0
Normativa Protezione Dati Sanitari in UE

Protezione dei dati sanitari: le normative nell’Unione Europea

ComplianceSettembre 21, 2024

La tutela relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, com’è noto, rappresenta un diritto fondamentale dell’individuo ai sensi dell’art. 8 di cui alla Carta dei diritti fondamentali dell’Unione Europea.

La normativa base su cui poggia l’intero paradigma gnoseologico della materia è contenuta prevalentemente all’interno dell’articolo 4, punto 15, nonché nell’articolo 9, paragrafo 1, del regolamento (UE) 2016/679 (noto come GDPR, General Data Protection Regulation) del Parlamento europeo e del Consiglio del 27 aprile 2016 (e che abroga la direttiva 95/46/CE, regolamento generale sulla protezione dei dati di cui alla GU 2016, L 119, pag. 1).
A queste vanno poi affiancati vari atti normativi italiani ed internazionali, nonché il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del cit. Regolamento (UE) 2016/679 tramite il D.lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 dicembre 2018 e che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (d.lgs. 196/2003) alle disposizioni del GDPR.

Otre questa funzione di recepimento, il cit. d.lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale, tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.

Sotto un profilo ontogenetico, il GDPR come indicato dalla stessa Commissione Ue, origina da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Questo processo si concretizza in una risposta, necessaria ed urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.

La portabilità dei dati

Il cit. Regolamento (UE) 2016/679, in particolare, disciplina il trattamento dei dati personali indipendentemente dal fatto che questo sia effettuato o meno nell’Unione Europea, sia quando svolto da titolari o responsabili stabiliti in Ue o in un luogo soggetto al diritto di uno Stato membro dell’Ue in virtù del diritto internazionale pubblico, sia quando il titolare od il responsabile non è stabilito nell’UE, ma le attività di trattamento riguardino o l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione europea, indipendentemente dall’obbligatorietà di un pagamento all’interessato, oppure ed in alternativa, il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

Si è trattato di un ampliamento dei diritti riconosciuti all’interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi all’interno di una realtà permeata sempre più dal ricorso alle nuove tecnologie ed all’utilizzo della rete.

Un’ulteriore aspetto degno di nota è poi quello relativo all’introduzione nel Regolamento del diritto alla c.d. “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato i propri dati personali per trasferirli da un titolare del trattamento  ad un altro e, conseguentemente, laddove fattibile, la trasmissione diretta dei propri dati.

Si tratta di un diritto il cui esercizio è condizionato al basarsi del trattamento sul consenso, su un contratto o mediante l’impiego di mezzi automatizzati. Al contrario, tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Di pari rilevanza è poi quanto stabilito dal Regolamento (UE) 2023/2854, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo o Data Act, il quale benché entrato in vigore l’11 gennaio 2024, riprendendo quanto previsto dall’art. 20 del GDPR, sarà applicabile a partire dal 12 settembre 2025.

L’interpretazione dei “dati relativi alla salute” alla luce della giurisprudenza esistente

Particolare rilievo assume la lettura che la giurisprudenza europea fa dei c.d. “dati relativi alla salute”, intendendo sulla base di quanto disposto dall’art. 4, punto 15 del RGPD, i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, rivelatori di informazioni relative al proprio stato di salute.

Più precisamente, la Corte dei Diritti dell’Uomo nella propria giurisprudenza ha sottolineato come nei dati personali relativi alla salute, dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che “rivelino” informazioni connesse al suo stato di salute fisica o mentale, passata presente o futura (Sentenza del 1 agosto 2022, Vyriausioji tarnybinès etikos komisija (C- 184/20, EU: C: 2022: 601, punto 124).

Dal combinato disposto dell’articolo 4, punto 15, del RGPD, come precisato dal considerando 35 di tale regolamento, emerge quindi che l’elemento determinate per stabilire che alcuni dati personali costituiscono dati relativi alla salute è il fatto che sia possibile trarre conclusioni sullo stato di salute dell’interessato.

Si tratta più precisamente, del riferimento a dati non meramente inerenti ai dati medici od a quelli direttamente connessi a problemi di salute, ma comprensivi anche di qualsiasi altro dato in sé riferibile allo stato anamnestico (sia esso patologico o fisiologico).
Questa conclusione risulta del resto confermata alla luce dell’obiettivo perseguito all’art. 9 del RGPD, così come interpretata dalle copiose massime della Corte Europea di Strasburgo.
Nella sua giurisprudenza, la Corte, infatti ha sottolineato che la finalità di tale disposizione è quella di garantire una protezione maggiore contro i trattamenti che, a causa della natura particolarmente sensibile dei dati che ne formano oggetto, possono costituire un’ingerenza particolarmente grave dei diritti fondamentali al rispetto di una vita privata ed alla protezione dei dati personali riconosciuti dagli art. 7 ed 8 della Carta dei diritti fondamentali dell’ Ue (cit. Sentenza del 1 agosto 2022, C – 184/20, EU: C: 2022: 601, punto 126).

Sempre secondo la giurisprudenza della Corte, occorre quindi dare un’interpretazione estensiva alla nozione di “categorie di dati personali”, e che comprende i dati relativi alla salute, in modo da riferirsi non solo a dati intrinsecamente sensibili, ma altresì a dati che svelano da un punto di vista intellettuale, al termine di un’operazione intellettuale di deduzione o di raffronto, informazioni di tale natura (cit. Sentenza del 1 agosto 2022, C – 184/20, EU: C: 2022: 601, punto 123).

Peraltro, anche il Comitato europeo per la protezione dei dati, istituito agli articoli 68 e ss. del RGPD, adotta una tale nozione di “dati relativi alla salute”, sottolineando che non è solo la natura intrinseca dell’informazione a determinare la sua qualificazione come “dati relativi alla salute”, ma anche le circostanze che ne circondano la raccolta ed il trattamento.

In tal senso, costituirebbero quindi  “dati relativi alla salute”, le informazioni contenute in una cartella clinica, le informazioni che rivelano lo stato di salute sulla base di riferimenti incrociati ad altri dati, , o i dati che diventano dati relativi alla salute a seguito del loro utilizzo in un contesto specifico, come ad esempio le informazioni relative ad un viaggio ed elaborate da un professionista sanitario per effettuare la propria diagnosi.

Al contrario, non costituiscono dati relativi alla salute quelli raccolti da un’applicazione che consente di misurare il numero di passi effettuati dal cittadino, se tale applicazione non è in grado di collegare tali dati ad altri dati relativi a tale persona e nella misura in cui i dati raccolti non siano trattati in un contesto medico.

Hai bisogno di consulenza legale in materia di trattamento dati sanitari o in generale per progetti in ambito compliance?

Contattaci senza impegno tramite il form dedicato o i canali presenti nella nostra pagina Contatti.

1 Star2 Stars3 Stars4 Stars5 Stars (6 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.