Tipologie e trattamento dei dati personali nel Regolamento UE (GDPR)

I dati personali nel Regolamento UE 2016/679 (GDPR)

Redazione

Versione PDF del documento

Il Regolamento UE 2016/679 (c.d. GDPR), a differenza del codice privacy italiano, non dedica ai dati sanitari uno specifico capo e neanche un articolo, ciò nonostante, a tali tipologia di dati viene attribuita una notevole importanza proprio in considerazione della loro delicatezza.

L’articolo 4 del GDPR, infatti, occupandosi delle definizioni dei vari termini e istituti utilizzati dal Regolamento medesimo nelle varie disposizioni che lo compongono, individua il dato personale come qualsiasi informazione che riguarda una persona fisica che sia identificata o anche identificabile e distingue tre tipologie di dati che, ai sensi del successivo articolo 9, rientrano tra le categorie particolari di dati personali:

i) i dati relativi alla salute, al cui interno vi sono tutti i dati personali, attinenti alla salute fisica o mentale di una persona fisica, che rivelano informazioni relative allo stato di salute di un soggetto (ivi compresa la prestazione di servizi di assistenza sanitaria);

ii) i dati genetici, che riguardano i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, le quali forniscono informazioni univoche sulla fisiologia o sulla salute della suddetta persona, che risultano in particolare dall’analisi di un campione biologico della persona medesima;

iii) i dati biometrici, all’interno dei quali troviamo i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca (come immagine facciale o i dati dattiloscopici).

All’interno della prima categoria, quindi, è possibile far rientrare tutti quei dati personali che sono idonei a rivelare informazioni di un soggetto che siano connesse al suo stato di salute, sia essa fisica o psichica, sia essa passata, presente o futura. Si tratta, quindi, anche di quei dati che sono stati raccolti dai titolari dei trattamenti al momento della registrazione di un paziente/utente presso una struttura o un organismo sanitario per ricevere i servizi di assistenza e in generale le prestazioni fornite da detti organismi.

Con riferimento a tale tipologia di dati è opportuno evidenziare come il considerando numero 35 del Regolamento UE in esame preveda espressamente che fra tali dati vi rientrino anche:

i) i numeri, i simboli o gli elementi specifici che vengono attribuiti alla persona fisica per identificarla in modo univoco a fini sanitari;

ii) le informazioni che risultano da esami e controlli effettuati su una parte del corpo o su una sostanza organica (compresi i dati genetici e i campioni biologici);

iii) qualsiasi altra informazione che riguardi una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte da cui tali dati derivino (per esempio un medico, un altro operatore sanitario, un ospedale, un dispositivo medico, un test diagnostico in vitro ecc.).

Come anticipato, le tre suddette tipologie di dati sono qualificate dal GDPR come categorie particolari di dati personali rispetto ai quali è vietato qualsiasi trattamento, a meno che non ricorra una delle deroghe previste dallo stesso articolo 9 (per il cui esame si rimanda al successivo paragrafo).

Il Legislatore europeo ha, infatti, ritenuto questi dati personali come meritevoli di una protezione specifica, in quanto il loro trattamento potrebbe creare dei rischi importanti per i diritti e le libertà fondamentali degli interessati.

In ragione di ciò, viene previsto che tali dati personali, in linea di massima, non siano oggetto di trattamento, a meno che non ricorra una delle deroghe che lo stesso Regolamento prevede oppure una delle ulteriori ipotesi che saranno eventualmente previste dagli stati membri (i quali hanno la facoltà di prevedere delle disposizioni specifiche per la protezione dei dati rientranti tra le suddette categorie).

A tale ultimo proposito, infatti, il Regolamento prevede che gli stati membri rimangono liberi di mantenere o di introdurre ulteriori condizioni, fra cui anche limitazioni, con riguardo al trattamento dei dati relativi alla salute, dei dati genetici e di quelli biometrici, purché tali limitazioni non ostacolino la libera circolazione dei dati personali all’interno dell’Unione.

In ragione di ciò, posto che per quanto riguarda la disciplina specifica dei dati sanitari contenuta nel Codice privacy il decreto legislativo attuativo del GDPR si occuperà di disciplinarne l’armonizzazione con le disposizioni del GDPR medesimo, è possibile ipotizzare (salvo eventuali cambiamenti dell’ultima ora del testo legislativo in corso di approvazione) che le disposizioni contenute nelle linee guida del garante privacy relativamente a tutti gli altri sanitari di cui si è detto nel precedente capitolo continueranno a trovare applicazione in quanto limitazioni e ulteriori condizioni relative al trattamento di dati connessi alla salute degli interessati.

I presenti contributi sono tratti da 

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!