GDPR e dati sanitari: come trattarli?

Per sua natura il trattamento dei dati personali richiede l’adozione di particolari cautele necessarie al rispetto dei diritti fondamentali dei soggetti interessati, al fine di evitare che questi possano subire un pregiudizio in assenza di espliciti requisiti di legge. Queste “cautele” trovano maggiore spazio in ambito sanitario, dove il Diritto alla Privacy genericamente inteso si incontra (o si scontra) con diritti costituzionali di pari rango, quali la salute pubblica o il diritto alla salute.

In tale ottica, le modifiche che la nuova normativa europea apporterà nel territorio degli Stati membri a partire dal prossimo 25 maggio (Regolamento UE/679/2016 o GDPR, General Data Protection Regulation) prevedono un giudizio di bilanciamento ex ante tra i diritti fondamentali in gioco, nel tentativo di evitare che in un settore così delicato possano crearsi inutili contrasti sul diritto da far prevalere nel caso concreto.

Nonostante il GDPR non disciplini in modo settoriale il trattamento dei dati in ambito sanitario, questi trovano una compiuta definizione nell’art. 4, n. 15, GDPR, a norma del quale “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.

A ciò bisogna altresì aggiungere che i dati relativi alla salute attengono alla sfera più intima di un soggetto, in quanto direttamenti connessi alla suo corpo e alle sue ideologie più personali (la Suprema Corte di Cassazione ha più volte definito tali dati come “supersensibili”, cfr, ex multis Cass. Civ. 222/2016).

Queste considerazioni hanno quindi obbligato il Legislatore europeo ad inserire i dati sanitari nella categoria dei dati sensibili, con la conseguente estensione anche ad essi della disciplina applicabile e del regime di tutela previsto.

A norma dell’art. 9 GDPR i dati attinenti alla salute dell’interessato beneficiano del divieto di trattamento da parte di soggetti terzi, salvo le ipotesi in cui tali diritti debbano piegarsi ad altri di rango superiore; le ipotesi di deroga al generale divieto di cui al paragrafo 1 sono elencate nel paragrafo 2 nel quale, oltre al generale limite dell’interesse pubblico, si introducono diverse eccezioni in favore del trattamento dei dati sanitari per finalità di ricerca, di profilazione, di sanità pubblica o di medicina preventiva.

In merito poi al principio consensualistico applicabile in tale ipotesi, ex art. 7 il GDPR impone al Titolare del trattamento di utilizzare i dati sanitari dell’interessato solo qualora sia in possesso di un consenso espresso ed esplicito (quando sia richiesto dalla legge); questa circostanza obbliga quindi il Titolare al rispetto di un obbligo di informazione, a mezzo scritto o tramite altri strumenti, che sia compiuto e preciso e che abbia ad oggetto le finalità e le modalità dell’utilizzo delle informazioni personali, sì da rendere automaticamente “informato” il consenso eventualmente espresso dall’interessato (per il contenuto degli obblighi di informazione, cfr. artt. 13-14 GDPR).