Quotidiano on line
di informazione sanitaria
Venerdì 29 MARZO 2024
Governo e Parlamento
segui quotidianosanita.it

Niente più consenso per il trattamento di dati in ambito sanitario? La bozza del decreto di adeguamento privacy

di Silvia Stefanelli

L'ipotesi è contemplata dalla bozza di decreto legislativo approvato in via preliminare dal Governo nelle scorse settimane. Il nuovo quadro normativo chiama ad un respiro molto diverso, che si articola intorno a nuovi cardini: il principi della “proprietà” e del controllo dei dati in capo all’interessato, il principio dell’accountability in capo ai titolari ed ai responsabili ed in generale il principio di protezione dei dati nell’interno dell’intero sistema. Ben venga una scelta che obbliga a pensare diverso: perchè questa è la vera nuova sfida

15 APR - In linea con le previsioni del reg. UE 2016/679 il legislatore nazionale sembra orientato nel senso di cancellare l’obbligo di consenso scritto al trattamento dei dati per soggetti che trattano dati sanitari ai fini di diagnosi e cura. Così emerge dalla bozza del decreto legislativo per l’adeguamento del nostro ordinamento al Reg. UE 2016/679-GDPR approvato in via preliminare dal Consiglio dei Ministri in data 21 marzo 2018.
 
Pur dando atto che il decreto non è ancora definitivo (e si parla di possibili prossime modifiche da parte dello stesso Governo Gentiloni) – in quanto deve passare dalle Commissioni parlamentari (quando costituite) o in attesa della loro costituzione dalle Commissioni speciali istituite proprio per esaminare leggi in scadenza e provvedimenti del Governo in attesa del nuovo Esecutivo. Poi ci dovrà essere anche il parere del Garante Privacy, ma in ogni caso  non si può non evidenziare che il decreto abbraccia in maniera molto aderente la nuova filosofia del GDPR. Il primo elemento che preme evidenziare è la scelta di fondo di prevedere l’abrogazione in toto del dlgs 196/2006 c.d. Codice Privacy (art. 102 della bozza del decreto).

Vale a dire che dopo l’approvazione del suddetto decreto la materia sarà regolata solo da due provvedimenti: il GDPR ed il decreto stesso: quindi come il Reg. UE 2016/679 in data 25 maggio 2018 abrogherà la dir 95/46/CEE, identicamente il nuovo decreto abrogherà (se la scelta verrà confermata) il D.Lgs. 196/2006 (Codice Privacy): ciò porterà una maggior chiarezza e facilità nell’implementazione di una disciplina il cui impatto anche culturale non può che definirsi rivoluzionario. In questa direzione anche le scelte per il trattamento dei dati relativi alla salute.

Una breve ricostruzione per capire meglio
L’art. 9 del GDPR - relativo al trattamento dei dati particolari (tra cui i genetici i biometrici e quelli relativi alla salute) - prevede infatti che non sia necessario il consenso “per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”: la norma lascia però agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute” (comma 4).

Quindi in linea di principio il legislatore nazionale avrebbe ben potuto mantenere in vita il consenso “scritto” per i c.d. dati sensibili, come previsto oggi del Codice Privacy.

La scelta invece è stata più in linea con il Regolamento UE.

L’articolo 8 della bozza del decreto infatti, rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, prevede che il trattamento di queste particolari categorie di dati non sia subordinato al consenso scritto ma solo all’osservanza di misure di garanzia, stabilite dal Garante per la protezione dei dati personali con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica.

Nell’adozione di tale provvedimento il Garante dovrà poi tenere in particolare considerazione, oltre alle linee guida, raccomandazioni e migliori prassi pubblicate dal Comitato europeo per la protezione dei dati, anche l’evoluzione tecnologica e scientifica del settore a cui tali misure sono rivolte, nonché l’interesse alla libera circolazione dei dati nel territorio europeo. Le misure di garanzia dovranno essere adottare tenendo in considerazione le specifiche finalità di trattamento (ad es diagnosi e cura) e contenere prescrizioni di natura tecnica ed organizzativo, nonché dettare misure di sicurezza.

Per quanto riguarda poi il trattamento dei dati genetici, viene invece prevista la possibilità per il Garante di individuare il consenso come ulteriore misura di protezione dei diritti dell’interessato.
Chi scrive concorda con le scelte che emergono dalla bozza di decreto.

Il consenso per il trattamento dei dati per la finalità di diagnosi e cura non appare un corretto fondamento per la liceità del trattamento in ragione del fatto che non può essere “libero”: il nostro ordinamento prevede la libertà di scelta del luogo di cura (art. 32 Cost e Dlgs 502/’92) e prevede la libertà di sottoporsi o meno alle cure attraverso l’obbligo di consenso per il trattamento di cura (art. 1 legge 2019/2017): ma una volta deciso di sottoporsi alle cure si può mai pensare che vi sia “libertà” di negare il consenso al trattamento dei dati?

Tutt’al più vi sarà – e vi dovrà essere – la possibilità di revocare o limitare il trattamento.
Tale impostazione del decreto peraltro, oltre ad essere in linea con il GDPR, scardina un modo di pensare non corretto: è percezione comune infatti che ottenuto il consenso tutto sia in regola, appiattendo il tema protezione dati sul binomio informativa/consenso.

Non è così e non può più essere così.

Il nuovo quadro normativo chiama ad un respiro molto diverso, che si articola intorno a nuovi cardini: il principi della “proprietà” e del controllo dei dati in capo all’interessato (considerando 7 del GDPR e art. 12-22 sui diritti dell’interessato), il principio dell’accountability in capo ai titolari ed ai responsabili (art. 5 - 24 GDPR) ed in generale il principio di protezione dei dati nell’interno dell’intero sistema (art. 32 sulla sicurezza e 33 sul data breach GDPR).
Quindi ben venga una scelta che obbliga a pensare diverso: perchè questa è la vera nuova sfida
 
Avv. Silvia Stefanelli

15 aprile 2018
© Riproduzione riservata

Altri articoli in Governo e Parlamento

ISCRIVITI ALLA NOSTRA NEWS LETTER
Ogni giorno sulla tua mail tutte le notizie di Quotidiano Sanità.

gli speciali
Quotidianosanità.it
Quotidiano online
d'informazione sanitaria.
QS Edizioni srl
P.I. 12298601001

Sede legale:
Via Giacomo Peroni, 400
00131 - Roma

Sede operativa:
Via della Stelletta, 23
00186 - Roma
Direttore responsabile
Luciano Fassari

Direttore editoriale
Francesco Maria Avitto

Tel. (+39) 06.89.27.28.41

info@qsedizioni.it

redazione@qsedizioni.it

Coordinamento Pubblicità
commerciale@qsedizioni.it
    Joint Venture
  • SICS srl
  • Edizioni
    Health Communication
    srl
Copyright 2013 © QS Edizioni srl. Tutti i diritti sono riservati
- P.I. 12298601001
- iscrizione al ROC n. 23387
- iscrizione Tribunale di Roma n. 115/3013 del 22/05/2013

Riproduzione riservata.
Policy privacy