Il 12 Dicembre é entrata in vigore la legge “comunitaria” n. 167 del 2017. A dispetto di quanto farebbe pensare il nome, la legge comunitaria è una legge statale con cui l’Italia adegua il proprio ordinamento giuridico alle norme dell’Unione Europea, che siamo tutti obbligati ad osservare, avendo l’Italia assunto tale obbligo mediante la stipula dei Trattati istitutivi, e successive modifiche, dell’organizzazione internazionale de qua.
La legge comunitaria contiene le disposizioni necessarie ad attuare le direttive U.E. o ad applicare i regolamenti e le decisioni U.E. (1)
Tra le norme della legge in parola, merita senz’altro la nostra attenzione l’art. 28, che ha modificato gli artt. 29, 30 e 110 del D. Lgs. 196/2003, meglio conosciuto come Codice della Privacy. Ai fini del presente articolo, tuttavia, ci occuperemo solo degli artt. 29 e 110 del predetto Codice.
Le modifiche apportate stanno suscitando una certa apprensione, perchè toccano la problematica del consenso relativo ai dati sensibili.
I dati sensibili, secondo la definizione dell’art. 4, co. 1, lett.d) del Codice della Privacy sono ” i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale“.
Il Codice detta, all’art. 20, anche le procedure applicabili al trattamento dei dati sensibili, che possiamo sintetizzare in questo modo: “Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite“; nel caso la legge specifichi le finalità, ma non i tipi di dati sensibili e le operazioni eseguibili, il soggetto deputato a trattarli deve prima identificarli, con un atto regolamentare conforme al parere del Garante della Privacy, concesso ai sensi dell’art. 154, co. 1, lettera g), e poi limitarsi a trattare solo i dati così identificati.
Invece, qualora la legge non preveda il trattamento, sarà il Garante ad individuare le attività per le quali i soggetti pubblici sono autorizzati al trattamento dei dati in parola.
In sintesi: l’importanza e la delicatezza dei dati sensibili richiedono che il loro trattamento debba essere autorizzato dalla legge, eseguibile solo per finalità di rilevante interesse pubblico e solo su dati precedentemente ed espressamente individuati.
Orbene, l’art. 28 della Legge 167/2017 summenzionata modifica l’art. 29 del Codice della Privacy, introducendo la possibilità che i dati sensibili siano trattati sia da soggetti pubblici che da quelli privati, in qualità di responsabili del trattamento.(2) Tuttavia, tali soggetti devono pre-stipulare atti scritti col titolare del trattamento, in cui siano specificati “la finalita’ perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalita’ di trattamento; i predetti atti sono adottati in conformita’ a schemi tipo predisposti dal Garante». Inoltre, i responsabili del trattamento devono fornire le garanzie previste dal comma 2 dell’art. 29 Codice della Privacy, ossia: esperienza, capacità ed affidabilità che forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Il nodo centrale delle modifiche apportate dalla legge comunitaria in parola alla disciplina della privacy é costituito dal consenso del titolare dei dati sensibili (non ci si confonda con il titolare del trattamento, di cui agli articoli sopra citati).
E’ necessario tale consenso? I timori sono sorti soprattutto per il fatto che, secondo la novellata normativa, anche un soggetto privato può diventare responsabile del trattamento di dati sensibili, che sono spesso raccolti da un ente pubblico, come nel caso dei dati relativi allo stato di salute. Ma procediamo con ordine.
Secondo l’art. 23 del D. Lgs. 196/2003, il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato, che deve essere manifestato in forma scritta, quando riguardi dati sensibili (comma 4). Stessa statuizione ripetuta nell’art. 26, co. 1:” I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti“.
Tuttavia il trattamento dei dati può essere effettuato senza consenso, tra gli altri casi previsti dall’art. 24 del Codice Privacy, anche quando “è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati” (art. 24, co. 1, lett.i) ).
Tale disposizione viene rafforzata dall’art. 110 bis (inserito dalla legge comunitaria 2017) del c.d. Codice Privacy, articolo che, sempre e solo per finalità scientifiche e statistiche, prevede l’autorizzazione dell’Autorità Garante della Privacy per il riutilizzo dei dati sensibili, con l’esclusione di quelli genetici, “a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati“. La minimizzazione è il principio che nel Regolamento U.E. 2016/679 accoglie i principi di necessità,proporzionalità e finalità rinvenibili negli artt. 3 e 11 dell’attuale Codice della Privacy e che consiste nel trattare solo i dati strettamente necessari al raggiungimento delle finalità perseguite, senza inutili dettagli, e conservandoli solo per il periodo strettamente necessario; l’anomizzazione, invece, consiste nel rendere i dati impossibili da ascrivere al titolare, in modo da non poterlo identificare. Se entro 45 giorni dalla richiesta di autorizzazione il Garante non si pronuncia, il silenzio equivale a rigetto. In caso di accoglimento della richiesta, il Garante stabilisce le misure necessarie ad assicurare la riservatezza dei dati degli interessati.
Come vediamo, le preoccupazioni manifestate in questi giorni da parte dell’opinione pubblica non sono infondate, perchè con le nuove disposizioni entrano in gioco soggetti privati nella gestione di dati particolarmente delicati. La fondatezza della preoccupazione è corroborata proprio dalle misure predisposte dal sistema giuridico a protezione dei dati sensibili: ci riferiamo in modo particolare a quelle previste nell’art. 110 bis sopra evidenziato: l’autorizzazione del Garante al riutilizzo dei dati, assistita dall’istituto del silenzio-rigetto, e le forme preventive di minimizzazione ed anomizzazione dei dati: si tratta di misure che si allineano alla disciplina sulla Privacy dettata dal Regolamento U.E. 2016/679, già in vigore, ma applicabile a partire dal 25 maggio 2018.
Sempre in linea con uno dei principi espressi dal Regolamento U.E. 2016/679, cioè quello dell’accountability (che potremmo tradurre come responsabilizzazione e dovere di rendicontazione) dal mero adempimento delle prescrizioni del Codice si passa all’approccio sostanziale di tutela dei dati sulla base della scelta e responsabilità delle misure tecniche ed organizzative da adottarsi in capo al titolare del trattamento; inoltre, col nuovo Regolamento, a partire dal 25 maggio 2018, i soggetti che trattano i dati avranno l’obbligo di tenere un registro delle attività di trattamento e di adottare tutte le misure giuridiche, organizzative e tecniche per la protezione della riservatezza. Il titolare, a tal fine, potrà dimostrare che il trattamento é conforme al Regolamento U.E. attraverso l’adozione di misure di sicurezza o l’adesione ai codici di condotta di cui all’art. 40 Reg. o la certificazione prevista nell’art. 42. A tal proposito, il Regolamento europeo in esame prevede anche l’onere della prova in capo al titolare (data controller) e al responsabile del trattamento (data processor) di aver attuato tutte le misure di sicurezza ed organizzative adeguate a proteggere i dati. Best practice,codice di condotta e certificazioni saranno importanti perchè utilizzabili come mezzi di prova per avvalorare l’impegno massimo profuso nella tutela della privacy in quanto il Regolamento stesso incoraggia la loro adozione (art. 24, co. 3).
Le misure previste dall’art. 110 bis del D. Lgs. 196/2003, appena introdotto, sono, altresì, espressione di un altro nuovo principio che il Regolamento U.E. introdurrà a maggio: quello della Privacy by design, ossia l’adozione di misure tecniche ed organizzative fin dall’atto della progettazione del trattamento.
La tutela della riservatezza dei dati confligge spesso con altri interessi (nel caso in esame, l’esigenza di favorire la ricerca scientifica e medica, la competitività e l’evoluzione tecnologica); per questo motivo la Legge ha predisposto gli strumenti protettivi sopra illustrati; in modo particolare, la massima attenzione deve essere data a quelli informatici e tecnologici, dato che gli archivi sanitari sono digitalizzati e i dati circolano in via telematica, col rischio che soggetti estranei, muniti di sofisticati software, possano elaborarli ed identificarne i titolari. In questo nuovo contesto, il consenso informato non basta a proteggere la riservatezza dei cittadini. La sorveglianza, sopra illustrata, da parte del Garante, l’istituto del silenzio-rigetto, le prescrizioni di natura informatica, organizzativa e contrattuale fornite dalla medesima Autorità, nonchè il sistema di tutele predisposte per Privacy by design da parte dei soggetti pubblici titolari del trattamento dei dati sensibili (Regioni ed A.U.S.L.) costituiscono un passo ulteriore per fornire una protezione sinergica; c’è solo da sperarlo e da apportare miglioramenti, se possibile.
(1) La differenza tra attuazione ed applicazione è apprezzabile in relazione alle peculiarità delle fonti comunitarie. La direttiva, essendo una fonte incompleta, vincola lo Stato membro solo al risultato da raggiungere, restando necessariamente salva la scelta della forma e dei mezzi con cui raggiungere lo scopo: pertanto, in questo caso, si parlerà di attuazione. I regolamenti e le decisioni, invece, sono atti completi, direttamente applicabili alla lettera e non abbisognano di normative interne; tranne che nel caso in cui gli atti interni siano eventualmente necessari all’esecuzione delle fonti normative predette, parlandosi in tal caso di applicazione.
(2) Il responsabile del trattamento è la persona fisica o giuridica preposta dal titolare del trattamento alla gestione dei dati.
