|
|
1. I dati relativi alla disabilità rientrano nei dati sanitari
La protezione dei dati personali è uno dei temi e delle esigenze più rilevanti e dibattuti della nostra epoca. Tema affrontato a livello internazionale già nel 1950, con l’adozione della Convenzione Europea dei diritti dell’uomo, che, all’art. 8, riconosce il diritto di ogni persona al rispetto della propria vita privata. Nei paesi dell’Unione Europea la protezione dei data trova un quadro normativo comune nel Regolamento (UE) 2016/679 (c.d. GDPR). Il Regolamento è direttamente applicato nei singoli Stati membri dell’Unione ed è integrato nel nostro Paese, nei limiti che il Regolamento ha lasciato alle singole legislazioni nazionali, dal D. Lgs. n. 196/2003 (c.d. Codice della Privacy), profondamente riformato dal D.Lgs. n. 101/2018.
La tutela della privacy è argomento cruciale soprattutto quando si fa riferimento alle persone non autosufficienti o con disabilità e, quindi, particolarmente vulnerabili, con la conseguente necessità di una gestione accurata e rispettosa delle informazioni personali che li riguardano. Infatti, una divulgazione illecita di informazioni relative alla loro condizione può portare a forme di discriminazione ed isolamento sociale. Per persone con disabilità si intendono, ai sensi dell’art. 3 della Legge 5.02.1992, n. 104 (come modificato dal recente D. Lgs. 3.05.2024, n. 62) chi presenta durature compromissioni fisiche, mentali, intellettive o sensoriali che, in interazione con barriere di diversa natura, possono ostacolare la piena ed effettiva partecipazione nei diversi contesti di vita su basi di uguaglianza con gli altri.
Va precisato che le informazioni relative alla disabilità rientrano nelle “particolari categorie” di dati personali (ex dati sensibili) di cui all’art. 9 del citato GDPR, per il cui trattamento sono previste particolari cautele. Nelle “particolari categorie” elencate dall’art. 9 vi rientrano i dati in grado di rilevare l’origine razziale o etnica, le opinioni religiose o filosofiche o l’appartenenza sindacale, i dati genetici e biometrici intesi a identificare in modo univoco una persona fisica e quelli relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Per dati relativi alla salute si intendono quelli attinenti alla salute fisica o mentale della persona, comprese le prestazioni ed i servizi di assistenza sanitaria in grado di rivelare informazioni sullo stato di salute (quindi, dalle diagnosi ai trattamenti, fino ai dettagli delle visite mediche e delle cure effettuate). Il trattamento dei dati sanitari è consentito, in via generale, solo in presenza di taluni requisiti specifici individuati nel menzionato art. 9 (con possibilità per gli Stati membri dell’Unione europea di mantenere o introdurre ulteriori condizioni).
Per trattamento di dati personali si intendono tutte quelle operazioni o insieme di operazioni compiute con o senza l’ausilio di strumenti elettronici riguardanti la raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione e modifica, selezione ed estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione dei dati.
Per il trattamento dei dati relativi alla salute, in forza del GDPR non occorre il consenso dell’interessato, salvo alcune eccezioni (ad es., per i trattamenti mediante utilizzo di App mediche). Il trattamento è consentito quando è necessario:
- per “motivi di interesse pubblico rilevante” sulla base del diritto comunitario o nazionale (art. 9, par. lett. g) del GDPR), individuati dall’art. 2-sexies del D.Lgs. n. 196/2003
- per “finalità di cura” (art. 9, par. 2, lett. h) e par. 3 del GDPR), sulla base del diritto comunitario o nazionale o conformemente al contratto con un professionista della sanità, effettuato da o sotto la responsabilità di un professionista sanitario o da altra persona soggetti all’obbligo di segretezza;
- per “motivi di interesse pubblico nel settore della sanità pubblica” (art. 9, par. 2, lett. i) del GDPR).
2. Le prescrizioni del Garante Privacy in tema di disabilità
Il Garante della Protezione dei Dati Personali è intervenuto con molteplici provvedimenti sul tema della disabilità, soprattutto nel contesto del rapporto di lavoro, chiarendo, anche in riferimento alla legge n. 104, che disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, come i dati che rivelano o consentono di ricavare informazioni sullo stato di salute dei lavoratori debbano essere trattati dal datore di lavoro in maniera conforme al principio di “liceità, correttezza e trasparenza”, di “minimizzazione dei dati”, in presenza di idonea base giuridica nonché materialmente trattati solo dal personale debitamente autorizzato per finalità di gestione del rapporto di lavoro. Il datore di lavoro deve adottare misure, anche organizzative, che impediscano una ingiustificata circolazione nel contesto lavorativo di informazioni relativi allo stato di salute dei dipendenti (vedi Provvedimento n. 606 del 26.09.2024).
Per tali ragioni il Garante ha, in diverse occasioni, sanzionato soggetti pubblici per avere pubblicato sui loro siti web informazioni su assenze dal servizio di singoli dipendenti con l’espressa indicazione delle causali dell’assenza, tra le quali (con riferimento alla fruizione dei benefici ai sensi della legge n. 104/1992) la dicitura “104” (Provvedimento n. 290 del 1.09.2022). Oppure per la pubblicazione dell’elenco dei candidati (ammessi ed esclusi) in procedure di selezione riservate a persone con disabilità (Provvedimento n. 313 del 19.06.2014).
Sempre il Garante, con le “Linee Guida per il trattamento di dati personali effettuati da soggetti pubblici per finalità di pubblicazione e diffusione sul web – 2.03.2011”, ha prescritto una conoscibilità limitata (attraverso messa a disposizione on line ma con modalità che impediscano la libera consultazione permettendone l’accesso solo a coloro che ne abbiano interesse per la tutela di situazioni giuridicamente rilevanti) degli elenchi e delle graduatorie del “collocamento obbligatorio” dei disabili, contenenti i nominativi degli invalidi associati allo stato di disabilità.
Con il ”Provvedimento generale rivolto alle Aziende Sanitarie sulle modalità di consegna dei presidi sanitari al domicilio dell’interessato – 21.11.2023” il Garante ha poi prescritto che la consegna debba essere effettuata nelle mani dell’interessato o di suo delegato; che il presidio non debba essere lasciato incustodito nelle vicinanze del luogo di consegna; che debba essere imballato in un contenitore non trasparente e senza indicazioni nella parte esterna del contenuto; che il personale deputato alla consegna non debba indossare divise recanti scritte da cui si possa evincere la specificità del presidi in consegna, né debba utilizzare automezzi recanti tali scritte.
Nel 2023, il Garante ha poi pubblicato il Vademecum “La scuola a prova di privacy” (sostitutivo di precedente Vademecum del 2016) contenente disposizioni generali per il trattamento dei dati personali e sensibili degli alunni e disposizioni specifiche a tutela degli alunni disabili (con divieto di pubblicazione online di circolari contenenti i nomi degli studenti portatori di handicap e necessità di attenzione all’accesso ai nominativi degli allievi con disturbi specifici dell’apprendimento – DSA – limitandone la conoscenza ai soli soggetti legittimati, ad esempio agli insegnanti che devono predisporre il piano didattico personalizzato).
3. Gli adempimenti incombenti su chi tratta dati sanitari e dati relativi a disabili e le sanzioni per le violazioni
Trattandosi di materia assai complessa, non sempre le persone con disabilità (ma anche chi si prende cura di loro) hanno conoscenza dei propri diritti riguardanti i dati personali che riguardano e rivelano, anche indirettamente, la loro condizione. Questo rende inevitabilmente difficile la possibilità di esercitarli. Non sempre gli stessi operatori sanitari che lavorano con persone con disabilità sono adeguatamente formati sulla protezione dei dati personali. Formazione che, invece, è necessaria per evitare di porre in essere condotte illecite.
Si rammenta che le violazioni alla normativa privacy possono determinare conseguenze di varia natura:
- condanna al risarcimento dei danni arrecati;
- applicazioni di sanzioni amministrative e di prescrizioni nonché provvedimenti inibitori da parte del Garante della Privacy;
- condanna a sanzioni penali (da parte dell’Autorità Giudiziaria).
In particolare, riguardo le sanzioni amministrative, ai sensi dell’art. 83 del GDPR le violazioni più lievi sono passibili di pene pecuniarie fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Le violazioni più gravi, invece, fino a 20.000.000 euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Tale regime sanzionatorio responsabilizza in particolare gli organismi (associazioni, società, cooperative, enti del terzo settore) che effettuano interventi e prestazioni a favore di persone con disabilità e che devono rispettare scrupolosamente le disposizioni ed i principi posti dalla normativa sulla protezione dei dati.
Gli organismi che, ad esempio, svolgono attività a favore dei disabili, in forza di contratti o convenzioni stipulate con aziende sanitarie, Titolari del trattamento dei dati degli assistiti, assumono, generalmente, il ruolo privacy di “Responsabili del trattamento” (cioè, il ruolo di chi tratta dati per conto del titolare del trattamento). Questo rende necessario la stipula di un atto scritto (c.d. Data Processing Agreement o Accordo Titolare-Responsabile) contenente la descrizione delle categorie di dati oggetto del trattamento, degli interessati coinvolti, sulle misure di sicurezza tecniche ed organizzative che devono essere adottate e le istruzioni impartite dal titolare per il trattamento dei dati.
Il Responsabile del trattamento che effettua trattamenti di dati sensibili è poi tenuto a redigere il Registro delle attività di trattamento. A sua volta il personale che tratta i dati dei disabili, deve essere “autorizzato” al trattamento, con indicazione dettagliata, nell’atto di autorizzazione, dei dati che viene autorizzato a trattare e del perimetro dei trattamenti. Vale la pena sottolineare che la mancata regolarizzazione dei ruoli privacy (quindi, la mancata nomina a responsabile del trattamento, quando dovuta, o la mancata autorizzazione del personale) costituisce un illecito soggetto a sanzione del Garante della Privacy.
Inoltre, per gli organismi che svolgono trattamenti di categorie particolari di dati personali su “larga scala” (intesi non solo nel senso del volume dei dati, ma anche trattamenti non occasionali ma continuativi) è necessario nominare un Responsabile della Protezione dei Dati.
È inoltre consigliata l’adozione di linee guida o di regolamenti interni con le istruzioni rivolte al personale sulle modalità del trattamento dei dati personali e, in particolare, sul da farsi al verificarsi di determinati eventi (come, ad es., in occasione di violazione dei dati).
Stefano Comellini
Avvocato del Foro di Bologna – Patrocinante in Cassazione
Responsabile della Protezione dei Dati di Aziende Sanitarie
1 commento su “La Tutela dei Dati Personali delle Persone con Disabilità”
Consiglio vivamente Ernesto.it per la tutela dei dati personali delle persone con disabilità. La piattaforma offre soluzioni innovative e affidabili, garantendo il rispetto della privacy e delle normative vigenti. La loro esperienza nel settore è evidente e la loro professionalità assicura un’assistenza completa e personalizzata. Utilizzando Ernesto.it, le organizzazioni e le persone interessate possono sentirsi sicure e supportate nel proteggere i propri dati sensibili, contribuendo a creare un ambiente digitale più sicuro e rispettoso delle esigenze di tutti. Consiglio a chiunque voglia affrontare con serenità e competenza questa delicata tematica di affidarsi a Ernesto.it.