ricerca scientifica, anche statistica, finalizzata alla tutela della salute dell'interessato, di terzi o della collettività in campo medico, biomedico o epidemiologico, allorché si debba intraprendere uno studio delle relazioni tra i fattori di rischio e la salute umana, o indagini su interventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero sull'utilizzazione di strutture socio-sanitarie, e la disponibilità di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi scopi. In tali casi occorre però sempre acquisire il consenso (in conformità a quanto previsto dagli articoli 106, 107 e 110 del Codice), e il trattamento successivo alla raccolta non deve permettere di identificare gli interessati anche indirettamente, salvo che l'abbinamento al materiale di ricerca dei dati identificativi dell'interessato sia temporaneo ed essenziale per il risultato della ricerca, e sia motivato, altresì, per iscritto. I risultati della ricerca non possono essere diffusi se non in forma anonima. Resta fermo quanto previsto dall'art. 98 del Codice;
b) organizzazioni di volontariato o assistenziali, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi previsti, in particolare, nelle rispettive norme statutarie;
c) comunità di recupero e di accoglienza, alle case di cura e di riposo, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi previsti, in particolare, nelle rispettive norme statutarie;
d) enti, associazioni e organizzazioni religiose riconosciute, relativamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi nei limiti di quanto stabilito dall'art. 26, comma 4, lett. a), del Codice, fermo restando quanto previsto per le confessioni religiose dagli articoli 26, comma 3, lett. a), e 181, comma 6, del Codice e dell'autorizzazione n. 3/2004;
e) persone fisiche e giuridiche, imprese, enti, associazioni ed altri organismi, limitatamente ai dati, ove necessario attinenti anche alla vita sessuale, e alle operazioni indispensabili per adempiere agli obblighi, anche precontrattuali, derivanti da un rapporto di fornitura all'interessato di beni, di prestazioni o di servizi. Ma se il rapporto intercorre con istituti di credito, imprese assicurative o riguarda valori mobiliari, devono considerarsi indispensabili i soli dati ed operazioni necessari per fornire specifici prodotti o servizi richiesti dall'interessato. Il rapporto può riguardare anche la fornitura di strumenti di ausilio per la vista, per l'udito o per la deambulazione;
f) persone fisiche e giuridiche, enti, associazioni e altri organismi che gestiscono impianti o strutture sportive, limitatamente ai dati e alle operazioni indispensabili per accertare l'idoneità fisica alla partecipazione ad attività sportive o agonistiche;
g) persone fisiche e giuridiche e altri organismi, limitatamente ai dati dei beneficiari e dei donatori e alle operazioni indispensabili per effettuare trapianti di organi e tessuti, nonché donazioni di sangue.
Inoltre è stato autorizzato il trattamento
a) per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto sia di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in altro diritto o libertà fondamentale e inviolabile, e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario per il loro perseguimento;
b) al fine di adempiere o esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi per la gestione del rapporto di lavoro, nonché della normativa in materia di previdenza e assistenza o in materia di igiene e sicurezza del lavoro o della popolazione, nei limiti previsti dalla autorizzazione generale del Garante n. 1/2004 e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111 del Codice.

Per i soggetti non ricompresi nella casistica disciplinata integrativamente anche con la aut. Generale indicata, rimane ferma la necessità del consenso e della specifica autorizzazione da parte del Garante, richiesta ad hoc, ferma restando quindi l’applicazione della disciplina per i dati sensibili.

Informativa secondo modalità semplificate /accorpate e semplificazione delle modalità di prestazione del consenso da parte del paziente sono due tra le caratteristiche salienti della disciplina dei dati trattati in ambito sanitario.

6. Modalità semplificate per l’informativa all’interessato nel caso di trattamento dati raccolti in ambito sanitario per finalità di tutela della salute ed incolumità fisica da parte di organismi sanitari pubblici e privati, ed esercenti professioni sanitarie nonché anche di trattamento dei dati a fini di tutela dell’igiene e sicurezza del lavoro.

Le modalità c.d. semplificate per l’informativa all’interessato, ai sensi dell’art 77 1° co lett a) , b) e c), riguardano tipicamente il trattamento dei dati raccolti per finalità di tutela della salute e salvaguardia dell’incolumità fisica dell’interessato da parte di organismi sanitari pubblici ed esercenti professioni sanitarie ( e di tutti dati raccolti per la finalità di cura e tutela della salute dell’interessato, anche se non direttamente provenienti dalla voce del medesimo interessato e quindi da terzi ed anche i dati personali connessi e non strettamente relativi allo stato di salute ),
Per identità di ratio e di finalità ( e necessità di semplificazione armonizzazione ed efficienza ) sono state estese agli organismi sanitari privati e anche per i trattamenti a fini amministrativi ai soggetti pubblici operanti in ambito sanitario o di prevenzione e sicurezza del lavoro ( artt 77 ed 80

Va innanzitutto chiarito in tema di c.d. semplificazione dell’informativa che la norma disciplinando la possibilità di accorpare in un unico documento le informative di legge per :i professionisti o soggetti che collaborano nella prestazione di una attività sanitaria per l’assistenza e la cura dell’interessato non implica affatto però una delimitazione semplificata o riduzione del contenuto dell’informativa: essa rimane ancorata ai principi generali ed ulteriormente specificati nell’ambito delle prestazioni sanitarie.
L’informativa difatti in via generale : a) deve rispettare tutti i contenuti indicati per i dati sensibili ( art 13 ); b) deve essere preferibilmente fornita in forma scritta; c) deve essere formulata in maniera chiara e comprensibile c) ha anche il compito di avvisare il paziente dei pericoli per la privacy connessi a particolari modalità di trattamento dei dati:indicate dalla legge o ritenute dal Garante ( eventi ritenuti rischiosi per la privacy )

In secondo luogo la informativa c.d. semplificata concerne i i titolari e soggetti base della filiera sanitaria ( medico di base e pediatra ). Sotto questo aspetto i principi di accorpamento/ semplificazione dell’informativa , tengono conto sia delle caratteristiche del contesto in cui si effettua io specifico trattamento ( l’esistenza di una filiera di soggetti che intervengono nel trattamento: medico di famiglia, specialisti, reparti. infermieri, laboratori di analisi etc.) che della circostanza che la registrazione dei dati avviene nell’ambito del rapporto medico - paziente, cioé nel contesto di una relazione confidenziale. liberamente scelta dal paziente: I dati sono raccolti da professionisti sanitari che sono tenuti ad obblighi dì riservatezza ed a regole deontologiche nello svolgimento della propria attività. Peraltro secondo la migliore interpretazione, anche i professionisti direttamente aditi ( saltando il medico di famiglia ) possano fornire una informativa unica accorpata, che copra i successivi trattamenti.

Non va dimenticato, in questa sede che la riservatezza dei dati personali utilizzati in ambito sanitario era tematica già nota e cara al mondo dei medici. ed era già prevista, entro limiti circoscritti, in separate disposizioni di natura normativa e autodisciplinare. Il Codice di Deontologia Medica già prevedeva per il medico l'obbligo di «tutelare/a riservatezza dei dati personali e de/la documentazione in suo possesso riguardante le persone anche se affidata a codici o sistemi informatici » (art. 10). Inoltre, «nella comunicazione di atti o di documenti. relativi a singole persone anche se destinati ad Enti o Autorità che svolgono attività sanitaria.iIl medico deve porre in essere ogni precauzione atta a garantire la tutela del segreto professionale, il medico, nella diffusione di bollettini medici, deve preventivamente acquisire consenso de/l’interessato o dei suoi legali rappresentanti. Il medico non può collaborare a//a costituzione di banche di dati sanitari, ove non esistano garanzie di tutela de/In riservatezza. della sicurezza e della vita privata del/a persona» (art, 11). In precedenza. la legge 675/1996 e sue successive modificazioni, prevedeva all'articolo 23 una disciplina specifica per i dati idonei a rivelare lo stato di salute. distinta da quella generale per dati sensibili, in applicazione di una esplicita previsione della direttiva europea [art. 8(3) dir 95/46]. Tale regolamentazione era finalizzata alla tutela della riservatezza e della dignità dell’interessato. da una parte. e della incolumità fisica e della salute dell’interessato di terzi e dell’intera collettività, dall'altra parte. L’articolo 23 conteneva sia disposizioni direttamente applicabili ai dati sanitari. qualunque fosse la finalità del loro utilizzo. sia prescrizioni particolari per uso di tali i:informazioni nei trattamenti a tutela della salute. tale promiscuità, insieme alla sovrapposizione di regolamentazione per entrambi i settori pubblico e privato, ed aveva ingenerato più di una difficoltà interpretativa.

7 In particolare l’informativa dei medici di famiglia e dei pediatri e le modalità semplificate per il consenso dell’interessato finalizzate a coprire la intera filiera sanitaria degli interventi medico terapeutici

Dettagliata è la disposizione che disciplina l’informativa data dai medici di famiglia/pediatri
Alla luce dell’art 78 deve ritenersi che debbano essere fornite informazioni chiare e comprensibili quantomeno documentate per iscritto circa a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura facoltativa ( e non obbligatoria , nel caso di specie ) del conferimento dei dati; c) le conseguenze di un eventuale mancato conferimento dei dati; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) le facoltà strumentali nell’ambito del diritto alla privacy informativa di cui gode l’interessato ( art. 7); f) gli estremi identificativi del titolare del trattamento ( e , se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile . Inoltre qualora il titolare abbia designato più responsabili deve essere indicato almeno uno di essi, precisando il sito della rete di comunicazione o le modalità attraverso le quali è ( reso ) conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.
L’informativa può essere unica, e ( va preferibilmente ) fornita per il complessivo trattamento dei dati personali, raccolti dall’interessato ma eventualmente raccolti anche presso terzi per le medesime finalità, trattamento necessario per attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico o dal pediatra a tutela della salute o dell’incolumità fisica dell’interessato, su richiesta dello stesso o di cui questi è informato in quanto effettuate nel suo interesse.
L’informativa deve però riguardare di regola ( salvo che non sia diversamente specificato ed indicato appositamente dal medico ) anche il trattamento di dati correlato a quello effettuato dal medico di medicina generale o dal pediatra di libera scelta, se effettuato da un professionista o da altro soggetto, parimenti individuabile in base alla prestazione richiesta, che:
a) sostituisce temporaneamente il medico o il pediatra;b) tornisce una prestazione specialistica su richiesta del medico e del pediatra;c) può trattare lecitamente i dati nell’ambito di un’attività professionale prestata in forma associata;d) fornisce farmaci prescritti; e) comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.
L’informativa deve inoltre evidenziare analiticamente eventuali trattamenti di dati personali che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in particolare ex lege ( ma non esclusivamente attesa la potestà riconosciuta al Garante di individuare altre eventualità “ rischiose “ in caso di trattamenti effettuati:
a) per scopi scientifici, anche di ricerca scientifica e di sperimentazione clinica controllata di medicinali, in conformità alle leggi e ai regolamenti, ponendo in particolare evidenza clic il consenso, ove richiesto, è manifestato liberamente;
b) nell’ambito della teleassistenza o telemedicina;
c) per tornire altri beni o servizi all’interessato attraverso una rete di comunicazione elettronica’
La scelta ulteriore di individuare modalità di prestazione del consenso appositamente semplificate solo con riguardo al trattamento dei dati nell’ambito della filiera degli interventi connessi alla assistenza medico terapeutica prestata alla singola persona, comporta poi , a ben guardare, una non perfetta coincidenza tra accorpamento/semplificazione dell’informativa e semplificazione del consenso.

L’art 81 prevede che il consenso possa essere manifestato con un'unica dichiarazione, anche oralmente. Ma, se prestato oralmente, debba essere documentato, anziché con atto scritto dell’interessato, con annotazione dell’esercente la professione sanitaria o dell’organismo sanitario pubblico, riferita al trattamento di dati effettuato da uno o più soggetti e all’informativa all’interessato, nei modi indicati negli articoli 78, 79 e 80. .Qualora l’informativa sia stata fornita anche con riguardo a più prestazioni anche specialistiche ed in riferimento a più professionisti, il medico di famiglia/pediatra deve assicurare la conoscenza del consenso agli altri soggetti della filiera medico terapeutica, mediante apposita menzione/annotazione od apposizione di apposito bollino o tagliando su carta elettronica o tessere sanitaria, ( Nella annotazione menzione vanno espressamente indicate le diverse specificazioni apposte all’informativa fornita ).
La previsione dell’informativa accorpata e del consenso unico, e di modalità di registrazione documentale e trasmissione per conoscenza dello strumento documentale cui è affidata la registrazione ( certificazione e documentazione), del consenso prestato e del contenuto della informativa fornita, appaiono ispirate ad una prevalente finalità: la necessità di tutelare l’interessato e l’insieme dei soggetti ed organismi sanitari preposti alla tutela della salute e cura dello stesso, dalla ridondanza degli adempimenti ( e dalla reiterazione burocratica di questi, che contribuirebbe anzi a svuotarne significato ed utilità ) così comunque assicurando specificamente il rispetto dei principi programmatici indicati nell’art 3 del codice .
Non vi è dubbio che proprio la previsione del consenso c.d. semplificato/accorpato possa aver contribuito a far infine “ digerire “ il principio di necessità del consenso informato preventivo sul trattamento informatico dei dati specifici nell’ambito sanitario, mitigando le obiezioni circa difficoltà, inutilità e natura burocratica che dinanzi agli adempimenti necessari sono state sollevate da più parti.

8 Le informazioni mediche all’interessato.

La disciplina delle informazioni mediche all’interessato, riservando il dovere di informazione in primis ai medici e tipizzando la sola possibilità di individuare esercenti le professioni sanitarie appositamente delegati e diversi dal medico titolare del trattamento, presenta uno specifico rilievo, anche perché la relativa violazione è accompagnata da una sanzione penale ad hoc.

Art. 84 (Comunicazione di dati all’interessato)
1. I dati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato o ai soggetti di cui all’articolo 82, comma 2, lettera a), da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato dall’interessato o dal titolare. Il presente comma non si applica in riferimento ai dati personali forniti in precedenza dal medesimo interessato.
2. Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici, che nell'esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all'interessato o ai soggetti di cui all'articolo 82, comma 2, lettera a). L’atto di incarico individua appropriate modalità e cautele rapportate al contesto nel quale è effettuato il trattamento di dati.
9. Le prescrizioni mediche come documento contenente dati personali: le soluzioni legislative .
Anche in tema di soluzioni normative approntate per le certificazioni mediche non appare opportuna una più approfondita analisi, dovendosi registrare comunque l’equilibrio definitivamente e tecnicamente raggiunto in tema ( Uso di apposite ricette con tagliando atto a mascherare le generalità del destinatario della prescrizione, ma temporaneamente rimovibile solo al fine di accertare la correttezza della prescrizione od in sede eper finalità di ricerca e segnatamente epidemiologiche ) .
Coerenti con il sistema le soluzioni in deroga volte a continuare a consentire in particolare controlli sulla attività in genere di prescrizione medica e sulle prescrizioni di particolari prodotti e sostanze ( sempre in funzione delle esigenze di cautela legalmente individuate e tenuto conto degli obblighi che fanno capo ai farmacisti.
CAPO IV PRESCRIZIONI MEDICHE
Art. 87 (Medicinali a carico del Servizio sanitario nazionale)
1. Le ricette relative a prescrizioni di medicinali a carico, anche parziale, del Servizio sanitario nazionale sono redatte secondo il modello di cui al comma 2, conformato in modo da permettere di risalire all'identità dell'interessato solo in caso di necessità connesse al controllo della correttezza della prescrizione, ovvero a fini di verifiche amministrative o per scopi epidemiologici e di ricerca, nel rispetto delle norme deontologiche applicabili.
2. Il modello cartaceo per le ricette di medicinali relative a prescrizioni di medicinali a carico, anche parziale, del Servizio sanitario nazionale, di cui agli allegati 1, 3, 5 e 6 del decreto del Ministro della sanità 11 luglio 1988, n. 350, e al capitolo 2, paragrafo 2.2.2. del relativo disciplinare tecnico, è integrato da un tagliando predisposto su carta o con tecnica di tipo copiativo e unito ai bordi delle zone indicate nel comma 3.
3. Il tagliando di cui al comma 2 è apposto sulle zone del modello predisposte per l’indicazione delle generalità e dell’indirizzo dell’assistito, in modo da consentirne la visione solo per effetto di una momentanea separazione del tagliando medesimo che risulti necessaria ai sensi dei commi 4 e 5.
4.. Il tagliando può essere momentaneamente separato dal modello di ricetta, e successivamente riunito allo stesso, quando il farmacista lo ritiene indispensabile, mediante sottoscrizione apposta sul tagliando, per una effettiva necessità connessa al controllo della correttezza della prescrizione, anche per quanto riguarda la corretta fornitura del farmaco.
5. Il tagliando può essere momentaneamente separato nei modi di cui al comma 3 anche presso i competenti organi per fini di verifica amministrativa sulla correttezza della prescrizione, o da parte di soggetti legittimati a svolgere indagini epidemiologiche o di ricerca in conformità alla legge, quando è indispensabile per il perseguimento delle rispettive finalità.
6. Con decreto del Ministro della salute, sentito il Garante, può essere individuata una ulteriore soluzione tecnica diversa da quella indicata nel comma 1, basata sull’uso di una fascetta adesiva o su altra tecnica equipollente relativa anche a modelli non cartacei.
Art. 88 (Medicinali non a carico del Servizio sanitario nazionale)
1. Nelle prescrizioni cartacee di medicinali soggetti a prescrizione ripetibile non a carico, anche parziale, del Servizio sanitario nazionale, le generalità dell’interessato non sono indicate.
2. Nei casi di cui al comma 1 il medico può indicare le generalità dell’interessato solo se ritiene indispensabile permettere di risalire alla sua identità, per un’effettiva necessità derivante dalle particolari condizioni del medesimo interessato o da una speciale modalità di preparazione o di utilizzazione.
Art. 89 (Casi particolari)
1. Le disposizioni del presente capo non precludono l’applicazione di disposizioni normative che prevedono il rilascio di ricette che non identificano l’interessato o recanti particolari annotazioni, contenute anche nel decreto-legge 17 febbraio 1998, n. 23, convertito, con modificazioni, dalla legge 8 aprile 1998, n. 94.
2. Nei casi in cui deve essere accertata l’identità dell’interessato ai sensi del testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza, approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, e successive modificazioni, le ricette sono conservate separatamente da ogni altro documento che non ne richiede l’utilizzo.



10. Diritto di accesso ai dati delle cartelle cliniche

Una specifica menzione merita la regolamentazione delle cartelle cliniche, con specifico richiamo normativo alla redazione delle stesse secondo accorgimenti atti a rendere i dati chiari e comprensibili e a distinguere i dati del paziente da dati afferenti altri soggetti e segnatamente i nascituri..
Più in particolare, va però sottolineato che il legislatore ha affidato ai soggetti responsabili della tenuta delle cartelle cliniche medesime, il vaglio del diritto all’accesso vantato, prevedendo che presa visione e rilascio di copia siano consentiti ai terzi ( diversi dal diretto interessato) , ed in difetto la richiesta da respingere, solo in presenza di specifici presupposti documentati e valutati .
  • Necessità di far valere diritto in sede giurisdizionale e/o ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n.397, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento e che si tratti di “ diritti di pari rango ovvero consistenti in diritti della personalità od altri diritti fondamentali inviolabili “
  • di tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.
Ed a questo specifico proposito il Garante ha emesso nell’estate del 2003 il provvedimento generale di seguito riportato, atto a chiarire la natura vincolante della previsione, esemplificando casi di diritti di rango minore a fronte dei quali il responsabile della tenuta della cartella clinica non può assentire alla visione o rilascio di copia della cartella medesima o del certificato di dimissione ospedaliera, e precisando, ad ogni buon conto, che la esigenza di adeguare il catalogo dei diritti di rango pari e fondamentale comportava una definizione necessariamente giuridico astratta, onde assicurare una valutazione in concreto permanentemente adeguata alla evoluzione normativa e giurisprudenziale.

Provvedimento generale sui diritti di "pari rango" emesso dal Garante il 5 Luglio 2003
Il destinatario della richiesta, nel valutare il "rango" del diritto di un terzo che può giustificare l’accesso o la comunicazione, deve utilizzare come parametro di raffronto non il "diritto di azione e difesa" che pure è costituzionalmente garantito (e che merita in generale protezione a prescindere dall’"importanza" del diritto sostanziale che si vuole difendere), quanto questo diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere.
Ciò chiarito, tale sottostante diritto, come già constatato dall’Autorità (v. ad es. l’autorizzazione n. 6/2002, al punto 1, lett. a)) e come ora espressamente precisato dal Codice, può essere ritenuto di "pari rango" rispetto a quello dell’interessato -giustificando quindi l’accesso o la comunicazione di dati che l’interessato stesso intende spesso mantenere altrimenti riservati- solo se fa parte della categoria dei diritti della personalità o è compreso tra altri diritti o libertà fondamentali ed inviolabili: v. gli artt. 71, 92 comma 2 e 60 del Codice.
In particolare, la norma da ultimo citata prevede espressamente che "quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile".
In ogni altra situazione riguardante dati sulla salute o la vita sessuale, non è quindi possibile aderire alla richiesta di accesso o di comunicazione da parte di terzi se i dati o il documento sono ritenuti utili dal richiedente per tutelare in giudizio un interesse legittimo o un diritto soggettivo che possono essere anche di rilievo, ma che restano comunque subvalenti rispetto alla concorrente necessità di tutelare la riservatezza, la dignità e gli altri diritti e libertà fondamentali dell’interessato: si pensi al caso dell’accesso -in un caso, denegato dalla giurisprudenza- volto a soddisfare generiche esigenze basate sulla prospettiva eventuale di apprestare la difesa di diritti non posti in discussione in quel momento (Cons. Stato Sez. VI, n. 2542/2002).
Ciò comporta ad esempio che nella prevalenza dei casi riguardanti meri diritti di credito non sia possibile accogliere l’istanza di accesso o di comunicazione, e che si possa invece valutare, con cautela, caso per caso, l’effettiva necessità di consentire l’accesso ad una cartella clinica -prima della sua probabile acquisizione su iniziativa del giudice- in caso di controversia risarcitoria per danni ascritti all’attività professionale medica documentata nella cartella.
Il riferimento normativo ai diritti della personalità e ad altri diritti e libertà fondamentali è collegato ad un "elenco aperto" di posizioni soggettive individuabile in chiave storico-evolutiva, e presuppone una valutazione in concreto, in modo da evitare per le amministrazioni, gli altri destinatari delle richieste e per il giudice stesso in caso di impugnazione, "il rischio di soluzioni precostituite poggianti su una astratta scala gerarchica dei diritti in contesa" (cfr. Cons. Stato, Sez. VI n. 1882/2001 e 2542/2002).


11. Gli illeciti sanzionati in genere ed i soggetti responsabili in ambito sanitario

Come consueto nel nostro ordinamento, con la entrata in vigore del nuovo corpo normativo, appariva infine necessario accompagnare i precetti più rilevanti con la previsioni di sanzioni di vario grado e tenore. ed il corpo delle sanzioni si riferisce, anche qui secondo una tecnica normativa consolidata, a condotte omissive minori, violazioni di principi esenziali inerenti il trattamento e la cessione dei dati, condotte più gravi e/o dolose.
E’ evidente che pressoché tutte tali condotte possono venire in giuoco quando si rivesta la qualità di titolare e/o responsabile del trattamento di dati in ambito sanitario.
Ma alcune condotte più in particolare interessano direttamente l’esercente la professione sanitaria

  1. IN GENERALE SONO CONDOTTE OMISSIVE MENO GRAVI SUSCETTIBILI DI SANZIONI AMMINISTRATIVE, IRROGATE DAL MEDESIMO GARANTE ( artt 161, 162, 163 e 164) :
alcune violazioni relative a doveri del titolare del trattamento, nei diretti confronti dell’interessato, ( obbligo di informativa idonea all’interessato,, divieto di comunicare i dati all’interessato se non a mezzo di medico o incaricato espressamente nominato ed esercente altra professione sanitaria, ) o doveri più generali e tra questi alcuni inerenti le comunicazioni al Garante o il rispetto di provvedimenti emessi dal Garante (divieto di cessione dei dati a trattamento cessato od utilizzo secondario non conforme dei dati, omessa od incompleta notifica al Garante, omessa informazione od esibizione di documenti, )


LE VIOLAZIONI AMMINISTRATIVE

  • omessa o inidonea informativa all'interessato, come disposto dall'articolo 13

  • cessione dei dati in violazione dell'articolo 16, comma 2, o di altre disposizioni in materia di disciplina dei dati personali (articolo 162, comma 1)

  • violazione delle disposizioni in tema di comunicazione dei dati personali idonei a rivelare lo stato di salute, di cui all'articolo 84, comma 1 (articolo 162, comma 2)

  • omessa o incompleta notificazione di dati, da effettuarsi ai sensi degli articoli 37 e 38 (articolo 163)

  • omessa informazione o esibizione di documenti al Garante (articolo 164)


Tra questo primo gruppo di illeciti sanzionati con pene pecuniarie , presentano maggior interesse ai fini nostri, in particolare :
  • La violazione degli obblighi di informativa all'interessato circa i dati, previsti dall'articolo 13 («finalità e modalità del trattamento, natura obbligatoria o facoltativa del loro conferimento»; «termini di una ulteriore comunicazione dei dati» ecc.), ovvero relativa ai dati che presentino, ai sensi dell'articolo 17, rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato; ( sanzione da 5.000 a 30.000 euro se concerne dati sensibili, e quindi tra essi dati idonei a rivelare lo stato di salute , e giudiziari, altrimenti da 3.000 a 18.000 euro )
  • La comunicazione di dati idonei a rivelare lo stato di salute, resi noti all'interessato o agli altri soggetti che, in determinate condizioni, possono riceverli in sua vece, , senza il tramite necessario di un medico designato. Ai fini dell'applicazione della sanzione, occorre ricordare che tale modalità di comunicazione (la cui violazione è appunto illecito amministrativo) non trova applicazione in relazione alla comunicazione di dati forniti in precedenza dallo stesso interessato, e inoltre che è consentita l'individuazione da parte del titolare di soggetti esercenti professioni sanitarie diversi dai medici, abilitati a fornire le predette comunicazioni.( sanzione da 500 a 3.000 euro ) .
La irrogazione della multa da parte del Garante , può implicare solo eventualmente la sanzione accessoria della pubblicazione dell'ordinanza-ingiunzione per estratto su quotidiano ( obbligatoria invece nel caso di omessa informativa al Garante ) e la multa può essere in ragione delle condizioni economiche del contravventore». aumentata sino al triplo. Al procedimento dinanzi al Garante si applica la disciplina generale per le sanzioni amministrative prevista dalla L 689/’81.


II SONO POI QUALIFICATE COME REATI CONTRAVVENZIONALI SANZIONATI PENALMENTE CON AMMENDA E/O ARRESTO ED INDIFFERENTEMENTE; A TITOLO DI COLPA O DI DOLO ALCUNE CONDOTTE che violano particolari obblighi e divieti ( adozione delle misure minime di protezione dei dati personali, divieto di indagini sulle opinioni del lavoratore» e «violazione delle norme sul controllo a distanza dei lavoratori» )


GLI ILLECITI PENALI QUALIFICATI COME CONTRAVVENZIONI

  • la violazione dell'obbligo di adozione delle misure minime di protezione dei dati personali, di cui all'articolo 33 (articolo 169, comma 1);

  • la violazione delle disposizioni di cui agli articoli 113, comma 1, «divieto di indagini sulle opinioni del lavoratore» e 114, «violazione delle norme sul controllo distanza dei lavoratori ( articolo 171 )


Tra questo SECONDO gruppo di illeciti, sanzionati con la pena alternativa dell’arresto e dell’ammenda o congiunta nel caso di violazioni in materia di controllo a distanza o delle opinioni dei lavoratori, presenta maggior interesse nell’ambito di questa riflessione, in particolare :
  • la omessa adozione delle misure minime di sicurezza da adottare nel trattamento dei dati, ai sensi art 33 e ss. ( pena dell'arresto fino a due anni o l'ammenda da diecimila a cinquantamila euro )


Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Art. 35 (Trattamenti senza l’ausilio di strumenti elettronici) 1. Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime: a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.


Per tale ipotesi di reato contravvenzionale viene tuttavia previsto, sulla falsariga del procedimento prescrizionale e di oblazione disciplinato dal DLGVO 758/94 in materia di contravvenzioni inerenti la sicurezza ed igiene del lavoro, un particolare procedimento di oblazione, potendosi estinguere il reato se:1) l'autore del reato provvede entro sei mesi alla regolarizzazione, in ottemperanza alla prescrizione emessa del Garante, ; 2) versa una somma pari al quarto del massimo dell'ammenda stabilita ( 12.500 euro).

III . SONO POI QUALIFICATI COME DELITTI SANZIONATI PENALMENTE CON MULTA E/O RECLUSIONE alcuni fatti più gravi relativi a false attestazioni e dichiarazioni al Garante ( reclusione da sei mesi a tre anni ) e gravi inosservanze di provvedimenti del Garante ( reclusione da tre mesi a due anni ) e varie ipotesi di trattamento illecito dei dati,
Nel caso di trattamento illecito dei dati sono previste pene diverse, a seconda della condotta con cui si è concretizzato il trattamento illecito ( comunicazione o diffusione dei dati ovvero più grave trattamento illecito a fine di profitto o di recare danno, qualora ne derivi concreto nocumento), con pena ulteriormente aggravata, nel secondo caso, qualora si tratti di dati sensibili, dati giudiziari e dati relativi allo stato di salute ( art 167 1° e 2° co )


GLI ILLECITI PENALI QUALIFICATI COME DELITTI

  • IL TRATTAMENTO ILLECITO DEI DATI (ARTICOLO 167) in violazione degli arrt . 18 (trattamenti effettuati da soggetti pubblici), 19 (trattamenti di dati diversi da quelli sensibili e giudiziari), 23 (consenso dell'interessato per il trattamento dei dati da parte di soggetti privati ed enti pubblici economici), 123 (dati relativi al traffico trattati dal fornitore di una rete pubblica di comunicazione), 126 (dati relativi all'ubicazione dell'utente di una rete di comunicazione), 130 (comunicazioni indesiderate) ovvero nell'applicazione dell'articolo 129, ed alla luce del provvedimento da emettere in cooperazione con il Garante per le comunicazioni (inserimento in elenchi abbonati, successivo utilizzo dei dati e consenso da prestare)

  • LA FALSITÀ NELLE DICHIARAZIONI E NOTIFICAZIONI AL GARANTE (ARTICOLO 168) commessa nella notificazione del trattamento dei dati ( art 37; ) , in comunicazioni, atti, documenti o dichiarazioni rese o esibiti in un procedimento innanzi al Garante ovvero nel corso di accertamenti.

  • L'INOSSERVANZA DEI PROVVEDIMENTI EMESSI DAL GARANTE (ARTICOLO 170) quando concernano misure ed accorgimenti prescritti a garanzia dell'interessato, nell’autorizzazione per il trattamento dei dati sensibili (articolo 26, 2 ° co. ), indicazioni di ulteriori elementi da includere nell’informativa relativa a trattamento dei dati genetici e dei donatori di midollo osseo (art. 90), a seguito di reclamo (articolo 143, comma 1, lett.c) ) , a seguito di ricorso ed in via interdittiva o definitiva (articolo 150)


Tra questo TERZO gruppo di illeciti , delitti penalmente sanzionati, presenta un qualche interesse ai fini nostri, in particolare : L'INOSSERVANZA DEI PROVVEDIMENTI EMESSI DAL GARANTE (ARTICOLO 170) quando concernano misure ed accorgimenti prescritti a garanzia dell'interessato, nell’autorizzazione per il trattamento dei dati sensibili, (articolo 26, 2 ° co. ) ed indicazioni di ulteriori elementi da includere nell’informativa relativa a trattamento dei dati genetici e dei donatori di midollo osseo (art. 90), ( pena da tre mesi a due anni di reclusione ) . Va peraltro rammentato che in materia e segnatamente per i dati idonei a rivelare lo stato salute nell’ambito del comparto sanitario e per finalità terapeutiche e di cura , si verte comunque, anche per gli organi sanitari privati, in regime di autorizzazione generale, mentre i casi di emergenza sanitaria sono disciplinati ex lege .

CONCLUSIONI.
L’osservazione attenta della applicazione pratica della disciplina della privacy in ordine ai dati afferenti lo stato di salute ed al loro trattamento in ambito sanitario ( ed istituzionale ) consentirà di confermare e verificare quanto la ambiziosa opera di regolamentazione e bilanciamento richieda strumenti raffinati e continuamente differenziati. E l’equilibrio raggiunto appare, se non del tutto definitivo, quanto mai solido e adeguato alla ponderazione dei diritti ed interessi in giuoco.
Resta aperto un interrogativo secondario: se e quanto possa ulteriormente razionalizzarsi la casistica introdotta e se era sempre necessario rinviare alla regolamentazione generale del Garante una serie di ipotesi che pure la legge avrebbe potuto prevedere in astratto.
La normazione lascia però, opportunamente, spazio ad autorevoli ipotesi di riadeguamento normativo sollecitato ( anche, ed emblematicamente ) dal medesimo Garante.

Nel frattempo, proprio prendendo ad esempio il settore della privacy in ambito sanitario e la disciplina del trattamento dei dati afferenti lo stato di salute , ci si augura che anche altri bilanciamenti e settori di regolamentazione raggiungano questo ( storicamente provvisorio ma solido ) livello di equilibrata disciplina. Tra i settori da ripensare ad avviso di alcuni, e di chi scrive, in particolare vi era quello dei dati afferenti le connessioni in Internet , mentre la attesa del codice di autoregolamentazione dei providers , vedeva giorno per giorno consumarsi, proprio le opportunità di tutela di interessi fondamentali, in sede penale, rendendo ancor più inadeguato e tardivo l’intervento giudiziario . Il panorama è di recente cambiato e ci sono volute le norme antiterrorismo … per evidenziare il tema della (necessaria ) prevalenza dell’interesse pubblico all’accertamento dei reati ( e sia pure solo di certi reati )..