Cosa sono i dati sulla salute?
Chi può trattarli?
Indice
- Cosa è il diritto alla privacy?
- Cosa sono i dati relativi alla salute (noti come dati sanitari sensibili)?
- Quali sono i limiti del trattamento dei dati relativi alla salute?
- Chi può trattare i dati relativi alla salute?
- Conclusioni.
1.Cosa è il diritto alla privacy?
Il diritto alla privacy è un sinonimo che indica, più in generale, il diritto alla riservatezza delle informazioni personali e della propria vita privata.
Esso consente di tutelare la sfera privata del singolo il quale può impedire la divulgazione di informazioni personali o l’intromissione di terzi nella propria sfera privata.
Per una trattazione sistematica dell’istituto si rimanda a questo articolo che riporta anche cenni storici sull’origine del diritto.
In questa sede ci si soffermerà, in particolare, sul diritto alla privacy in riferimento ai dati sanitari sensibili noti anche come dati personali relativi alla salute.
2. Cosa sono i dati relativi alla salute (o dati sanitari sensibili)?
I “dati relativi alla salute” sono definiti dal regolamento UE 679/2016, art. 4, p.to 15, come “i dati personali attinenti alla salute fisica o mentale di una persona fisica… che rivelano informazioni relative al suo stato di salute”.
Il considerando 35), richiamato dalla predetta norma, specifica che essi possono essere costituiti anche da “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari” e vi rientrano anche “informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi … i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia,… il rischio di malattie,… indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
Pertanto, ad esempio, rientra agevolmente nel concetto di “dato relativo alla salute” il codice (QRCode) rilasciato in riferimento alla certificazione verde Covid-19 (nota come Green pass introdotto con dl 105/2021).
3.Quali sono i limiti del trattamento dei dati relativi alla salute?
L’art. 9, paragrafo 1 del Regolamento UE 679/2016 stabilisce un generale divieto del trattamento dei dati relativi alla salute in assenza del consenso dell’interessato.
Le uniche deroghe a tale divieto sono previste dal successivo paragrafo 2 che tra le altre, alla lettera h), riporta l’ipotesi in cui il trattamento sia “necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente” e, alla successiva lettera i), riporta anche il caso in cui il trattamento sia “necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero …, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
Non è prevista alcuna deroga per generici motivi di pubblica sicurezza o incolumità pubblica.
Infatti il decreto legislativo 196/2003 (Codice in materia di protezione dei dati personali) con specifico riferimento al trattamento dei dati personali per “finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività” conferma, all’art. 75, le disposizioni del regolamento UE 679/2016 di cui all’art. 9, paragrafo 2, lett. h) ed i), e paragrafo 3.
4.Chi può trattare i dati relativi alla salute?
In ragione di quanto sopra e salvo il caso di divulgazione spontanea da parte dell’interessato, i dati sanitari possono essere generalmente trattati solo dai seguenti soggetti:
- Esercenti una professione sanitaria;
- Organismi sanitari pubblici.
Il dato è confermato dallo stesso regolamento UE che, coerentemente, al par. 3 in riferimento all’eccezione relativa alle finalità di medicina preventiva o medicina del lavoro, ammette il trattamento solo “da o sotto la responsabilità di un professionista soggetto al segreto professionale” come, in effetti, è ad esempio il soggetto che esercita una professione sanitaria.
Parimenti, anche il regolamento UE 953/2021 (pubblicato qui e rettificato qui), nell’introdurre il quadro normativo generale per il “rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19” rimane coerente con il regolamento UE 679/2016 laddove statuisce che i relativi dati “sono trattati dalle autorità competenti dello Stato membro di destinazione o di transito, o dagli operatori di servizi di trasporto passeggeri transfrontalieri tenuti, a norma del diritto nazionale, ad attuare determinate misure di sanità pubblica durante la pandemia di COVID-19”.
Conclusioni
Alla luce delle sopraesposte norme, si possono agevolmente trarre le seguenti conclusioni:
- I dati sanitari possono, genericamente, essere trattati solo con il consenso dell’interessato, con conseguente divieto generalizzato di trattamento.
- Le deroghe al principio sopra esposto sono ammesse nei soli casi tassativamente indicati dall’art. 9 Reg. UE 679/2016.
- Anche nei tassativi casi di deroga, i dati relativi alla salute possono essere trattati solo ed esclusivamente da soggetti vincolati da segreto professionale quali, per l’appunto, sono i soggetti di cui al precedente p.to 4 della presente trattazione.
La precedente conclusione vale anche per la certificazione COVID poiché anch’essa è qualificabile come dato sulla salute (sebbene espresso sotto forma di codice) ai sensi dell’art. 4, p.to 15), reg. UE 679/2016.
Sotto questo ultimo profilo, pertanto, non può ritenersi ammissibile nemmeno un generalizzato controllo da parte delle forze dell’ordine motivato sulla base di un generico concetto di “ordine pubblico” e fondato sul DPR 15/2018, art. 3 che, peraltro, non distingue circa la natura dei dati.
Ciò in quanto trattasi di norma di rango secondario che, pertanto, deve operare comunque nell’ambito di una più ampia cornice legislativa data, in questo caso, dal regolamento UE 679/2016 e dal Codice sulla privacy.
A tal riguardo si ricorda, infatti, che proprio il regolamento 679/2016 deroga al divieto di trattamento dei dati sulla salute solo, giova ribadirlo, “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”, ridimensionando grandemente sotto questo profilo il generico concetto di “ordine pubblico”.