In un panorama legislativo sempre più attento alla protezione dei dati personali, emerge con forza la Legge numero 193 del 7 dicembre 2023: una normativa che introduce il cosiddetto “oblio oncologico“. Questo strumento legale, che incide profondamente sulle dinamiche contrattuali e sulla gestione dei dati sensibili in ambito sanitario, porta con sé una serie di implicazioni pratiche e sfide future per DPO e consulenti del settore.
Da un lato, si apre un nuovo scenario per i diritti degli individui, che vedono rafforzata la protezione delle proprie informazioni personali; dall’altro, le organizzazioni sono chiamate a implementare adeguamenti significativi in ottemperanza al GDPR. Navigare in questo nuovo contesto richiederà competenze specifiche e un approccio olistico alle questioni di privacy.
Di cosa parliamo quando parliamo di oblio oncologico
La Legge n° 193 del 7 dicembre 2023, in vigore dal 2 gennaio 2024, ha introdotto nuovi obblighi, tra gli altri (riguardando anche l’accesso alle procedure concorsuali e selettive, al lavoro e alla formazione professionale e l’adozione/affidamento di minori), nell’ambito della stipulazione o di rinnovi di contratti relativi a servizi bancari, finanziari, di investimento e assicurativi, nonché per ogni contratto esclusivamente concluso fra privati, laddove una delle parti sia una persona fisica guarita da pregresse patologie oncologiche.
Il legislatore ha pertanto fornito, con detta legge, una definizione giuridica “di guarigione da patologie oncologiche” con il primario intento di non creare forme di discriminazione in danno alle persone fisiche, introducendo il c.d. “diritto all’oblio oncologico”.
Quando si ha diritto all’inutilizzabilità delle informazioni
La nuova legge, seguendo i parametri ed i criteri scientifici ad oggi vigenti, stabilisce che si ha diritto all’inutilizzabilità – ed alla conseguente cancellazione – delle relative informazioni, quando sono trascorsi, senza episodi di recidiva:
a) più di 10 anni dalla fine delle cure;
b) ovvero 5 anni dalla fine delle cure per chi si è ammalato prima dei 21 anni di età.
Entro tre mesi dalla sua entrata in vigore sarà definito, con un apposito decreto del Ministro della Salute, l’elenco delle eventuali patologie oncologiche per le quali sarà sufficiente il decorso di un intervallo temporale più breve, rispetto ai 10 ed ai 5 anni di cui sopra.
Implicazioni contrattuali dell’oblio oncologico
Andando ad analizzare il fulcro essenziale della normativa, rappresentato dall’articolo 2, viene stabilito (comma 1) che non sono ammesse richieste di informazioni relative alla salute ai soggetti guariti nei termini sopra menzionati (10 o 5 anni) ove dette informazioni possano influenzare condizioni e termini nei contratti fra privati, compresi quelli assicurativi, bancari, finanziari e di investimento in caso di nuova stipula e/o di rinnovo.
Viene inoltre precisato che le informazioni relative alle patologie oncologiche, decorsi i termini di cui sopra, non possono essere acquisite neanche da fonti diverse dal contraente e, ove nella disponibilità dell’operatore o dell’intermediario, non possono essere utilizzate per la determinazione delle condizioni contrattuali.
Viene poi introdotto (comma 2) uno specifico obbligo informativo in tutte le fasi di accesso a servizi bancari, finanziari, di investimento e assicurativi sia nelle fasi precontrattuali sia per i rinnovi, dovendo essere esplicitato al contraente/consumatore/interessato il diritto di cui all’art. 2 comma 1 di tale legge.
Sotto altro profilo, il legislatore prevede altresì (commi 3 e 4) che nei casi di applicazione di cui all’art 2 – ossia decorso del termine giuridico di guarigione – non possono essere applicati al contraente persona fisica limiti, costi ed oneri aggiuntivi né trattamenti diversi rispetto a quelli previsti per la generalità dei contraenti a legislazione vigente e che non possono essere effettuate visite mediche di controllo ed accertamenti sanitari per la stipulazione dei contratti indicati al comma 1.
L’oblio oncologico e la protezione dei dati personali
Seppure tautologico, detto aspetto – secondo una prima lettura – risulta diversamente di primario rilievo quale diretta esplicitazione di basilari principi costituzionali fondamentali, come il diritto di uguaglianza (art. 3 Cost), il diritto alla salute (art. 32 Cost) ed il diritto alla protezione dei dati personali (art. 8 Carta dei Diritti Fondamentali dell’Unione Europea).
Inoltre, lo stesso articolo 2 prevede delle forme di tutela per le persone fisiche, posto che le informazioni fornite precedentemente, sempre nel caso di decorso dei termini di guarigione, non possono essere utilizzate ai fini della valutazione del rischio dell’operazione o della solvibilità del contraente.
Al riguardo viene previsto (comma 5) un sistema di certificazione ed i termini procedimentali per consentire la cancellazione di tali dati da parte delle banche, delle imprese assicurative, degli intermediari finanziari ed assicurativi.
Nelle ipotesi di violazione, ovvero di omessa cancellazione o di stipula o rinnovi di contratti con condizioni sfavorevoli per le persone guarite da patologie oncologiche, è prevista la c.d. nullità relativa – parziale a favore del sol contraente/consumatore/interessato – delle clausole sfavorevoli.
Ed infatti l’art. 2 (comma 6) stabilisce che: “ …omissis…la violazione delle disposizioni di cui ai commi da 1 a 5 determina la nullità delle singole clausole contrattuali difformi rispetto ai principi di cui al comma 1 dell’art 2 di quelle a esse connesse e non comporta la nullità del contratto, che rimane valido ed efficace per il resto. La nullità opera soltanto a vantaggio della persona fisica contraente ed è rilevabile d’ufficio in ogni stato e grado del procedimento”.
Viene poi previsto (comma 7) che entro sei mesi dall’entrata in vigore (ossia entro il prossimo 2 luglio 2024), il comitato interministeriale per il credito ed il risparmio (C.I.C.R.), con propria deliberazione, sentito il Garante per la protezione dei dati personali, stabilirà le modalità di attuazione del comma 1 dell’art. 2 della legge 193 del 2023, eventualmente predisponendo formulari e modelli.
Analogamente l’IVASS si attiverà nello stesso termine e con le stesse modalità sempre sentito il Garante per la protezione dei dati personali.
L’art 7, al 3 comma, di tale legge prevede che: “Nelle more dell’adozione dei provvedimenti di cui agli articoli 2, comma 7, 3, comma 2, e 4, comma 2, i contratti bancari, finanziari e assicurativi stipulati dopo la data di entrata in vigore della presente legge, i procedimenti in corso per l’adozione, nazionale e internazionale, nonché i concorsi banditi dopo la medesima data di entrata in vigore della presente legge devono conformarsi ai principi ivi introdotti, a pena di nullità delle singole clausole contrattuali o della parte degli atti amministrativi, anche endoprocedimentali, da essi difformi. La nullità opera soltanto a vantaggio della persona fisica contraente ed è rilevabile d’ufficio in ogni stato e grado del procedimento” ed, al comma 4, precisa che: “Il Garante per la protezione dei dati personali vigila sull’applicazione delle disposizioni di cui alla presente legge”.
Riflessi in ambito di adeguamento GDPR attività per i titolari e per i responsabili
Al di là degli aspetti prettamente civilistici di tutela, la recente normativa impatta fortemente all’interno delle organizzazioni poiché l’adeguamento in termini di compliance presuppone la revisione di elementi sostanziali dell’impianto privacy tanto per i Titolari quanto per i Responsabili dei trattamenti.
Innanzitutto, sarà necessaria una preliminare attività di mappatura dei trattamenti che prevedono, nell’alveo dei dati particolari, l’uso di quelli oncologici e ciò al fine di predisporre dei nuovi processi di trattamento in ottemperanza alle previsioni normative, anche, ad esempio, individuando le fasce d’età dei soggetti, nel caso di eventi oncologici occorsi prima dei 21 anni.
Come secondo necessario passaggio dovranno essere revisionati i registri e le informative, con particolare rifermento ai nuovi termini di conservazione e di cancellazione (10, 5 anni o anche arco temporale inferiore a seguito del decreto del Ministro della Salute per patologie oncologiche specifiche), valutando altresì l’opportunità di far confluire o meno anche nelle informative ex art 13 e 14 GDPR l’esplicitazione per il contraente/interessato del diritto in questione.
Bisognerà poi valutare i rischi dei trattamenti sottoponendo a DPIA i medesimi ex art 35, declinando altresì specifiche procedure, con misure organizzative e tecniche idonee a garantire l’effettività del rispetto dei diritti e delle libertà degli interessati anche secondo la nuova legge.
Sempre nel nuovo perimetro normativo sarà fondamentale il parere del DPO e degli interessati nella redazione della DPIA, stante la coincidenza sempre più pregnante, nel settore in questione, del ruolo di consumatore/interessato.
Tutto quanto sopra, ove non si renda necessario il ricorso ex art. 36 GDPR al Garante a seguito della valutazione d’impatto, dovrà essere tenuto sotto costante monitoraggio da parte dei Titolari e del Responsabili.
Notevoli riflessi poi si avranno, a cascata, nelle nomine e nei “DPA” fra Titolari e Responsabili ex art 28 GDPR; basti pensare al caso di servizi di repository esternalizzati da parte di Banche ed Assicurazioni nel cui ambito siano archiviate le anagrafiche con le storie cliniche dei consumatori/interessati.
Il diritto all’oblio oncologico e il diritto alla cancellazione delle informazioni
Di particolare rilievo dovranno essere pertanto le misure di sicurezza messe in atto da parte dei Responsabili al riguardo anche sulla scorta delle istruzioni impartite dai Titolari, con attenzione al rispetto delle procedure tese al rispetto dei termini di cancellazione di dette informazioni.
Inoltre, non per minore importanza, il c.d. “diritto all’oblio oncologico” dovrà essere al meglio armonizzato e contestualizzato anche con il diritto alla cancellazione di cui all’art 17 GDPR, rivedendo quindi le procedure e le informative relativamente all’esercizio dei diritti. Ricordiamo, al riguardo, come il comma 5 dell’art. 2 della menzionata legge stabilisca espressamente per il settore bancario e assicurativo la cancellazione delle informazioni oncologiche.
Il tutto ovviamente sempre nel rispetto di tutto quanto già previsto dal GDPR.
Implicazioni pratiche dell’oblio oncologico per le organizzazioni
Lo scopo del legislatore di alzare i livelli di tutela per i consumatori/interessati guariti da patologie oncologiche è sicuramente lodevole, soprattutto al fine di garantire loro accessi a servizi bancari, assicurativi, etc.
Va in ogni caso considerato che già il GPDR nasce proprio per arginare le discriminazioni in danno degli interessati.
La normativa, a nostro avviso, dal momento in cui fa riferimento a tutti i contratti fra privati, dovrà essere oggetto di adeguamento, in ambito di trattamento dei dati personali, all’interno di tutte quelle organizzazioni che, oltre a banche, assicurazioni ed intermediari, trattano o hanno trattato dati oncologici; ciò in quanto potrebbe ingenerarsi l’errore di una applicazione settoriale della legge n. 193 del 2023, le cui maglie applicative, invece, devono ritenersi molto estese.
Si ricorda infatti che l’art. 2 comma 1 fa riferimento (oltre ai servizi e contratti bancari ed assicurativi) ad “ogni altro tipo di contratto, anche esclusivamente fra privati” quando le informazioni sulle patologie oncologiche sono idonee ad influenzare le condizioni ed i termini contrattuali.
Sicuramente sarà opportuno anche vagliare al meglio i prossimi provvedimenti applicativi di detta normativa come richiamati dagli artt. 2 e 5, sebbene – già a partire dal 2 gennaio 2024 – il Garante per la protezione dei dati personali ha il dovere di vigilare sul rispetto dei principi di detta legge nelle more dell’introduzione delle normative secondari e di dettaglio.
Nelle more delle approvazioni di detti provvedimenti applicativi, vi è poi, ad avviso di chi scrive, il fondato timore che il ricorso al Garante possa anche essere strumentalizzato, creando delle distorsioni nell’ambito dei procedimenti giudiziali.
Sfide future per DPO e consulenti del settore
Per i DPO ed i consulenti del settore sarà una sfida molto difficoltosa e sarà anche necessario approfondire e creare occasioni di contatto e di confronto con l’autorità Garante.
L’analisi ulteriore per i Titolari ed i Responsabili, infatti, presupporrà la conoscenza di quanto sarà stabilito, nelle more dei regolamenti secondari (cfr. art. 2 e 5 legge 193 del 2023), nonché a seguito della loro introduzione dal Garante per la protezione dei dati personali.
Della serie: un occhio alla normativa, al rispetto dei diritti e delle libertà fondamentali dei consumatori/interessati; uno attento ai provvedimenti del Garante e un terzo – non per illuminazione a seguito di meditazione – al rispetto della conformità normativa da parte dei Titolari e dei Responsabili.