Il GDPR è senza dubbio un testo di ampio respiro, la sua applicazione pratica ha però portato alla luce talune carenze, che comportano problematiche di tipo operativo spesso complesse: un esempio emblematico è l’art. 9 GDPR sul trattamento di dati particolari. Tale norma contiene un elenco (certamente ricco) di eccezioni al divieto di trattare tali tipologie di dati: ma – come capita quasi sempre – gli “elenchi” prima poi mostrano le loro carenze.
Questa scelta legislativa de “l’elenco” ha fatto sì che l’art. 9 non contenga previsioni di natura più generale quali la possibilità di trattare dati particolari per necessità contrattuali o precontrattuali (equivalente, quindi, alla base di legittimazione di cui all’art. 6, lettera b del GDPR) o la possibilità di trattarli per obblighi di legge tout court (un equivalente cioè dell’art. 6, lettera c) GDPR).
Questo gap impone ai titolari di dover scegliere tra il non effettuare il trattamento oppure ricorrere a basi di esclusione del divieto generale giuridicamente un po’ “tirate”. Qualche volta addirittura inconferenti e non idonee a disciplinare le situazioni di fatto.
Ad esempio, troppo spesso si ricorre al consenso esplicito – art. 9, lett. a – anche in casi in cui questo è tutt’altro che liberamente prestato.
Pensiamo a tutti i casi in cui il trattamento è chiaramente necessario e imprescindibile per poter offrire all’interessato il servizio richiesto (posizioni lavorative ad hoc per soggetti affetti da disabilità, talune operazioni nel settore bancario, compravendita di dispositivi medici prodotti ad hoc per il singolo utente rispetto alle sue problematiche specifiche, sex toys, e molto altro).
Come si può ritenere che un consenso “obbligato” sia reso in modo libero ed incondizionato?
Entriamo nel merito di alcuni degli esempi fatti poc’anzi.
Accesso al mondo del lavoro da parte di persone con disabilità
Può un datore di lavoro richiedere informazioni specifiche e dettagliate al candidato, rispetto alla tipologia ed al grado di una sua disabilità, ove tali informazioni siano necessarie a definire se il candidato stesso è adatto o meno a svolgere un determinato incarico che prevede che il miglior candidato possibile sia quello affetto proprio da quel tipo e da quel grado di disabilità?
Il quesito presenta molti problemi applicativi. L’art. 9 lett. b), prevede infatti il trattamento di dati particolari, in deroga al divieto di cui al comma precedente, “[…] in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri”.
Il trattamento dei dati particolari per finalità di lavoro e di sicurezza e protezione sociale, pertanto, deve sempre essere autorizzato a monte da una specifica disposizione di legge o da un contratto collettivo.
Con riferimento al caso di contrattualizzazione di un disabile, tuttavia, non vi è (o non sembra esservi) alcuna norma di legge specifica che consenta al datore di lavoro di assumere informazioni sulla tipologia di disabilità, al fine di scegliere la tipologia di lavoro migliore.
L’intervento del Garante
Una tale carenza sembra parzialmente sopperita dal Provvedimento del Garante n. 146 del 5 giugno 2019 [1], ed in particolare da quanto previsto nell’All. n. 1 del provvedimento, il cui primo paragrafo è intitolato “Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro (Aut. Gen. n. 1/2016)”
In tale occasione, il Garante per la Protezione dei Dati Personali è intervenuto a fornire maggiori specificazioni con riferimento alle circostanze particolari, connesse al rapporto di lavoro, nelle quali è legittimato il trattamento di dati particolari.
Una possibile soluzione arriva nel paragrafo successivo del Provvedimento, in cui, rispetto ai trattamenti effettuati nella fase preliminare alle assunzioni, si prevede che le agenzie per il lavoro e agli altri soggetti che, in conformità alla legge, svolgono, nell’interesse proprio o di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale possono trattare i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati all’instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto.
In forza di tale autorizzazione, i soggetti che a vario titolo effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro potrebbero essere legittimati al trattamento di dati particolari riferiti a soggetti con disabilità pur in assenza di una specifica previsione di legge.
Questo, chiaramente, entro i margini della finalità espressamente prevista (ossia l’instaurazione del rapporto di lavoro): esaurita la stessa, il trattamento di tali dati deve comunque essere ricondotto nell’ambito di quanto prescritto all’art. 9 GDPR. Il provvedimento, poi, si sofferma anche ad elencare le specifiche finalità di trattamento, espressamente previste al Pt. 1.3).
Le finalità del trattamento
Fra queste, due in particolari potrebbero essere riconducibili al trattamento di dati particolari riferiti a persone con disabilità:
- lett. b) “ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
- lett. f) “garantire le pari opportunità nel lavoro”.
Con riferimento alla finalità di cui alla lett. b), i soggetti che a vario titolo effettuano trattamenti con riferimento al rapporto di lavoro potrebbero utilizzare tali dati particolari al fine specifico di garantire ai lavoratori disabili la fruizione dei benefici assistenziali previsti dalla legge. All’opposto, la finalità di cui alla lett. f), seppur più ampia e pertanto riconducibile a più circostanze, rischia di diventare un involucro vuoto, data sua eccessiva genericità: essa appare quindi inidonea a garantire al titolare del trattamento la sicurezza di non incorrere in sanzioni e, in ogni caso, probabilmente non sufficientemente solida da supportare una valutazione di impatto.
Il Garante compie un ragguardevole sforzo, quindi, nel delineare circostanze concrete sicuramente riconducibili direttamente allo status dei dipendenti disabili, anche se rimangono dubbi sulla base giuridica.
L’art. 9 lett. 4 infatti prevede che gli Stati membri possano mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.
Allora la domanda è: l’autorizzazione del Garante è idonea rispetto a quanto richiesto da questo comma a introdurre ulteriori condizioni di esclusione del divieto di trattamento?
O meglio: trattandosi di una provvedimento amministrativo ha quella “forza giuridica legittimante” che consenta un lecito trattamento nel caso di specie?
Qualche incertezza permane.
Trattamento dei dati sanitari da parte degli ottici
Gli ottici nella loro attività di realizzazione di occhiali o vendita degli stessi o lenti a contatto si trovano a trattare i dati relativi agli acquirenti/ pazienti. Tali dati sono considerati dati relativi alla salute.
Non sussistendo tra le eccezioni dell’art. 9 il trattamento sulla base di un “contratto” occorre cercare altra base giuridica.
La prima ipotesi che sembra presentarsi è quella dell’art. 9 lett. h) all’art. 9, lettera h – finalità di “…medicina preventiva o medicina del lavoro, diagnosi, assistenza o terapia sanitaria …”
La stessa lett. h) prevede però che tale base giuridica possa essere utilizzata “conformemente al contratto con un professionista della sanità , fatte salve le condizioni e le garanzie di cui al paragrafo 3”, ove poi al par. 3 si legge “I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”
In sostanza il trattamento è legittimo ove il professionista sia soggetto al segreto professionale. Ma nel caso dell’ottico questo elemento non sussiste o, quantomeno, non a livello legale. Infatti l’ottico non è oggi considerata una ”professione sanitaria” ma è invece ancora regolata dall’art. 12 del Regio Decreto 31 maggio 1928, n. 1334 e rientra nelle “arti ausiliarie” alla professione sanitare ex art. 14 RD 1265/1934 (Testo Unico Leggi Sanitarie): quindi non ha un ordine nè un collegio e, conseguentemente, non ha un obbligo normativo.
L’unico obbligo in tema è riportato dall’art. 8 del Codice Deontologico che, in modo estremamente laconico recita: “l’ottico è obbligato al segreto professionale”.
Per trattare dunque i dati dei suoi clienti/pazienti deve ricorrere al consenso (art, 9 lett, a)
Ma, onestamente, possiamo forse sostenere che si tratti di un consenso libero ed incondizionato?
Se il paziente negasse il consenso, l’ottico non potrebbe predisporre gli occhiali o vendere le lenti.
Quindi si tratta palesemente una forzatura.
Trattamento dei dati sanitari da parte delle aziende medical device per l’HTA
Ancor più complesso il trattamento dati sanitaria nel settore dell’Health Tecnology Assessement. Per valutare infatti la qualità dei dispositivi da acquistare ed utilizzare nell’ambito del nostro SSN – che non dimentichiamo si sta muovendo verso la digitalizzazione – il Ministero della salute con il Decreto 9 giugno 2023 titolato “Adozione del programma nazionale di HTA” ha introdotto il Piano Nazionale di Health Tecnology Assessment per il settore dei dispositivi medici e diagnostici in vitro in Italia.
Tra le novità più rilevanti c’è la previsione che la “Segnalazione” di tecnologie innovative può essere avanzata non solo dagli enti istituzionali (Ministero, regioni, aziende sanitarie, professionisti) ma altresì da società scientifiche, dagli stessi fabbricanti di dm e loro associazioni nonché dai cittadini e della loro associazione (chiamata rete degli Stalkeholder).
Tali proposte di valutazione verranno inoltrate ad Agens ai fini della valutazione. Allora la domanda è: quale può essere la base giuridica che consente a tali soggetti (i fabbricanti, le società scientifiche o le stesse associazione di pazienti) di raccogliere i dati sanitari per dimostrare la qualità e/o l’innovatività del dispositivo medico?
Forse si potrebbe provare ad utilizzare l’art. 9 lett. i) che consente il trattamento ove lo stesso è necessario per “motivi di interesse pubblico nel settore della sanità pubblica, quali (…) la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici” La norma però parla di “parametri di qualità e sicurezza” : utilizzare quindi tale base giuridica per il market access sembra un po’ una forzatura. Si dovrà quindi ricorrere anche in questo caso al consenso? La complessità di tale strada svuota, nei fatti, la portata innovativa della norma.
Trattamenti in ambito finanziario e bancario
Ulteriore e forse maggiore “imbarazzo” si incontra quando ci si trova a valutare la liceità di trattamenti afferenti a dati appartenenti alle categorie particolari di cui all’art. 9 del GDPR in ambito finanziario e bancario.
Le casistiche sono molteplici. A partire dai semplici bonifici, in cui il principio di minimizzazione è lungi dall’essere applicato, sino ad arrivare all’open banking in ossequio alla normativa PSD2. Atteso che, per tali casistiche, il ricorso al consenso è spesso abusato, ci si domanda quale possa essere, per gli istituti bancari e finanziari, una valida base di esclusione del divieto generale di trattare le categorie di dati particolari previste dall’art. 9 del GDPR.
Si potrebbe addurre la necessità di rispettare la normativa in tema di antiriciclaggio. Gli istituti bancari sono infatti tenuti ad implementare un Sistema dei Controlli Interni, che prevede l’istituzione di funzioni di controllo (Compliance, Risk, AML e Internal Audit).
Tale funzione, però non è richiamata tra le materie che, ad esempio, giustificano il trattamento di categorie particolari di dati per motivi di interesse pubblico (art. 2 sexies) a meno che non si voglia far rientrare (e qui servirebbero esperti di diritto bancario) gli istituti bancari, per tale incombenza (antiriciclaggio) tra i soggetti che svolgano attività connesse all’esercizio di pubblici poteri in materia di attività ispettiva e di controllo (art. 2 sexies, par. 2, lettera (i) ).
Da notare come, invece, la normativa in materia di antiriciclaggio sia esplicitamente richiamata dall’art. 2-octies del Codice Privacy per quanto riguarda il trattamento di dati relativi a condanne penali e reati. È esplicitamente consentito tale trattamento, infatti, ove previsto da norma di legge, in quanto necessario all’adempimento degli obblighi in materia di prevenzione dell’uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento al terrorismo.
Le possibili soluzioni
Ora, immaginare delle soluzioni è senza dubbio complesso. Strada maestra sarebbe infatti un “ripensamento” dell’art. 9, ma l’ipotesi sembra piuttosto lontana. Forse si potrebbe pensare ad interventi interpretativi e specifici del Garante sulla scorta dell’opportunità offerta dallo stesso art. 9, par. 4 che legittima gli Stati membri ad introdurre ulteriori condizioni con riferimento anche ai dati relativi alla salute.
Fatto salvo che tale fonte normativa sia considerata idonea a sufficiente.
Note
[1] Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [Doc. web 9124510]
