Newsletter 24 - 30 maggio 1999

• Privacy e dati sanitari per indagini genetiche.
• I dati in possesso delle società finanziarie.
• Ricorsi ammissibili solo per tutelare i diritti previsti dalla legge.
• Le perizie dei consulenti tecnici nominati dal giudice.
• Sicurezza@net.

Privacy e dati sanitari per indagini genetiche

Per tutelare la salute o l´incolumità psico-fisica di una persona si possono legittimamente acquisire presso cliniche ed ospedali i dati sanitari di un parente anche se questi non presti il suo consenso o si rifiuti di darlo.

Lo ha stabilito l´Autorità Garante per la protezione dei dati personali in una pronuncia nella quale è stato affrontato il significativo caso di una donna affetta da malattia congenita che, intendendo avere un figlio, si è sottoposta ad indagini genetiche.

Per poter formulare il loro giudizio sul rischio che la donna possa trasmettere, in caso di gravidanza, la sua malattia, gli specialisti hanno necessità di acquisire alcuni dati sanitari riportati nelle cartelle cliniche del padre della donna. A tale acquisizione il padre si è dimostrato contrario, mentre i medici dell´ospedale, dove le cartelle sono conservate, hanno opposto il segreto professionale e il loro avviso che la legge 675 consente di acquisire senza consenso dati sanitari solo nel caso in cui l´interessato sia incapace di intendere e di volere.

La donna si è pertanto rivolta al Garante chiedendo di autorizzare l´acquisizione delle cartelle cliniche del padre, anche in assenza del suo consenso.

Esaminando il caso, il Garante ha innanzitutto osservato che la conoscenza (prima del concepimento o durante la gravidanza) del rischio di insorgenza di patologie, anche di tipo genetico, sulla persona che si intende concepire o sul nascituro, può certamente contribuire a migliorare le condizioni di benessere psico-fisico della gestante, nel quadro di una piena tutela della salute come diritto fondamentale dell´individuo. Nel caso specifico, l´accesso ad alcuni dati sanitari del padre della paziente rappresenta un presupposto essenziale per l´accertamento delle modalità di trasmissione della malattia e soltanto la disponibilità di questi dati consente una scelta riproduttiva consapevole ed informata.

Il Garante ritiene, pertanto, che l´ospedale debba prima chiedere al padre della donna il consenso scritto all´acquisizione dei dati sanitari contenuti nella su cartella clinica. Qualora l´interessato non fornisse risposta o opponesse il suo rifiuto, l´ospedale potrà acquisire i suoi dati sanitari presso la struttura sanitaria dove sono custoditi anche in assenza del suo consenso. E questo sulla base della legge n.675 e dell´autorizzazione n.2/1998 emanata dal Garante (pubblicata sulla G.U. del 1.10.1998).

Gli organismi sanitari pubblici, infatti, possono trattare i dati senza il consenso dell´interessato qualora si debba tutelare la salute o l´incolumità fisica di terzi o della collettività. L´esigenza di tutelare il benessere della gestante può, nella circostanza in esame, comportare un ragionevole sacrificio del diritto alla riservatezza dell´interessato.

Anche dal punto di vista del segreto professionale, la tutela dell´incolumità psico-fisica di un terzo viene considerata "giusta causa" dall´art.622 del codice penale che legittima la rivelazione di informazioni eventualmente coperte da segreto professionale. Lo stesso codice di deontologia medica, di recente modificato, indica espressamente quale "giusta causa di rivelazione" sia l´urgenza di salvaguardare la vita o la salute dell´interessato o di terzi, nel caso in cui l´interessato non sia in grado di prestare il proprio consenso, sia l´urgenza di salvaguardare la vita e la salute di terzi, anche nel caso di rifiuto dell´interessato, ma previa autorizzazione del Garante.

In conclusione, l´ospedale non incontra ostacoli né nella legge n.675 del 1996, né nelle norme sul segreto professionale e può legittimamente acquisire i dati sulla base della citata autorizzazione del Garante

L´Autorità ha, comunque, richiamato l´organismo sanitario ad adottare precise cautele a tutela della riservatezza. L´Autorità ha indicato espressamente che i dati sanitari da acquisire siano trasmessi con plico sigillato, in modo da assicurare la segretezza della cartella clinica nei confronti di persone estranee, e che il personale dell´ospedale riferisca personalmente alla sola richiedente il risultato dell´indagine genetica con informazioni chiare ed esaustive, senza però comunicarle i dati sanitari relativi al padre e di non comunicare a quest´ultimo informazioni relative agli accertamenti eseguiti, fuori dei casi di diritto di accesso ai dati che lo riguardano o di necessità di acquisizione di informazioni necessarie per la tutela delle propria salute o incolumità fisica.

Nel caso in cui la cartella clinica del padre della donna contenga dati di carattere genetico, l´ospedale dove è conservata la cartella dovrà chiedere preventivamente l´apposita autorizzazione al Garante, così come previsto anche dal recente decreto legislativo n.135 dell´11.5.1999, in materia di trattamento di dati sensibili da parte della pubbliche amministrazioni.

Pur mancando nel nostro ordinamento giuridico una definizione legislativa di dato genetico, l´ospedale potrà tenere conto della nozione contenuta nella raccomandazione 97/5 del Consiglio d´Europa, alla quale fa esplicito riferimento anche la legge sulla protezione dei dati personali, che ricomprende "tutti i dati, indipendentemente dalla tipologia, che riguardano i caratteri ereditari di un individuo o le modalità di trasmissione di tali caratteri nell´ambito di un gruppo di individui legati da vincoli di parentela".

Infine, deve essere tenuto presente il documento riguardante le "Linee guida per i test genetici", approvato il 19 maggio 1998 dall´ Istituto superiore di sanità e dal Comitato nazionale per la biosicurezza e le biotecnologie presso la Presidenza del Consiglio dei ministri, che ha individuato tra i fattori a rischio che rendono consigliabile il ricorso all´indagine genetica, la circostanza che uno dei due genitori sia portatore di una malattia congenita. Lo stesso documento ha stabilito, inoltre, che il diritto di un familiare a non conoscere o a non rivelare i suoi dati genetici cede di fronte al diritto della persona che chiede di sottoporsi ad un test genetico nel caso in cui la rinuncia comporti "l´omissione di trattamenti che prevengono o curano la malattia o l´adozione di strategie che prevengono il concepimento o la nascita di figli ammalati".

I dati in possesso delle società finanziarie

Un cittadino ha chiesto al Garante di intervenire affinché i suoi dati personali venissero cancellati dall´archivio di una società finanziaria alla quale si era rivolto per ottenere un prestito. Poiché il pagamento delle rate non era sempre avvenuto regolarmente, l´interessato era stato iscritto negli archivi di alcune centrali rischi.

Nell´esaminare il caso (che comunque riguardava un contratto sottoscritto prima dell´entrata in vigore della legge n.675 del 1996) e decidendo il non luogo a procedere, il Garante ha osservato che la clausola di trasmissione dei suoi dati alle centrali rischi era specificamente contemplata dal contratto ed espressamente sottoscritta dall´interessato. La registrazione di questi dati nelle banche dati delle centrali rischi per la prevista durata di cinque anni era, pertanto, corretta. Allo scadere del periodo essi sono stati regolarmente cancellati.

Ricorsi ammissibili solo per tutelare i diritti previsti dalla legge

Quando ci si rivolge al Garante non attraverso segnalazioni o reclami ma attraverso il ricorso vero e proprio, questo può essere presentato solo per la tutela di un preciso diritto previsto dalla legge sulla privacy. Lo ha ribadito l´Autorità respingendo il ricorso di una persona che aveva chiesto alla propria banca notizie riguardanti un certificato di deposito e, non ritenendosi soddisfatta, si era rivolta all´Autorità.

La legge n.675 del 1996 stabilisce che il ricorso può essere presentato esclusivamente per esercitare gli specifici diritti riconosciuti dall´art.13: accesso ai dati personali, conoscenza della loro origine, correzione ed integrazione, opposizione al trattamento per motivi legittimi.

La richiesta della persona, invece, non conteneva alcun riferimento a tali diritti e riguardava genericamente diritti di conoscenza e di messa a disposizione di somme contenute in un certificato di deposito.

Le perizie dei consulenti tecnici nominati dal giudice

Le perizie svolte da consulenti tecnici nominati d´ufficio nell´ambito di una controversia legale rientrano tra i trattamenti effettuati nell´ambito di uffici giudiziari "per ragioni di giustizia". Non è quindi possibile, in base alla legge sulla privacy, esercitare direttamente nei confronti di questi trattamenti i diritti previsti dall´art.13 (accesso alle banche dati, correzione e integrazione dei dati, opposizione al loro trattamento per motivi legittimi) né presentare ricorso (art.29).

Questo il principio ribadito dal Garante nella decisione su un ricorso presentato da un dipendente di una società per azioni che, a seguito di un infortunio sul lavoro, aveva instaurato un controversia giudiziaria nei confronti della stessa società.

Presentando ricorso al Garante, il dipendente aveva, tra l´altro, lamentato la violazione della sua privacy perché certificazioni mediche a lui riferite erano state esaminate da consulenti tecnici nominati dal giudice nell´ambito della controversia.

L´Autorità ha osservato che, in base alle norme del codice di procedura civile, i consulenti tecnici coadiuvano l´autorità giudiziaria nello svolgimento delle proprie funzioni, in una posizione di indipendenza rispetto alle parti. Possono essere autorizzati a domandare chiarimenti alle parti e ad assumere informazioni da terzi.

La loro attività è, pertanto, strettamente connessa e integrata con l´attività giurisdizionale. Ad essa, quindi, non si applicano neanche le disposizioni di legge relative ai dati sensibili: ai fini dello svolgimento delle perizie, l´eventuale utilizzo di dati sanitari da parte dei consulenti, come nel caso in questione, non richiede il consenso dell´interessato.

Va comunque ricordato che anche i trattamenti di dati per ragioni di giustizia devono svolgersi nel rispetto dei principi fondamentali fissati dalla legge sulla privacy. I dati devono, cioè, essere trattati in modo lecito e secondo correttezza, devono essere raccolti per scopi determinati e legittimi, devono essere esatti e strettamente necessari alle finalità perseguite, e vanno conservati per un periodo non superiore a quello necessario.

Sicurezza@net
(editoriale pubblicato sul Financial Times del 17 maggio 1999)

La pubblicazione su Internet di un elenco di agenti dei servizi segreti britannici non è che l´ultimo esempio del potere crescente di questo nuovo mezzo di comunicazione. Si tratta di un potenziale eversivo che, a parere di molti, dovrebbe essere tenuto a freno.

La rete viene utilizzata in gran parte per diffondere informazioni in tutti i Paesi del mondo, in modo efficace, soprattutto in ambito commerciale, e veloce. Essa costituisce sempre più anche uno strumento per rendere di dominio pubblico fatti e opinioni che i governi preferirebbero passare sotto silenzio. E ciò può rivelarsi un potente fattore di liberalizzazione in alcuni Paesi.

Tuttavia, la struttura anarchica della rete può anche comportare rischi per i singoli e per la sicurezza delle nazioni. Un esempio del genere è rappresentato dalla pubblicazione dell´elenco di spie in questione. Un altro caso si è verificato con la pubblicazione di un elenco dei principali abortisti da parte di fanatici sostenitori di movimenti "per la vita" negli USA. La rete è stata utilizzata anche per diffondere schemi utili alla costruzione di bombe, per organizzare circuiti di pedofili e per diffondere pornografia infantile.

Che si può fare per tenere a freno questi mali? I rimedi proposti sono l´approvazione di norme speciali per mettere fine alla pornografia su Internet, una deroga che consenta alle pubbliche autorità di intercettare messaggi privati di posta elettronica, ed il controllo delle tecniche di crittografia da parte dei governi.

Ma la diffusione internazionale della Rete e la rapidità del suo sviluppo comportano enormi difficoltà sul piano pratico. Anche ammettendo che norme del tipo descritto siano applicabili, c´è il rischio che abbiano un effetto perverso. Ad esempio, i costi del controllo sulle tecniche crittografiche sarebbero maggiori per le imprese che non per i malviventi, i quali si limiterebbero a violare le leggi in vigore. Allo stesso modo, sarebbe difficile applicare la censura ad Internet (a parte le obiezioni di matrice libertaria), dato che i fornitori di contenuti possono cambiare sito o Paese con estrema facilità.

Un approccio migliore consiste nel riconoscere che i materiali più offensivi che circolano su Internet sono già materia di disposizioni presenti nel diritto nazionale. Ad esempio, in Gran Bretagna sarebbe un reato di estrema gravità pubblicare un elenco di agenti del servizio segreto.

Gli Stati dovrebbero accettare la Rete così com´è: senza controllo, libera, internazionale. Dovrebbero adattarsi a questa nuova condizione sociale, mettendo a punto le tecniche che consentano di individuare i criminali su Internet - come stanno già facendo gli Stati Uniti con un certo successo. Allo stesso tempo, sarebbe opportuno promuovere la diffusione di codici di autodisciplina e di condotta.

Nel frattempo i servizi segreti dovranno adattarsi al rischio che i loro metodi ed il loro personale siano resi di dominio pubblico. Tutto ciò ha un prezzo, ma gli Stati farebbero bene a ricordare il vecchio adagio: "ambasciator non porta pena", perché un giorno potrebbero essere loro ad aver bisogno di questo ambasciatore.