Il Garante della Privacy e il Fascicolo Sanitario Elettronico (FSE): molti dubbi, poca chiarezza

A fronte delle istanze presentate dall’Osservatorio Permanente per la Legalità Costituzionale[1] , il Garante della Privacy ha risposto con un comunicato inviato con posta certificata (https://generazionifuture.org/wp-content/uploads/Garante-Privacy-risposta-a-Generazioni-Future-05022021.pdf] che appare, tuttavia, del tutto insufficiente. L’Autorità, infatti, non prende posizione su molteplici dei dubbi sollevati dai giuristi e quando si pronuncia lo fa in modo oscuro e non comprensibile.
Resta, in particolare, non chiarita l’efficacia del dissenso espresso avverso la raccolta automatica dei dati sanitari correnti (successivi, cioè, all’entrata in vigore del Decreto Rilancio); si avvalora l’ipotesi dell’acquisizione automatica dei dati al FSE già prima della novella e in assenza del richiesto consenso espresso; non si chiarisce il quadro giuridico attualmente sussistente per la raccolta dei dati sanitari praticata con fini diversi da quelli di cura, come la profilazione e la ricerca; nemmeno si indica il fondamento normativo atto a giustificare legittimamente una compressione tanto pregnante del diritto fondamentale alla riservatezza e alla protezione dei dati sensibili. Peraltro, dall’atto interlocutorio del Garante si sviluppano ulteriori e robuste criticità, concernenti l’opzione ermeneutica sul dettato normativo da Essa offerta, nella parte in cui integra una interpretazione praeter legem, atta a violare i canoni costituzionali sotto molteplici punti di vista; aspetti che meriterebbero l’interessamento della Corte Costituzionale, ove non prontamente corretti con successivi e auspicabili interventi di chiarimento da parte dell’Autorità.

[1]  https://generazionifuture.org/al-garante-della-privacy-prof-pasquale-stanzione-raccolta-elettronica-dati-sanitari-in-tempi-di-covid-19/

Per analizzare i motivi di doglianza ingenerati dalla risposta ottenuta, giova ripercorrere brevemente le domande che erano state poste al Garante della Privacy.

In particolare, l’Osservatorio aveva chiesto un chiarimento circa gli effetti dell’esercizio espresso del dissenso, che il cittadino abbia a manifestare avverso l’automatica acquisizione dei dati al FSE, introdotta dall’art.11 del cd. Decreto Rilancio (DL 34/20).

Si era domandato, inoltre, all’Authority di indicare la base giuridica che consente di negare ogni rilievo al consenso al fine della acquisizione dei dati, sul presupposto della natura primaria e costituzionale del diritto alla riservatezza di dati e informazioni sensibili. Ciò dubitando della legittimità costituzionale di una simile compressione, operata mediante un atto parificato e non per legge in senso stretto, peraltro in assenza dei presupposti che ciò astrattamente consentono, anch’essi indicati dalla Costituzione.

Infine, si era chiesto all’Autorità di garanzia quale portata detengano gli indici testuali, contenuti nella normativa di riferimento, rivelatori di una raccolta automatica dei dati sanitari già in epoca precedente alla novella legislativa, laddove la legge previgente richiedeva invece il consenso espresso sia per la raccolta che per la visione degli stessi.

Alla luce delle richiamate istanze, come si accennava, il comunicato del Garante appare omissivo, oscuro e impenetrabile, nonché contraddittorio in diversi passaggi testuali.

Primariamente, va rilevata l’errata qualificazione dell’oggetto delle istanze presentate dall’Osservatorio, non principalmente rivolte a comprendere il valore del dissenso per l’alimentazione del FSE con i dati relativi ad eventi occorsi prima dell’entrata in vigore del Decreto Rilancio (cd. previgenti), ma piuttosto destinate a ottenere una pronuncia dell’Autorità atta a precisare il valore dell’opposizione all’acquisizione automatica dei dati sanitari oggi che risulta vigente il richiamato novum, il quale fa a meno -a tali fini- del consenso espresso.

Sul punto, il Garante conferma l’imprescrittibilità del diritto di opposizione all’alimentazione del FSE con i dati pregressi, nella parte in cui dichiara: “In materia si rappresenta che, l’11 gennaio u.s., il Garante ha diramato un comunicato stampa nel quale ha precisato che -allo stato- non esiste alcuna scadenza per esercitare il predetto diritto di opposizione e che l’indicazione di una asserita scadenza all’11 gennaio scorso indicata da soggetti pubblici e privati è priva di qualsiasi fondamento normativo (comunicato consultabile su www.gpdp.it, doc. web n. 9516732)”.

Nel disconoscere il termine decadenziale richiamato dallo European Consumers nell’ormai noto articolo dal medesimo diffuso,[2] l’Autorità aveva acclarato che il diritto a opporsi all’alimentazione del FSE (con i dati pregressi) permane a tutt’oggi.

Tuttavia, si deve ribadire che sia quel Soggetto, quanto l’Osservatorio permanente per la Legalità Costituzionale, non si riferivano affatto ai dati pregressi, ma alle sorti dei dati sopraggiunti entro il quadro giuridico intervenuto con la riforma normativa del 2020.

I dati di cui fa questione il Garante, per vero, non avrebbero totalmente dovuto essere a disposizione del Sistema Sanitario Nazionale, laddove anche per la loro mera raccolta occorreva il consenso espresso!

La risposta del Garante, pertanto, conferma i dubbi sollevati dall’Osservatorio in relazione alla disposta acquisizione automatica dei dati clinici già prima della richiamata sopravvenienza normativa, in dispregio della legge che, allora, imponeva il consenso espresso sia per la loro raccolta che per la visualizzazione. Invero, “la possibilità di rendere accessibili, tramite il FSE, anche i dati derivanti dagli eventi clinici occorsi all’assistito prima della data di entrata in vigore del d.l. Rilancio (19 maggio 2020), a prescindere dalla circostanza che lo stesso interessato avesse prestato, prima di tale data, il consenso all’alimentazione del FSE all’epoca vigente”, come si

[2]  https://www.europeanconsumers.it/2021/01/02/attenzione-alla-schedatura-sanitaria-se-non-la-negate-e-automatica/?fbclid=IwAR3ovbshnGp0BvrNZ_crSdBo-HbPGT8yNefxsi6O6nA-VR9aYsh0ACNsyt0

legge nella nota del Garante, è data solo se l’automatismo della raccolta avveniva indistintamente, a prescindere dal consenso.

Infatti, non può ritenersi che il citato passaggio dell’Authority si riferisca ad altro caso che quello di chi non avesse prestato il consenso alla raccolta dei dati pregressi, poiché coloro i quali, già in vigenza della precedente legge, lo avesse prestato, non appaiono lesi dall’interpretazione normativa cui il Garante pare accedere.

La suggerita ermeneusi, pur nelle difficoltà che si riscontrano nel comprenderla, pare integrare una interpretazione praeter legem.

La disciplina attuale richiede il consenso espresso per la visualizzazione dei dati a fini di cura. La soluzione offerta dall’Autorità indipendente per la gestione dei dati pregressi, invece, sembra che faccia retroagire la portata degli effetti della novella del 2020 e ne consente la visualizzazione in assenza del consenso espresso, richiedendo anzi un diniego espresso.

Una simile interpretazione parrebbe doppiamente illegittima: sia con riguardo all’accessibilità dei dati pregressi, data oggi per allora senza la necessità del consenso, sia con riguardo alla loro raccolta, che inevitabilmente già avveniva in assenza del consenso e con violazione della legge previgente.

La retroattività della legge ha carattere eccezionale, ostandovi il principio generale contenuto all’art. 11 delle Preleggi. Sicché, non può essere consentita la visione retroattiva dei dati pregressi solo in assenza di diniego espresso, come indica il Garante, ma piuttosto occorrendo un consenso espresso alla visibilità dei dati, siccome occorreva per la loro raccolta.

Non sembra potersi legittimamente accedere a una soluzione diversa da quella che richiede il necessario consenso espresso, oggi per allora, poiché ciò sarebbe possibile solo ove prevista dalla legge sopravvenuta (fermi i dubbi relativi alla compatibilità costituzionale di una simile previsione per i motivi espressi nella prima istanza dell’Osservatorio[3]), ovvero solo se la retroattività integrasse una regola e non un’eccezione, quale invece è.

Tuttavia, la novella del 2020 nulla dispone sulla intertemporalità dei suoi effetti, dacché discende che l’assunta retroattività della norma, atta a coinvolgere dati acquisiti (peraltro con violazione di legge) nel vigore della previgente disciplina, risulterebbe del tutto illegittima.

[3] Sulla comprimibilità del diritto di privacy si veda, passim, https://generazionifuture.org/al-garante-della-privacy-prof-pasquale-stanzione-raccolta-elettronica-dati-sanitari-in-tempi-di-covid-19/ e in particolare il quesito posto dall’Osservatorio al Garante in merito al fondamento giuridico dell’esclusione della necessità del consenso alla raccolta.

Anche quando l’Autorità afferma di avere suggerito in seno al non meglio circostanziato Tavolo nazionale sul FSE, tenutosi lo scorso ottobre, la possibilità di rendere accessibili -si legga consultabili- i dati pregressi in presenza di due presupposti, non nega ma anzi avvalora la sostanza delle ipotesi sostenute da European Consumers, conseguentemente risultando contraddire se stessa e la sua comunicazione n. 9516732.

Invero, tra i due presupposti d’ammissibilità a tale scopo suggeriti dal Garante si richiama un periodo decadenziale pari a 30 giorni entro cui esercitare il dissenso espresso con funzione ostativa alla visualizzazione.[4]

Anche in ciò è ravvisabile un motivo di illegittimità dell’interpretazione offerta dal Garante, che sembra andare oltre le parole del legislatore del 2020 e pretende di assoggettare a un termine decadenziale, vieppiù particolarmente breve, l’esercizio di un diritto soggettivo pieno, primario e costituzionalmente protetto, quale è il diritto alla segretezza dei propri dati sensibili.

Come già aveva sostenuto l’Osservatorio permanente per la Legalità Costituzionale nel proprio intervento, senza che l’Autorità abbia levato risposta in merito, il diritto primario alla riservatezza non appare comprimibile nemmeno in forza di una legge ordinaria, rectius: di un atto avente forza di legge, in assenza dei presupposti che ciò relativamente consentono, reperibili nel dettato costituzionale (artt. 2, 13 Cost.).

Continua a sfuggire quale base giuridica consentirebbe di assumere legittima la previsione per cui la raccolta e, nella parte relativa ai dati pregressi anche la visualizzazione, dei dati sanitari può fare a meno del consenso dell’interessato, peraltro nell’epoca del GDPR.

Vittoria di Pirro appare, inoltre, piuttosto integrando, a nostro avviso, una attività doverosa della Authority, la comunicazione dell’indizione di una campagna informativa volta a indicare le modalità di esercizio del diritto di opposizione. Ove poi tale campagna venga svolta nei termini di cui alla odierna risposta del Garante, v’è da temere che l’informativa sia ben lungi dal dimostrarsi effettiva e utiliter data.

Ma v’è di più. Mentre manca di chiarire la portata del diniego alla raccolta per gli eventi clinici avvenuti o che avvengano in periodi successivi all’entrata in vigore del Decreto Rilancio, l’Autorità

[4] “la soppressione del comma 3-bis all’art.12 del d.l. n. 179/2012 (c.d. “consenso all’alimentazione”) ad opera del d.l. Rilancio ha determinato la costituzione e l’alimentazione automatica del FSE, per espressa previsione normativa, a prescindere dal consenso dell’interessato/assistito”. Tuttavia, “Il consenso di quest’ultimo è invece ancora necessario per la consultazione del FSE per finalità di cura (c.d. “consenso alla consultazione”) (..) sia comunque garantito all’interessato di poter esercitare il diritto di opporsi alla predetta alimentazione del FSE con i dati sanitari generati da eventi clinici occorsi allo stesso antecedentemente al 19 maggio 2020, entro un termine prestabilito, non inferiore a 30 giorni

non indica nemmeno modalità e forme del dissenso espresso relativo ai dati pregressi: a quale soggetto, per esempio, destinare la dichiarazione? Forse nella campagna informativa promessa il Garante della Privacy ne vorrà dar conto ai cittadini.

Ulteriormente, in rapporto alle finalità della raccolta dei dati sanitari, il Garante non risponde appieno ai quesiti dell’Osservatorio.

Gli scopi di cura, infatti, non sono gli unici considerati dalla normativa; vi si affiancano fini di ricerca e di profilazione, sui quali l’Autorità non prende posizione circa il rilievo che il dissenso ovvero il consenso giocano -o dovrebbero giocare- intorno a tali scopi. L’omissione sussiste sia in rapporto ai dati sanitari attuali che a quelli pregressi.

In conclusione, l’anodina comunicazione dell’Autorità, che manca integralmente di approntare risposta o di fornirla in modo chiaro alle istanze dell’Osservatorio, fa insorgere un fumus di convalida del sospetto sostenuto nell’atto di interpello dell’Osservatorio e riassumibile come segue:

– già prima della novella 2020, in dispregio della normativa previgente, la raccolta dei dati sanitari veniva eseguita de plano, in assenza del consenso alla loro acquisizione, nonostante ciò richiedesse la legge, non essendo altrimenti comprensibile come porsi oggi un problema di visualizzazione degli stessi dati ove non raccolti;

– è necessario (eccome!) opporsi espressamente se si vuole impedire la raccolta dei dati sanitari e il loro impiego a qualsiasi fine, in modo da stimolare l’investitura della Corte Costituzionale circa la legittimità del Decreto Rilancio, nella parte in cui esclude ogni rilievo al consenso espresso per l’acquisizione dei dati al FSE, nonché laddove lascia permanere la necessità del consenso per l’accessibilità, dunque l’uso, dei dati al solo fine curativo, anziché esigerlo per ogni scopo;

– la raccolta dei dati sanitari concerne, principalmente, finalità diverse da quella di cura, ancora oggi schermata dalla necessità del consenso, e concernenti la profilazione e la ricerca;

– il diritto alla riservatezza recede, anche e soprattutto per l’Autorità costituita per l’unica ragione di garantirne il rispetto, di fronte a scellerate misure normative del tutto difformi dalle previsioni costituzionali, che consentono di limitare diritti fondamentali per il tramite di atti aventi forza di legge, con violazione del principio di stretta riserva legislativa e in assenza dei presupposti richiesti dalla Carta Fondamentale per solo relativizzare e mai svuotare di contenuto tali diritti.

l’Osservatorio permanente sulla Legalità Costituzionale

 

QUI PER SCARICARE IL FILE PDF: https://generazionifuture.org/wp-content/uploads/il-garante-della-privacy-e-il-fascicolo-sanitario-elettronico-molti-dubbipoca-chiarezza.pdf

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su