Fascicolo Sanitario Elettronico e consenso: una breve riflessione

Consenso

Fascicolo Sanitario Elettronico (FSE): novità e allarmismi

A seguito della schedatura sanitaria automatica si sono susseguiti articoli allarmistici, teorie di tracciatura senza consenso da parte di tutti gli esercenti delle professioni sanitarie del fascicolo sanitario elettronico (FSE) e si sono perse di vista le novità introdotte dal FSE e il suo significato.

Di recente ci è stato sottoposto un documento facilmente reperibile su internet dal titolo “Allarme – Schedatura Sanitaria automatica della popolazione italiana” con data 11 Gennaio come termine ultimo per negare il proprio consenso. Ci è stato quindi chiesto un parere sulla validità, sul piano della privacy, delle affermazioni in esso contenute.

Volendo prescindere dalle fantasiose teorie espresse nella comunicazione, la cui veridicità, attendibilità e finalità non saranno oggetto di approfondimento, riteniamo importante condividere una riflessione in merito alle basi giuridiche del trattamento dei dati e in particolare sul consenso, leitmotiv nel documento in esame.

Per un effettivo riscontro e una migliore comprensione riportiamo il documento di riepilogo originale inerente le novità sul Fascicolo Sanitario Elettronico direttamente dal sito del Garante della protezione dei dati personali concentrandoci in particolare sul consenso.

Fascicolo Sanitario Elettronico (FSE)

Il consenso come base giuridica

Differentemente da quanto avveniva con la precedente normativa (D.lgs 196/03),  con il Reg. U.E. 2016/679 il consenso dell’interessato al trattamento dei propri dati personali è solo una delle possibili basi giuridiche poste a fondamento della liceità di un trattamento: l’art. 6 della norma europea indica infatti quali altre valide basi giuridiche l’esecuzione di un contratto o di misure precontrattuali (lett. B), l’adempimento di un obbligo legale (lett. C), la salvaguardia di interessi vitali dell’interessato o di altra persona fisica (lett. D), il perseguimento di un interesse pubblico (lett. E) ovvero del legittimo interesse del titolare o di terzi (lett. F), sempre che in quest’ultimo caso non prevalgano interessi o diritti dell’interessato che richiedono la protezione dei dati personali.

Anche qualora si discuta del trattamento disciplinato all’art. 9 del Reg. U.E. 2016/679 delle categorie di dati personali definite nella normativa previgente “sensibili” (così com’erano definiti in passato, tra gli altri, i dati medici), il consenso dell’interessato non rappresenta l’unica base giuridica possibile.

È quindi evidente che la revoca del consenso, disciplinata all’art. 7 Reg. U.E. 2016/679, abbia effetto solo per quei trattamenti che trovino nel consenso stesso la propria base giuridica: nel caso di specie, il trattamento dei dati sanitari, effettuato dagli organi del governo sanitario (Ministero della salute, Regioni)  in ragione della necessità di combattere la diffusione pandemica su scala mondiale del Covid-19, risulta contrariamente a quanto asserito pienamente legittimo ai sensi dell’art. 9 comma 2° lett. i) che prevede la liceità del trattamento di dati c.d. “sensibili” qualora esso sia “[…] necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero […]”.

Da ciò deriva che una eventuale revoca del consenso al trattamento dei propri dati personali (peraltro mai prestato né richiesto) non sortirebbe nel caso di specie alcun effetto, essendo il trattamento fondato su diversa base giuridica.

Ulteriori eventuali trattamenti dei dati sanitari effettuati da soggetti diversi e con finalità e basi giuridiche diverse dovranno essere sottoposti ad un’attenta analisi e potranno eventualmente dipendere dal consenso dell’interessato. Si pensi ad esempio al caso della consultazione del fascicolo sanitario elettronico da parte del medico curante: come specificato dalle FAQ (qui sopra riportate) pubblicate dal Garante sulla propria pagina istituzionale1, il consenso prestato dal paziente, che si qualifica come libero dal momento che l’erogazione della prestazione sanitaria è da esso indipendente, rappresenta la condicio sine qua non per la consultazione del fascicolo da parte del personale sanitario.

Riflessioni sulla misconoscenza del consenso

Il documento di cui si è sin qui trattato “Allarme – Schedatura Sanitaria automatica della popolazione italiana” rappresenta solo un esempio della centralità che viene ancora attribuita al consenso nella visione di molti interessati e titolari del trattamento: pur rimanendo un elemento importante nell’ambito della materia privacy, esso, è bene ribadirlo, non rappresenta più il fondamento universale della liceità dei diversi trattamenti dei dati personali. Il continuo richiamo al consenso come base di trattamento per i più disparati dati rappresenta una visione distorta che deriva dalla misconoscenza della normativa oggi vigente.

Come si evince da copiosa dottrina sia a livello nazionale che europeo2, il consenso, per essere validamente espresso e rappresentare adeguato fondamento alla liceità di un trattamento, deve essere prestato in maniera libera, specifica, informata ed inequivocabile3; nei casi in cui ciò non sia possibile ovvero vi siano altre basi giuridiche poste a fondamento del trattamento, il riferimento al consenso ed alla revoca dello stesso serve solo a creare confusione nell’interessato, proprio come nel caso di specie.

I Titolari dovranno dunque valutare attentamente quali siano le reali basi giuridiche poste a fondamento della liceità dei propri trattamenti, astenendosi dall’indicarne altre che potrebbero indurre gli interessati in errore; questi ultimi, invece, sono chiamati a leggere con attenzione il contenuto delle informative che sono loro sottoposte al fine di giungere ad una corretta rappresentazione di oggetto, finalità e basi giuridica del trattamento nonché dei diritti e dei rimedi a loro disposizione.


1 Link al fascicolo sanitario elettronico: https://www.gpdp.it/temi/fse.

2 Si vedano, su tutte, le linee guida 05/2020 sul consenso ai sensi del G.D.P.R. adottate dallo European Data Protection Board in data 04/05/2020.

3 Art. 4 punto 11 Reg. U.E. 2016/679.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su