Niente più consenso per il trattamento di dati in ambito sanitario: cosi la bozza del decreto di adeguamento privacy

Sembra proprio che - in linea con le previsioni dell’art. 9 del Reg. UE 2016/679 - non sarà più necessario il consenso del paziente per il trattamento dei suoi dati ai meri fini di diagnosi e cura.

Questa la scelta che emerge dalla lettura della bozza del decreto legislativo di attuazione delle legge delega 163/2017 per l’adeguamento del nostro ordinamento al Reg. UE 2016/679-GDPR.

Pur dando atto che l’iter è ancora in corso (il decreto deve ancora passare dalle Commissioni parlamentari e poi dal parere del Garante Privacy), l’impostazione appare assolutamente coraggiosa, abbracciando in maniera molto aderente la filosofia del nuovo Regolamento comunitario.

Il primo elemento che preme evidenziare è la scelta di fondo di prevedere l’abrogazione in toto del dlgs 196/2006 c.d. Codice Privacy (art. 102 della bozza del decreto).

Vale a dire che dopo l’approvazione del suddetto decreto la materia sarà regolata solo da due provvedimenti: il GDPR ed il decreto stesso: quindi come il Reg. UE 2016/679 in data 25 maggio 2018 abrogherà la dir 95/46/CEE, identicamente il nuovo decreto abrogherà (se la scelta verrà confermata) il D.Lgs. 196/2006 (Codice Privacy): ciò porterà una maggior chiarezza e facilità nell’implementazione di una disciplina il cui impatto anche culturale non può che definirsi rivoluzionario.

In questa direzione anche le scelte per il trattamento dei dati relativi alla salute.

L’art. 9 del GDPR - relativo al trattamento dei dati particolari (tra cui i genetici, i biometrici e quelli relativi alla salute) - prevede infatti che non sia necessario il consenso “per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità” lasciando però al comma 4 agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”

Quindi si poneva il dubbio che il legislatore italiano intendesse mantenere in vita il consenso “scritto” per i c.d. dati sensibili, come previsto oggi del Codice Privacy.

La scelta (condivisa da chi scrive) appare diversa.

L’articolo 8 della bozza del decreto infatti, rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, prevede che il trattamento di queste particolari categorie di dati sia subordinato all’osservanza di misure di garanzia, stabilite dal Garante per la protezione dei dati personali con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica.

Nell’adozione del provvedimento il Garante deve tenere in particolare considerazione, oltre alle linee guida, raccomandazioni e migliori prassi pubblicate dal Comitato europeo per la protezione dei dati, anche l’evoluzione tecnologica e scientifica del settore a cui tali misure sono rivolte, nonché l’interesse alla libera circolazione dei dati nel territorio europeo.

Le misure di garanzia dovranno essere adottare tenendo in considerazione le specifiche finalità di trattamento (ad es diagnosi e cura).

Le misure di garanzia disciplinate dal presente articolo dovrebbero presentare soprattutto un contenuto tecnico ed organizzativo, e dettare misure di sicurezza.

Per quanto riguarda poi il trattamento dei dati genetici, invece, viene tuttavia prevista la possibilità per il Garante di individuare il consenso come ulteriore misura di protezione dei diritti dell’interessato.

Le “autorizzazioni generali” di cui all’articolo 40 del previgente Codice privacy non trovano invece inquadramento tra gli istituti disciplinati dal regolamento e sono mantenute solo per un periodo transitorio.

Chi scrive concorda con le scelte che emergono dalla bozza di decreto.

Il consenso per il trattamento dei dati per la finalità di diagnosi e cura non appare un corretto fondamento per la liceità del trattamento in ragione del fatto che non può essere un consenso “libero”: il nostro ordinamento prevede la libertà di scelta del luogo di cura (art. 32 Cost e Dlgs 502/’92) e prevede la libertà di sottoporsi o meno alle cure attraverso l’obbligo di consenso per il trattamento di cura (art. 1 legge 2019/2017): ma una volta deciso di sottoporsi alle cure si può mai pensare che vi sia libertà di negare il consenso al trattamento dei dati?

Tale impostazione del decreto peraltro, oltre ad essere in linea con il GDPR, scardina un modo di pensare non corretto; è percezione comune infatti che ottenuto il consenso tutto sia in regola, appiattendo il tema protezione dati dati sul binomio informativa/consenso.

Non è così e non può più essere così.

Il nuovo quadro normativo chiama ad un respiro molto diverso, che si articola intorno a nuovi cardini: il principi della “proprietà” e del controllo dei dati in capo all’interessato (considerando 7 del GDPR e art. 12-22 sui diritti dell’interessato), il principio dell’accountability in capo ai titolari ed ai responsabili (art. 5 - 24 GDPR) ed in generale il principio di protezione dei dati nell’interno dell’intero sistema (art. 32 sulla sicurezza e 33 sul data breach GDPR).

Quindi ben venga una scelta che obbliga a pensare in modo diverso: perchè questo è il vero nuovo quadro.