Privacy e dati sanitari.
Il Reg. UE 2016/679 all’art. 9 par. 1 (“è vietato trattare dati personali che […] nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute […]”) pone l’espresso divieto di trattamento dei dati sanitari in quanto dati riconducibili direttamente all’identità del soggetto interessato. Tuttavia va evidenziato che trattandosi di una situazione di emergenza sanitaria, il cui obiettivo primario è la tutela della salute del singolo e della collettività, si deve prendere in considerazione il paragrafo 2 dell’art. 9 GDPR con riferimento alla lettera g), h) e i). Questa seconda parte dell’articolo evidenzia che quanto previsto dal precedente paragrafo 1 non possa essere applicato a determinati casi e fattispecie poiché, in questi casi, “il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita”[3] con una particolare attenzione al rispetto della protezione dei dati delle persone fisiche e con l’obbligo di prevedere delle misure “appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.[4] È evidente che si è in presenza di un interesse pubblico rilevante (tutela della salute) con la conseguenza della necessaria l’individuazione dei soggetti che svolgono compiti di interesse pubblico o legati all’esercizio di pubblici poteri.
Con l’art. 2 sexies, introdotto con il D.Lgs. 101/2018, rubricato “Trattamento di categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante” il legislatore italiano ha stabilito, richiamando la normativa comunitaria, che “si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie: […] u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, […] e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica”. La violazione dell’art. 2 sexies Codice Privacy post riforma del 2018 trova nell’art. 166 Codice Privacy (sostituito dall’art. 15 c. 1 lett. a) D.Lgs. 101/2018) l’individuazione dei “criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori”) e che applica “la fascia edittale più severa, ossia quella dell’art. 83 par. 5 GDPR”.[5] Va portata alla nostra attenzione la lett. i) par. 2 art. 9 GDPR laddove si evidenzia che il trattamento “è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutela re i diritti e le libertà dell’interessato […]”.
Privacy e dati sanitari.
Un caso di violazione dei dati sanitari
