Uno degli aspetti su cui il GDPR ha inciso maggiormente sono le basi giuridiche del trattamento e tra queste, nello specifico, il ruolo del consenso dell’interessato, la cui centralità sembra essere venuta meno.
Tra i settori su cui la nuova configurazione del Regolamento ha avuto maggiore impatto, come vedremo, c’è quello della sanità.
Gdpr e centralità del consenso
Nel sistema del Codice privacy al consenso dell’interessato era riconosciuto un ruolo centrale quale presupposto legittimante e condizione di liceità del trattamento dei dati personali. La regola generale era, infatti, quella secondo cui i dati personali potevano essere trattati solo con il consenso dell’interessato. Ulteriori condizioni di legittimità del trattamento, pur previste dal Codice, si configuravano come deroghe alla regola del consenso, giustificate solo dalla straordinarietà di determinate situazioni.
L’art. 6 del Gdpr nel disciplinare la liceità del trattamento, elenca sei diverse basi giuridiche. In questa elencazione il consenso dell’interessato figura solo come una delle possibili alternative su cui il trattamento di dati personali può essere fondato e si pone sullo stesso piano rispetto agli altri presupposti legittimanti. Non si configura più quindi un rapporto di regola – eccezione, ma piuttosto si individuano una pluralità di condizioni tra loro equiparate. Questo comporta che il titolare del trattamento, coerentemente con il principio di accountability, per ciascun trattamento posto in essere dovrà individuare la base giuridica più idonea scegliendo, a seconda del caso specifico, una delle sei alternative previste dall’art. 6 del GDPR.
Il venir meno della centralità del consenso risulta ancora più evidente, ed ha un impatto ancora più significativo, con riferimento al trattamento delle categorie particolari di dati personali (come meglio definite in seguito).
L’art. 9 del Regolamento infatti, al paragrafo 1 pone un divieto generale di trattare queste categorie di dati. Tale divieto viene tuttavia derogato dal successivo paragrafo 2 che ammette il trattamento di questi dati purché sussista almeno una delle dieci condizioni dallo stesso elencate. Anche in questo caso il consenso dell’interessato figura solo come una delle possibili condizioni, ponendosi sullo stesso piano delle altre alternative previste.
Il consenso per il trattamento dei dati relativi alla salute
Nel quadro delineato dal Codice privacy i dati sanitari potevano essere trattati, salve poche ipotesi marginali, solo con il consenso dell’interessato. L’art. 26 del Codice prevedeva infatti al comma 1 che i dati sensibili (di cui i dati sanitari erano parte) potevano essere oggetto di trattamento solo con il consenso dell’interessato e previa autorizzazione del Garante. Il successivo comma 4 prevedeva una serie di casi particolari in cui il trattamento di questi dati era ammesso anche senza consenso, ferma restando la necessità della previa autorizzazione del Garante. In particolare, per quanto riguarda i dati relativi alla salute, la lett. b) faceva riferimento all’ipotesi in cui il trattamento dei dati fosse necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se invece la stessa esigenza si poneva con riferimento all’interessato, e questo non era in grado di prestare il consenso per impossibilità fisica, incapacità di agire o incapacità di intendere e di volere, era previsto che “il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato”.
Nella stessa ottica l’art. 82 del Codice dettava una disciplina specifica per le situazioni di emergenza, prevedendo che l’informativa e il consenso al trattamento dei dati personali potevano intervenire “senza ritardo, successivamente alla prestazione” quando sussisteva una delle seguenti ipotesi: (i) impossibilità fisica, incapacità di agire o incapacità di intendere e di volere dell’interessato, quando non è possibile acquisire il consenso dai soggetti indicati dalla lett. b) dell’art. 26; (ii) rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato e (iii) prestazione medica che può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia.
Il quadro che emergeva dal combinato disposto di questi articoli dimostrava che, di fatto, nel sistema codicistico non esistevano casi in cui il trattamento di dati sanitari per finalità di cura dell’interessato potesse prescindere dal rilascio di un consenso (preventivo o successivo, proveniente direttamente dall’interessato o da un terzo, ma comunque sempre necessario). D’altra parte il Codice non contemplava l’ipotesi in cui l’interessato, pur richiedendo una prestazione sanitaria necessaria per la tutela della sua vita o incolumità fisica, rifiutasse di prestare il consenso al trattamento dei suoi dati personali. Nel sistema delineato dal Codice in questo caso, a rigore, il medico avrebbe dovuto rifiutarsi di eseguire la prestazione, e il tema diveniva ancora più complesso nel caso in cui il medico avesse già effettuato la prestazione senza richiedere alcun consenso, per la sussistenza di una delle ipotesi di cui all’art. 82, ma successivamente l’interessato avesse rifiutato di rilasciare il proprio consenso. In questo caso il medico che era intervenuto tempestivamente per salvaguardare l’incolumità dell’interessato avrebbe rischiato di essere chiamato a rispondere per avere trattato illecitamente i dati personali di quest’ultimo.
Questa situazione paradossale è stata superata dal Regolamento attraverso l’introduzione di una nuova impostazione per la gestione del trattamento dei dati personali in ambito sanitario.
Innanzitutto, il Regolamento introduce per la prima volta una definizione di “dati relativi alla salute”, secondo cui tali dati consistono ne “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.
In secondo luogo, come prima accennato, il Regolamento introduce cinque basi giuridiche alternative al consenso, tutte astrattamente idonee a costituire la condizione di liceità per il trattamento dei dati relativi alla salute.
L’inadeguatezza del consenso come base giuridica per il trattamento dei dati sanitari e la nuova configurazione del GDPR
Per meglio comprendere la ratio di questa nuova impostazione del Regolamento è opportuno svolgere una breve riflessione preliminare.
L’art. 4 n. 11 del GDPR definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato […]”. Come sottolineato anche dal Gruppo di Lavoro ex art. 29 nelle “Guidelines on Consent under Regulation 2016/679” (WP 259), il consenso si caratterizza, tra le altre cose, per essere “libero”, ovvero per presupporre una scelta e un controllo effettivi da parte dell’interessato. Il considerando 42 precisa che il consenso non può essere considerato liberamente espresso, e quindi valido, se l’interessato non può operare una scelta effettivamente libera o se non può rifiutare di prestare il proprio consenso senza subire pregiudizi. L’art. 7(4) aggiunge che nel valutare se il consenso è stato liberamente prestato si deve considerare in particolare se la prestazione del consenso sia una condizione essenziale per l’esecuzione della prestazione. Questo significa che se dal rifiuto del consenso possono derivare conseguenze significativamente negative per l’interessato, quali, in particolare, l’impossibilità di usufruire del servizio o di ricevere la prestazione richiesta, è evidente che il soggetto che ha interesse o bisogno di ricevere quella prestazione non gode di fatto di una libertà di scelta. Ne deriva che il consenso non è libero e, quindi, non può essere considerato valido come base giuridica del trattamento.
Con riferimento al consenso al trattamento di dati personali per l’esecuzione di un trattamento sanitario, è evidente che tale consenso non può che essere necessario in quanto un professionista sanitario non potrebbe mai trattare, sul piano sanitario, un paziente, senza trattare anche i suoi dati personali. Il professionista dovrà infatti necessariamente venire a conoscenza di una serie di dati identificativi e clinici (es. anamnesi, stato di salute, farmaci assunti) e, d’altra parte, egli stesso, nel trattare il paziente, andrà a produrre una serie di dati relativi alla salute di quest’ultimo (es. lastre, referti, fogli chirurgici, ecc.). Dal momento che anche la semplice raccolta e consultazione dei dati costituisce un trattamento, è evidente che il medico, nello svolgimento delle sue funzioni, tratta costantemente e inevitabilmente i dati personali dei pazienti. Il consenso al trattamento dei dati diventa quindi “obbligatorio” proprio perché senza di esso il medico dovrebbe rifiutarsi di eseguire la prestazione medica. Tuttavia, parlare di “consenso obbligatorio” è evidentemente un ossimoro in quanto, come detto in precedenza, il consenso per essere effettivo deve sempre essere libero. La conseguenza è che il consenso al trattamento dei dati personali per finalità di trattamento sanitario risulta essere sempre invalido, e dunque si deve ritenere che esso non possa mai costituire un’idonea base giuridica per tale trattamento.
In quest’ottica il Regolamento interviene superando l’impostazione del Codice privacy secondo cui il trattamento dei dati sanitari poteva avvenire solo con il consenso dell’interessato, salve ipotesi eccezionali. La nuova configurazione del Regolamento si fonda sul combinato disposto dell’art. 6 e dell’art. 9 dedicato al “Trattamento di categorie particolari di dati personali”.
Innanzitutto, dal momento che i dati relativi alla salute sono ricompresi tra le categorie particolari di dati personali, ovvero dati che per loro natura risultano particolarmente sensibili e quindi richiedono un più elevato livello di tutela, ad essi si applica il divieto generale di trattamento posto dal paragrafo 1 dell’art. 9 e derogabile solo in presenza di almeno una delle condizioni previste dal paragrafo 2 dello stesso articolo. In particolare, per il settore sanitario, rilevano le condizioni di cui alle lett. h) e i).
La lett. h) fa riferimento all’ipotesi in cui “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”. Il paragrafo 3 precisa che i dati personali devono essere trattati da o sotto la responsabilità di un professionista (o altra persona) soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
La lett. i) fa invece riferimento all’ipotesi in cui “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
Si segnala che il paragrafo 4 dell’art. 9 riconosce agli Stati membri la possibilità di mantenere o introdurre ulteriori condizioni, comprese limitazioni, per il trattamento di dati genetici, dati biometrici o dati relativi alla salute. Rimane quindi aperta la possibilità, per il legislatore nazionale, di introdurre condizioni più stringenti volte a garantire un livello di tutela più elevato di quello derivante dalla disciplina del Regolamento. In ogni caso, in assenza di tale intervento, a partire dal 25 maggio 2018 (data della definitiva applicabilità del GDPR) la necessità di diagnosi, assistenza o terapia sanitaria o sociale, o la necessità per motivi di interesse pubblico nel settore della sanità pubblica, configurano condizioni sufficienti per permettere il trattamento dei dati relativi alla salute dei pazienti, senza bisogno di acquisire il consenso degli stessi.
Una volta accertata la sussistenza di una (o più) delle predette condizioni, viene meno il divieto generale di trattamento di cui al paragrafo 1 dell’art. 9, con la conseguenza che i dati relativi alla salute potranno essere trattati, analogamente alla categorie “ordinarie” di dati personali, facendo riferimento ad una delle basi giuridiche di cui all’art. 6.
Il secondo passaggio consiste, dunque, nell’individuare la base giuridica più appropriata per il trattamento di specie. Dal momento che, come illustrato precedentemente, il consenso non può costituire una base giuridica valida per il trattamento di dati personali necessari per l’erogazione di servizi sanitari (in quanto dal mancato rilascio dello stesso conseguirebbe l’impossibilità di ricevere la prestazione richiesta), dovrà essere individuata una base giuridica diversa. Tra le ipotesi previste dall’art. 6 quelle che appaiono più idonee e a cui si dovrà fare riferimento, a seconda dei casi, sono:
- lett. b): il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Quando un soggetto si rivolge ad un professionista sanitario (o a una struttura sanitaria) per l’ottenimento di una prestazione medica, si conclude, infatti, tra il paziente e il professionista/la struttura, un contratto di assistenza sanitaria, con cui il professionista/la struttura (titolare del trattamento) si obbliga nei confronti del paziente (interessato) ad eseguire la prestazione richiesta dietro (eventuale) pagamento di un compenso. In questo caso il titolare del trattamento non potrà adempiere la propria obbligazione (erogare la prestazione) senza trattare i dati personali (e in particolare quelli relativi alla salute) del paziente;
- lett. c): il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Una volta individuata anche la corretta base giuridica, sarà possibile trattare i dati relativi alla salute, senza necessità di acquisire il consenso dell’interessato.
Definita l’impostazione delineata dal GDPR, è opportuno a questo punto considerare come questa si coordina con il sistema normativo italiano.
Il decreto n. 101 del 2018.
In Italia, il 19 settembre 2018, è entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101 recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (c.d. decreto di adeguamento).
Tale decreto ha confermato l’impostazione del Regolamento con riferimento sia alle sei basi giuridiche del trattamento, sia alle dieci condizioni per il trattamento delle categorie particolari di dati personali, confermando così la possibilità di trattare i dati relativi alla salute anche senza il consenso dell’interessato.
Il decreto infatti abroga l’intero Titolo III della Parte I del Codice contenente i principi e le regole generali per il trattamento dei dati personali e aggiunge al Tiolo I, inter alia, l’art. 2-septies che conferma che “i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo [art. 9] ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo”. Nei commi successivi dello stesso articolo si prevede infatti l’adozione, da parte del Garante, di un provvedimento che stabilisca le misure di garanzia per il trattamento dei dati in oggetto, in conformità a quanto previsto dal paragrafo 4 dell’art. 9 del GDPR. Ad oggi tuttavia il Garante non si è ancora pronunciato in tal senso.
Con riferimento alla Parte II del Titolo V del Codice, rubricato “Trattamento di dati personali in ambito sanitario”, il decreto ha modificato l’art. 75 prevedendo che “il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del Regolamento, dell’articolo 2-septles del presente codice […]”. È stato inoltre modificato l’art. 77, relativo alle modalità particolari per trattare i dati personali e per fornire all’interessato le informazioni sul trattamento, in cui è stato eliminato il riferimento al consenso per il trattamento dei dati personali. Il decreto è poi intervenuto marginalmente sugli articoli 78, 79, 80 e 82, adeguandoli alle nuove disposizioni del GDPR ma lasciandoli invariati nel loro contenuto sostanziale, e ha invece abrogato gli articoli 76, 81, 83 e 84. Di particolare rilievo, ai fini della presente trattazione, è stata l’abrogazione dell’art. 81 relativo alla “Prestazione del consenso” che prevedeva la possibilità di manifestare oralmente il consenso al trattamento dei dati idonei a rivelare lo stato di salute, con annotazione dell’esercente la professione sanitaria ai fini di documentare il rilascio del consenso. Tale abrogazione conferma dunque il venir meno della necessità di acquisire il consenso del paziente.
Il decreto di adeguamento dimostra quindi l’intenzione del legislatore di adeguare in pieno la disciplina nazionale al Regolamento superando, anche con riferimento ai dati relativi alla salute, la precedente concezione basata sulla centralità del consenso.
In ogni caso, indipendentemente dal decreto di adeguamento, a partire dal 25 maggio 2018 il Regolamento è definitivamente applicabile in tutti gli Stati membri, con conseguente automatica disapplicazione di tutte le norme nazionali con esso incompatibili. Si ricorda infatti che la fonte normativa della nuova disciplina europea sul trattamento dei dati non è più una direttiva, come per la disciplina precedente su cui si basava il Codice privacy, bensì, appunto, un regolamento che, in quanto tale, non necessita di una legge nazionale di implementazione, ma è direttamente applicabile in tutti gli Stati membri. Questo significa che fin dal 25 maggio 2018, anche in mancanza del decreto di adeguamento, è divenuto possibile trattare per finalità mediche i dati relativi alla salute senza bisogno di acquisire il consenso del soggetto interessato, purché sussista una delle condizioni previste dal paragrafo 2 dell’art. 9 del GDPR e il trattamento si fondi su una delle basi giuridiche di cui al paragrafo 1 dell’art. 6 del GDPR.
La conferma del provvedimento del Garante
La ricostruzione sopra delineata è stata da ultimo confermata dallo stesso Garante per la protezione dei dati personali che in data 7 marzo 2019 ha adottato il provvedimento n. 9091942 recante “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”. Attraverso tale provvedimento il Garante ha inteso chiarire alcuni aspetti relativi al trattamento dei dati sanitari che, seppur già disciplinati dal Regolamento e dal D.lgs. 101/2018, avevano finora continuato a dare adito ad una serie di dubbi interpretativi.
In particolare, il Garante ha confermato in maniera esplicita che il professionista sanitario (sia quando opera come libero professionista che quando offre la propria prestazione medica all’interno di una struttura sanitaria) non è tenuto ad acquisire il consenso del paziente per il trattamento dei dati relativi alla salute quando tale trattamento è “necessario” al perseguimento delle finalità di cura. Il Garante conferma, infatti, che il divieto di trattare categorie particolari di dati personali posto dall’art. 9, paragrafo 1 del GDPR viene meno in presenza di una delle condizioni di cui alle lett. g), h) o i) dell’art. 9, paragrafo 2. Il consenso resta invece comunque necessario per tutti i trattamenti di dati che, seppur latu senso collegati alla prestazione sanitaria, non risultano tuttavia necessari ai fini della cura del paziente (es. utilizzo di app mediche, invio di comunicazioni promozionali, ecc.).
Il summenzionato provvedimento, se da un lato costituisce un importante strumento interpretativo della normativa vigente, dall’altro tuttavia lascia ancora alcuni punti aperti. Nello specifico, il Garante non analizza il delicato tema del trattamento dei dati relativi alla salute realizzato dal personale amministrativo per lo svolgimento di attività funzionali all’erogazione della prestazione sanitaria. Questo tema solleva in particolare due questioni:
- se il personale amministrativo che, di regola, non è soggetto nel nostro ordinamento ad un obbligo di segreto professionale, può trattare categorie particolari di dati personali; e
- se le attività di natura amministrativa funzionali all’erogazione del servizio sanitario possono essere considerate “necessarie” al perseguimento delle finalità di cura di cui alla lett. h) dell’art. 9, paragrafo 2 GDPR.
Se il primo problema può essere agevolmente superato ponendo, nell’ambito dell’organigramma aziendale, il personale amministrativo sotto la responsabilità dei professionisti sanitari tenuti al segreto professionale, più complessa rimane la risoluzione della seconda questione. Il Garante infatti non chiarisce cosa debba intendersi per “trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari”; espressione questa utilizzata nel provvedimento di cui sopra per identificare i trattamenti per i quali permane la necessità di acquisizione del consenso, ma il cui significato non è stato esplicitato dal Garante.
Sul punto si dovrà dunque attendere un ulteriore chiarimento da parte del Garante stesso che potrebbe essere fornito, si auspica, in occasione dell’emanazione dei provvedimenti, previsti dall’art. 2-septies del novellato Codice privacy, che stabiliscono le misure di garanzia per il trattamento dei dati relativi alla salute e di cui si attende tuttora l’adozione.
Il Dossier Sanitario Elettronico
Infine, sempre in ambito sanitario, ma su un piano diverso, si pone il tema del consenso all’implementazione del dossier sanitario elettronico (DSE) che, come confermato anche dal Garante nel provvedimento del 7 marzo 2019, permane alla luce del quadro normativo vigente.
Il DSE, secondo la definizione contenuta nelle “Linee guida in materia di dossier sanitario” emanate nel 2015 dal Garante, costituisce l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato presso lo stesso titolare del trattamento. La funzione del DSE è di documentare parte della storia clinica dell’interessato permettendo al personale sanitario di una determinata struttura che di volta in volta lo prende in cura di avere accesso a tutte le informazioni sul suo stato di salute, così da poterlo assistere in maniera più efficace.
Il trattamento di dati personali realizzato mediante il DSE si differenzia dalla compilazione e tenuta della cartella clinica per il fatto che questa contiene solo le informazioni relative al singolo evento clinico. D’altra parte si differenzia anche dalla mera conservazione delle singole cartelle cliniche relative a un determinato paziente e generate presso lo stesso titolare del trattamento; il DSE si caratterizza infatti per mettere l’insieme dei dati del paziente in condivisione logica a vantaggio dei professionisti sanitari che lo prendono in cura, consentendo loro di consultare tali dati in qualsiasi momento per tutto il tempo in cui si articola il processo di cura.
La consultazione del dossier costituisce dunque un trattamento ulteriore rispetto al trattamento dei dati sanitari per l’erogazione della prestazione medica e rappresenta in ogni caso un trattamento facoltativo. In caso di impossibilità di accesso al dossier infatti il medico potrà comunque eseguire la prestazione a lui richiesta dal paziente, con la sola differenza che dovrà acquisire direttamente da quest’ultimo, qualora possibile, o eventualmente da terzi, le informazioni necessarie, senza la possibilità di consultare i dati prodotti in occasione dei precedenti eventi clinici (salvo che egli stesso abbia raccolto tali dati).
In questo caso quindi l’interessato gode di una effettiva libertà di scelta in quanto può decidere di impedire la formazione del DSE senza che tale scelta pregiudichi la possibilità di ricevere la prestazione (l’interessato deve anzi essere specificamente informato che l’eventuale mancato consenso al trattamento dei dati personali mediante DSE non incide sulla possibilità di accedere alle cure mediche richieste).
Il consenso al trattamento dei dati personali mediante dossier sanitario è inoltre modulabile con riferimento ai dati che vi possono essere inseriti. Innanzitutto occorre un consenso specifico per l’inserimento delle informazioni relative a eventi sanitari pregressi all’istituzione del dossier, per cui l’interessato può scegliere di non inserire tali informazioni. In secondo luogo, l’interessato ha il diritto all’oscuramento, ovvero il diritto di chiedere che alcuni dati o documenti sanitari non compaiano nel dossier senza che risulti che egli abbia effettuato tale richiesta.
L’interessato ha inoltre il diritto di revocare in qualsiasi momento il consenso. In questo caso il DSE non potrà essere ulteriormente implementato e le informazioni sanitarie in esso presenti non potranno essere più condivise con i professionisti che in seguito prenderanno in cura l’interessato, fermo restando che tali informazioni devono rimanere comunque sempre consultabili da parte del professionista o della struttura interna al titolare (es. reparto) che le ha redatte.
Il Fascicolo Sanitario Elettronico
Considerazioni sostanzialmente analoghe sono riferibili anche al consenso alla costituzione e all’alimentazione del Fascicolo Sanitario Elettronico (FSE).
Il FSE, inizialmente regolato solo sul piano della soft law attraverso le “Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario” adottate dal Garante il 16 luglio 2009, ha successivamente trovato uno specifico fondamento normativo nell’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 e nel DCPM 29 settembre 2015, n. 178 recante il “Regolamento in materia di fascicolo sanitario elettronico”.
Come il DSE, anche il FSE costituisce uno strumento per la raccolta, in forma elettronica, dei dati relativi a tutti gli eventi clinici riguardanti un determinato paziente; la differenza rispetto al DSE consiste nel fatto che mentre quest’ultimo raccoglie i dati generati in occasione di eventi clinici che hanno avuto luogo solamente all’interno della struttura sanitaria presso cui il dossier è stato costituito, il FSE è gestito a livello nazionale o regionale e, pertanto, può contenere i dati relativi ad eventi clinici che hanno avuto luogo in qualunque struttura sanitaria del territorio (nazionale o regionale) e può essere alimentato da ciascun medico operante in ognuna di queste strutture. Il FSE risulta, dunque, molto più ampio e più completo del DSE e presenta l’ulteriore vantaggio di consentire una condivisione logica di portata estremamente più ampia.
Ne consegue che il FSE può rilevarsi uno strumento particolarmente utile, essendo in grado di accentrare tutti i dati relativi alla salute di un paziente e rendendo tali dati accessibili e consultabili da qualunque medico che in un determinato momento abbia in cura quel paziente, indipendentemente dal luogo in cui si trovi.
Naturalmente, una tale raccolta di dati e, in particolare, di dati relativi alla salute, rileva anche sotto il profilo del trattamento dei dati personali: occorre, infatti, garantire che la raccolta, la consultazione e la conservazione dei dati personali avvenga nel pieno rispetto della normativa nazionale ed europea in materia di trattamento dei dati personali.
A tal fine, uno degli strumenti previsti dal legislatore per la tutela degli interessati è la preventiva acquisizione del consenso come condizione necessaria per l’alimentazione del FSE. Questo perché, così come per il DSE, l’utilizzo di tale strumento viene considerato come un servizio accessorio offerto ai pazienti, non strettamente necessario per il perseguimento delle finalità di diagnosi e cura. Pertanto, il trattamento dei dati personali finalizzato all’alimentazione del FSE costituisce un trattamento diverso e ulteriore rispetto a quello necessario per la cura del paziente; in quest’ottica, non sarà applicabile la condizione di cui all’art. 9, paragrafo 2, lett. h) del GDPR per il trattamento delle categorie particolari di dati personali e, in mancanza di altre condizioni applicabili, si dovrà ricorrere a quella di cui alla lett. a) dello stesso articolo consistente, per l’appunto, nell’acquisizione di un consenso esplicito dell’interessato.
La medesima riflessione è replicabile con riferimento alla base giuridica del trattamento: non essendo la compilazione del FSE un trattamento “necessario” ai fini dell’esecuzione del contratto concluso tra il paziente e la struttura sanitaria avente ad oggetto l’erogazione della prestazione medica, in assenza di altra idonea base giuridica si dovrà procedere all’acquisizione del consenso dell’interessato ai sensi dell’art. 6, paragrafo 1, lett. a) del GDPR.
In questo caso, dunque, come per il DSE, il consenso dell’interessato rappresenta sia la base giuridica del trattamento ex art. 6 GDPR sia la condizione per il trattamento delle categorie di dati personali ex art. 9 GDPR.
Vale per il FSE tutto quanto detto per il DSE con riferimento al diritto dell’interessato di revocare in qualsiasi momento il consenso prestato e alle conseguenze di tale revoca.
Preso atto dell’attuale impostazione così come delineata al legislatore, si potrebbe tuttavia sollevare il dubbio se l’utilizzo del FSE possa effettivamente essere considerato un servizio accessorio e facoltativo rispetto alla prestazione sanitaria in senso stretto. Se da un lato è evidente che un professionista sanitario possa intervenire anche in assenza di qualunque conoscenza pregressa in merito all’anamnesi del paziente e ad eventuali eventi clinici pregressi, dall’altro è innegabile che, in alcune circostanze, la conoscenza di tali informazioni potrebbe risultare rilevante, o addirittura determinate, per un tempestivo intervento e, in alcuni casi, per la vita stessa del paziente o, comunque, per la qualità della vita. In questa prospettiva sarebbe quindi lecito domandarsi se effettivamente l’utilizzo di un tale strumento possa ancora essere considerato non “necessario” e se tale utilizzo possa essere subordinato ad una esplicita manifestazione di volontà del paziente con la conseguenza che un paziente che non abbia la possibilità di manifestare una tale volontà risulterebbe essere privato di uno strumento che potrebbe concorrere alla tutela della sua integrità fisica.
