I dati sulla salute – definiti, nel Regolamento UE 2016/679, come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rilevano informazioni relative al suo stato di salute” (cfr. art. 4 n. 15 del Regolamento) – rientrano all’interno delle cosiddette categorie particolari di dati personali, il cui trattamento è, in generale, vietato, a meno che non ricorra uno dei casi espressamente previsto dalla normativa vigente (cfr. art. 9 commi 1 e 2 del Regolamento).
I casi in cui è lecito il trattamento delle categorie particolari di dati
In base a quanto stabilito dall’art. 9 del Regolamento UE 2016/679, il divieto di trattare categorie particolari di dati – tra cui rientrano, come detto, anche i dati sulla salute – non si applica se:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, purchè i dati siano trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, comma 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Serve il consenso per il trattamento dei dati sulla salute per finalità di cura?
Dalla lettura dei casi in cui è lecito il trattamento delle categorie particolari di dati emerge che il consenso esplicito dell’interessato costituisca solo una delle condizioni in presenza delle quali è permesso il trattamento dei dati sulla salute e che lo stesso non sia richiesto nel caso di trattamenti necessari per finalità di cura, quali sono le finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero la gestione dei sistemi e servizi sanitari o sociali.
Perché però il trattamento dei dati sulla salute in ambito sanitario possa rientrare nel caso previsto dall’art. 9 lett. h) del Regolamento e, dunque, possa essere effettuato senza il consenso dell’interessato, occorre che:
- i trattamenti siano effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
- I trattamenti siano necessari al perseguimento delle specifiche finalità di cura.
Per quanto riguarda il primo aspetto, come rilevato dal Garante privacy nel Provvedimento del 7 marzo 2019, contenente i Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario, ciò che rileva, perché il trattamento dei dati sulla salute possa avvenire senza il consenso dell’interessato, è che tale trattamento venga effettuato da o sotto la responsabilità di un professionista, indipendentemente dalla circostanza che lo stesso operi in qualità di libero professionista (presso uno studio medico) o all’interno di una struttura sanitaria pubblica o privata.
Per quanto riguarda il secondo aspetto richiamato, legato all’ambito oggettivo di applicazione della condizione prevista dall’art. 9 comma 2 lett. h) del Regolamento, occorre che i trattamenti dei dati sulla salute siano necessari al perseguimento delle specifiche finalità di cura previste dalla norma.
Occorre cioè che siano essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).
Trattamenti di dati sulla salute attinenti solo in senso lato alla cura, ma non strettamente necessari, anche se effettuati da professionisti della sanità, richiedono invece una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità.
Il Garante privacy, nel citato provvedimento del 7 marzo 2019, proprio con riferimento ai trattamenti in ambito sanitario che non rientrano nelle ipotesi sopra descritte e, quindi, che richiedono il consenso esplicito dell’interessato, individua, a titolo esemplificativo, le seguenti categorie:
- trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità);
- trattamenti preordinati alla fidelizzazione della clientela effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN);
- trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- trattamenti effettuati attraverso il Fascicolo sanitario elettronico, la cui disciplina di settore (d.l. 18 ottobre 2012, n. 179), precedente all’applicazione del Regolamento, deve essere rispettata, così come previsto dall’art. 75 del Codice privacy vigente.
Nel medesimo provvedimento del 2019 richiamato, il Garante privacy puntualizza poi si rende necessario acquisire il consenso dell’interessato nel caso della refertazione on line – come richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (cfr. art. 5 del Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013) – e nel caso di trattamenti effettuati attraverso il Dossier sanitario – attualmente disciplinato dalle Linee guida emanate dall’Autorità prima dell’applicazione del Regolamento (Linee guida in materia di Dossier sanitario del 4 giugno 2015).
Resta inteso che, alla luce del nuovo quadro giuridico, la nostra Autorità per la protezione dei dati personali potrà individuare, nell’ambito delle misure di garanzia da adottarsi sulla base dell’art. 2-septies del Codice privacy vigente, i trattamenti che possono essere effettuati senza il consenso dell’interessato per le finalità di cura esaminate.