Abstract
Chi lavora trattando dati relativi alla salute di soggetti defunti potrebbe essere raggiunto dalla richiesta, da parte di parenti o affini, di autorizzazione all’accesso ad una cartella clinica, ad un esame di laboratorio o al verbale autoptico del de cuius. Il dubbio circa quali siano le indicazioni normative è legittimo, anche alla luce dei cambiamenti introdotti dal Regolamento europeo sulla protezione dei dati 2016/679 (GDPR), i cui risvolti non sempre sono di facile lettura. Cerchiamo quindi di evidenziare le direttive che il combinato delle disposizioni europee ed italiane forniscono, per un orientamento di base nel labirinto-privacy.
. . . .
Il GDPR, all’art. 9, sancisce un generico divieto al trattamento dei dati relativi alla salute, che fanno parte delle categorie particolari di dati personali (ex “dati sensibili”).
Esistono tuttavia delle deroghe a tale divieto previste dal medesimo dispositivo, tra le quali le più frequentemente richiamate sono il consenso informato dell’interessato, la tutela di un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso, l’esercizio di un diritto in sede giudiziaria, finalità di medicina preventiva o di medicina del lavoro, motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero (ipotesi peraltro molto attuale…), fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Ma quali diritti alla tutela della riservatezza sopravvivono dopo la morte? E chi sono i soggetti legittimati a ricevere queste informazioni?
Ancora una volta, la normativa cui fare riferimento è il GDPR che, al Considerando 27, concede ai singoli Stati membri dell’Unione la facoltà di prevedere specifiche norme a tutela del trattamento dei dati delle persone defunte.
Occorre tenere conto che il decesso fa decadere la qualità di interessato (data subject), che equivale alla persona fisica a cui si riferiscono i dati personali. I suoi diritti però non si estinguono, ma passano ad altre figure che il Legislatore italiano ha individuato ai sensi dell’art. 2-terdecies del decreto di armonizzazione del Codice Privacy (d.lgs 101/2018). Questo sancisce che:
“I diritti di cui agli articoli da 15 a 22 del Regolamento [diritto di accesso, rettifica, cancellazione, limitazione di trattamento, obbligo di notifica in caso di rettifica/cancellazione o limitazione del trattamento, diritto alla portabilità dei dati, di opposizione, di non sottoposizione a processi decisionali automatizzati – NdA] riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.
A seguire trovate il vademecum pubblicato dal Garante
sul “Diritto di accesso riguardante persone decedute”
I soggetti così individuati possiedono pertanto diritto di accesso ai dati relativi alla salute del deceduto. In altre parole, essi possono far valere diritti che, nell’ambito della normativa sulla privacy, sarebbero riconosciuti al solo interessato al trattamento se questo fosse in vita.
Sul punto, il Garante per la Privacy si è espresso più volte in passato, concedendo la possibilità di accesso alla documentazione sanitaria relativa al defunto anche a figure diverse da quelle dei legittimari (strettamente individuati dall’art. 536 C.C) ed includendo nella sfera degli aventi diritto per esempio anche fratelli, sorelle o conviventi.
La diffusione delle informazioni relative alla salute
Ben altra cosa rispetto all’accesso è la diffusione dei dati relativi alla salute di un soggetto deceduto.
La normativa vigente, infatti, vieta espressamente la diffusione di dati idonei a rivelare lo stato di salute degli interessati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice).
Questo tipo di violazione è stato oggetto di sanzioni da parte dell’Autorità per la protezione della Privacy.
Con una recente Ingiunzione, per esempio, il Garante ha ordinato all’Azienda ospedaliera “San Carlo” di Potenza il pagamento di una somma pari a 70000 euro a titolo di sanzione amministrativa pecuniaria per aver diffuso – senza l’autorizzazione da parte dei parenti superstiti – i dati relativi al decesso per Covid-19 del sig. XX mediante la diramazione di un comunicato stampa, poi ripreso da alcune testate giornalistiche telematiche locali.
Non è stato sufficiente per l’Azienda dichiarare di aver diffusoil predetto comunicato stampa “quando i dati erano già pubblici ovvero resi noti all’opinione pubblica dal profilo Facebook dl XX – odierno reclamante e figlio del sig. XX” e che quindi, nella fattispecie, non si fosse verificata alcuna divulgazione di dati riservati “in quanto già diffusi dalla famiglia dell’interessato”.
Infatti il reclamante, durante il ricovero del padre, pur avendo reso nota la storia dei vari accessi di quest’ultimo presso l’Azienda ospedaliera, aveva fatto solo genericamente riferimento allo stato di salute dell’interessato (es. “febbre” e “tosse”), senza quindi mai riportare i dettagli anamnestici, clinici e terapeutici indicati invece nel comunicato stampa aziendale.
Con specifico riferimento alla diffusione di dati personali riguardanti persone risultate positive al Covid-19 sui social media e sugli organi di stampa, il Garante ha precisato che “anche in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica” (Comunicato stampa del 31 marzo 2020).
L’utilizzo dei dati genetici e dei campioni biologici del defunto
L’Autorizzazione n. 8/2016 – Autorizzazione generale al trattamento dei dati genetici all’art. 3 punto 1.b stabilisce che possono essere trattati dati genetici ed utilizzati campioni biologici per finalità di “tutela della salute, con particolare riferimento alle patologie di natura genetica e tutela dell’identità genetica di un terzo appartenente alla stessa linea genetica dell’interessato con il consenso di quest’ultimo”.
Nel caso in cui l’interessato sia deceduto “il trattamento può comprendere anche dati genetici estrapolati dall’analisi dei campioni biologici della persona deceduta, sempre che sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla necessità, per il terzo, di interventi di natura preventiva o terapeutica”.
Via libera quindi all’utilizzo di matrici biologiche, eventualmente raccolte durante accertamenti eseguiti in vita o attraverso il riscontro diagnostico (laddove espletato), qualora la finalizzazione sia quella di estrapolare dati genetici importanti per la salute di un terzo appartenente alla stessa linea genetica del defunto.
VUOI APPROFONDIRE QUESTO ARGOMENTO?
Vedi anche: Il nuovo Regolamento Europeo sulla Privacy e ANAC: la CTU non è documento per il quale è consentito pubblico accesso