La disciplina del trattamento dei dati personali in ambito sanitario è stata modificata dal d.lgs. 101 2018, con cui è stato recepito il GDPR, e tocca la relazione di cura fra personale sanitario e pazienti. Il modello italiano del trattamento dei dati personali in ambito sanitario, infatti, ha storicamente avuto l’obiettivo di costruire una tutela giuridica forte dei dati e, forse, è stata la prima rigida disciplina a causa della sua peculiarità in quanto un non corretto trattamento andrebbe a ledere non solo la riservatezza dell’interessato ma anche il suo relazionarsi con gli operatori sanitari.

Infatti ciò si intreccia con l’autodeterminazione informativa come forma di controllo sui propri dati. Per tutelare tale diritto, il legislatore italiano ha optato dapprima per una normativa rigorosa che ruotava intorno al consenso informato al trattamento, specialmente nelle ipotesi in cui fosse finalizzato ad attività di cura, diagnosi e terapia, da rendere peraltro in forma scritta, salvo poi mitigare il ruolo del consenso dell’interessato con la disciplina introdotta dal d.lgs. 196/2003. Quest'ultima fece perdere al consenso la forma scritta prevedendone una modalità semplificata di rilascio, ampliandone le aree di immunità come nel caso dello svolgimento di attività amministrative di rilevante interesse pubblico o di quello della medicina di urgenza.

In particolare, nella disciplina previgente, era previsto che gli esercenti le professioni sanitarie e gli organismi sanitari pubblici potessero trattare i dati personali idonei a rivelare lo stato di salute o mediante il consenso informato dell’interessato, purché il trattamento riguardasse solo esso, oppure tramite una apposita autorizzazione del Garante, quando la finalità del trattamento concernesse la salute di un terzo o della collettività. Nel complesso, questa rigidità di disciplina ha caratterizzato la scelta del legislatore italiano dal momento che la stessa direttiva 95/46/CE (abrogata dal GDPR), prevedeva che il consenso dell’interessato non fosse dovuto qualora il trattamento fosse stato necessario alla diagnostica medica, alla somministrazione di cure, alla gestione di centri di cura ovvero quando il trattamento fosse stato effettuato da un professionista in campo sanitario e soggetto al segreto professionale.

Non a caso, sulla stessa linea del legislatore europeo, che esclude il dispositivo del consenso per il trattamento dei dati personali in ambito sanitario, si sono poste fin dall’inizio le normative di Francia, Germania e Regno Unito. Era allora opportuno riconsiderare la disciplina dei dati sensibili in ambito sanitario, nella consapevolezza che le loro regole di circolazione non possono essere ricondotte ad un’idea secondo cui sono di proprietà esclusiva dell’interessato che può liberamente negoziarne la cessione mediante il consenso. D’altronde, il ricorso allo strumento consensuale appariva già da tempo come “un alibi ad un potere pubblico che, incapace di apprestare efficaci strumenti di controllo sociale, impone al singolo di contare solo sulle proprie forze per una battaglia che non potrà non vederlo sconfitto” come già scriveva Rodotà addirittura nel 1973.

Le criticità della rigidità propria del modello italiano, infatti, sono emerse da subito in sede applicativa. Alla nobiltà dell’obiettivo prefissato dal legislatore italiano, invero, non è corrisposto un adeguato ed efficace dispositivo giuridico, cioè il consenso al trattamento dei dati, che ha finito per burocratizzare e spersonalizzare eccessivamente il già complesso rapporto fra personale sanitario da un lato e paziente dall’altro. Il consenso al trattamento dei dati sanitari, al di là delle intenzioni del legislatore, ha finito per dar adito ad una serie di paradossi operativi, giacché senza il consenso al trattamento dei dati il paziente non potrebbe comunque accedere alla prestazione sanitaria, costituzionalmente garantita (art. 32 Cost.), e in tal senso il consenso finisce per essere obbligato e non libero e senza contare che, quantomeno in sede diagnostica, il consenso al trattamento dei dati personali rischia quasi di coincidere con lo stesso consenso al trattamento medico. Di queste osservazioni devono tenere conto gli operatori della privacy che, specialmente nella redazione delle policy e dei disclaimer, dovranno prestare molta attenzione non solo alla terminologia, ma anche a ben delineare i singoli trattamenti per fare sì da un lato a proteggere i dati dei paziente e, dall’altro, tutelare gli operatori sanitari specialmente di fronte ad un pubblico che, ancora, confonde consenso al trattamento dati con consenso alle terapie.

Per saperne di più > Medicina digitale e protezione dei dati: tra consenso e protezione del dato