Accesso civico e tutela dei dati personali

diritto giustizia

Un’Azienda Sanitaria si è di recente rivolta al Garante della Privacy per chiarire se sia possibile per un cittadino richiedere documenti sanitari di pazienti, anche deceduti, con lo strumento dell’accesso civico.

Il D.lgs. 33/2013 disciplina l’istituto dell’accesso civico, ovvero lo strumento attraverso il quale trova applicazione il diritto riconosciuto a chiunque di richiedere documenti, informazioni o dati detenuti dalle Pubbliche Amministrazioni e dagli Enti Pubblici – tra i quali rientrano anche le Aziende Sanitarie – e concernenti la loro organizzazione, le loro attività e le modalità per la loro realizzazione. Tali informazioni sono considerate pubbliche, perché l’accesso civico si fonda sul concetto di trasparenza, intesa “come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche” (art. 1, co.1). Per evitare contrasti, un simile diritto deve essere esercitato “nel rispetto delle disposizioni in materia di segreto di Stato, di segreto d’ufficio, di segreto statistico e di protezione dei dati personali” (art. 1, co. 2) e tale normativa prevede a tal fine un’azione coordinata dell’Autorità Anticorruzione e dell’Autorità Garante della privacy, che permetta di bilanciare i diversi diritti in gioco.

Nel caso di recente affrontato dall’Autorità Garante della privacy, l’istante, in primo luogo, aveva effettuato alla Direzione sanitaria aziendale una segnalazione relativa alle cure eseguite su un paziente, sospettando si fosse verificato un caso di malpractice medica. Successivamente, poiché l’Amministrazione sosteneva il corretto operato dei medici, è stata presentata un’istanza di accesso civico agli atti di audit clinico e ai successivi approfondimenti effettuati da parte del risk manager, intesi quali documenti relativi appunto alle attività di una Pubblica Amministrazione ed alle connesse modalità di esecuzione.

Dalla documentazione fornita al Garante risulta evidente che l’accesso civico avrebbe permesso all’istante di aver conoscenza di dati ed informazioni personali inerenti al quadro clinico di un paziente deceduto con dettagli specifici relativamente al ricovero, alla degenza, ai sintomi e agli esami effettuati con i relativi risultati, terapie e farmaci.

Affinché la richiesta di accesso potesse essere accolta, come spiegato sopra, quelle informazioni avrebbero dovuto essere considerate pubbliche e, pertanto, oggetto di un controllo generalizzato da parte dei cittadini.

 GDPR: è applicabile a persone decedute?

Il Garante, con provvedimento del 10 gennaio 2019, ha ribadito in primis che con dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata od identificabile” e che “si considera identificabile la persona fisica che può essere identificata, direttamente o meno, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Essendo l’oggetto dell’accesso relativo in particolare a dati sulla salute, il Garante ha evidenziato come il nuovo Regolamento in materia di dati personali definisca come dati relativi alla salute “quei dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.

È evidente dunque che una richiesta di accesso come quella presentata dall’istante in questione non possa non tener conto della privacy del soggetto cui i dati ineriscono, anche in virtù del fatto che quei dati sono dati particolari ex art. 9 GDPR e come tali soggetti ad una tutela ancor più stringente.

Essendo il soggetto interessato deceduto è fondamentale chiedersi se la normativa in materia di protezione dei dati personali debba o meno trovare applicazione. Prima dell’entrata in vigore del GDPR, Il Decreto 196 del 2003, ovvero il c.d. “Codice in materia di protezione dei dati personali”, all’articolo 9, comma terzo, regolava l’accesso ai dati personali da parte di “chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione”. Veniva in sostanza data la possibilità a determinati soggetti, legati al soggetto defunto, di far valere i diritti dello stesso anche dopo la sua morte.

Il Considerando 27 del nuovo Regolamento Europeo stabilisce che “il presente Regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.

In sostanza, pur sostanziando un cambio di rotta generale rispetto alla normativa precedente, viene introdotta una c.d. clausola di salvaguardia che permette liberamente ai singoli Stati di adottare soluzioni differenti.

Il nostro Paese, per evitare un passo indietro rispetto alla normativa precedente, ha introdotto, con l’art. 2-terdecies D.lgs. 101/2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”, una deroga a quanto previsto dal GDPR. L’articolo in questione, infatti, riprendendo in parte il vecchio art. 9 comma 3, afferma che “i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. L’esercizio dei diritti di cui al comma 1 non è ammesso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, l’interessato lo ha espressamente vietato con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata”.

Da quanto sopra deriva logicamente che debbano applicarsi anche alle persone decedute le tutele poste dal GDPR in materia di protezione dei dati personali. Ciò in quanto i diritti relativi agli articoli in precedenza richiamati comportano la necessità per il titolare del trattamento di adeguarsi ai principi applicabili in materia di protezione dei dati personali.

Istanza di accesso civico e tutela dei dati personali

Posta dunque la necessità in via generale di tutelare i dati del soggetto deceduto è necessario ora analizzare la possibilità o meno di effettuare un accesso civico ai dati sanitari in questi casi.

Da un punto di vista procedurale, l’Amministrazione, in base all’art. 5 comma 5 del D.lgs 33/2013, nel caso in cui individui soggetti controinteressati, è tenuta a dare comunicazione agli stessi al fine di permettere loro un’eventuale opposizione.

Nel caso di specie non risulta però che sia stata data ai parenti dell’interessato tale possibilità. Ciò detto, il Garante, in ossequio a quanto disposto dall’Autorità Nazionale Anticorruzione (c.d. ANAC) ha ribadito che comunque “la valutazione spetta all’Ente e va condotta anche in caso di silenzio del controinteressato”.

Da un punto di vista sostanziale l’art. 5-bis, comma 2, lett. a) del D.lgs. 33/2013 prevede che “l’accesso generalizzato debba essere rifiutato laddove possa recare un pregiudizio concreto alla protezione dei dati personali, in conformità con la disciplina legislativa in materia”. L’Ente destinatario dell’istanza è tenuto ad una valutazione circa il pregiudizio arrecato alla persona fisica (anche deceduta) relativo alla conoscenza da parte di chiunque del dato personale richiesto. Ai fini della definizione delle esclusioni e dei limiti all’acceso civico, l’ANAC, d’intesa con il Garante, ha pubblicato le Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 comma 2 del D.lgs 33/2013.

Nel caso in analisi la richiesta di accesso aveva ad oggetto dati relativi alle cure eseguite dall’Azienda Sanitaria su un soggetto poi deceduto. L’accoglimento dell’istanza di accesso, dunque, avrebbe comportato una possibile conoscenza generalizzata di dati relativi alla salute del soggetto interessato. Il Codice in materia di protezione dei dati personali, all’art. 2-septies comma 8, afferma che i dati genetici, biometrici e i dati relativi allo stato di salute, non possono essere diffusi. In modo simile anche la normativa in materia di trasparenza evidenzia, all’art. 7-bis comma 6 del D.lgs. 33/2013, che restano fermi i limiti alla diffusione dei dati idonei a rivelare lo stato di salute.

Dato che l’accoglimento dell’istanza porterebbe quindi alla conoscenza di dati relativi alla salute è evidente che il caso in analisi debba rientrare in una delle ipotesi di esclusione dell’accesso civico indicate nell’art. 5-bis comma 3 del D.lgs 33/2013.

A conferma di ciò, le Linee Guida precedentemente menzionate, al paragrafo 6.2, relativo ad “altri casi di segreto o di divieto di divulgazione” sostengono che “salvo non sia possibile un accesso parziale, con oscuramento dei dati, sussiste un divieto di divulgazione relativamente a dati idonei a rivelare lo stato di salute ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati. Sulla base di quanto esposto il Garante ha ritenuto corretto respingere la richiesta di accesso civico.

Redazione Diritto dell’Informatica

FocusGDPRProvvedimento Garante
aprile 12, 2019
accesso civicodati sanitariprivacyprovvedimento Garante privacyregolamento euroepo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it