Sanità: perché il rispetto della privacy genera valore

Il sistema sanitario nazionale è al centro di una spinta molto forte verso il rinnovamento. Sempre più sentita è infatti l’esigenza di sfruttare al meglio tutte le opportunità offerte dall’evoluzione tecnologica per interconnettere i sistemi informativi in modo da sfruttare l’enorme mole di informazioni che il funzionamento della macchina sanitaria costantemente produce.

Le finalità sono molteplici e tutte degne della massima considerazione: in primo luogo la cura delle persone, che trova nel fascicolo sanitario elettronico, ovvero nella raccolta on line di dati e informazioni sanitarie sulla storia clinica e sulla salute di una persona, l’espressione più avanzata; il monitoraggio, l’analisi e il controllo sull’andamento della gestione del sistema sanitario volti a conseguire un più efficace impiego delle risorse economiche insieme alla revisione della spesa e, infine, la ricerca, che vede nei dati del sistema sanitario un prezioso tesoro di informazioni finora solo in parte utilizzato.

In questo contesto spesso ci si interroga sulle cause che ostacolano o rallentano lo sfruttamento di questa fondamentale risorsa informativa e, talvolta, impropriamente, si indica il rispetto della disciplina sulla protezione dei dati personali.

Chi cade in questo errore confonde una causa con una condizione: il rispetto delle regole privacy non impedisce, ma anzi consente di poter trarre dalle informazioni tutta la loro utilità.

Sin dal 1981, con la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione di Strasburgo), si posero le basi del moderno “diritto alla protezione dei dati personali” che, detto in termini essenziali, garantisce a ciascuno il mantenimento del controllo sui propri dati personali, ovunque e da chiunque essi siano trattati.

L’obiettivo era quello di “contrastare” gli effetti “espropriativi” che l’evoluzione tecnologica automaticamente determinava rispetto ai propri dati a causa della progressiva aggregazione di crescenti quantità di dati personali in sistemi informativi pubblici e privati rispetto ai quali, sino ad allora, agli interessati, non era riconosciuto alcun diritto. Il dato apparteneva a chi lo deteneva e questi non era tenuto in alcun modo a dare conto del suo utilizzo.

La Convenzione di Strasburgo ha dato il via in Europa a un processo di regolazione che, tramite le direttiva 95/46/CE prima e le direttive sulle comunicazioni elettroniche dopo (e-privacy), si è poi diffuso e radicato in tutti i paesi del vecchio continente appartenenti all’Unione europea, processo che ha avuto il suo culmine nell’inclusione della protezione dei dati personali nel catalogo dei diritti contenuto nella Carta dei diritti fondamentali dell’Unione europea, approvata a Nizza nell’anno 2000 (art. 8).

La percezione che la protezione dei dati personali sia un diritto fondamentale è ancora poco sentita in ambito sanitario ove prevale invece la sensazione di trovarsi a confronto con complesse regole tecnico-burocratiche anziché con un vero e proprio diritto della persona, ampiamente riconosciuto e tutelato a livello internazionale. Per rendersene conto basterebbe dare un’occhiata alla ormai copiosa (e rilevante) giurisprudenza in materia della Corte di giustizia europea che negli ultimi anni ha contribuito, con le sue decisioni, a rafforzare significativamente le garanzie previste dalle norme.

In questa cornice si inserisce il Regolamento 2016/679, approvato recentemente (il 27 aprile 2016) dal Parlamento europeo e dal Consiglio e che si applicherà dal 25 maggio 2018; non un semplice aggiornamento ma un rilevante passo in avanti, anche simbolico: oggi in tutti i 28 paesi membri dell’Unione europea è in vigore una base giuridica unica, direttamente applicabile, in materia di privacy.

Il regolamento, come riportato all’art. 1, stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché quelle relative alla libera circolazione di tali dati; protegge cioè i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, evitando però che per via di tale protezione possa essere ostacolata la libera circolazione dei dati personali nell’Unione. Tutela del diritto fondamentale e libera circolazione dei dati all’interno dell’Unione sono pertanto i due beni giuridici, i due pilastri, ugualmente significativi, sui quali poggia l’architettura della disciplina.

Per espressa disposizione poi (considerando n. 4), il regolamento prevede che “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

Il legislatore comunitario ha quindi voluto esprimere, in modo chiaro e inequivocabile, un concetto molto importante: ogni diritto, anche fondamentale, non ha un «valore assoluto». Ciò per un duplice ordine di motivi: per la molteplicità dei diritti stessi, i quali devono comporsi e bilanciarsi tra loro (ad esempio il diritto alla privacy può entrare in tensione con il diritto alla libera manifestazione del pensiero oppure con il diritto alla sicurezza della persona); per la dimensione sociale, e non solo individuale, della vita dell’uomo che conferisce a ciascun diritto una dimensione “finita” in quanto “limitato” dall’analogo diritto altrui.

Nella prospettiva della disciplina sulla protezione dei dati personali rilevano quindi non solo i diritti dell’interessato (cioè della persona fisica ai quali i dati si riferiscono), ma anche quelli di tutti i soggetti coinvolti nel trattamento dei dati (ivi compresi coloro che raccolgono e detengono i dati altrui nelle proprie banche dati) che potranno utilizzarli e trarne tutta la loro utilità, senza temere di andare incontro a conseguenze.

Troviamo la conferma nel regolamento al considerando 53, laddove si evidenzia che il trattamento dei dati sulla salute è ammissibile non solo a beneficio delle singole persone, ma anche dell’intera società, “nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali centrali a fini di controllo della qualità, informazione sulla gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale, nonché per garantire la continuità dell’assistenza sanitaria o sociale e dell’assistenza sanitaria transfrontaliera o per finalità di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in base al diritto dell’Unione o nazionale che deve perseguire un obiettivo di interesse pubblico, nonché per studi svolti nel pubblico interesse nell’ambito della sanità pubblica”.

Come si vede i fini di cura, di gestione amministrativa e di ricerca non sono antinomici ma trovano un loro pieno ed esplicito riconoscimento nella disciplina sulla protezione dei dati personali ed è quindi scorretto vedere in questa un fattore di contrasto rispetto allo sviluppo di efficienti sistemi informativi in campo sanitario.

Piuttosto è necessario conoscere la materia e considerarla sin dalla prima progettazione dei sistemi in modo che le soluzioni individuate, o richieste ai fornitori, siano orientate sin dall’origine all’osservanza dei requisiti e dei principi definiti dalle norme e dai numerosi provvedimenti emanati in questi anni nel settore dal Garante.

Contemperare prestazioni, efficienza e pieno rispetto dei diritti non solo è possibile, ma addirittura conveniente contribuendo così a creare valore, non solo per le persone i cui dati sono trattati o per il titolare del trattamento (ente pubblico o società), ma per la società nel suo insieme considerata. Il vero valore della privacy.