Diritti interna

Doveri interna

ricerca avanzata

Audizione informale di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di DDl 2801 e connessi (dichiarazioni anticipate di trattamento)

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9057164
Data:
20/06/17
Tipologia:
Audizione

Audizione informale di Antonello Soro, Presidente del Garante per la protezione dei dati personali, in tema di DDl 2801 e connessi (dichiarazioni anticipate di trattamento)

presso la 12ª  Commissione permanente (Igiene e Sanità) del Senato della Repubblica (20 giugno 2017)

(testo dell´intervento)

 

1. Il contesto e i precedenti

È sicuramente necessario che –nell’ambito dell’esame di una questione così complessa come quella della dignità nella fase finale della vita e dell’autodeterminazione terapeutica– siano presi in considerazione anche i profili inerenti il diritto alla protezione dei dati personali. È una scelta ineludibile, soprattutto in ragione delle vicendevoli implicazioni che si instaurano tra autodeterminazione terapeutica e informativa. 

Non è casuale il legame tra questi due diritti fondamentali. Il primo, componente essenziale dell’unico diritto che la nostra Costituzione espressamente qualifica, ad un tempo, come diritto fondamentale e interesse della collettività. E per il quale sancisce una riserva di legge rafforzata, prevedendo che nessun trattamento sanitario, ancorché legislativamente disposto, possa violare “i limiti imposti dal rispetto della persona umana”. Formula, questa, che Costantino Mortati riconosceva come complementare alla tutela della dignità, sancita da quell’art. 2 cui Aldo Moro attribuiva la funzione di difesa della persona da ogni strumentalizzazione per fini che la trascendano. È significativo che soltanto la Carta di Nizza (che non a caso si apre con l’enunciazione della dignità quale presupposto di ogni libertà e diritto fondamentale) preveda un livello di tutela analogo del diritto alla salute, codificando nel consenso informato (cui il ddl riserva norme specifiche), l’essenziale presidio della libertà di autodeterminazione terapeutica. E questo, con un singolare parallelismo rispetto al consenso informato al trattamento dei dati personali, su cui si incentra la libertà di autodeterminazione informativa, ovvero il “nuovo diritto” sancito dalla stessa Carta di Nizza autonomamente rispetto al tradizionale diritto alla riservatezza. Questo parallelismo dimostra come tanto l’autodeterminazione informativa quanto l’autodeterminazione terapeutica siano due aspetti essenziali della libertà e della dignità della persona: oggi, entrambi meritevoli di una tutela tanto intensa quanto dinamica così da potersi adeguare alla rapidità propria dell’evoluzione tecnologica e scientifica, con cui questi diritti costantemente si rapportano. 

L’equilibrio tra i due è garanzia di effettività di entrambi e di equità della disciplina. Non a caso, i vari disegni di legge inerenti i due aspetti più innovativi dell’autodeterminazione terapeutica, quali il consenso informato e le dichiarazioni anticipate di trattamento, esaminati nelle ultime due legislature, normavano anche (con disposizioni più o meno condivisibili) i profili di protezione dati. I disegni di legge esaminati in Commissione, nella XV legislatura –con norma su cui il Garante, in sede di audizione, aveva avuto modo di esprimere le proprie perplessità– qualificavano il contenuto delle dichiarazioni anticipate di trattamento (Dat) come dati non sensibili. Come vedremo, le Dat possono contenere: a) dati sensibili (anzi, iper-sensibili) perché idonei a rivelare le condizioni di salute dell’interessato qualora facciano riferimento alle sue patologie attuali; b) dati sensibili perché idonei a rivelare convinzioni religiose ove dettino (come prevedevano i ddl) disposizioni sull’assistenza religiosa; c) in ogni caso, con riferimento alle terapie da ammettere o rifiutare, dati sensibili perché idonei a rivelare quelle convinzioni “religiose, filosofiche o di altro genere” di cui ragiona l’art. 4, comma 1, lett. d) del Codice, nel definire appunto la categoria dei dati sensibili, in termini in gran parte analoghi a quelli di cui all’art. 9 del Regolamento generale protezione dati (n. 2016/679). 

Tale qualificazione aveva (ed ha) conseguenze importanti in ordine alla disciplina da delineare, in ragione della tutela rafforzata di cui tali dati godono tanto nell’ordinamento interno, quanto in quello europeo. Tutela che si articola, in particolare, nell’obbligo di conservazione separata da ogni altro dato, di cifratura o di conservazione in modo da essere resi inintelligibili anche ai soggetti legittimati; di notificazione al Garante al ricorrere di alcune condizioni; nel criterio del “pari rango” per l’ostensione di tali dati nel procedimento amministrativo; nel divieto (assoluto nel caso dei dati sanitari) di pubblicazione da parte delle pubbliche amministrazioni, persino in materia di trasparenza.

Il disegno di legge approvato, in seconda lettura, nella scorsa legislatura, demandava invece al parere del Garante sul regolamento attuativo della legge l’esame dei profili di protezione dati inerenti, in particolare, le modalità di accesso, tenuta e consultazione del Registro delle Dat, nell’ambito di un archivio unico nazionale. 

2. La proposta di legge approvata dalla Camera 

Il presente disegno di legge non disciplina, invece, le modalità di tenuta e conservazione delle disposizioni anticipate di trattamento, prevedendo solo per quelle redatte con scrittura privata (non con atto pubblico né con scrittura privata autenticata) la consegna: a) presso l’ufficio di stato civile del comune di residenza e l’annotazione in “apposito registro, ove istituito”; b) presso le strutture sanitarie, qualora tuttavia si tratti di regione che abbia adottato “modalità informatiche di gestione dei dati sanitari” e abbia esercitato la propria facoltà di disciplinare, con proprio atto, “la raccolta di copia delle DAT, compresa l’indicazione del fiduciario, e il loro inserimento nella banca dati, lasciando comunque al firmatario la libertà di scegliere se darne copia o indicare dove esse siano reperibili”.

Non si disciplinano espressamente, dunque, le modalità di tenuta, conservazione, accesso alle Dat e al relativo registro da parte degli uffici comunali, né le modalità di istituzione (peraltro del tutto eventuale e facoltativa), da parte delle regioni, della banca dati delle Dat, né le modalità di raccolta delle copie delle stesse, rinviando a fonti regionali, di rango non precisato, l’eventuale disciplina. Né –come richiedeva la Commissione Giustizia della Camera in sede di parere sul testo-Aula– è stata prevista la conservazione, su supporto durevole, della manifestazione di volontà espressa –in ragione delle condizioni fisiche del paziente– attraverso videoregistrazione o altri “dispositivi che consentano alla persona con disabilità di comunicare”. 

L’indeterminatezza su aspetti essenziali di un così rilevante trattamento di dati sensibili è una criticità da superare, per la tutela tanto del diritto alla protezione dei dati personali quanto per l’effettività del diritto alla autodeterminazione terapeutica che le Dat mirano a garantire. Se le disposizioni anticipate di trattamento non sono, infatti, protette adeguatamente –come prescrive la normativa privacy– dal rischio di accessi abusivi, manipolazione, alterazione, distruzione o perdita dei dati ivi contenuti, si vanifica del tutto lo scopo che esse intendono perseguire. Garantire, cioè, il rispetto della volontà del paziente in ordine ai trattamenti sanitari cui essere sottoposto, nel momento in cui dovesse perdere la capacità di autodeterminarsi, secondo le direttive da lui stesso espresse appunto con lo strumento delle Dat. 

Se, ad esempio, la revoca della Dat disposta dall’interessato non fosse annotata nel relativo registro, se il contenuto delle Dat non fosse aggiornato al nuovo e diverso intendimento espresso dall’interessato –in violazione dei principi di esattezza e aggiornamento dei dati trattati– nel momento in cui questi dovesse perdere la capacità di autodeterminarsi nessuno, neppure il fiduciario ove nominato, potrebbe garantire l’effettivo rispetto della volontà del paziente. E dunque lo strumento delle Dat non potrebbe esplicare la sua essenziale funzione di tutela della autodeterminazione dell’interessato, peraltro con quell’esigenza di costante aggiornamento necessaria per garantire la corrispondenza della dichiarazione all’eventuale evoluzione o mutamento che dovesse interessare la volontà del paziente. 

Il rispetto della normativa di protezione dati –che si articola in misure di sicurezza adeguate, garanzie di esattezza, aggiornamento, integrità dei dati trattati, in particolare se sensibili– è dunque, in questo senso, una condizione imprescindibile di effettività del diritto alla autodeterminazione terapeutica, da garantire con norme che possono integrarsi nel testo all’esame della Commissione, senza neppure stravolgerne la struttura ma, anzi, migliorandone l’equilibrio complessivo. Non a caso, il parere della Commissione Giustizia della Camera sul testo-Aula ravvisava l’opportunità di prevedere specificamente le modalità di conservazione delle Dat, attraverso la realizzazione di un registro informatico “consultabile in tempo reale su tutto il territorio nazionale e al quale possano accedere le strutture sanitarie, il tutto nel rispetto della tutela della privacy”. 

Del resto, la scelta di rimettere integralmente a disposizioni regionali l’an e il quomodo dell’istituzione di eventuali banche dati delle Dat potrebbe rilevare sotto il profilo della legittimità costituzionale delle relative discipline regionali, sotto un duplice profilo. Nella misura in cui, infatti, tali leggi regionali (sempre che si dovesse scegliere la fonte legislativa), nel disciplinare così rilevanti sistemi informativi, dovessero introdurre disposizioni contrastanti con le norme in materia di protezione dati, violerebbero il riparto di attribuzioni tra potestà legislativa statale e regionale, sancito in materia dalla Carta costituzionale. Come nel caso deciso dalla Consulta con la sentenza n. 271 del 2005, infatti, sarebbero illegittime le leggi regionali con le quali si intendesse surrettiziamente disciplinare –con modalità diverse e incompatibili con quelle previste dal Codice– una materia, quale quella del trattamento dei dati personali, riservata alla potestà legislativa esclusiva dello Stato, in quanto riconducibile alla materia dell’ordinamento civile di cui all’articolo 117, comma secondo, lettera l), della Costituzione. 

Quella di una base legislativa comune –che sinora appunto è mancata– è, del resto, la principale esigenza ravvisata nei pareri espressi dal Garante su alcuni regolamenti comunali istitutivi dei registri delle Dat.

Ma soprattutto, rimettere alle regioni la scelta di “regolamentare la raccolta di copia delle DAT, compresa l’indicazione del fiduciario, e il loro inserimento nella banca dati, lasciando comunque al firmatario la libertà di scegliere se darne copia o indicare dove esse siano reperibili”, legittimando così una potenziale difformità, su base regionale, nelle garanzie riconosciute al diritto all’autodeterminazione terapeutica dei cittadini, rischia di riproporre le condizioni alla base della sentenza n. 262 del 2016 della Consulta. Sentenza con cui è stata dichiarata l’illegittimità di una legge regionale istitutiva del registro regionale delle Dat, per violazione del riparto di attribuzioni Stato-regioni ancora una volta rispetto alla materia “ordinamento civile”. In quella sede, infatti, la Corte ha avuto modo di osservare come “l’attribuzione di un rilievo pubblico a tali manifestazioni di volontà, espressive della libertà di cura (…), implica la necessità di una articolata regolamentazione [...] e interferisce nella materia dell’«ordinamento civile», attribuita in maniera esclusiva alla competenza legislativa dello Stato dall’articolo 117, comma secondo, lettera l), Cost.. D’altra parte, data la sua incidenza su aspetti essenziali della identità e della integrità della persona, una normativa in tema di disposizioni di volontà relative ai trattamenti sanitari [...] necessita di uniformità di trattamento sul territorio nazionale, per ragioni imperative di eguaglianza, ratio ultima della riserva allo Stato della competenza legislativa esclusiva in materia di «ordinamento civile», disposta dalla Costituzione”.

Per tali ragioni, dunque, la stessa Commissione parlamentare per le questioni regionali, in sede di parere sul testo sottoposto all’Aula della Camera dalla Commissione, manifestava, con specifica condizione, la necessità di prevedere una specifica disciplina per le banche dati regionali, per le quali “appare necessario un coordinamento a livello nazionale”.

3. Possibili integrazioni 

Alla luce di quanto osservato, dunque, è quantomai opportuno che il disegno di legge delinei, almeno nei suoi aspetti essenziali, le modalità di conservazione delle Dat e dell’eventuale istituzione di un registro su base nazionale o, qualora si preferisse articolarne la tenuta su base regionale, i criteri, le condizioni e le garanzie da accordare ai dati personali coinvolti in questo trattamento, con le specifiche cautele derivanti dalla loro natura sensibile. In tal senso depongono, del resto, anche diversi ordini del giorno presentati alla Camera e accolti come tali dal Governo. Pur nella diversità degli impegni proposti, tali atti di indirizzo sono accomunati dall’esigenza di completare il disegno di legge con la previsione (eventualmente anche demandata ad un regolamento attuativo) di norme specifiche relative alla conservazione –“nel rispetto della privacy”– delle Dat e all’eventuale istituzione di un apposito registro, tale da garantire, all’occorrenza, l’agevole reperibilità della dichiarazione e la stessa conoscenza della sua esistenza.

Ovviamente le soluzioni suscettibili di scelta sono varie e di competenza, com’è evidente, esclusivamente del legislatore.

Ciò che in linea generale possiamo suggerire è, anzitutto, di effettuare con il disegno di legge stesso la scelta essenziale (anche ai fini della disciplina transitoria) sul soggetto tenuto alla gestione dell’eventuale registro o archivio delle Dat o comunque alla conservazione delle stesse. Le condizioni di liceità del trattamento mutano infatti sensibilmente in ragione della natura pubblica o privata del titolare del trattamento. 

Nel primo caso dovrà infatti rinvenirsi, oltre alla presente base legislativa (che indica le rilevanti finalità di interesse pubblico perseguite dal trattamento), anche un atto di natura regolamentare emanato su conforme parere del Garante che, in ossequio alla regola generale di cui all’art. 20, c. 2, del Codice, specifichi i tipi di dati trattabili e di operazioni eseguibili.

Nel secondo caso il trattamento sarà invece subordinato al consenso scritto dell’interessato e alla ricomprensione del trattamento stesso nell’autorizzazione del Garante di cui all’art. 26 d.lgs. n. 196 del 2003, con la quale si indicano le modalità con le quali esso sia svolto. 

Qualora invece si decida di inserire le Dat nel fascicolo sanitario elettronico, sarà necessario integrare di conseguenza il relativo regolamento attuativo (dPCM n. 187 del 2015), ricomprendendo tali disposizioni all’interno del possibile contenuto del fascicolo. 

Un’integrazione a tale regolamento sarà comunque opportuna anche con riferimento al nuovo istituto, introdotto dall’art. 5 del ddl, relativo alla pianificazione condivisa delle cure, che peraltro è anch’esso suscettibile di realizzazione mediante videoregistrazione dell’espressione di volontà da parte del paziente, in presenza di condizioni fisiche ostative alla prestazione del consenso in forma scritta. Dal momento che la pianificazione delle cure è inserita –come dispone l’art. 5,c. 4, in cartella clinica o nell’fse– è opportuno che il dPCM 187 sia integrato in tal senso.

Ove poi si intenda istituire un registro su base regionale, sarà necessario individuare, con il disegno di legge, alcuni criteri essenziali ai quali le regioni si attengano nella gestione di tale sistema informativo, garantendo così una disciplina omogenea e parità di trattamento ai cittadini tanto rispetto al diritto all’autodeterminazione terapeutica, quanto rispetto al diritto alla protezione dei dati personali.

Una soluzione utile nel caso in cui si scelga di istituire il Registro delle Dat, nell’ambito di un archivio unico nazionale informatico, può essere poi quella –prospettata nella scorsa legislatura– di rinviare a un regolamento attuativo, previo parere del Garante, la previsione delle regole tecniche e delle modalità di accesso, tenuta e consultazione del registro, nonché di ogni altra disposizione di dettaglio utile a meglio disciplinare tale sistema informativo. 

Il parere del Garante sul regolamento attuativo potrebbe in ogni caso contribuire a meglio allineare la disciplina in esame con il Regolamento generale protezione dati, che sarà applicabile tra meno di un anno.