Focus

Published on aprile 12th, 2019 | by dirittodellinformatica.it

0

Accesso civico e tutela dei dati personali

Un’Azienda Sanitaria si è di recente rivolta al Garante della Privacy per chiarire se sia possibile per un cittadino richiedere documenti sanitari di pazienti, anche deceduti, con lo strumento dell’accesso civico.

Il D.lgs. 33/2013 disciplina l’istituto dell’accesso civico, ovvero lo strumento attraverso il quale trova applicazione il diritto riconosciuto a chiunque di richiedere documenti, informazioni o dati detenuti dalle Pubbliche Amministrazioni e dagli Enti Pubblici – tra i quali rientrano anche le Aziende Sanitarie – e concernenti la loro organizzazione, le loro attività e le modalità per la loro realizzazione. Tali informazioni sono considerate pubbliche, perché l’accesso civico si fonda sul concetto di trasparenza, intesa “come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche” (art. 1, co.1). Per evitare contrasti, un simile diritto deve essere esercitato “nel rispetto delle disposizioni in materia di segreto di Stato, di segreto d’ufficio, di segreto statistico e di protezione dei dati personali” (art. 1, co. 2) e tale normativa prevede a tal fine un’azione coordinata dell’Autorità Anticorruzione e dell’Autorità Garante della privacy, che permetta di bilanciare i diversi diritti in gioco.

Nel caso di recente affrontato dall’Autorità Garante della privacy, l’istante, in primo luogo, aveva effettuato alla Direzione sanitaria aziendale una segnalazione relativa alle cure eseguite su un paziente, sospettando si fosse verificato un caso di malpractice medica. Successivamente, poiché l’Amministrazione sosteneva il corretto operato dei medici, è stata presentata un’istanza di accesso civico agli atti di audit clinico e ai successivi approfondimenti effettuati da parte del risk manager, intesi quali documenti relativi appunto alle attività di una Pubblica Amministrazione ed alle connesse modalità di esecuzione.

Dalla documentazione fornita al Garante risulta evidente che l’accesso civico avrebbe permesso all’istante di aver conoscenza di dati ed informazioni personali inerenti al quadro clinico di un paziente deceduto con dettagli specifici relativamente al ricovero, alla degenza, ai sintomi e agli esami effettuati con i relativi risultati, terapie e farmaci.

Affinché la richiesta di accesso potesse essere accolta, come spiegato sopra, quelle informazioni avrebbero dovuto essere considerate pubbliche e, pertanto, oggetto di un controllo generalizzato da parte dei cittadini.

 GDPR: è applicabile a persone decedute?

Il Garante, con provvedimento del 10 gennaio 2019, ha ribadito in primis che con dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata od identificabile” e che “si considera identificabile la persona fisica che può essere identificata, direttamente o meno, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Essendo l’oggetto dell’accesso relativo in particolare a dati sulla salute, il Garante ha evidenziato come il nuovo Regolamento in materia di dati personali definisca come dati relativi alla salute “quei dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.

È evidente dunque che una richiesta di accesso come quella presentata dall’istante in questione non possa non tener conto della privacy del soggetto cui i dati ineriscono, anche in virtù del fatto che quei dati sono dati particolari ex art. 9 GDPR e come tali soggetti ad una tutela ancor più stringente.

Essendo il soggetto interessato deceduto è fondamentale chiedersi se la normativa in materia di protezione dei dati personali debba o meno trovare applicazione. Prima dell’entrata in vigore del GDPR, Il Decreto 196 del 2003, ovvero il c.d. “Codice in materia di protezione dei dati personali”, all’articolo 9, comma terzo, regolava l’accesso ai dati personali da parte di “chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione”. Veniva in sostanza data la possibilità a determinati soggetti, legati al soggetto defunto, di far valere i diritti dello stesso anche dopo la sua morte.

Il Considerando 27 del nuovo Regolamento Europeo stabilisce che “il presente Regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.

In sostanza, pur sostanziando un cambio di rotta generale rispetto alla normativa precedente, viene introdotta una c.d. clausola di salvaguardia che permette liberamente ai singoli Stati di adottare soluzioni differenti.

Il nostro Paese, per evitare un passo indietro rispetto alla normativa precedente, ha introdotto, con l’art. 2-terdecies D.lgs. 101/2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”, una deroga a quanto previsto dal GDPR. L’articolo in questione, infatti, riprendendo in parte il vecchio art. 9 comma 3, afferma che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata”.

Da quanto sopra deriva logicamente che debbano applicarsi anche alle persone decedute le tutele poste dal GDPR in materia di protezione dei dati personali. Ciò in quanto i diritti relativi agli articoli in precedenza richiamati comportano la necessità per il titolare del trattamento di adeguarsi ai principi applicabili in materia di protezione dei dati personali.

Istanza di accesso civico e tutela dei dati personali

Posta dunque la necessità in via generale di tutelare i dati del soggetto deceduto è necessario ora analizzare la possibilità o meno di effettuare un accesso civico ai dati sanitari in questi casi.

Da un punto di vista procedurale, l’Amministrazione, in base all’art. 5 comma 5 del D.lgs 33/2013, nel caso in cui individui soggetti controinteressati, è tenuta a dare comunicazione agli stessi al fine di permettere loro un’eventuale opposizione.

Nel caso di specie non risulta però che sia stata data ai parenti dell’interessato tale possibilità. Ciò detto, il Garante, in ossequio a quanto disposto dall’Autorità Nazionale Anticorruzione (c.d. ANAC) ha ribadito che comunque “la valutazione spetta all’Ente e va condotta anche in caso di silenzio del controinteressato”.

Da un punto di vista sostanziale l’art. 5-bis, comma 2, lett. a) del D.lgs. 33/2013 prevede che “l’accesso generalizzato debba essere rifiutato laddove possa recare un pregiudizio concreto alla protezione dei dati personali, in conformità con la disciplina legislativa in materia”. L’Ente destinatario dell’istanza è tenuto ad una valutazione circa il pregiudizio arrecato alla persona fisica (anche deceduta) relativo alla conoscenza da parte di chiunque del dato personale richiesto. Ai fini della definizione delle esclusioni e dei limiti all’acceso civico, l’ANAC, d’intesa con il Garante, ha pubblicato le Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 comma 2 del D.lgs 33/2013.

Nel caso in analisi la richiesta di accesso aveva ad oggetto dati relativi alle cure eseguite dall’Azienda Sanitaria su un soggetto poi deceduto. L’accoglimento dell’istanza di accesso, dunque, avrebbe comportato una possibile conoscenza generalizzata di dati relativi alla salute del soggetto interessato. Il Codice in materia di protezione dei dati personali, all’art. 2-septies comma 8, afferma che i dati genetici, biometrici e i dati relativi allo stato di salute, non possono essere diffusi. In modo simile anche la normativa in materia di trasparenza evidenzia, all’art. 7-bis comma 6 del D.lgs. 33/2013, che restano fermi i limiti alla diffusione dei dati idonei a rivelare lo stato di salute.

Dato che l’accoglimento dell’istanza porterebbe quindi alla conoscenza di dati relativi alla salute è evidente che il caso in analisi debba rientrare in una delle ipotesi di esclusione dell’accesso civico indicate nell’art. 5-bis comma 3 del D.lgs 33/2013.

A conferma di ciò, le Linee Guida precedentemente menzionate, al paragrafo 6.2, relativo ad “altri casi di segreto o di divieto di divulgazione” sostengono che “salvo non sia possibile un accesso parziale, con oscuramento dei dati, sussiste un divieto di divulgazione relativamente a dati idonei a rivelare lo stato di salute ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati. Sulla base di quanto esposto il Garante ha ritenuto corretto respingere la richiesta di accesso civico.

Redazione Diritto dell’Informatica

Tags: , , , ,


About the Author



Back to Top ↑