***
Tale problematica, si inserisce, peraltro, in un contesto sicuramente, di per sé, già complesso, ove l’avvento della “sanità digitale” ha reso difficile la protezione, negli ambienti sanitari, dei dati personali.
A ciò si aggiunga, da ultimo, l’iniziativa di 130 ricercatori, volta alla creazione ed allo sviluppo di un’applicazione (detta “PEPP-PT”) che–nel doveroso rispetto delle norme del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea n. 2016/679 (o “GDPR”)-tramite la funzione bluetooth dello smartphone, effettuerebbe il c.d. “contact tracing”, ossia un tracciamento digitale di prossimità della popolazione, con lo scopo di seguire i movimenti dei soggetti covid-19 positivi per contenere futuri focolai del virus, una volta appiattita la curva epidemiologica.
Va da sé, quindi, come in un siffatto contesto, l’applicazione della normativa sulla privacy in ambito sanitario, risulti, quantomeno, controversa, dovendosi contemperare, per un verso, la corretta imposizione di norme e regole a tutela della riservatezza della persona umana e, per altro verso, le contrapposte e rilevanti esigenze di celerità, urgenza e garanzia di salute del paziente.
Sicuramente, da un punto di vista normativo, ci si richiama, in primis, al D. Lgs. n. 196/2003 (“Legge sulla privacy”) ed, in particolare, al titolo V, artt. 75-94, ove viene fornita una disciplina generale in tema di informativa, consenso e trattamento dei dai personali in ambito sanitario.
Di maggiore rilievo, però, è il succitato GDPR, anche se, a ben vedere lo stesso non stabilisce una regolamentazione specifica per il trattamento dei dati personali in ambito sanitario.
L’art. 9 del GDPR, infatti, sancisce il generale “divieto di trattare i […] dati relativi alla salute […] della persona”, con alcune specifiche eccezioni previste alle lettere g), h), i) e l) del medesimo articolo.
Si pensi, alle ipotesi in cui il trattamento di tali dati è necessario per motivi di interesse pubblico, medicina preventiva/ del lavoro, per la protezione da gravi minacce alla salute a carattere transfrontaliero, garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria, dei medicinali e dei dispositivi medici ed, infine, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a scopi statistici.
Appare chiaro, di conseguenza, come, nell’attuale situazione nazionale, sia proprio l’eccezionale emergenza sanitaria stessa a costituire la condicio sine qua non per legittimare le limitazioni delle libertà individuali – seppur proporzionate ed a tempo determinato-ed il trattamento dei dati personali in ambito sanitario.
Ciò è confermato, peraltro, anche dall’art. 14 delD.L. n. 14/2020 ha stabilito che “fino al termine dello stato di emergenza […], per motivi di interesse pubblico nel settore della sanità pubblica ed, in particolare, per garantire la protezione dall'emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19, mediante adeguate misure di profilassi, nonchè per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale”-nel rispetto degli artt. 9 e 10 del GDPR, nonché dell’art. 2 sexies del D. Lgs. n.196/2003– tutti i soggetti deputati a garantire l’esecuzione delle misure disposte ai sensi delle normative di carattere emergenziale, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, oltre che a soggetti pubblici o privati, dei dati personali, anche relativi artt. 9 e 10 del GDPR, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del covid-19 (ciò, anche attraverso procedure più semplificate, come il rilascio orale dell’autorizzazione al trattamento dei dati personali).
Ad ogni modo, in conformità alla ratio ed ai principi sanciti dal GDPR, il medesimo D.L. n.14/20 ha stabilito che al termine dello stato di emergenza, il trattamento dei dati personali rientrerà nell’ordinaria regolamentazione della tutela della privacy.
Delineato, quindi, il quadro normativo di riferimento per il legittimo trattamento dei dati personali in ambito sanitario, in costanza dell’attuale emergenza sanitaria, non si nasconde, da ultimo, una certa perplessità circa l’iniziativa, summenzionata, di tracciamento dei soggetti covid-19 positivi, tramite l’applicazione PEPP-PT.
In merito, giova ricordare che il trattamento dei dati delle telecomunicazioni e dell'ubicazione delle persone stesse, deve essere effettuato, sulla base della direttiva europea n. 2009/136 (“direttiva e-privacy”), in forma anonima o con il consenso dei singoli soggetti.
Tuttavia, l’art. 15 di tale direttiva consente di introdurre misure per salvaguardare la sicurezza pubblica solo quando ciò sia necessario, adeguato e proporzionato e nel rispetto della Carta dei diritti fondamentali e della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.
Per il che, compressione della riservatezza sì, ma “una tantum” e, quindi, solo a titolo eccezionale, escluso ogni carattere continuativo.