30 Luglio 2018

---

---

Il regolamento europeo sulla protezione dei dati è entrato nella fase attuativa a partire dal 25 maggio. Tuttavia, siamo ancora in attesa del decreto di adeguamento e armonizzazione della normativa italiana al Gdpr, l'obiettivo prefissato è quello di far sopravvivere le parti necessarie (perché o NON disciplinate dal Gdpr, o attinenti ad ambiti riservati al diritto nazionale) e di conseguenza a modificare il codice privacy rendendolo coerente con la normativa europea.

Il governo, e in particolare l'apposita commissione costituita, potrà usufruire della delega, ed apportare le eventuali modifiche al disegno, fino al 21 agosto 2018 in virtù di un'apposita proroga di 90 giorni.Ma vediamo quali sono le principali novità che potrebbero investire il mondo sanitario se passasse il nuovo disegno di decreto (che ha ricevuto in data 22 maggio il parere favorevole del Garante a maggioranza e il 18 giugno il parere di alcuni esperti in data protection, delle associazioni di categoria e degli addetti ai lavori).

È prevista l'abrogazione ed integrale sostituzione degli articoli 75 ("Ambito applicativo"), 77 ("Casi di semplificazione") e 80 ("Informativa da parte di altri soggetti pubblici") nonché la parziale modifica degli articoli 78 ("Informativa del medico di medicina generale o del pediatra") e 79 ("Informativa da parte di organismi sanitari") del Decreto legislativo n. 196/2003, questo perché i membri della commissione hanno abbandonato il primo (improbabile) progetto che prevedeva la totale abrogazione del codice privacy intraprendendo la via della modifica e armonizzando solo ove necessario.Una delle modifiche che appare più rilevante è quella disposta dall'art.75; nella versione portata dal codice si trattava di una norma di apertura, che si limitava a delimitare l'ambito di applicazione delle norme contenute nel Titolo quinto al "trattamento dei dati sanitari".La disposizione risulta oggi sostituita da una norma di dettaglio in cui si prevede che il trattamento dei dati personali effettuato per finalità di tutela della salute, deve avvenire secondo le modalità di cui all'art. 9 paragrafo due, lettere h ed i, e tre del GDPR.

Ciò significa che allorquando il trattamento dei dati particolari è posto in essere per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o anche per motivi di interesse pubblico (e quindi in sostanza tutti i casi di diagnosi e cura), sfugge al generale divieto di cui all'art. 9 primo comma epuò pertanto essere effettuato senza il consenso dell'interessato,non essendo presente un espresso richiamo al paragrafo 2 lettera a).Il codice privacy subordinava il trattamento dei dati sensibili al consenso dell'interessato o, all'autorizzazione del Garante. È pacifico a parere di chi scrive che tale complicata struttura di autorizzazioni era oggettivamente difficile da ottenere, comportando peraltro conseguenze ingestibili in caso di mancanza di consenso al trattamento e contestuale consenso alla terapia (ipotesi facilmente realizzabile in concreto).

L'orientamento del disegno di decreto, pare anche quello di perseguire una maggiore flessibilità nel trattamento dei dati sanitari, almeno per quel che riguarda le predette finalità.La maggior flessibilità è bilanciata da un notevole rigore ed attenzione per i dati particolari in particolare dai nuovi poteri riservati al Garante, infatti l'articolo 2septies, introduce le "misure di garanzia per il trattamento dei dati genetici biometrici e relativi alla salute". L'autorità italiana avrà quindi l'opportunità di introdurre ulteriori misure rispetto a quelle già presenti nel GDPR al fine di tutelare i dati particolari.Il menzionato articolo (2septies) prevede che al fine di tutelare determinate categorie di dati (quali genetici ed ai dati sanitari, diagnostici e relativi alle prescrizioni di medicinali) l'Autorità possa "individuare in casi di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell'interessato", reintrodurre il consenso quale ulteriore misura necessaria per il trattamento.

È inoltre stabilito che le "misure di garanzia" potranno altresì avere ad oggetto:
a) Contrassegni sui veicoli e accesso a zone a traffico limitato;
b) Profili organizzativi e gestionali in ambito sanitario;
c) Modalità per la comunicazione diretta all'interessato delle diagnosi e dei dati relativi alla propria salute;
d) Prescrizioni di medicinali.

Alla luce di quanto esposto, la tendenza pare quella di rendere il trattamento dei dati in ambito sanitario, più malleabile e flessibile (sono scomparsi molti riferimenti al consenso) purché avvenga per le finalità espressamente previste.

Per Doctor33: Avv. Monica Gobbato. Data Protection Officer Dott. Bartolo Ferrante Data Protection Specialist

Segui l'evoluzione della normativa attraverso le notizie e gli approfondimenti pubblicati nella sezione dedicata che trovi a questo link.

Copyright © Riproduzione vietata-Tutti i diritti riservati