Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

La disciplina degli organismi sanitari nel Codice della Privacy

Scritto da Davide Blonda

  1 . Dal Codice di Deontologia Medica al Codice della privacy

Fino all'emanazione della legge n. 675 del 1996 [1], la gestione dei dati personali nel settore sanitario era sottoposta alla sola tutela fornita dal Codice di Deontologia Medica [2]. Ne risultava una situazione paradossale in cui, da una parte, il personale medico aveva l'obbligo di tacere le informazioni sullo stato di salute nel rispetto del Codice Deontologico e, dall'altra, non veniva disciplinata in alcun modo la custodia della documentazione clinica (contenente i dati soggetti a segreto) all'interno delle strutture sanitarie in cui i medici stessi operavano.
In questo quadro, la legge n. 675 del 1996 ha introdotto, per la prima volta, alcune disposizioni che sono state riprese e sviluppate dal D. Lgs. 30 giugno 2003, n. 196, c.d. “Codice della privacy [3]. In particolare, il Titolo V della Parte II, ha disciplinato il “trattamento dei dati personali in ambito sanitario”, allo scopo di individuare un equo bilanciamento tra l'interesse alla tutela della salute (individuale e collettiva) ed i diritti di dignità e di riservatezza del paziente.
L'art. 75, norma di apertura del Titolo in questione, nel tracciare l'ambito di applicazione della normativa speciale, ne ridisegna i confini rispetto al precedente impianto. Esso prende in considerazione i dati personali tout court e non solo i dati sanitari, come avveniva nell'art. 23 della legge n. 675/1996, integrato dal D. Lgs. n. 282 del 1999 [4]. Il Titolo V, d'altronde, disciplina i soli trattamenti svolti nel settore sanitario e non quelli, pure coinvolgenti dati sulla salute, effettuati in ambiti diversi, ossia al di fuori delle strutture sanitarie e dell'esercizio della professione sanitaria (ad esempio per ragioni di studio, ricerca, statistica, ecc.) [5].

 2. Considerazioni preliminari sui dati personali trattati dagli organismi sanitari

Per poter svolgere le attività di diagnosi e cura, gli organismi sanitari, di qualunque ordine e grado, necessitano, innanzitutto, di acquisire i dati relativi ai pazienti, destinatari di queste prestazioni.
L'attività di acquisizione dei dati da parte della struttura sanitaria si riferisce ad una molteplicità di informazioni che rientrano in tutte e tre le principali categorie di dati previste dal Codice: dati personali, dati sensibili e dati giudiziari [6].
Per esplicare l'ordinaria attività di tutela della salute, gli organismi sanitari si trovano a trattare, sopratutto, dati personali idonei a rivelare lo stato di salute, i quali costituiscono una species del genus “dati sensibili” [7]. Si tratta, invero, di informazioni particolarmente delicate che, evidenziando le eventuali debolezze della persona, la espongono maggiormente al pericolo di discriminazioni sociali.
Da notare che il D. Lgs. n. 196/2003 tutela i dati personali “idonei a rivelare” lo stato di salute dell'interessato [8] e non solo i dati “che rivelano” tali informazioni [9], come si limitava a chiedere la direttiva 95/46/CE [10]. “Il ‘concetto di idoneità alla individuazione', presente nella normativa italiana, conferisce alla classificazione della informazione sanitaria quella necessaria flessibilità che consente di comprendere tutte quelle informazioni che permettono di avere un'idea generale delle condizioni di salute di un individuo.” [11] Pertanto il concetto di “dati sanitari” [12] non include soltanto le informazioni relative alle malattie [13], ma anche tutte le informazioni relative allo stato fisico, psichico e relazionale dell'individuo “dalle quali possa desumersi o presumersi uno stato patologico sintomatico o cronico in capo ad un determinato soggetto” [14]. Rientrano in questa tipologia di dati anche le informazioni relative, ad esempio, al comportamento personale, allo stile di vita, all'abuso di farmaci, di alcol o di tabacco.
Lo “stato di salute”, a cui si devono riferire i dati personali per essere qualificati “sanitari”, è uno status globale dell'individuo. In senso conforme, l'Organizzazione Mondiale della Sanità definisce la “salute” come “uno stato di completo benessere fisico, mentale e sociale e non semplicemente di assenza di malattia o infermità” [15].
Secondo una certa dottrina, la locuzione “dati idonei a rivelare lo stato di salute” includerebbe anche gli stati di salute pregressi o potenziali [16]. A sostegno di questa tesi vengono citate le autorizzazioni generali n. 2 [17] del Garante, le quali consentono il trattamento dei dati relativi “a stati di salute pregressi” e il trattamento dei “dati genetici”, “i quali ultimi, come noto, solo di rado sono in grado di rivelare uno stato patologico in corso essendo costituiti, secondo la Raccomandazione R (97) 5 del Consiglio d'Europa, da quei ‘dati, di qualunque tipo, che riguardano i caratteri ereditari di un individuo o che sono in rapporto con quei caratteri che formano il patrimonio di un gruppo di individui affini'” [18].
I dati sanitari, inoltre, hanno la caratteristica di trovarsi “al crocevia di una serie di interessi contrapposti, anche dello stesso interessato” [19]. Di fronte all'interesse a rendere note le proprie condizioni di salute per ottenere una prestazione medica, si colloca spesso, anche il desiderio dell'interessato di sottrarre tali dati alla conoscenza altrui, desiderio che, a sua volta, può contrastare con l'interesse della struttura ad utilizzare tali dati per motivi economici (ad es. per eventuali finanziamenti connessi al numero di interventi effettuati o alla cura di determinate patologie), oppure con il generale interesse della sanità pubblica e della ricerca di fruire di dati completi ed aggiornati per le rispettive finalità istituzionali.
Rispetto agli altri dati sensibili, infine, la cessione di informazioni relative allo stato di salute avviene in condizioni di debolezza dell'interessato, “costretto” a fornire o a far conoscere tali dati per risolvere i propri problemi di salute.
Consapevole della particolare delicatezza e intrinseca pericolosità che caratterizzano i dati sanitari, il legislatore consente il loro trattamento soltanto in presenza di specifici presupposti, distinti da quelli previsti per il genus “dati sensibili”.
E' opportuno evidenziare che “qualunque dato personale [20], per il fatto stesso di essere reso in ambito sanitario è suscettibile di essere considerato sensibile, dal momento che proprio l'interazione tra le due informazioni (quella relativa al dato personale in cui consiste, e quella concernente l'ambiente e l'occasione in relazione ai quali è resa) dà luogo ad una potenziale capacità informativa sullo stato di salute” [21]. Si osserva che “non è il dato di per sé stesso ad essere sensibile, ma è la finalità per cui il dato è trattato a configurarlo come tale, è l'elaborazione a cui viene sottoposto a definirne la sfera di riservatezza, e quindi l'ambito sensibile di un soggetto” [22].

3.   I presupposti di legittimità per il trattamento dei dati da parte degli organismi sanitari: premessa

Così come aveva fatto la legge n. 675/1996, il Codice della privacy distingue i trattamenti di dati personali svolti da soggetti pubblici, da un lato, e quelli effettuati da soggetti privati e da enti pubblici economici, dall'altro, fissando due distinti presupposti di liceità: principio di legalità per i primi e manifestazione del consenso dell'interessato per i secondi.
In linea di principio, il trattamento dei dati da parte degli organismi sanitari è soggetto al rispetto delle disposizioni contenute nei Capi II e III, Parte I del Codice, contenenti, rispettivamente, le “regole ulteriori”, per i soggetti pubblici e per quelli privati.
Tuttavia, le disposizioni del Titolo V, Parte II, riguardanti specificamente il trattamento dei dati in ambito sanitario, introducono alcune deroghe alla disciplina generale, in virtù della norma di cui all'art. 6 del Codice, secondo la quale le disposizioni contenute nella Parte I si applicano “salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrative o modificative della Parte II.” Ne consegue che la disciplina applicabile agli organismi sanitari si ricava a seconda della natura pubblica o privata dell'organismo stesso, della categoria di dati trattati e della finalità del trattamento.

 4.  Gli organismi sanitari pubblici

Il D. Lgs. n. 196 del 2003 prevede due distinti presupposti di liceità per i trattamenti effettuati da organismi sanitari pubblici. L'uno, applicabile ai trattamenti che perseguono finalità di rilevante interesse pubblico, diverse da quelle di tutela della salute, ma ad esse correlate, mediante le attività amministrative identificate dagli artt. 85 e 86. L'altro, applicabile ai trattamenti di dati idonei a rivelare lo stato di salute per finalità di tutela della salute o dell'incolumità fisica dell'interessato, di un terzo o della collettività, di cui all'art. 76.

 4.1.  Trattamenti effettuati per finalità diverse da quelle di tutela della salute

Nel caso in cui gli organismi sanitari pubblici pongano in essere trattamenti di dati personali per perseguire finalità diverse da quelle di tutela della salute è applicabile il regime previsto, in via generale, per tutti i soggetti pubblici, dalle disposizioni contenute nella Prima Parte del Codice.
In particolare, occorre far riferimento alle norme contenute nel Capo II del Titolo III, che regolano i trattamenti effettuati da soggetti pubblici, “esclusi gli enti pubblici economici” (art. 18, comma I). A tale proposito si rileva che “le norme dedicate ai soggetti pubblici non rappresentano una deroga all'applicazione della normativa generale per tutti i trattamenti, né un privilegio per gli stessi, bensì un regime speciale finalizzato a bilanciare correttamente le libertà personali degli interessati con l'interesse pubblico ad una corretta ed imparziale amministrazione della ‘cosa pubblica'. Tanto più in questi stessi termini la Convenzione n. 108/1981 non introduce alcuna differenza così come, del resto, la stessa Direttiva 95/46/CE, lungi dall'introdurre alcuna ‘deroga', contiene principi applicabili a tutti i trattamenti, prescindendo dalle qualità del titolare” [23].
I presupposti di legittimità dei trattamenti effettuati dagli organismi sanitari pubblici, dunque, sono disciplinati nel Capo in commento, salvo quanto si dirà per i trattamenti di dati idonei a rivelare lo stato di salute per finalità di tutela della salute, disciplinati ad hoc dall'art. 76, di cui al Titolo V, Parte II del Codice [24].
L'art. 18 sancisce l'irrilevanza del consenso dell'interessato (comma IV) e pone due criteri fondamentali per il trattamento dei dati da parte dei soggetti pubblici, precisando che “qualunque trattamento […] è consentito soltanto per lo svolgimento delle funzioni istituzionali” [25] (comma II) e deve avvenire nell'osservanza “dei presupposti e [dei] limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti” (comma III).
La finalità istituzionale, pertanto, è un requisito necessario per l'inizio e la prosecuzione di un trattamento. A tale proposito, in dottrina vi sono due diverse interpretazioni: la prima ritiene leciti solo i trattamenti indispensabili per l'espletamento dei compiti dell'ente; la seconda, più ampia, comprende anche i trattamenti volti, comunque, ad agevolare o rendere più rapida la realizzazione degli interessi pubblici affidati a quella amministrazione. Tuttavia, tra coloro che accolgono quest'ultima interpretazione, c'è chi ammonisce sul rischio di ricondurla alle più generali finalità di interesse pubblico, “poiché ciò avrebbe l'effetto di estendere eccessivamente la portata della norma e di svuotarla contestualmente di significato.” [26]
Il principio di cui all'art. 18, comma II, è stato diversamente graduato secondo la potenziale “pericolosità” dei dati trattati e delle operazioni che su di essi vengono effettuate [27].
Come già evidenziato sopra [28], in considerazione dell'ambito in cui operano gli organismi sanitari, tutti i dati personali da essi trattati sono suscettibili di essere considerati sensibili e, come tali, sono soggetti alla disciplina “rafforzata” prevista all'uopo.
Il legislatore delegato del 2003, seguendo l'impostazione previgente, ha individuato per i soggetti pubblici tre ipotesi di trattamento dei dati personali di natura sensibile:

•  la prima ipotesi, che nell'intenzione del legislatore dovrebbe essere quella “ordinaria”, prevede che i soggetti pubblici possano trattare questa particolare categoria di informazioni personali, solo se ciò risulta autorizzato da una espressa disposizione di legge nella quale siano specificati: a) i tipi di dati che possono essere trattati; b) i tipi di operazioni eseguibili su tali dati e c) le finalità di rilevante interesse pubblico perseguite dai trattamenti (art. 20, comma I) [29];
•  la seconda ipotesi stabilisce che, se una disposizione di rango primario si limita a specificare la finalità di rilevante interesse pubblico, ma non indica i tipi di dati sensibili che possono essere trattati e i tipi di operazioni che possono essere eseguite, il trattamento può essere consentito solo se i soggetti titolari hanno provveduto ad individuare e a rendere pubblici i tipi di dati e di operazioni oggetto del trattamento [30]. L'individuazione va fatta nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare [31] da adottarsi previo parere conforme del Garante [32], ex art. 154, comma I, lett. g) , anche sulla base di schemi-tipo [33] (art. 20, comma II);
•  la terza ipotesi considera l'eventualità che un determinato trattamento di dati sensibili non sia previsto da alcuna norma di rango primario. In tale ipotesi i soggetti pubblici possono chiedere al Garante di individuare, tra le varie attività ad essi demandate dalla legge, quelle che perseguono “finalità di rilevante interesse pubblico” e per le quali “è conseguentemente autorizzato, ai sensi dell'art. 26, comma II, il trattamento dei dati sensibili” [34]. L'ente pubblico, così come nella seconda ipotesi, ha il compito di provvedere ad identificare e rendere pubblici i tipi di dati e di operazioni del trattamento con atto regolamentare adottato in conformità al parere espresso dal Garante(art. 20, comma III) [35].

Da un punto di vista applicativo, occorre notare che il legislatore delegato del 2003 si è preoccupato di rendere effettive le suddette disposizioni, prevedendo, per i trattamenti iniziati prima del 1° gennaio 2004, un termine finale per l'emanazione del regolamenti ex art. 20, commi II e III (art. 181, comma I, lett. a) ) [36].
La disciplina generale per i soggetti pubblici fin qui illustrata viene integrata, per gli organismi sanitari pubblici, dalle norme di cui agli art. 85 e 86 del Codice [37]. Codeste disposizioni elencano una serie di attività diverse da quelle di cura, anche se “correlate” a queste ultime, che in ambito sanitario perseguono finalità considerate “di rilevante interesse pubblico”, ai sensi degli artt. 20 e 21.

 4.2.  Trattamenti di dati sanitari effettuati per finalità di tutela della salute

L'art. 76 contiene una disciplina derogatoria alla normativa generale, trovando applicazione unicamente nel caso in cui l'organismo sanitario pubblico proceda al trattamento di dati sanitari per perseguire finalità di tutela della salute e dell'incolumità fisica dell'interessato, di un terzo o della collettività. L'art. 76, comma I, riproduce, con alcune novità, la disciplina di cui all'art. 23, comma I, della legge n. 675 del 1996, prevedendo che gli organismi sanitari pubblici [38], anche nell'ambito delle rilevanti finalità di interesse pubblico di cui all'art. 85, possano trattare i dati idonei a rivelare lo stato di salute:

•  con il consenso dell'interessato, anche senza l'autorizzazione del Garante, se il trattamento riguarda dati ed operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato;
•  senza il consenso dell'interessato, ma rispettando la previa autorizzazione del Garante, se il trattamento è svolto per finalità di tutela della salute o dell'incolumità di un terzo o della collettività [39]

L'art. 76 del Codice risolve i dubbi interpretativi che erano sorti sin dall'entrata in vigore del D. Lgs. 135/1999, il cui art. 17, in applicazione dell'art. 22, comma III della legge 675/96, aveva individuato quale rilevante finalità di interesse pubblico [40] “la prevenzione, la diagnosi, la cura e la riabilitazione dei soggetti assistiti dal servizio sanitario nazionale”.
“L'individuazione di tale finalità aveva fatto ritenere, nell'ambito di diverse strutture sanitarie pubbliche, che il relativo trattamento fosse esentato dall'obbligo di richiedere il consenso dell'interessato (e, quindi, dall'applicazione dell'art. 23 della legge 675/96), rientrando nell'ambito di applicazione dell'art. 22, comma III, della legge 675/96 […]. Secondo tale interpretazione, gli organismi sanitari pubblici potevano, a loro scelta, procedere al trattamento dei dati sanitari dei pazienti per finalità di tutela della salute, alternativamente, sulla base dell'art. 22, comma III, della legge 675/96 (e quindi, dell'art. 17, D. Lgs. 135/99) oppure dell'art. 23 della medesima legge 675/96” [41].
La formulazione dell'art. 76 del Codice risolve la problematica, precisando che i titolari qualificati (organismi sanitari pubblici ed esercenti le professioni sanitarie) possono trattare i dati sanitari per finalità di tutela della salute secondo le prescrizioni ivi stabilite “anche nell'ambito di un'attività di rilevante interesse pubblico” [42]. Diversamente, l'art. 17 del previgente D. Lgs. 135/99 dichiarava di rilevante interesse pubblico non tanto le “attività amministrative” quanto le stesse “attività di prevenzione, diagnosi, cura e riabilitazione” (comma I).
Allo scopo di dirimere ogni eventuale dubbio interpretativo, lo stesso art. 85, al comma II, precisa che “il comma I non si applica ai trattamenti di dati idonei a rivelare lo stato di salute effettuati da esercenti le professioni sanitarie o da organismi sanitari pubblici per finalità di tutela della salute o dell'incolumità fisica dell'interessato, di un terzo, o della collettività, per i quali si osservano le disposizioni relative al consenso dell'interessato o all'autorizzazione del Garante ai sensi dell'art. 76” [43].
Pertanto, laddove l'organismo sanitario pubblico debba procedere al trattamento di dati sanitari per finalità di tutela della salute e dell'incolumità dell'interessato, di un terzo o della collettività, si configura l'applicazione dell'art. 76. Nel caso, invece, di trattamento di dati sanitari per finalità diverse dalle precedenti, ovvero avente ad oggetto dati sensibili diversi da quelli sanitari, l'organismo sanitario è tenuto al rispetto delle condizioni di cui all'art. 20 del Codice, per l'applicabilità del quale gli artt. 85 e 86 già individuano alcune rilevanti finalità di interesse pubblico in ambito sanitario [44].

 5.  Gli organismi sanitari privati

Come si è avuto modo di accennare [45], la natura pubblicistica o privatistica dell'organismo sanitario incide in modo determinante sulla scelta delle regole da osservare per poter procedere al trattamento dei dati personali.
A fronte del presupposto normativo che in via di principio, salvo la fondamentale deroga prevista dall'art. 76, autorizza il trattamento dei dati personali da parte dei soggetti pubblici, il principale requisito richiesto per il trattamento dei dati personali da parte dei privati è il consenso espresso dell'interessato (art. 23, comma I) [46].
Il contesto e la finalità per cui gli organismi sanitari si trovano a trattare abitualmente i dati personali rendono tali informazioni suscettibili di essere qualificate sensibili, a prescindere dalla loro natura intrinseca [47]. In altre parole, anche i dati non sensibili o “comuni” [48], se trattati in ambito sanitario, possono essere considerati sensibili e, come tali, l'ordinamento li tutela con ulteriori guarentigie. Per questo tipo di informazioni, l'art. 26, comma I, richiede il consenso scritto dell'interessato ad substantiam , non ritenendo sufficiente la forma scritta ad probationem [49]. Ciò vuol dire che per i dati sensibili la forma scritta rappresenta una condizione di validità del trattamento, tanto che il consenso reso successivamente all'inizio delle operazioni non ne sana l'invalidità per il periodo intermedio [50].
La particolare delicatezza dei dati sensibili, nella cui categoria rientrano i dati sanitari, ha suggerito al legislatore di prescrivere, in aggiunta, la “previa autorizzazione del Garante per la protezione dei dati personali, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti” [51]. Resta inteso che è necessario soddisfare entrambe le condizioni di liceità per poter procedere al trattamento dei dati sensibili, la presenza dell'una non escludendo la necessità dell'altra [52].

   5.1.  I casi di esclusione del consenso per la salvaguardia della vita o dell'incolumità fisica

In alcuni casi, espressamente elencati dall'art. 26, comma IV, l'obbligo del consenso scritto può essere derogato ed i dati sensibili possono essere oggetto di trattamento con la sola preventiva autorizzazione del Garante [53]. Tra i casi previsti, gli organismi sanitari privati sono interessati dall'ipotesi di cui alla lettera b) [54]. Si tratta di una “eccezione” che, in ambito sanitario, trova largamente applicazione. La norma consente di trattare i dati sensibili senza il consenso dell'interessato, qualora il trattamento sia necessario “per la salvaguardia della vita o dell'incolumità fisica di un terzo”.
Nel caso in cui le stesse finalità di tutela della salute riguardino l'interessato, la formulazione del secondo periodo dell'art. 26, comma IV, lettera b) “lascia intendere chiaramente che in questa circostanza non ci si trova più nell'ambito della speciale disciplina in deroga all'obbligo generale del consenso scritto” [55]. Pertanto, quando un organismo sanitario privato [56] si trova nella necessità di salvaguardare la vita o l'incolumità del soggetto a cui si riferiscono i dati personali da utilizzare, esso deve verificare che la propria attività sia aderente all'autorizzazione del Garante e deve richiedere il consenso scritto all'interessato oppure, se questi è fisicamente o giuridicamente impossibilitato, ad uno degli altri soggetti espressamente previsti. In tale elencazione rientra chi esercita legalmente la potestà, ovvero un prossimo congiunto, un familiare, un convivente o, in loro assenza, il responsabile della struttura presso cui dimora l'interessato [57]. Qualora non sia possibile acquisire il consenso da codesti soggetti, oppure la salute dell'interessato sia esposta a grave rischio, la stessa norma, mediante un apposito rinvio all'art. 82, comma II, consente di procedere al trattamento dei dati anche senza il consenso preventivo [58].

-------------------------------------------------

[1] In G.U. 8 gennaio 1997, n. 5.

[2] L'attuale Codice di Deontologia Medica è stato approvato il dalla Federazione Nazionale dell'Ordine dei Medici (FNOM) il 3 ottobre 1998. Questo documento non è stato adottato secondo le procedure dell'articolo 12 del Codice della privacy e, pertanto, il suo rispetto non costituisce “condizione esenziale per la liceità e correttezza del trattamento”. Tra le disposizioni del Codice di Deontologia Medica rilevanti in materia di privacy si ricordano, in particolare, gli artt. 9 (“Segreto professionale”), 10 (“Documentazione e tutela dei dati”) e 11 (“Comunicazione e diffusione dei dati”). Barni M., Diritti, doveri, responsabilità del medico , Giuffrè, Milano, 1999, pp. 296-297, rileva che il più delle volte il segreto professionale “veniva disatteso sia a titolo personale e privato da operatori maldestri, sia da una semplice richiesta della polizia giudiziaria, impegnata in una qualsiasi indagine istruttoria.”

[3] Il D. Lgs. 196/2003 è stato pubblicato nella G.U. 29 luglio 2003, n. 174, s.o., ed è entrato in vigore, pressoché integralmente, il 1° gennaio 2004.

[4] Decreto legislativo 30 luglio 1999, n. 282, recante “Disposizioni per garantire la riservatezza in ambito sanitario”, in G.U. 16 agosto 1999, n. 191. Per espressa previsione dell'art. 1, comma I, l'ambito applicativo di tale decreto era limitato a l trattamento dei dati idonei a rivelare lo stato di salute.

[5] Il Titolo V, Parte II, del Codice, “riguarda sia l'area dei dati sulla salute per finalità sanitarie ma anche quella dei dati personali, in genere, utilizzati in ambito sanitario. Pertanto, criterio aggregante delle disposizioni di questo Titolo V non è né la comune finalità ‘sanitaria' né una particolare tipologia di dati personali, bensì l'ambito sanitario in cui ordinariamente si svolgono le attività di tutela della salute. Il testo dell'articolo chiaramente indica che ‘il presente titolo disciplina il trattamento dei dati personali in ambito sanitario', vale a dire ‘tutti' i tipi di dati personali e non solo quelli sulla salute”: così Imperiali R., Imperiali R., Codice della privacy. Commento alla normativa sulla protezione dei dati personali , Milano, Il Sole 24 Ore, 2005, p. 449. La disciplina del Titolo V si articola secondo uno schema per cui al Capo I (artt. 75 e 76) vengono indicati i profili generali, nel Capo II (artt. 77-84) le modalità semplificate per informativa e consenso; nel Capo III (artt. 85 e 86) vengono definite e chiarite le rilevanti finalità di interesse pubblico ai sensi degli art. 20 e 21; infine, i Capi IV, V e VI (artt. 87-94) disciplinano le prescrizioni mediche, il trattamento di dati genetici e altre ipotesi varie.

[6] E' bene sottolineare che i “dati sensibili” e i “dati giudiziari” non costituiscono tipologie di dati a sé stanti, ma specie del genus “dati personali”. Piuttosto che immaginarli come categorie giustapposte, potrebbero, dunque, raffigurarsi come cerchi concentrici, in cui il più grande rappresenta i dati personali.

[7] Tra gli altri, Pellegrini O., Trattamenti di dati personali in ambito sanitario , in Cirillo G.P., (a cura di), Il Codice sulla protezione dei dati personali , Milano, Giuffrè, 2004, p. 325, definisce i dati sanitari il “nocciolo duro” dei dati sensibili.

[8] Allo stesso modo di quanto previsto dal previgente art. 22 della legge n. 675/1996.

[9] Sul concetto dell'inciso “idonei a rivelare”, Buttarelli G., Banche dati e tutela della riservatezza , Milano, Giuffrè, 1997, p. 380, evidenzia che il “legislatore ha voluto proteggere in maniera rafforzata anche i dai che non evocano in maniera nuda e cruda una certa realtà, ma consentono di arguirla agevolmente.”

[10] D'altra parte, la locuzione “dati personali idonei a rivelare lo stato di salute” è stata usata dalla Raccomandazione R (97) 5 del Consiglio d'Europa, adottata il 13 febbraio 1997. Come per le altre Raccomandazioni del Consiglio d'Europa sulla privacy , il documento sviluppa i principi e le linee guida della Convenzione n. 108 del 1981 in ambito sanitario.

[11] Imperiali R., Imperiali R., Codice della privacy , op. cit., p. 451.

[12] Altra locuzione con cui si indicano “i dati personali idonei a rivelare lo stato di salute”.

[13] Secondo Zingarelli N., Vocabolario della lingua italiana , Bologna, Zanichelli, 2003, le “malattie” sono “stati patologici per alterazione della funzione di un organo o di tutto l'organismo”.

[14] Così Monducci J., Il trattamento dei dati sanitari e genetici , in Monducci J., Sartor G. (a cura di), Il codice in materia di protezione dei dati personali , Cedam, 2004, p. 256. Dello stesso Autore v. anche Diritti della persona e trattamento dei dati particolari , Milano, Giuffrè, 2003. L'On. Rasi, allora membro dell'ufficio del Garante per la protezione dei dati personali, ha definito i dati idonei a rivelare lo stato di salute trattati in ambito sanitario “quelli che riguardano, al di là di quelli relativi all'identità del paziente, la sintomatologia, le anamnesi, le diagnosi, le prescrizioni farmacologiche e tutte le analisi cliniche”: v. Rasi G., Le novità in materia di protezione dei dati personali con particolare riferimento alla Sanità , in Atti del convegno “Sanità e sicurezza” , Milano, 18 marzo 2004, disponibile sul sito web : http://www.itasforum.it/articoli/Intervento%20prof.%20Rasi.htm (consultato il 18 dicembre 2005).

[15] V. Preambolo della Costituzione dell'Organizzazione Mondiale della Sanità, firmata a New York il 22 luglio 1946 ed entrata in vigore il 7 aprile 1948. Per “salute”, dunque, si intende tutta la sfera dell'individuo, il quale viene considerato come entità composta di corpo e mente, strettamente integrati fra loro.

[16] In tal senso, Monducci J., Il trattamento dei dati sanitari e genetici , in Monducci J., Sartor G. (a cura di), Il codice in materia di protezione dei dati personali , op. cit., p. 257. In senso conforme Varani E., Diritto alla privacy e trattamento dei dati sensibili in ambito sanitario , 2004, p. 17, nota 45, disponibile sul sito web : http://www.giustamm.it/ (consultato il 13 dicembre 2005), la quale riferendosi allo stato di salute, osserva che “non importa se attuale, passato, o futuro, e neppure se reale, o potenziale”. Contra , Di Ciommo F., La Privacy Sanitaria , in Pardolesi R., (a cura di), Diritto alla riservatezza e protezione dei dati personali , Milano, Giuffrè, p. 192, ritiene che nell'ambito dello “stato di salute […] non vi rientrano, al contrario, le patologie definitivamente superate che non abbiano lasciato alcuno strascico”.

[17] In particolare vengono citate: autorizzazione generale n. 2/97, in G.U. n. 279 del 29 dicembre 1997; autorizzazione generale n. 2/98, in G.U. n. 229 del 1 ottobre 1998, autorizzazione generale n. 2/99, in G.U. n. 232 del 2 ottobre 1999; autorizzazione generale n. 2/00, in G.U. n. 229 del 30 settembre 2000; autorizzazione generale n. 2/01, in G.U. n. 83 del 9 aprile 2002, S.O., n. 70.

[18] Monducci J., Il trattamento dei dati sanitari e genetici , in Monducci J., Sartor G. (a cura di), Il codice in materia di protezione dei dati personali , op. cit., p. 257.

[19] Così Poletti D., Commento all'art. 23 , in Aa.Vv . , “ Tutela della privacy . Commentario alla legge 31 dicembre 1996, n. 675” a cura di Bianca C.M. e Busnelli F.D., in Le Nuove Leggi Civili Commentate , nn. 2-3, Padova, Cedam, 1999, pp. 561-563.

[20] Ovvero anche quelli non sensibili o “comuni”.

[21] Così Varani E., Diritto alla privacy e trattamento dei dati sensibili in ambito sanitario , op. cit., p. 17, nota 45.

[22] Così Pellegrini O., Trattamenti di dati personali in ambito sanitario , in Cirillo G.P., (a cura di), Il Codice sulla protezione dei dati personali , op. cit., p. 322.

[23] Così Buttarelli G., Banche dati e tutela della riservatezza , op. cit., p. 428, il quale fa notare “che il big brother pubblico, rappresentando la fonte conoscitiva o lo strumento operativo di determinati poteri anche ‘forti' (i quali, per di più, possono essere esercitati in forma non lecita), espone l'interessato a rischi maggiori rispetto ad una banca dati privata”.

[24] Cfr. par. 1.4.2.

[25] Tale scelta, già presente nell'art. 27, legge n. 675/1996, risponde all'esigenza di prevedere, all'interno del sistema dei rapporti tra interessato e amministrazione, un parametro di liceità del trattamento, che tenga conto del fatto che il cittadino si pone nei confronti di quest'ultima in una posizione di sostanziale disparità: così Buttarelli G., Banche dati , op. cit., pp. 286-287, il quale collega tale scelta anche all'esigenza di assicurare che la P.A. possa svolgere le proprie funzioni senza essere condizionata dal consenso dell'interessato, laddove questo abbia natura autorizzatoria. Gristomi Travaglini L., Articolo 27 , in Giannantonio E., Losano M.G., Zeno-Zencovich V., (a cura di), La tutela dei dati personali , Padova, Cedam, 1999, p. 248, afferma che “il legislatore, quindi, nel recepire le indicazioni di cui all'art. 7 lett. c) e) ed f) della Direttiva 95/46/CE, ha espressamente finalizzato il trattamento dei dati al principio di competenza, operando una scelta che sottolinea il carattere strumentale ed autonomo del trattamento dei dati rispetto allo volgimento delle funzioni di interesse pubblico”. Sul punto v. anche Acciai R., Privacy e banche dati pubbliche , Padova, Cedam, 2001, pp. 45-51.

[26] Cfr. Acciai R., Melchionna S., Le regole generali per il trattamento dei dati personali , in Acciai R. (a cura di), Il diritto alla protezione dei dati personali , Santarcangelo di Romagna, Maggioli, 2004, p. 95. In diverse occasioni, il Garante è intervenuto, anche in maniera indiretta, sulla reale portata del riferimento alle “funzioni istituzionali”: si veda, ad esempio, la nota del 22 luglio 1997 all'Ordine degli architetti della provincia di Sassari (in Bollettino del Garante n. 1, pp. 40-41). In detta circostanza, il Garante ha ritenuto legittimo il trattamento dei dati, da parte di tale ente, allorché ciò fosse risultato riconducibile a specifiche normative di settore, ovvero necessario al medesimo ente per lo svolgimento delle attività di controllo e disciplinari istituzionalmente previste. In ogni altro caso in cui non si fossero ravvisate tali condizioni, secondo il Garante, il trattamento sarebbe stato svolto in violazione della normativa in materia di protezione dei dati personali.

[27] In termini di “pericolosità” si esprime Acciai R., Le regole generali per il trattamento dei dati personali , in Acciai R. (a cura di), Il diritto alla protezione dei dati personali , op. cit., p. 92 e ss.

[28] Cfr. par. 1.2.

[29] Tale disposizione riproduce quanto già previsto dall'art. 22, comma III, della legge n. 675 del 1996. Al riguardo, Acciai R., Melchionna S. in Acciai R. (a cura di), Il diritto alla protezione dei dati personali , op. cit., p. 100, nota 81, fanno notare come la nuova norma risulti più “attenuata” rispetto alla previsione originaria; quest'ultima infatti, faceva riferimento alla necessità che la legge specificasse “i dati trattati (e) le operazioni eseguibili”, mentre, ora, la nuova versione si “accontenta” che siano indicati “i tipi di dati […] e […] di operazioni”. Da ultimo si può notare come, nell'ambito del trattamento da parte dei soggetti pubblici, la disciplina relativa ai dati sensibili si discosti, evidentemente, da quella dei dati c.d. “comuni”: questi ultimi, infatti, ai sensi dell'art. 19 del Codice, possono essere trattati “anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente”.

[30] Questa norma si trovava già nell'art. 22, comma III- bis , della l. n. 675/1996, aggiunto dal D. Lgs. n. 135/1999. Anche in questo caso Acciai R., Melchionna S. in Acciai R. (a cura di), Il diritto alla protezione dei dati personali , op. cit., p. 102, nota 85, fanno notare un' “attenuazione” dell'attuale norma (che parla di “tipi” di operazioni) rispetto alla norma previgente, (la quale si riferiva alle operazioni eseguibili). I dati personali, ha precisato il Garante, vanno indicati per categorie (ad es. dati sulla salute, vita sessuale, ecc.), tenendo conto che le tipologie di informazioni non individuate e rese pubbliche non possono poi essere utilizzate.

[31] In tal modo si è posto fine alle incertezze causate dalla art. 22, comma III- bis , legge n. 675/1996, secondo cui i soggetti pubblici dovevano procedere “secondo i rispettivi ordinamenti”; tale formulazione aveva indotto alcune amministrazioni e, in particolare, la Presidenza del Consiglio dei ministri, a ritenere che si trattasse di attività meramente ricognitoria da effettuarsi anche con atti non normativi (cfr. la nota n. DAGL/643 Pres. 98 del 1° dicembre 1999).

[32] La nuova disciplina richiede, quindi, a tutti i soggetti pubblici di rivolgersi preventivamente all'Autorità di controllo, relativamente all'attività di individuazione dei tipi di dati e di operazioni oggetto di trattamento. In precedenza tale obbligo era vigente solo per le amministrazioni dello Stato, in virtù dell'art. 31, comma II, della legge n. 675 del 1996.
Va poi evidenziato che, a differenza di quanto generalmente previsto per gli atti consultivi di competenza dell'Autorità, detti pareri, oltre ad essere “obbligatori”, devono considerarsi anche “vincolanti”, visto che i regolamenti in questione possono essere emanati solo “in conformità” all'avviso del Garante.

[33] Al riguardo deve notarsi che già in calce alla pronuncia del 17 gennaio 2002, il Garante aveva previsto di avviare forme di collaborazione con gli enti rappresentativi delle autonomie locali ai fini della predisposizione di uno schema di regolamento. Come si evince dalla documentazione ufficiale (Garante per la protezione dei dati personali, Relazione 2002 , Roma, Presidenza del Consiglio dei Ministri, 2003, p. 39), l'Autorità ha già avviato dei rapporti di collaborazione con l'Anci, l'Upi e con le Regioni.

[34] Anche questa ipotesi era prevista dal previgente art. 22, comma III- bis , della l. n. 675/1996; avvalendosi di tale possibilità, il Garante ha proceduto all'individuazione di una serie di attività volte a perseguire “rilevanti finalità di interesse pubblico” (ad es. il provvedimento n. 1/P/2000 del 30 dicembre 1999, in G.U. 2 febbraio 2000, n. 26), ora confluite nell'art. 73 del Codice.
L'art. 26, comma II, richiamato dall'art. 20, comma III, stabilisce la procedura e le modalità per le autorizzazioni che il Garante può rilasciare ai soggetti privati per il trattamento di dati sensibili; in virtù di tale disposizione, l'Autorità ha l'onere di comunicare la propria decisione sull'istanza di autorizzazione entro quarantacinque giorni, decorsi i quali, il silenzio equivale a rigetto. Tale articolo prevede, inoltre, che con il provvedimento di autorizzazione (che, nel caso in esame, ha la funzione di individuare le attività che perseguono finalità di rilevante interesse pubblico), ovvero successivamente, il Garante possa prescrivere, anche sulla base di eventuali verifiche, “misure ed accorgimenti a garanzia dell'interessato che il titolare del trattamento è tenuto ad adottare”.

[35] L'art. 20, comma IV, del Codice, dispone, inoltre, che l'individuazione dei tipi di dati e di operazioni sia aggiornata e integrata periodicamente.

[36] Tale termine, originariamente individuato nel 30 settembre 2004, è stato prorogato al 15 maggio 2006, con legge n. 51 del 2006 di conversione del decreto legge n. 273/2005, c.d. “milleproroghe”.
Si noti che la precedente normativa, introdotta dal D. Lgs. n. 135/1999, si era limitata a fissare esclusivamente un termine iniziale per l'avvio dell'opera di identificazione dei tipi di dati e di operazioni oggetto di trattamento; ciò aveva determinato una diffusa non applicazione delle sue norme segnalata, più volte, dal Garante (v. la citata pronuncia del 17 gennaio 2002).

[37] Tali disposizioni riguardano tutti i soggetti pubblici che operano in ambito sanitario.

[38] Per espressa disposizione dell'art. 76, comma I, agli organismi sanitari pubblici vengono equiparati gli esercenti le professioni sanitarie.

[39] A tal riguardo Acciai R., I trattamenti in ambito sanitario , in Acciai R. (a cura di), Il diritto alla protezione dei dati personali , op. cit., p. 484, osserva che, così come avveniva in passato, “non è detto che i due presupposti non possano coesistere, e cioè che venga contestualmente richiesto il consenso dell'interessato (o del terzo) e che si rispetti l'autorizzazione del Garante, anche se è chiaro che l'agevolazione concessa è tale da renderli in pratica alternativi”.

[40] L'individuazione delle rilevanti finalità di interesse pubblico era ed è finalizzata ad integrare i presupposti di liceità del trattamento dei dati sensibili da parte dei soggetti pubblici (art. 22, comma III, della legge 675/96, attuale art. 20 del D. Lgs. 196/2003).

[41] Così Monducci J., Diritti della persona e trattamento dei dati particolari , Milano, Giuffrè, 2003, p. 260. Sul punto v. anche Acciai R., I trattamenti in ambito sanitario , in Acciai R. (a cura di), Il diritto alla protezione dei dati personali , op. cit., p. 479.

[42] Come osservato al paragrafo precedente, l'art. 85 individua all'uopo, tra le rilevanti finalità di interesse pubblico ai sensi degli artt. 20 e 21 del Codice, le “attività amministrative” correlate alla prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti dal SSN.

[43] A tale proposito Imperiali R., Imperiali R., Codice della privacy , op. cit., p. 457, spiegano che “la disciplina sul trattamento dei dati sulla salute in ambito sanitario (art. 76) ha carattere speciale rispetto alle regole generali sul trattamento dei dati sensibili, in entrambi i settori pubblici e privato. Questa disciplina speciale si applica ogni volta che dati sullo stato di salute sono trattati da esercenti la professione sanitaria o da organismi sanitari pubblici per il perseguimento di finalità di tutela di salute o di salvaguardia dell'integrità fisica individuale. Quando viene a mancare taluna delle condizioni soggettive o oggettive previste condizioni di applicabilità della disciplina speciale, tornano ad applicarsi le predette regole generali. Queste per il settore pubblico sono l'art. 20 che condiziona l'uso dei dati sensibili ad una specifica riserva di legge a cui provvede l'art. 85 con l'espressa previsione del rilevante interesse pubblico per le finalità in esso menzionate. Quindi, l'art. 85 si limita a precisare che i riferimenti da esso operati nulla modificano della disciplina speciale per i trattamenti di dati sulla salute a fini sanitari, il cui ambito è regolato dall'art. 76.”

[44] In tal senso Monducci J., Il trattamento dei dati sanitari e genetici , in Monducci J., Sartor G., (a cura di), Il Codice in materia di protezione dei dati personali , op. cit., p. 261.

[45] Cfr. par. 1.3.

[46] Comandè G., Commento agli artt. 11 e 12 , in Giannantonio E., Losano M.G., Zeno-Zencovich V., (a cura di), La tutela dei dati personali , op. cit., p. 114, evidenzia che “il requisito del consenso rappresenta l'espressione più compiuta di quella libertà positiva di controllare i dati riferiti alla propria persona ed usciti dalla propria sfera di riservatezza in cui si sostanzia la libertà informatica intesa come diritto di autotutela della propria identità informatica”. Per Acciai R., Melchionna S., Le regole generali per il trattamento dei dati personali , in Acciai R., (a cura di), Il diritto alla protezione dei dati personali , op. cit., p. 118, “il consenso si ripropone, quindi, come un elemento di equilibrio tra la piena libertà di trattamento senza espliciti divieti ( deregulation ) e l'impossibilità assoluta di utilizzazione dei dati in assenza di specifiche autorizzazioni ( regulation ), ovvero come uno strumento di “deregolamentazione controllata” fondata su una serie di garanzie procedurali, quali le condizioni di validità dello stesso e la tassatività delle fattispecie di esclusione. Superando l'esperienza delle normative di prima e seconda generazione, il legislatore ha, infatti, evitato di conferire al consenso un primato assoluto. In tal modo si è costruito intorno a questo presupposto di legittimità un complesso di garanzie e prerogative, alla luce degli interessi pubblici e privati meritevoli di considerazione. In tale sistema di tutele il consenso riveste, comunque, un ruolo fondamentale, costituendo sia una condizione di liceità del trattamento, sia uno strumento posto a tutela degli interessati, in coerenza con la scelta del legislatore di abbandonare un modello di tutela passiva (divieti) a favore di un interesse di strumenti di difesa attiva (informazione, consenso, accesso)”.

[47] Sul punto si rimanda al par. 1.2.

[48] Ad esempio i dati relativi all'identità del paziente. Il legislatore delegato del 2003, così come il legislatore del 1996, non ha previsto una specifica definizione per i dati diversi da quelli sensibili e giudiziari, permettendo quindi di distinguerli da questi ultimi solo attraverso un riferimento “in negativo”, ossia “dati diversi da quelli sensibili e giudiziari”: v., ad esempio, la rubrica dell'art. 19. In dottrina si è soliti far riferimento a tali dati indicandoli come “dati comuni”: ex plurimis , Cirillo G.P. (a cura di), Il Codice sulla protezione dei dati personali , op. cit.; Monducci J., Sartor G., (a cura di), Il Codice in materia di protezione dei dati personali , op., cit; Acciai R., (a cura di), Il diritto alla protezione dei dati personali , op. cit. Quest'ultimo Autore, con riguardo a un'altra definizione usata in dottrina per indicare i dati comuni, ovvero “dati neutri”, ha avanzato alcune riserve. In particolare Acciai ritiene che tale definizione possa “ingenerare, anche indirettamente, la sensazione di una intrinseca ‘non pericolosità' di tali dati; in effetti, essi, benché posti ad un livello di ‘pericolosità' diversa rispetto a quelli di carattere sensibile e giudiziario, sono tutt'altro che ‘neutri' o innocui”. D'altra parte, Rodotà S., Tecnologie e diritti , bologna, Il Mulino, 1995, pp. 34 e 83, ha sostenuto che anche il dato apparentemente più insignificante può, se opportunamente collegato con altri dati, produrre una o più informazioni potenzialmente lesive dei diritti garantiti al soggetto interessato.

[49] Idonea invece a legittimare il trattamento dei dati non sensibili da parte dei soggetti privati, ex art. 23, comma III. In base a tale disposizione, il consenso può essere rilasciato per iscritto anche in epoca successiva alla raccolta dei dati, purchè previamente prestato oralmente nell'osservanza degli altri requisiti di validità richiesti dall'art. 23. La norma parla, in tal caso, di consenso “documentato per iscritto”.

[50] In senso conforme l'art. 23, comma IV.

[51] Art. 26, comma I, ultima parte.

FONT face=Verdana size=1>[52] L'art. 26 del Codice si pone quale norma di attuazione dell'art. 8 della Direttiva n. 95/46/CE, il quale, in linea di principio, vieta il trattamento dei dati sensibili, con ciò ritenendo evidente la particolarità di tali dati e, soprattutto, la loro capacità lesiva superiore a quella insita nei dati comuni. La norma comunitaria, infatti, autorizza i singoli Stati a derogare al divieto, tra gli altri, nel caso in cui vi sia il consenso esplicito dell'interessato, salvo che “la legislazione dello stato membro preveda che il consenso non sia sufficiente”. Pertanto, l'art. 22 della l. n. 675/1996, prima e l'art. 26 del Codice, ora, ritenendo non sufficiente il solo consenso, la cui prestazione è spesso solo apparente, vi hanno aggiunto il requisito dell'autorizzazione del Garante.

[53] L'autorizzazione del Garante può essere rilasciata anche in via generale e non solo per casi specifici.

[54] Una norma speculare è prevista per i dati non sensibili dall'art. 24, comma I, lett. e) .

[55] Così Imperiali R., Imperiali R., Codice della privacy , op. cit., p. 231.

[56] Si ricorda che la disposizione dell'art. 26, comma IV, lett. b) , si applica a tutti i soggetti privati.

[57] La norma non offre una chiara indicazione da cui possa desumersi l'obbligo di dover seguire un ordine prestabilito di preferenze tra i soggetti delegati. L'unica certezza riguarda la natura residuale dell'ultima ipotesi che individua nel responsabile della struttura sanitaria presso cui dimora l'interessato il soggetto competente a rilasciare il predetto consenso qualora siano assenti tutti gli altri soggetti. Di questo avviso Imperiali R., Imperiali R., Codice della privacy , op. cit., pp. 455-456, per i quali il concetto di “assenza” va inteso in senso corrispondente a quello di “mancanza” anziché nella più limitata accezione di “non presenza”. A sostegno di questa interpretazione, gli Autori adducono due ordini di motivazioni. In primo luogo, se si seguisse l'interpretazione più restrittiva (“non presenza”) “si verrebbe a vanificare l'intervento dei soggetti più prossimi all'interessato, proprio in quelle circostanze in cui la solitudine dell'interessato e la impossibilità di costui di esprimersi, renderebbero impossibile ricostruirne la volontà”. La seconda motivazione sta nella considerazione che l'articolo 82 già prevede che in caso di emergenze informativa e consenso possano intervenire successivamente alla prestazione “per cui i maggiori tempi necessari per raccogliere il consenso da parte delle persone più prossime all'interessato, non verrebbero a detrimento delle superiori esigenze terapeutiche”. Riguardo le conseguenze giuridiche di un eventuale contrasto di decisioni fra più soggetti delegati, in merito all'uso dei dati personali dell'interessato, Riccardo e Rosario Imperiali ritengono che il trattamento dei dati sia lecito quando una qualunque delle persone delegate (con la sola eccezione del rappresentante la struttura sanitaria) abbia manifestato il consenso al trattamento. Infatti, sostengono gli Autori, “qualora il legislatore non avesse voluto rendere possibile questa eventualità avrebbe precisato l'ordine di intervento, come peraltro ha fatto nei riguardi del rappresentante della struttura sanitaria”. Infine, in caso di rifiuto del consenso da parte di uno dei soggetti delegati per legge, i medesimi Autori distinguono due ipotesi: a) quella che consiste nel rifiuto di esprimersi, in senso sia positivo che negativo; b) l rifiuto ad acconsentire al trattamento. Nella prima ipotesi “è da ritenersi che il rifiuto di esprimersi da parte di un delegato intervistato possa giustificare il rinnovo della richiesta ad un altro. Pertanto, nell'eventualità di un rifiuto ad esprimersi da parte di coloro che sarebbero delegati per legge a pronunciarsi, diverrà legittimato a rilasciare il consenso al trattamento il rappresentante della struttura presso cui dimora l'interessato”. Nell'ipotesi di diniego espresso ad acconsentire al trattamento dei dati dell'interessato, “si deve ritenere che la prestazione terapeutica o l'intervento che ne consegue non possano essere effettuati.”

[58] La semplificazione in esame era stata originariamente introdotta, se pur in termini parzialmente differenti, dal D. Lgs. 28 dicembre 2001, n. 467, recante “Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell'articolo 1 della legge 24 marzo 2001, n. 127” , i n G.U. 16 gennaio 2002, n. 13. L'originaria formulazione, infatti, autorizzava l trattamento dei dati sensibili senza il consenso dell'interessato qualora ciò fosse necessario per la salvaguardia della salute sia dell'interessato sia di un terzo, purchè l'interessato non potesse prestarlo per incapacità. In tale contesto, quindi, non era richiesto il consenso dei terzi qualificati.