Il 25/05/2018 è entrato ufficialmente in vigore il Regolamento 2016/679/UE, che si occupa di disciplinare la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
UE - Reg. 2016/679/UE (GDPR): entrata in vigore del Regolamento Europeo per la protezione dei dati personali e le conseguenze in ambito sanitario
25 maggio 2018
Numero
679
La normativa è molto vasta ed eterogenea: per “dato personale”, infatti, si deve intendere “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4). Il Regolamento, però, dedica specifica attenzione al trattamento dei dati sanitari e in particolare dei dati genetici.
Anzitutto, nel già citato articolo 4 si legge come per “dati relativi alla salute” si intendano “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”; invece, per “dati genetici” si devono intendere “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione”.
Dopo aver fornito queste definizioni, il Regolamento si occupa di regolare il trattamento di questi dati particolarmente sensibili.
L’art. 9, dedicato al “Trattamento di categorie particolari di dati personali”, statuisce che “È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.”.
Questo divieto di trattamento conosce varie eccezioni, indicate nel medesimo articolo; tra queste, quelle maggiormente interessanti con riguardo ai dati sanitari o genetici sono:
- il caso in cui l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
- se il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
- se il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
- se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici.
In particolare, i casi descritti dalle ultime due eccezioni consentono al titolare dei dati in questione il rifiuto della richiesta di cancellazione da parte del soggetto interessato, pur in presenza di tutti i presupposti per ottenere la cancellazione stessa (art. 17 paragrafo 3).
Infine, l’art. 9 dà la possibilità agli Stati Membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.
Per maggiori informazioni, è possibile consultare a questo link una guida predisposta dalla Commissione Europea per chiarire il funzionamento del Regolamento, con informazioni specifiche relative alle imprese e ai singoli.
Rimane da segnalare il fatto che l’Italia non ha ancora emanato una norma di adeguamento alle disposizioni del Regolamento. Infatti, il progetto di decreto legislativo redatto per tale finalità (qui il link al documento) non ha ottenuto entro il 25 maggio l’approvazione delle due Camere; ad oggi dunque vi è il rischio di una sovrapposizione (e quindi di un possibile contrasto) tra le norme del Regolamento UE e quelle del Codice della Privacy attualmente vigente (decreto legislativo 196/2003).
Per agevolare una migliore comprensione del Regolamento, il Garante per la protezione dei dati personali ha predisposto una pagina esplicativa in continuo aggiornamento (consultabile a questo link), in cui fornisce una guida all’applicazione del documento e affronta le tematiche più importanti ad esso legate (consenso, trasparenza, individuazione e gestione del rischio…).
Nel box download è disponibile il testo completo del Regolamento.
Irene Iannelli
Pubblicato il: Venerdì, 25 Maggio 2018 - Ultima modifica: Giovedì, 11 Luglio 2019
