Il trattamento dei dati sanitari da parte delle farmacie, in seguito all’entrata in vigore del Gdpr e all’approvazione del d.lgs. 101/2018, è regolato da un sistema di fonti estremamente complesso. Un sistema composito che apre la strada a interpretazioni non sempre univoche a fronte, invece, di un urgente bisogno di certezza a garanzia degli operatori e soprattutto degli interessati. Di seguito, un’analisi delle novità introdotte dal Gdpr, delle scelte del legislatore italiano in merito a misure di garanzia e regole deontologiche, le norme abrogate e la disciplina transitoria (abbastanza complessa).
Le novità del GDPR
Il Regolamento europeo 2016/679 (GDPR) ha introdotto un generale divieto di trattare particolari categorie di dati, tra cui i dati sanitari (art.9,1), salvo i casi espressamente considerati ed elencati a titolo tassativo (art.9,2) che costituiscono le basi giuridiche per trattare, tra l’altro, i dati sanitari da parte delle farmacie.
Dalla lettura della norma del Regolamento, appare sin da subito che il consenso non deve essere più richiesto per il trattamento di dati sanitari per finalità di assistenza o terapia sanitaria, effettuato sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità. Il Regolamento, però, precisa che tale esimente è applicabile a patto che il trattamento sia effettuato da o sotto la responsabilità di un professionista soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza (art.9,2 – h e art.9,3 ). Nel settore in cui operano le farmacie, il GDPR, inoltre, consente il trattamento di dati sanitari senza consenso anche per motivi di interesse pubblico rilevante (art.9,2 – g) o per motivi di interesse pubblico nel settore della sanità pubblica, ad esempio per la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali (art.9, 2 – h).
Il Regolamento europeo, tuttavia, in una materia cosi delicata, ha consentito espressamente agli Stati membri di poter mantenere o introdurre ulteriori condizioni, comprese limitazioni (art.9,4) rispetto a quanto previsto dalla normativa europea. Conseguentemente, si è reso indispensabile l’intervento del legislatore italiano per chiarire espressamente quali norme del “vecchio codice” concernenti il trattamento dei dati sanitari fossero eventualmente ancora in vigore, quali norme, invece, dovevano essere abrogate e quali eventuali nuove condizioni era necessario introdurre.
Le scelte del legislatore italiano
Come è noto, il legislatore nazionale è intervenuto approvando il d.lgs. 101/2018, introducendo un sistema di fonti che disciplinano il trattamento di dati sanitari estremamente complesso. Ma quali sono state le scelte del legislatore italiano in materia di trattamenti di dati sanitari?
Specifiche condizioni in ambito sanitario (basi giuridiche, misure di garanzia, specifiche disposizioni di settore).
Il decreto 101 ha riformato profondamente il titolo V del Codice privacy dedicato al trattamento dei dati in ambito sanitario. Al capo I, rubricato “principi generali”, il nuovo art.75 del Codice chiarisce che le basi giuridiche per trattare i dati sanitari per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività sono solo quelle individuate GDPR. Il consenso, pertanto, non è più la base giuridica appropriata per trattare dati sanitari per finalità di terapia da parte di esercenti le professioni sanitarie. Inoltre, è stato abrogato l’art.76 che richiedeva l’autorizzazione del Garante come presupposto per il trattamento dei dati sanitari da parte dei gli esercenti le professioni sanitarie e gli organismi sanitari pubblici oltre.
Per quanto riguarda la base giuridica prevista dal GDPR consistente nel trattamento di dati per finalità di interesse pubblico rilevante (art.9, 2 – g), il decreto 101 ha specificato che rientrano in tale fattispecie i trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri in alcune materie specificamente elencate. Tra queste vi sono alcune materie nell’ambito delle quali operano le farmacie: attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale (ad servizio CUP, consegna referti); compiti dei soggetti operanti in ambito sanitario (assistenza farmaceutica e integrativa).
Se l’Italia, per quanto riguarda le basi giuridiche, non si è discostata da quanto disciplinato dal legislatore europeo, ha in ogni caso introdotto ulteriori presupposti per effettuare un lecito trattamento dei dati personali sanitari: il rispetto delle misure di garanzia approvate dal Garante e delle eventuali specifiche disposizioni di settore.
Misure di garanzia
Il legislatore italiano, pertanto, ha fatto la sua scelta. La conformità alle misure di garanzia disposte dal Garante (Art. 2 –septies, Codice privacy) costituisce l’ulteriore condizione – rispetto a quelle previste dal GDPR – per la liceità del trattamento dei relativi alla salute. Il decreto specifica, coerentemente alle sue scelte di fondo che, solo limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato.
Le misure di garanzia possono individuare le misure di sicurezza, le misure di minimizzazione, le specifiche modalità per l’accesso selettivo ai dati e per rendere le informazioni agli interessati, le eventuali altre misure necessarie a garantire i diritti degli interessati e riguardano anche le cautele da adottare relativamente a:
- profili organizzativi e gestionali in ambito sanitario;
- modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
- prescrizioni di medicinali.
Regole deontologiche e codici di condotta
A ben guardare, il legislatore italiano oltre alle misure di garanzia disposte dal Garante, prevede un ulteriore strumento che consente di apporre ulteriori condizioni anche al trattamento dei dati sanitari, sebbene non sia riportato nell’art.75 del Codice. In particolare, il decreto ha introdotto la possibilità per il Garante di promuovere l’adozione di regole deontologiche in caso di trattamento di alcuni dati tra cui quelli sanitari. Il decreto chiarisce che il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali (Art.2 – quater, codice privacy).
Non è specificato chi siano i soggetti abilitati a proporre tali regole deontologiche ma il riferimento – contenuto nel medesimo articolo – al rispetto del principio di rappresentatività, fa desumere che i soggetti siano le organizzazioni di categoria maggiormente rappresentative o gli Ordini competenti. E’ tutto da chiarire il rapporto tra i codici deontologici previsto dal decreto 101 come ulteriore condizione per il trattamento di dati sanitari e i codici di condotta previsto dall’art.40 del GDPR elaborati dalle associazioni e dagli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento che – secondo il GDPR– sono destinati a contribuire alla corretta applicazione del regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese, quali ad esempio sono le farmacie.
Permangono le modalità particolari per rendere l’informativa previste dal vecchio codice in caso di trattamento di dati dagli esercenti le professioni sanitarie. In particolare, l’informativa resa dal medico o dal pediatra riguarda anche il trattamento effettuato da chi fornisce i farmaci prescritti (artt. 76 e 77, Codice privacy).
Abrogazione (futura) delle misure in campo sanitario
E’ stato abrogato l’obbligo, previsto all’art.83 del Codice privacy, per gli esercenti le professioni sanitarie e le strutture sanitarie di adottare idonee misure per garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati. Alcune di queste misure erano espressamente elencate dal vecchio codice come ad esempio l’istituzione di appropriate distanze di cortesia. La ratio dell’abrogazione di tale obbligo si rinviene nella scelta del legislatore italiano di delegificare la materia, attribuendo il compito di individuare le misure di garanzia al Garante. Si è ritenuto di non cristallizzare in una norma di legge determinate misure che hanno la necessità di essere adeguate alle novità scientifiche e tecnologiche. A conferma di ciò, il Garante è chiamato dal legislatore ad aggiornare le misure ogni due anni.
In ogni caso, per non lasciare gli interessati senza tutele, l’art 22, comma 11 del decreto 101 stabilisce che le disposizioni del codice privacy, relative al trattamento di dati genetici, biometrici o relativi alla salute continuano a trovare applicazione, in quanto compatibili con il Regolamento (UE) 2016/679, sino all’adozione delle corrispondenti misure di garanzia che il Garante dovrà emanare ai sensi all’articolo 2 -septies del citato codice. Pertanto, si deve ritenere che le misure di cui all’art.83 debbano ritenersi vigenti finché il Garante non abbia adottato misure di garanzia “corrispondenti” .
Segue la medesima ratio l’abrogazione ad opera del decreto 101 di una serie di articoli del Codice privacy: l’art.84, che disciplinava le modalità di comunicazione dei dati all’interessato; l’art. 87 che istituiva il modello cartaceo di ricette a carico del servizio sanitario nazionale integrato con un tagliando coprente le generalità del paziente; l’art. 88 che prevedeva la facoltà da parte dell’interessato di ottenere una ricetta ripetibile anonima per i medicinali non a carico del Servizio sanitario nazionale; l’art. 89 che, oltre a richiamare alcune discipline di settore ora fatte salve dall’art.75, prevedeva una particolare misura di sicurezza in caso di conservazione di ricette prescriventi farmaci stupefacenti; l’art.178 che imponeva al farmacista l’obbligo di distruggere le ricette al termine del periodo di conservazione con modalità atte ad escludere l’accesso di terzi ai dati in esse contenuti.
A fronte di tali abrogazioni, l’art.2 septies del Codice afferma espressamente che il Garante, nell’ambito delle misure di garanzia, dovrà individuare modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute e adottare misure di garanzia in tema di prescrizioni mediche. Per quanto riguarda le ricette ripetibili, l’art.89 bis, stabilisce che il Garante dovrà individuare quali cautele si debbano adottare nelle misure di garanzia, “anche ai fini del controllo della correttezza della prescrizione ovvero per finalità amministrative o per fini di ricerca scientifica nel settore della sanità pubblica”.
Anche in tal caso, in attesa che il Garante adotti le misure di garanzia, le norme abrogate, in virtù della norma transitoria (l’art 22, comma 11 del d.lgs.101/2018), devono essere considerate ancora vigenti.
L’opera di delegificazione del legislatore non comporta una minore cautela degli interessati. Al contrario, mentre le misure di garanzia previste dal Garante saranno assistite da sanzione penale, le misure individuate dal codice ora abrogate non prevedevano specifica sanzione. Inoltre il mancato rispetto delle misure di garanzia approvate dal garante può essere soggetto ad una sanzione amministrativa pecuniaria fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo.
La disciplina transitoria
Le autorizzazioni non costituiscono più un presupposto di legittimità per il trattamento di dati sanitari. Tuttavia, per quanto riguarda le autorizzazioni già emanate, il d.lgs. 101/2018 all’art.21 stabilisce una disciplina transitoria alquanto complessa: il Garante, con proprio provvedimento, dovrà verificare che le disposizioni contenute all’interno delle autorizzazioni generali (tra cui quelle per il trattamento di dati sanitari) emanate anteriormente al decreto 101 siano compatibili con il GDPR e, ove occorra, deve provvedere al loro aggiornamento. Le disposizioni sottoposte a verifica, ritenute incompatibili con le disposizioni del GDPR, cesseranno di produrre effetti dal momento della pubblicazione in Gazzetta ufficiale del provvedimento sopra menzionato. Ma anche tale provvedimento sembra avere, in base al disposto di cui all’art.21, comma 4, del decreto 1010 – di non facile lettura – vita temporanea: cesserà di avere effetto quando il Garante approverà le regole deontologiche e le misure di garanzia.
Invece, per quanto riguarda gli altri provvedimenti generali del Garante adottati prima del 25 maggio 2018, il decreto lascia il compito di individuare la norma applicabile all’interprete: continuano ad applicarsi, in quanto compatibili con il Regolamento e con le disposizioni del decreto. E’ auspicabile tuttavia che il Garante intervenga espressamente per chiarire la disciplina applicabile, in materie così delicate quali ad esempio quella concernente il dossier sanitario.
Le specifiche disposizioni di settore
L’art.75 del Codice, oltre ad individuare le basi giuridiche, richiede che il trattamento di dati sanitari sia essere effettuato conformemente alle specifiche disposizioni di settore. Quid iuris se tali disposizioni di settore sono di diretta emanazione di principi di cui al codice privacy, ora abrogati dal decreto 101? Si pensi alle norme che disciplinano le basi giuridiche per istituire il fascicolo sanitario elettronico secondo le quali il FSE può essere alimentato esclusivamente sulla base del consenso dell’assistito. Oppure al D.M. 8.07.2011 “Erogazione da parte delle farmacie, di attività di prenotazione delle prestazioni di assistenza specialistica ambulatoriale, pagamento delle relative quote di partecipazione alla spesa a carico del cittadino e ritiro dei referti relativi a prestazioni di assistenza specialistica ambulatoriale” che fa ferimento al consenso come base giuridica per il trattamento dei dati personali.