Le misure di garanzia per i dati genetici, biometrici e relativi alla salute

Con riferimento ai dati genetici, biometrici e relativi alla salute, il d.lgs. n. 101/2018 all’art. 2 introduce l’art. 2-septies del codice in materia di protezione dei dati personali che argomentando da quanto sancito dall’art. 9, par. 4 del GDPR il quale prevede una specifica “riserva” della normativa nazionale dispone che il relativo trattamento è subordinato anche al rispetto di misure di garanzia previste dal Garante con provvedimento adottato con cadenza almeno biennale.

Lo stesso provvedimento dovrà tener conto:

a)  delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;

b)   dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure;

c)   dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.

Lo schema di provvedimento deve essere sottoposto a consultazione pubblica per un periodo non inferiore a sessanta giorni e le misure di garanzia dovranno riguardare anche le cautele da adottare relativamente a:

a)   contrassegni sui veicoli e accessi a zone a traffico limitato;

b)  profili organizzativi e gestionali in ambito sanitario;

c)   modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;

d)   prescrizioni di medicinali.

Le misure di garanzia vengono adottate in relazione a ciascuna categoria dei dati personali (genetici, biometrici, relativi alla salute), avendo riguardo alle specifiche finalità del trattamento e possono individuare ulteriori condizioni sulla base delle quali il trattamento di tali dati è consentito. In particolare, le misure di garanzia dovranno individuare le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.

Le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura nonché quelle relative ai profili organizzativi e gestionali in ambito sanitario, alle modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute ed alle prescrizioni di medicinali sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità.

Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell’articolo 9, paragrafo 4, del regolamento, o altre cautele specifiche.

Nel rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all’articolo 32 del Regolamento, è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, ovviamente in conformità alle misure di garanzia prescritte.

Sicuramente questa disposizione è tra le più interessanti del decreto di adeguamento e rappresenta un logico bilanciamento all’ampliamento delle condizioni di liceità per il trattamento di dati particolarmente delicati come quelli attinenti alla salute ed alla identità degli interessati.

Difatti a seguito della nuova formulazione dell’art. 75 del codice in materia di protezione dei dati personali (e della abrogazione dell’art. 76 del codice previgente) è chiarito che non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura (art. 2-septies del Codice Privacy emendato) anche se occorrerà sempre rispettare le misure di garanzie stabilite dal Garante.

L’art. 75, difatti, nella sua nuova formulazione sancisce che il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell’articolo 2-septies del codice, nonché nel rispetto delle specifiche disposizioni di settore.

L’art. 9 del GDPR, paragrafo 2, lett. h) riguarda il caso in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, mentre la lett. i) riguarda il caso in cui il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.

L’art. 3 del GDPR disciplina l’ambito di applicazione territoriale, mentre l’art. 2-septies del d.lgs. n. 101/2018 riguarda la previsione di specifiche misure di garanzia per i dati genetici, biometrici e relativi alla salute che verrà approfondito in seguito.

L’obbligo di informativa al paziente continua ad essere  reso in area sanitaria con modalità semplificate, in particolare l’art. 78 del codice privacy emendato prevede che il medico di medicina generale o il pediatra di libera scelta informano l’interessato relativamente al trattamento dei dati personali, in forma chiara e tale da rendere agevolmente comprensibili gli elementi indicati negli articoli 13 e 14 del Regolamento.

Le informazioni possono essere fornite per il complessivo trattamento dei dati personali necessario per attività di diagnosi, assistenza e terapia sanitaria, svolte dal medico o dal pediatra a tutela della salute o dell’incolumità fisica dell’interessato, su richiesta dello stesso o di cui questi è informato in quanto effettuate nel suo interesse. Inoltre le informazioni possono riguardare, altresì, dati personali eventualmente raccolti presso terzi e sono fornite preferibilmente per iscritto.

Anche le strutture pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie possono avvalersi delle modalità particolari di cui all’articolo 78 in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed unità della stessa struttura o di sue articolazioni ospedaliere o territoriali specificamente identificate (art. 79 del codice emendato). Nei casi precedenti la struttura o le sue articolazioni annotano l’avvenuta informazione con modalità uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità che, anche in tempi diversi, trattano dati relativi al medesimo interessato.  Le modalità particolari di cui all’articolo 78 possono essere utilizzate in modo omogeneo e coordinato in riferimento all’insieme dei trattamenti di dati personali effettuati nel complesso delle strutture facenti capo alle aziende sanitarie.

Lo stesso consenso dell’interessato, nella nuova formulazione dell’art. 110 del codice per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando, tra l’altro, la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento,  ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del GDPR.