Garante per la protezione
    dei dati personali


Comunicato Stampa

 

[vedi anche comunicato stampa del 9 luglio 2013]

Ill.mo
 Ministro per la salute

On.Beatrice Lorenzin

Lescrivo in relazione al decreto-legge 21giugno 2013, n. 69, recentemente approvato dal Governo per rilanciarel'economia, per segnalare, a dibattito parlamentare appena avviato, rilevanticriticità riscontrate in alcune disposizioni del provvedimento d'urgenza.

1.Ci si riferisce, in particolare, all'articolo17 del decreto-legge che apporta alcune modifiche alle disposizioni inmateria di fascicolo sanitario elettronico (FSE), introdotte daldecreto-legge n. 179 del 2012.

L'articolo12 del predetto decreto n. 179, nella sua formulazione originaria, prevedevache –ferma restando la libera espressione del consenso dell'assistito aifini dell'alimentazione del FSE- le Regioni e le Province autonome, il Ministerodel Lavoro e delle politiche sociali e il Ministero della Salute potesseroperseguire le finalità di studio e ricerca scientifica, nonché diprogrammazione sanitaria e monitoraggio loro assegnate "senza l'utilizzodei dati identificativi degli assistiti e dei documenti clinici presenti nelFSE". Ciò, sul presupposto che per tali finalità, le quali non attengonoevidentemente alla cura della persona, fosse sufficiente utilizzareinformazioni non identificative dei pazienti, in applicazione dei principi dinecessità, proporzionalità e indispensabilità nel trattamento dei datipersonali, e senza che fossero in alcun modo presi in considerazione documenticlinici.

Conla modifica operata dal decreto in discussione (art. 17, comma 1, lett. b)) ipredetti soggetti pubblici sarebbero, invece, autorizzati a utilizzare anche i"documenti clinici".

IlGarante esprime forti perplessità su tale ampliamento del novero delleinformazioni oggetto di trattamento per finalità diverse da quelle di cura.
Pereffetto della modifica normativa, infatti, verrebbe trattata dalle Regioni,dalle Province autonome e dai Ministeri citati un'enorme mole di dati personalisensibili delle persone (si pensi alle risultanze diagnostiche radiologiche, oa quelle di analisi cliniche, ecc.), che rappresenta un patrimonio informativo,pur prezioso per gli operatori sanitari nel momento in cui devono fare unadiagnosi o prestare le cure mediche richieste, ma assolutamente sproporzionatoper lo svolgimento di attività quali quelle di ricerca scientifica oprogrammazione sanitaria.

Perquesti motivi, il Garante ritienenecessario che la norma in questione sia modificata in modo da assicurare aipredetti soggetti pubblici un utilizzo selettivo delle sole informazioniveramente utili e pertinenti per il perseguimento delle finalità loroassegnate. In tal senso, l'articolo 12 del decreto n. 179 potrebbeessere integrato con la previsione che il regolamento di attuazione di taledisciplina (art. 12, comma 7, d.l. n. 179/2012), al quale è demandato didefinire, fra l'altro, i contenuti del FSE, individui espressamente i"documenti sanitari" utilizzabili per finalità amministrative.

2.Inoltre il Garante ritiene doveroso esprimere la propria contrarietà alla possibile riproposizione didisposizioni volte ad escludere dall'applicazione del Codice gli imprenditoriindividuali, per il momento non pubblicate, ma contenute in recenti bozze didisegno di legge del Governo in materia di semplificazioni.

Alriguardo, non possono che ribadirsi le perplessità già manifestate in altrecircostanze e, da ultimo, in occasione della presentazione al Parlamento dellarelazione annuale del Garante.

Infatti,anche la più recente versione del disegno di legge che risulterebbe approvatonel Consiglio dei ministri del 19 giugno u.s., conterrebbe una modifica alCodice in materia di protezione dei dati personali in base alla quale "aifini dell'applicazione del Šcodice l'imprenditore è considerato personagiuridica relativamente ai dati concernenti l'esercizio dell'attivitàd'impresa.".

Tale disposizione, finirebbe con il privare lepersone fisiche – sia pure quando agiscano nell'esercizio della propriaattività imprenditoriale – del diritto alla protezione dei datipersonali, in contrasto, tra l'altro, con la direttiva 95/46/CE, con laconseguente necessità, anche da parte di questa Autorità, di sollevare laquestione in sede comunitaria.

Lanorma rischia, peraltro, di sortire effetti paradossali e – in contrastocon le finalità presumibilmente perseguite – pregiudizievoli per lastessa attività d'impresa del piccolo imprenditore, stante la difficoltà didistinguere, nella vita concreta, il dato della persona fisica da quelloriferito alla sua qualità di imprenditore individuale. Così, ad esempio, potràcapitare –come già avvenuto, in realtà- che a causa del mancato oritardato pagamento di piccole rate per un acquisto anche minuto, il soggettovenga inserito in una delle tante centrali rischi e in conseguenza di ciò siveda negare il credito per l'attività di impresa, con il conseguente rischio diestromissione dal mercato. Fatto questo, ancora più grave nell'attuale fase dicrisi economica del Paese. Mentre oggi tale soggetto può rivolgersi al Garanteper far cancellare informazioni non corrette o non significative da tali banchedati, ove la norma venisse approvata, lo stesso sarebbe privato di tale tutela.

Questanovella potrebbe determinare ulteriori criticità anche, ad esempio, rispetto altrattamento dei dati giudiziari o comunque di quelle situazioni specifiche (dicui ragiona il parere 4/2007 del "Gruppo Articolo 29"), nelle quali idati, pur formalmente inerenti imprese, attengano in realtà a persone fisiche.

Sipensi, ad esempio, alla condanna per reati (fallimentari, societari, etc.)commessi dall'imprenditore proprio in quanto tale, nell'esercizio, cioè,dell'attività d'impresa: essi potrebbero ritenersi esclusi dalla tutelarafforzata loro accordata dal Codice, con effetti - non solo di dubbiaopportunità- ma anche di dubbia legittimità sotto il profilo del rispettodell'ordinamento costituzionale e dell'Unione europea, essendo i dati in esamemeritevoli di una protezione particolarmente pregnante.

Sottoaltro profilo, il Garante esprime perplessità anche di ordine metodologico.
Ovele norme fossero effettivamente riproposte, si realizzerebbe una significativamodifica a parti determinanti della disciplina in materia di protezione deidati personali, peraltro a breve distanza dalle novelle che hanno già ridotto,in misura rilevante, la categoria dei soggetti di diritto cui si applicano legaranzie del Codice.

Lecontinue modifiche agli istituti fondativi della disciplina della protezionedei dati – apportate, peraltro, anche con decreto-legge e al di fuori daun progetto organico di riforma - rischiano, perché poco approfondite, diingenerare difficoltà applicative e dubbi intrepretativi idonei a vanificare lestesse, auspicate finalità di semplificazione. 

Queste ultime, invece, potrebbero essere perseguitemediante altri mirati interventi di semplificazione, ovviamente nel rispettodei vincoli comunitari, come quello relativo all'impianto sanzionatorioprevisto dal Codice in materia di protezione dei dati personali, discussoinformalmente con alcuni uffici legislativi, che potrebbe anche essere inseritoin un organico intervento di riforma della disciplina di settore, in relazioneal quale l'Autorità assicura sin d'ora la più ampia collaborazione.

Ladisposizione modifica altresì l'articolo 121 del Codice in materia diprotezione dei dati personali, precisando che le norme del Codice sui servizidi comunicazione elettronica (Titolo X) si applicano al trattamento dei datidelle "persone giuridiche quali contraenti o utenti di fornitura diservizi di comunicazione elettronica".

Ladisposizione normativa sembra volta a ridurre il contrasto della disciplinavigente con la direttiva 2002/58/CE, relativa al trattamento dei dati personalinel settore delle comunicazioni elettroniche,  determinato da una dellerecenti novelle al Codice.

Inparticolare, il decreto-legge n. 201 del 2011, nell'escludere personegiuridiche, enti o associazioni dalla sfera dei soggetti di diritto ai finidella protezione dati ha mancato di coordinare pienamente l'intervento con ladisciplina del trattamento dei dati di tali soggetti rispetto alla fornitura diservizi di comunicazione elettronica, e in particolare con la definizione di"abbonato" pure contenuta nel Codice (e poi sostituita con quella di"contraente"), che risulta tuttora applicabile tanto alle personefisiche quanto a quelle giuridiche.

Sisegnala, ad esempio, tra gli effetti più immediati di tale mancanza dicoordinamento il venir meno per questi soggetti, quando agiscano nella qualitàdi "contraenti", delle forme di tutela dinanzi al Garante, in quantol'articolo 141 del Codice, che le disciplina, si riferisce testualmente, aseguito della modifica del 2011, ai soli "interessati", dunquesoltanto alle persone fisiche.

Laproposta di modifica all'articolo 121 del Codice (che, peraltro, non siriferisce, inspiegabilmente, anche agli "enti e associazioni" i qualipure sono parificati, quanto a disciplina, alle persone giuridiche figurandoancora nella nozione di "contraente" di cui all'articolo 4, comma 2,lett. f) del Codice,) non risolve, comunque, in maniera esaustiva le disarmonienormative descritte.

L'Autorità,pertanto, ritiene preferibile -come peraltro già auspicato in più occasioni-modificare le stesse nozioni di "interessato" e di "dato personale"di cui all'articolo 4 del Codice, al fine di ricondurvi anche i soggettidiversi dalle persone fisiche che siano parti di un contratto di fornitura diservizi di comunicazione elettronica (i contraenti, appunto), in modo daassicurare a tali soggetti le forme di tutela previste dal Codice.

TantoLe segnalo ai sensi dell'articolo 154, comma 1, lett. f) del Codice in materiadi protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), grato, anche anome del Collegio del Garante, per l'attenzione che vorrà riservare allesuesposte considerazioni, e confermandoLe sin d'ora la più ampia disponibilitàdell'Autorità ad ogni collaborazione che dovesse essere ritenuta utile.

Antonello Soro