In questi ultimi mesi si è sentito parlare molto di privacy, GDPR e trattamento.
La gara a “chinesadipiù” ha ossessionato molti professionisti, aziende e specialists (o presunti tali), probabilmente a discapito dell’utente finale che r e a l m e n t e nutre un interesse alla compliance normativa.
Ed in questo mare magnum di informazioni e disinformazioni, una problematica particolare, passata drammaticamente in sordina, concerne il consenso al trattamento dei dati personali del minore in ambito sanitario.
Per la serie…”del più e del meno e del giusto mai”.
Occorre innanzitutto fare attenzione a non porre sullo stesso piano il consenso all’atto medico e quello relativo al trattamento dei dati sanitari, poiché la funzione delle due manifestazioni di volontà è profondamente diversa. Mentre, infatti, il consenso all’atto medico è funzionale alla tutela della salute, quello al trattamento dei dati sanitari è volto a proteggere la personalità del paziente, dal momento che i dati relativi alla salute del paziente non sono che una species rispetto al genus dei dati personali.
Tuttavia la differenza è ultrasottile.
È, infatti, innegabile che, ogniqualvolta il consenso al trattamento dei dati sanitari sia necessario per esigenze diagnostiche e di cura, vi sia una strettissima correlazione con il consenso all’atto medico, sia, in negativo, nel senso che la mancanza del primo, “refluendo sullo stesso consenso al trattamento medico, renderebbe impossibile al medico eseguire la prestazione” , sia, in positivo, nel senso che la tutela della riservatezza del paziente è a sua volta funzionale anche alla piena realizzazione del diritto alla salute, come si vedrà a proposito del trattamento sanitario su persona minorenne.
Per quanto concerne i dati sanitari, il legislatore, in considerazione della loro natura sensibile, ha dettato una disciplina specifica per il loro trattamento.
L’art. 76 del Codice della privacy prevedeva, in particolare, che, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato, gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche ove operino nell’ambito di un’attività di rilevante interesse pubblico ai sensi dell’articolo 85, potessero trattare i dati personali idonei a rivelare lo stato di salute della persona senza necessità di autorizzazione da parte del Garante ma necessariamente acquisendo il consenso dell’interessato medesimo.
Fermo restando che, tanto l’informativa quanto il consenso al trattamento dei dati idonei a rivelare lo stato di salute, devono, di regola, essere forniti prima dell’effettuazione della prestazione sanitaria.
Sempre il famoso art. 82 del Codice della privacy delineava, inoltre, una serie di casistiche ibride fra le quali quella dell’impossibilità acquisire il consenso da chi esercita legalmente la potestà, prevedendo l’acquisizione dello stesso per il tramite di un prossimo congiunto, di un familiare, di un convivente o, in loro assenza, di responsabile incaricato ad hoc.
Si evince, dunque, che il consenso al trattamento dei dati idonei a rivelare lo stato di salute del minore doveva essere, di norma, manifestato dai legali rappresentanti dello stesso. Ed infatti la disposizione aggiungeva l’inciso: dopo il raggiungimento della maggiore età l’informativa è fornita all’interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando questo è necessario.
Il nuovo Regolamento UE 2016/679 dopo aver previsto, all’art. 9, il divieto di trattare dati personali relativi alla salute senza il consenso esplicito dell’interessato, stabilisce che tale consenso non è necessario ove “il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.
Nella generica espressione “incapacità giuridica di prestare il proprio consenso” sembrerebbe doversi includere l’ipotesi di minore età dell’interessato, con la differenza che non è richiesto il consenso del legale rappresentante. Poiché, peraltro, secondo quanto disposto dall’art. 9, par. 4, “gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”, deve ritenersi che tale requisito continui a sussistere.
Paradossalmente, dunque, mentre in tema di consenso all’atto medico l’assenza di un’apposita disciplina generale ha consentito alla dottrina ed alla giurisprudenza di attribuire rilievo alla volontà del minore dotato di sufficiente capacità di discernimento, nel caso del trattamento dei dati sanitari quest’ultima sembra non giocare alcun ruolo.
E tuttavia, l’intimo legame funzionale fra le due manifestazioni di consenso induce a ritenere, in primis, che in tutti i casi nei quali la legge riconosce espressamente la possibilità per il minore capace di discernimento di sottoporsi a trattamento medico senza il previo consenso dei genitori esercenti la responsabilità genitoriale o del tutore, al minore stesso competa anche la manifestazione del consenso al trattamento dei relativi dati sanitari: pensiamo, ad esempio, alla di richiesta di somministrazione, su prescrizione medica, nelle strutture sanitarie e nei consultori, dei mezzi necessari per conseguire le finalità liberamente scelte in ordine alla procreazione responsabile oppure all’interruzione volontaria della gravidanza.
In questi casi, il problema della tutela della riservatezza del minore si pone in primis nei confronti degli stessi genitori, all’insaputa dei quali spesso i figli richiedono il trattamento sanitario.
Se infatti, nelle ipotesi su elencate le scelte inerenti alla salute del minore vengono in parte o totalmente sottratte alla sfera di competenza degli esercenti la responsabilità genitoriale, per essere affidate direttamente all’interessato, fornire ai primi le relative informazioni sanitarie e richiederne il consenso al trattamento dei dati personali significherebbe rischiare di vanificare il diritto alla salute dell’interessato, che potrebbe essere indotto a rinunciare al trattamento pur di non renderne edotti i genitori .
Il problema relativo alla tutela della riservatezza del minore e al riconoscimento allo stesso della gestione dei propri dati sanitari si è acuito con l’avvento dell’informatizzazione anche nel settore sanitario ed il conseguente aumento dei rischi collegati alla diffusione delle informazioni.
In particolare, poiché i genitori possono normalmente consultare il fascicolo dei propri figli minori, si pone il problema di garantire la privacy di questi ultimi nei loro confronti, ideando meccanismi di oscuramento selettivo dei dati sanitari il cui controllo compete al minore, nonché di quelli ad essi in qualche modo connessi.
Un sistema del genere è stato attuato, per esempio, in materia di dossier sanitario elettronico, ovvero l’insieme dei dati personali riguardanti la salute del paziente, trattati presso un’unica struttura sanitaria (un ospedale, un’azienda sanitaria, una casa di cura), al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura.
Il dossier sanitario si differenzia sia dal fascicolo sanitario elettronico (nel quale invece confluisce l’intera storia clinica della persona, generata da più strutture sanitarie) sia dalla cartella clinica elettronica, che invece rappresenta uno strumento informativo individuale finalizzato a rilevare tutte le informazioni anagrafiche e cliniche significative relative ad un paziente e ad un singolo episodio di ricovero.
Secondo le Linee guida del Garante per la protezione dei dati personali in materia di dossier sanitario, proprio perché quest’ultimo costituisce un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico, esso si configura come un trattamento facoltativo, poiché è rimessa all’interessato la scelta dell’inserimento delle informazioni cliniche che lo riguardano.
Non a caso, il consenso al dossier, anche se manifestato insieme a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico.
Sempre le Linee guida, stabiliscono che, per quanto concerne la situazione del minore d’età, deve essere acquisito il consenso di chi esercita la “potestà legale” su di esso e che, raggiunta la maggiore età, deve essere acquisito — al primo contatto utile — nuovamente il consenso informato dell’interessato divenuto maggiorenne.
Poco dopo, tuttavia, le stesse Linee guida si occupano dei particolari casi di consenso, stabilendo che, qualora nel dossier vadano inserite informazioni relative a prestazioni sanitarie offerte a soggetti nei cui confronti l’ordinamento vigente ha posto specifiche disposizioni a tutela della loro riservatezza e dignità personale (come nel caso dei dati soggetti a maggiore tutela dell’anonimato, ovvero relativi ad atti di violenza sessuale o di pedofilia) non sia sufficiente il generico consenso alla formazione del dossier ma il titolare del trattamento debba acquisire una specifica manifestazione di volontà dell’interessato.
Quest’ultimo, inoltre, può legittimamente richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (ad es., solo dallo specialista presso cui è in cura), ferma restando la possibilità che alle stesse possano sempre accedere i professionisti che le hanno elaborate.
Deve ritenersi, pertanto, che, in questi casi, ogniqualvolta la prestazione sanitaria sia richiesta dallo stesso minore all’insaputa dei genitori, a lui spetti la prestazione del consenso all’inserimento dei relativi dati in dossier e la possibilità di chiederne l’oscuramento nei confronti di altri soggetti che potrebbero accedere al documento elettronico, compresi i genitori.
Egidio Oronzo
Avvocato