COVID – 19: Il trattamento dei dati sanitari tra privacy e interesse pubblico

Progetto COVID-19

L’emergenza sanitaria di Covid-19 in atto ha obbligato ad una attenta riflessione sull’evoluzione del rapporto dialettico tra privacy e sanità pubblica e l’importanza dell’interesse pubblico nella gestione del trattamento dei dati personali.

Le circostanze particolari che stiamo vivendo hanno evidenziato la rilevanza della disciplina della protezione dei dati personali e la pressante esigenza di gestire in modo corretto i dati sensibili relativi alla salute qualora possa essere utile un loro utilizzo ai fini della ricerca scientifica e della raccolta di dati statistici.

La raccolta e l’utilizzo dei dati relativi alla salute sono stati e sono tutt’ora strumenti fondamentali ed indispensabili nell’azione di contrasto e contenimento della pandemia. Ne consegue pertanto la necessità di un bilanciamento tra interessi collettivi e libertà fondamentali. Al centro dell’attenzione vi sono due questioni, in primo luogo la base giuridica del consenso del paziente che deve essere indispensabilmente contemperato alle esigenze di ricerca per la cura del virus, in secondo luogo vi è un’altra base giuridica da prendere in considerazione che risiede nell’art. 9 del GDPR e che prevede anche il trattamento necessario per motivi di interesse pubblico rilevante.

L’art. 9 del GDPR al paragrafo 1 prevede il divieto generale di trattare le “categorie particolari di dati”, tra cui quelli sulla salute, ma consente nei paragrafi successivi alcune evidenti deroghe che ne rendono così lecito il trattamento.

Le eccezioni previste sono riconducibili ai trattamenti necessari per motivi di interesse pubblico rilevante sulla base del diritto dell’UE o degli stati membri, motivi di interesse pubblico nel settore della sanità pubblica e motivi di finalità di cura.

Secondo il legislatore europeo il diritto alla protezione dei dati di carattere personale non è prerogativa assoluta ma va considerato e bilanciato alla luce della sua funzione sociale.

Le violazioni di dati, soprattutto in periodi storici come quelli attuali, sono sempre in agguato e per tale motivo è necessario porre in essere strategie adeguate per la tutela di banche dati e siti di soggetti pubblici e privati con particolare riguardo agli ospedali. Proprio il settore ospedaliero e medico risulta da tempo colpito da attacchi specifici chiamati Ransomware (virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli) e la pericolosità di questi attacchi è cresciuta a dismisura nel corso dell’emergenza. Emblematico è stato il caso dell’ospedale centrale di Brno, episodio che ha rivelato come il Coronavirus non stesse colpendo sanità ed economia solo in maniera tradizionale ma anche i sistemi di cyber sicurezza.

Altro aspetto rilevante nel diritto dell’emergenza è come fonti normative secondarie siano state abilitate ad apportare limitazioni anche profonde a libertà fondamentali in nome del primario interesse della tutela della salute e ovviamente nei limiti della proporzionalità.

All’indomani della dichiarazione dello stato di emergenza il Dipartimento della Protezione civile ha adottato varie ordinanze atte a limitare il godimento di diritti e libertà fondamentali con la finalità di contenimento dell’epidemia e contrasto dei rischi per la salvaguardia e salute dei cittadini. Alcune di esse hanno toccato il sistema della protezione dei dati personali e tra esse merita attenzione l’ordinanza del 3 febbraio 2020 la quale ha stabilito che “allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali” i soggetti operanti nell’ambito del servizio nazionale di protezione civile e delle strutture operative ad esso connesse, possono realizzare trattamenti di dati personali anche appartenenti alle categorie particolari di cui all’art. 9 del Regolamento UE 2016/679 (GDPR).

Le misure adottate dai governi per aumentare la rapidità e l’efficacia delle strategie di contrasto all’epidemia devono ritenersi in linea di principio legittime in quanto preordinate alla tutela di un interesse pubblico rilevante, a condizione che si rispettino i due canoni della proporzionalità e temporaneità che siano cioè limitate alla persistenza della situazione di emergenza.