Come accennato nell’articolo precedente, pubblicato sul GIN 5 2017 (1), il mondo sanitario non può prescindere dallo studio e dall’analisi della normativa in materia di protezione dei dati personali. Tale esigenza diventa ancor più pressante alla luce delle recenti disposizioni introdotte dal nuovo Regolamento sulla protezione dei dati personali (2016/679) e dal quadro sanzionatorio che ne risulta notevolmente inasprito.
L’approfondimento in esame richiede altresì un’attenta calibratura tra “vecchio” Codice in materia di protezione dei dati personali (D.lgs. 196/2003), in vigore fino al 24 maggio 2018 e il prossimo Regolamento sulla protezione dei dati personali.
Il concetto di privacy, inteso quale diritto all’identità personale, alla riservatezza e alla protezione dei dati personali, rappresenta il punto di partenza per garantire il pieno godimento delle libertà degli interessati. Dopo questa premessa, è opportuno soffermarsi sulla definizione di dato personale, inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, sulla nozione di dati relativi alla salute come “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” e sul concetto di trattamento che comprende “qualsiasi operazione o serie di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali” durante tutto il ciclo di vita degli stessi (2).
La corretta gestione delle best practices privacy in ambito sanitario necessita, quindi, dell’approfondimento delle figure cardine della disciplina di riferimento: il titolare, il responsabile e l’incaricato al trattamento dei dati personali. Questa classica tripartizione dei protagonisti della normativa, utile altresì alla definizione dell’organigramma in ambito di trattamento dei dati personali, non è ancora del tutto chiara a una parte del personale impiegato, a vario titolo, nelle strutture sanitarie pubbliche e private.
Il Codice in materia di protezione dei dati personali definisce il titolare del trattamento come “la persona giuridica, pubblica amministrazione o qualsiasi ente, associazione od organismo cui competono, unitamente anche ad altro titolare, tutte le decisioni riguardo alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, compreso il profilo della sicurezza (ad esempio il titolare del trattamento di una Azienda ospedaliera è l’Ente pubblico stesso, anche se poi questo agisce tramite il Direttore generale pro tempore o il proprio legale rappresentante)”.
Tale figura, necessaria all’interno della disciplina privacy, è garante e destinataria di gran parte dei compiti previsti dal Codice (e come vedremo dal Regolamento), dovendo, nella gran parte dei casi, affidare responsabilità ben definite ai responsabili e agli incaricati, assicurandosi che i dati personali dell’interessato siano trattati nel pieno rispetto del principio di liceità.
L’importanza del ruolo del titolare del trattamento è posta in rilievo nel Regolamento attraverso il principio di accountability, in base al quale vengono meno alcuni obblighi previsti dal legislatore italiano in un’ottica appunto di responsabilizzazione; spetterà, infatti, al titolare del trattamento dimostrare di aver adempiuto alle prescrizioni della normativa in materia di protezione dei dati personali (ad esempio, si pensi all’obbligo introdotto dal legislatore europeo di tenuta del registro dei trattamenti, a cura del titolare, utile a ricoprire funzione probatoria in sede di una possibile ispezione dell’Autorità Garante).
Come evidenziato in precedenza, il titolare può avvalersi del responsabile (interno e/o esterno alla struttura di appartenenza) del trattamento, un soggetto che, per esperienza, capacità ed affidabilità, fornisca garanzia in ordine alla piena adesione della normativa in materia di protezione dei dati personali, anche sotto il profilo della sicurezza. La collaborazione tra i due soggetti protagonisti deve essere specificata dettagliatamente in un atto scritto, nel quale il titolare, attraverso un atto di nomina, impartisce le istruzioni operative alle quali il responsabile dovrà attenersi riservandosi la possibilità di effettuare attività di audit sulle azioni del responsabile (ad esempio, in una Azienda ospedaliera il titolare del trattamento, nella persona del legale rappresentante pro tempore, nomina, come responsabili, tra gli atri, direttori di U.O.C., cioè soggetti che devono garantire profili di correttezza nel trattamento dei dati personali del paziente).
Tale atto di nomina, contenente caratteristiche più stringenti con l’entrata in vigore del Regolamento (3), deve ritenersi valido a condizione che risulti da atto scritto con data certa; il delegato (responsabile) deve possedere un’adeguata professionalità e competenze specifiche perché possa esercitare le funzioni a lui assegnate; il titolare deve conferire al delegato, in un margine di autonomia, il potere di organizzazione. Il conferimento di tale nomina avrà valore legale con l’accettazione scritta del delegato.
Le operazioni di trattamento possono essere effettuate, altresì, dagli incaricati, persone fisiche, che operano sotto la direzione del titolare o del responsabile. Le istruzioni alle quali attenersi, senza margini di discrezionalità, devono essere specificate per iscritto attraverso un formale atto di nomina (ad esempio, in una Azienda ospedaliera l’incaricato potrebbe essere rappresentato dall’infermiere che si interfaccia direttamente con il paziente, attraverso la somministrazione della nota informativa e del consenso informato).
Una volta individuati gli attori principali (ai quali si aggiungeranno nei prossimi articoli l’amministratore di sistema e il Responsabile della protezione dei dati personali), è importante soffermarsi sull’importanza della nota informativa e del consenso informato.
L’obbligo di informativa costituisce uno degli adempimenti più importanti previsti dalla normativa in materia di protezione dei dati personali, rappresentando la finalità di rendere consapevole l’interessato (la persona fisica cui si riferiscono i dati personali) sulle modalità di trattamento (meglio dettagliate sotto) dei propri dati. Essa risponde al principio di “autodeterminazione informativa” (4), ossia di consentire all’interessato di compiere scelte consapevoli in ordine alla propria sfera individuale e ai propri dati personali.
Ad oggi, il legislatore italiano prevede una serie di elementi che devono essere inseriti, per iscritto, in un’informativa (5):
- le finalità e le modalità di trattamento dei dati: dovranno essere indicate in modo chiaro e completo all’interessato gli scopi per i quali i dati saranno trattati;
- la natura obbligatoria o facoltativa del conferimento dei dati: gli interessati devono essere informati circa l’obbligatorietà del conferimento dei dati e le conseguenze di un eventuale rifiuto;
- i soggetti o categorie di soggetti ai quali i dati personali potrebbero essere comunicati: si tratta di soggetti previamente autorizzati al trattamento dei dati personali. E’ sempre bene tenere chiara la differenza tra comunicazione e diffusione dei dati personali;
- i diritti che la legge riconosce all’interessato come previsto dall’art.7 del Codice in materia di protezione dei dati personali;
- gli estremi identificativi del titolare, e se designati, dei responsabili. Il Regolamento introduce l’obbligo di inserire i dati di contatto del Responsabile della protezione dei dati personali (figura obbligatoria con il Regolamento, di cui si studieranno ruolo, compiti e responsabilità).
Tutti questi elementi, come già evidenziato, sono obbligatori e la mancanza di uno solo di essi determina l’inidoneità dell’informativa con conseguenti effetti sanzionatori (6).
Concludendo, risulta necessario chiarire, sinteticamente, gli aspetti relativi al consenso informato al trattamento dei dati personali, inteso come manifestazione di volontà da parte dell’interessato e come momento nel quale si perfeziona il rapporto empatico medico-paziente.
L’art. 23 del Codice privacy stabilisce una serie di requisiti di validità dello stesso, infatti, il consenso deve essere:
- espresso liberamente e specificamente rispetto ad un trattamento inequivocabilmente individuato: la libertà e specificità, non sempre rispettati, garantiscono che il paziente presti il proprio consenso libero da condizionamenti, condizionato dall’accettazione di clausole o condizioni particolari e che lo scopo del trattamento sia individuato in maniera chiara;
- documentato per iscritto, teso a garantire la dimostrabilità dello stesso come prova legale in un ipotetico contenzioso tra titolare del trattamento e interessato;
- reso all’interessato dopo aver illustrato le informazioni contenute nell’art.13 (nota informativa, come sopra evidenziato): è fondamentale che al paziente siano fornite, preliminarmente al consenso, tutte le informazioni riguardanti gli aspetti sostanziali del trattamento.
Una volta definiti questi aspetti fondamentali per una corretta comprensione della normativa in materia di protezione dei dati personali, nel prossimo articolo si approfondirà la figura del Responsabile della protezione dei dati personali (7) (o Data Protection Officer).
Bibliografia
- Lorè F. La privacy in ambito sanitario alla luce del nuovo regolamento europeo sulla protezione dei dati personali (2016/679), G Ital Nefrol. 2017 Sep 28;34(5).
- Cosa intendiamo per dati personali? Disponibile all’indirizzo: http://www.garanteprivacy.it/web/guest/home/diritti/cosa-intendiamo-per-dati-personali consultato in data 09 novembre 2017.
- Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali. Disponibile all’indirizzo: http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali consultato in data 09 novembre 2017.
- Discorso del Prof. Rodotà di presentazione per la Relazione per l’anno 2000. Disponibile all’indirizzo: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1335256 consultato in data 09 novembre 2017.
- “Doveri e responsabilità” Disponibile all’indirizzo: http://www.garanteprivacy.it/home/doveri consultato in data 09 novembre 2017.
- F. Modafferi, “Lezioni di diritto alla protezione dei dati personali, alla riservatezza e all’identità personale”, Editore lulu.com, 2015.
- Scheda informativa sul “Responsabile della protezione dei dati personali” Disponibile all’indirizzo: http://www.garanteprivacy.it/rpd consultato in data 09 novembre 2017.