Ai fini della "protezione da gravi minacce per la salute pubblica", il trattamento dei dati sanitari dei pazienti è lecito. Vediamo in che modo.
L’emergenza coronavirus sta cambiando, giorno dopo giorno, tutte le sfere del vivere, compresi regolamenti e normative che riguardano da vicino l’ambito sanitario. In particolare, il Garante Privacy si è pronunciato sulle misure da adottare per il trattamento dati di chi è affetto dal covid-19.
Ma facciamo un passo indietro. Lo scorso febbraio, all’inizio dell’epidemia nel nostro Paese, un medico di Codogno ha chiesto la pubblicazione di nomi e foto dei contagiati come unico strumento per sapere se si era entrati in contatto con loro e arginare, in questo modo, il virus.
Dopo questo episodio, la domanda è stata una: abolire la legge sulla privacy o bilanciarla con bisogni e interessi pubblici?
Dati sanitari e privacy: il quadro normativo pre-crisi
Ma ricostruiamo il quadro normativo che ha disciplinato il trattamento e la protezione dei dati personali in ambito sanitario fino al momento in cui è scattata l’emergenza coronavirus.
Il regolamento dell’Unione Europea noto con la sigla GDPR – General Data Protection Regulation, divenuto operativo a partire dal 25 maggio 2018, ha introdotto alcune novità in materia, tra cui l’obbligo di tenere i registri delle attività di trattamento dei dati sanitari, atti a contenere tutte le informazioni relative ai trattamenti dei dati personali dei pazienti.
Altra novità è stata l’introduzione della figura del Responsabile per la Protezione dei Dati (R.D.P.) – o Data Protection Officer (D.P.O.) – un esperto che ha il compito di supervisionare e rendere fluida la messa in pratica della disciplina sulla protezione dei dati personali, la cui nomina è obbligatoria per tutte le Aziende Sanitarie pubbliche appartenenti al Servizio Sanitario Nazionale e per quelle strutture private che effettuano il trattamento di dati personali su larga scala.
Dati relativi alla salute: cosa sono
I dati relativi alla salute, insieme ai dati genetici e biometrici, sono inclusi, dal GDPR, tra i dati cosiddetti “particolari”, in merito ai quali vanno applicati limiti severi e tutele specifiche. Costituiscono “dati relativi alla salute” quei dati personali riguardanti la salute fisica e mentale di una persona, compresa la prestazione di quei servizi di assistenza sanitaria volti a rivelare informazioni relative al suo stato di salute.
Quando il trattamento dei dati sanitari è lecito
Il trattamento dei dati sanitari è lecito se avviene per finalità di medicina preventiva, di diagnosi, di assistenza o di terapia sanitaria. Inoltre, è lecito per motivi di interesse pubblico nel settore della sanità pubblica – ad esempio per la protezione da gravi minacce per la salute – a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
In tutti gli altri casi, il trattamento dei dati sanitari deve sottostare al consenso dell’interessato, preceduto da idonea informativa. Diversamente è illecito. E l’ultimo comma dell’articolo 2-septies del Codice privacy (decreto legislativo n. 196 del 2003, aggiornato al D.lgs 101/2018) ribadisce che i dati relativi alla salute delle persone non possono essere diffusi, né pubblicati.
Dati sanitari e privacy ai tempi del coronavirus: il Garante allenta le briglie
Che cosa è accaduto, nelle scorse settimane, al quadro normativo appena descritto? In seguito all’aumento esponenziale dei contagi da coronavirus, con gli ospedali al collasso, lo scorso 3 marzo, il Garante Privacy ha riconosciuto alle Autorità che, in questo momento, sono impegnate in prima linea nell’attività di prevenzione dalla diffusione del covid-19, un “ruolo speciale” nel trattare i dati personali di coloro che contraggono il virus, mettendo allo stesso tempo in guardia datori di lavoro e altre figure dal chiedere ai lavoratori autocertificazioni su eventuali sintomi influenzali e sui contatti avuti nelle settimane precedenti. Dunque, soltanto chi è investito di un ruolo istituzionale nell’occuparsi direttamente di prevenzione, può trattare i dati personali dei contagiati. Nessun altro.
E lo scorso 9 marzo, il decreto legge varato dal Governo per rafforzare il sistema sanitario nazionale di fronte al dilagare dell’epidemia, ha sancito che Protezione civile, Ministero della Salute, Istituto Superiore di Sanità, ospedali e tutte le forze in campo per contenere il contagio e assistere i malati, possono raccogliere tutti i dati sanitari e personali che ritengono necessari a contrastare l’emergenza.
La situazione drammatica che stiamo vivendo, inoltre, ha messo in moto tutta una serie di eccezioni in materia di trattamento dati personali: ad esempio, l’autorizzazione a trattare i dati può essere espressa semplicemente a voce dai pazienti, omettendo – per questioni di tempo e di praticità – l’informativa sulla privacy o fornendone una semplificata.
Il Garante Privacy ha risposto affermativamente al decreto legge del 9 marzo, concedendo – appunto – alla Protezione Civile di scambiare dati sanitari con altri soggetti, tra cui Forze dell’Ordine, Comuni, Enti e anche privati. Lo stesso GDPR – come accennato in precedenza – “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute” considera lecito il trattamento dei dati sanitari dei malati. E, in questo momento, a prevalere su regolamenti e norme deve essere la salute del Paese.