Regolamento - 27/04/2016 - n. 679 art. 9 - Trattamento di categorie particolari di dati personali (A)

Deroghe alla disciplina del trattamento di dati particolari

Da una prima lettura delle deroghe previste dall'art. 9 si può notare come esse corrispondano solo in parte alle condizioni dell'art. 6. Sul punto è rinvenibile una vera e propria contraddizione che potrebbe essere definita il «paradosso dei dati particolari». Si nota, infatti, che mentre in certi casi le condizioni dell'art. 9 risultano più stringenti rispetto a quelle dell'art. 6, aumentando quindi il livello di tutela dei dati, in altri appaiono addirittura meno garantiste. È evidente che ciò contrasterebbe la stessa ratio dell'art. 9, volto a fornire maggiori cautele per le categorie particolari di dati. Tale paradosso, già presente nella formulazione della direttiva madre e rilevato anche dal WP 29 (WP 29, op. on legitimate interest), non può che essere risolto in via interpretativa. In particolare, è in primo luogo necessario scegliere tra l'applicazione del principio generale «lex specialis derogat lex generalis» (e, dunque, la sola applicazione dell'art. 9), ovvero il cumulo delle condizioni di cui all'art. 6 e all'art. 9, laddove presenti. Inoltre, anche nel caso di cumulo ci si dovrebbe chiedere come comportarsi laddove le voci non corrispondano. In ogni caso, il WP 29 propende a favore della soluzione cumulativa: dovrebbero applicarsi le condizioni dell'art. 6 quando risultano più stringenti di quelle dell'art. 9, in cumulo con quelle di quest'ultima disposizione (Bolognini, Pelino, Bistolfi, 280).

La ratio dell'art. 9 è anche alla base di tutta una serie di garanzie ulteriori rinvenibili sia nell'articolato prescrittivo del Regolamento, sia nei considerando. A tal proposito, particolarmente invasivi risultano ad esempio la profilazione (v. considerando 71) e il processo decisionale automatizzato connessi a categorie particolari di dati, relegati dall'art. 22.4 al caso in cui sia raccolto il consenso esplicito dell'interessato o a quello in cui il trattamento sia necessario per motivi di interesse pubblico rilevante e previa adozione di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato. Provando a elencare ulteriori occasioni in cui il Regolamento utilizza il trattamento di categorie particolari di dati personali per rafforzare gli istituti a tutela dei diritti e delle libertà degli interessati, emergono i casi seguenti: il registro dei trattamenti risulta sempre obbligatorio in caso di trattamento di categorie particolari di dati (art. 30); in caso di trattamento su larga scala di dati sensibili (art. 35 e considerando 91), è necessario effettuare una valutazione d'impatto; per le categorie particolari è prevista la nomina del Responsabile per la protezione dei dati, dotato di una conoscenza specialistica della normativa (art. 37 e considerando 97) del settore di riferimento; è richiesta la nomina di un rappresentante per i trattamenti effettuati da un titolare o un responsabile del trattamento non stabilito nell'UE (art. 27 e considerando 80); infine, anche in tema di diritti dell'interessato e di informativa (artt. 13, 14, 17, 20) è previsto che essa contenga specifici riferimenti circa l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento, il diritto alla cancellazione e il diritto alla portabilità dei dati nel caso di dati particolari per i quali l'interessato ha prestato il consenso.

I casi di deroga al divieto di trattamento previsti dall'art. 9 sono dunque i seguenti:

a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1.

Si tratta della medesima condizione prevista dall'art. 6, con l'unica ma rilevante aggiunta della parola «esplicito», che non lascia perciò adito a dubbi circa la possibilità di raccolta del consenso per fatti concludenti (cfr. commento art. 6).

A tal riguardo può segnalarsi l'adozione da parte dell'European Data Protection Board delle Linee guida 05/2020 sul consenso ai sensi del regolamento (UE) 2016/679. Tale documento si è tuttavia limitato ad emendare la precedente versione firmata dal WP29 ed emanata il 10 aprile 2018, intervenendo con alcune mirate novelle in tema di validità del consenso fornito dall'interessato in caso di interazione con i cookie wall e sui meccanismi di scorrimento.

b) Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato.

Tale deroga è stata interamente lasciata alla normativa integrativa degli Stati membri. La disciplina italiana è prevista dal Capo VIII del Codice, denominato «Trattamenti nell'ambito del rapporto di lavoro», nonché alle Regole deontologiche promosse dal Garante ai sensi dell'art. 111 cod. privacy.

c) Il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso.

Questa condizione sembrerebbe corrispondere a quella definita dalla lett. d) dell'art. 6; tuttavia, essa è limitata al caso in cui «l'interessato si trovi in condizione di incapacità fisica o giuridica di prestare il consenso». Ci si associa a chi rileva l'indeterminatezza di questa previsione: non è infatti chiaro, dal momento che gli interessi vitali tutelati sono quelli di un terzo, quale rilievo dovrebbe assumere la capacità fisica dell'interessato (Pelino, in Bolognini, Pelino, Bistolfi, 318).

d) Il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato.

Tale deroga, volta ad agevolare il trattamento delle categorie particolari di dati per quegli enti che non solo non perseguono scopo di lucro, ma il cui oggetto è considerato meritevole da parte del legislatore europeo, lascia un notevole spazio all'interpretazione. Non riferendosi, infatti, ai soli trattamenti necessari, la deroga potrebbe essere estesa a più ampie categorie di dati trattati da questa tipologia di organismi. Tale conclusione potrebbe, tuttavia, estendere in maniera ingiustificata le possibilità di trattamento dei dati; per tale ragione, il titolare dovrebbe svolgere un'analisi particolarmente stringente del principio di finalità (Pelino, in Bolognini, Pelino, Bistolfi, 318). Sul rilievo di tale disposizione rispetto ai trattamenti posti in essere da chiese e associazioni religiose, anche in relazione al rapporto tra ordinamenti confessionali e diritto alla protezione dei dati personali, si rimanda al commento all'art. 91.

e) Il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato.

Questa deroga risulta tra le più interessanti del Regolamento in quanto può consentire il trattamento di categorie particolari di dati nelle circostanze in cui sarebbe difficoltoso rintracciare l'applicabilità delle altre deroghe. La formulazione ricalca peraltro quanto disposto dall'art. 8.2, lett. e) della dir. 95/46/CE, nonché quanto disposto dall'«Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale». Quest'ultima, riprendendo quanto disposto dalla direttiva, stabiliva che «[i] dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall'interessato e per i quali l'interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi». È evidentemente necessario parametrare correttamente i termini «resi manifestamente pubblici dall'interessato», poiché un'eventuale interpretazione estensiva rischierebbe di dilatare a dismisura il novero dei dati sensibili trattabili in assenza di una base giuridica teleologicamente orientata (si noti incidentalmente che, a differenza delle altre basi giuridiche, quella di cui alla lett. e) non è vincolata a una o più finalità perseguite dal titolare). Innanzitutto è necessario valorizzare la circostanza per cui i dati devono essere resi pubblici dall'interessato stesso: il presupposto potrebbe dunque essere un'azione attiva e volontaria e non, ad esempio, la conseguenza di una richiesta.

Il concetto di dato manifestamente reso pubblico può essere confrontato con la disciplina del codice privacy A-R in tema di dati comuni. L'art. 24.1, lett. c) prevedeva infatti che i dati provenienti da «pubblici registri, elenchi, atti o documenti conoscibili da chiunque» non necessitassero del consenso dell'interessato.

Lo stesso Garante era intervenuto con il provvedimento «Comunicazione politica, e-mail, atti e documenti pubblici conoscibili da chiunque», chiarendo che per dato personale reso pubblico ci «si riferisce non a qualunque dato personale che sia di fatto consultabile da una pluralità di persone, ma ai soli dati personali che oltre ad essere desunti da registri, elenchi, atti o documenti “pubblici” [...] siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque, regime che può peraltro prevedere modalità o limiti temporali». Rispetto alla formulazione dell'art. 24, la deroga di cui alla lett. e) appare ancora più limitata, data la difficoltà di reperire atti o documenti reperibili da chiunque relativi a categorie particolari di dati (GPDP, 11 gennaio 2001, n. 4 [doc. web 40823]; cfr. però quanto detto sull'applicabilità di questa deroga ai dati di tipo comune nel commento all'art. 6).

Infine, è necessario rilevare anche i dati pubblici non si prestano a essere trattati in modo indiscriminato, dovendo anch'essi passare il rigoroso vaglio imposto dal principio di finalità (v. art. 5 relativamente ai principi del trattamento).

Così, ad esempio, la possibilità di reperire un dato on-line non comporta la liceità del trattamento a fini commerciali (GPDP, 29 maggio 2003 [web n. 29840]).

Analogamente, di recente il Garante ha avuto modo di chiarire come la pubblica disponibilità di dati sul web, ad esempio sui social network, non ne implichi automaticamente la legittimità della raccolta e del successivo utilizzo da parte di soggetti terzi per altri e più specifici fini (GPDP, 10 febbraio 2022 [web n. 9751362]). Più nel dettaglio, nel caso oggetto della pronuncia richiamata era stato creato un database di oltre dieci miliardi di immagini facciali acquisite in internet attraverso il ricorso a tecniche di web scraping, che postulano un'attività di estrazione di informazioni di valore da siti web per mezzo di particolari software, a completa insaputa degli interessati; tali immagini venivano poi sottoposte a un processo di elaborazione biometrica con successivo hashing per finalità di indicizzazione e ricerca, mediante messa a disposizione del database a soggetti terzi.

Premettendo che le attività di web scraping sono nella prassi applicativa normalmente vietate dai gestori dei servizi di social networking attraverso esplicite clausole contrattuali contenute nei termini di servizio, il Garante ha al riguardo evidenziato che la natura pubblica delle immagini non costituisce una condizione sufficiente a far ritenere che gli interessati possano ragionevolmente attendersi un riutilizzo delle medesime immagini per finalità di riconoscimento facciale, per di più da parte di una piattaforma privata non stabilita nell'Unione e della cui esistenza e attività la maggior parte degli interessati è ignaro.

Quanto esposto trova conforto anche nel Parere 6/2014 del WP 29, il quale ha chiarito «che, anche se sono stati resi accessibili al pubblico, i dati personali continuano a essere considerati tali e, di conseguenza, per il loro trattamento continuano a essere necessarie adeguate garanzie»; precisamente, «sarebbe inappropriato concludere per esempio che il fatto che qualcuno abbia reso alcune categorie particolari di dati manifestamente pubbliche ai sensi dell'articolo 8 [oggi art. 9 del GDPR], paragrafo 2, lettera e), sia (sempre in sé e per sé) una condizione sufficiente a consentire qualunque tipo di trattamento dei dati, senza effettuare un test comparativo degli interessi e dei diritti in gioco in conformità dell'articolo 7 [oggi art. 6 del GDPR], lettera f».

Alla luce di quanto precede, sembrerebbe doversi dedurre che sulle informazioni rese pubbliche dagli interessati insista uno specifico vincolo teleologico, ossia una precisa destinazione funzionale che non sempre può ritenersi conciliabile con le finalità di trattamento che il soggetto terzo intenderebbe perseguire raccogliendo quelle informazioni. In tal senso, dovrebbe ritenersi che la pubblicazione di dati personali da parte dell'interessato sui social network sia vincolata, ad esempio, al suo desiderio di ottenere visibilità online e condividere aspetti della sua vita privata con la comunità del social network cui appartiene; conseguentemente, un'eventuale raccolta da parte di un terzo per altri fini dovrebbe essere preceduta da un attento vaglio di compatibilità tra la finalità che il terzo stesso aspira a conseguire e lo scopo che l'interessato desiderava soddisfare quando ha pubblicato quell'immagine sul social network. Con ogni evidenza, si tratterebbe di una valutazione estremamente rischiosa, della quale il soggetto terzo dovrebbe assumersi ogni responsabilità alla luce della sua accountability.

S'aggiunga, da ultimo, che sul punto può avere rilievo anche l'art. 61 del codice privacy, «Utilizzazione di dati pubblici e regole deontologiche». Tale norma individua nel Garante l'organo che dovrà promuovere, ai sensi dell'art. 2-quater, «l'adozione di regole deontologiche per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l'associazione di dati provenienti da più archivi, tenendo presenti le pertinenti Raccomandazioni del Consiglio d'Europa».

A livello giurisprudenziale, si menziona la recente pronuncia di CGUE, sent. 4 ottobre 2024, causa C-446/21, Schrems c. Meta Platforms, ECLI:EU:C:2024:834, ai sensi della quale il fatto che una persona abbia reso manifestamente pubblico un dato riguardante il suo orientamento sessuale può comportare che tale dato possa essere oggetto di trattamento (possibilità da accertare a cura dell’autorità giudiziaria nazionale). Tuttavia tale circostanza in ogni caso non autorizza - di per sé - il trattamento di altri dati personali relativi all'orientamento sessuale di tale persona: il fatto che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda pubblica non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di tale persona ottenuti, se del caso, al di fuori di tale piattaforma a partire da applicazioni e siti Internet di partner terzi - ai fini di aggregarli e analizzarli per proporre a tale persona della pubblicità personalizzata. Ciò in ragione del principio di minimizzazione dettato dal GDPR.

f) Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.

Secondo il considerando 52, «La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell'Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell'interesse pubblico [...]. La deroga dovrebbe anche consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale».

È perciò stato esplicitato che la deroga in esame si applica anche al trattamento effettuato in sede amministrativa e stragiudiziale; nella disciplina del codice si era invece resa necessaria una «forzatura» per farvi rientrare anche queste categorie: i procedimenti amministrativi e stragiudiziali erano ricompresi nella fase propedeutica all'instaurazione della procedura giudiziale (GPDP, 3 giugno 2004 [doc. web n. 1007280]; (Pelino, in Bolognini, Pelino,Bistolfi, 317).

g) Il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

È stato rilevato che tale deroga risulta così generica da poter contribuire alla frammentazione delle normative (Pelino, in Bolognini, Pelino,Bistolfi, 318). In effetti, i motivi di interesse pubblico rilevante si prestano più di ogni altra definizione a facili strumentalizzazioni. Il legislatore italiano ha però individuato in maniera analitica le categorie per le quali si «considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri» all'art. 2-sexies del Codice privacy. In particolare, la materia regolata dall'art. 112 cod. privacy – il tema del lavoro e della previdenza per i soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri – è ora rinvenibile nell'art. 2-sexies cod. privacy. Nell'elenco si possono reperire sia «il riferimento ai compiti in materia di instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell'ambito dei rapporti di lavoro oltre agli adempimenti degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro, ma anche quelli relativi all'accertamento della responsabilità civile/disciplinare e attività ispettiva» (Iannone, 2018).

La vera novità è perciò costituita dalla sostituzione del riferimento ai «soggetti pubblici» dell'ormai abrogato art. 112 con i «soggetti che svolgono compiti di interesse pubblico». In questa categoria rientrano Enti di interesse pubblico, come indicati dal d.lgs. n. 39/2010, art. 16 comma 1, in materia di revisione legale, tra cui a loro volta vi rientrano banche, società quotate, società concessionarie di servizi pubblici (Iannone, 2018).

h) Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3.

Questa deroga deve essere collegata al comma terzo, per il quale dispone che «tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti». Si veda il commento alla lettera successiva.

i) Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale.

L'art. 21 del d.lgs. n. 101/2018 è intervenuto andando a modificare un sistema normativo che subordinava il trattamento dei dati relativi alla salute alle Autorizzazioni Generali del Garante, in attuazione delle disposizioni del Regolamento. Proprio l'art. 21 ha demandato allo stesso Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6.2), lett. c) ed e), 9.2, lett. b) e 9.4, nonché al Capo IX, del Regolamento, che risultassero compatibili con le norme europee e con quelle del decreto medesimo, provvedendo altresì al loro aggiornamento. Per tale ragione, il Garante ha adottato alcuni provvedimenti di estrema rilevanza, volti a produrre effetti sino all'adozione delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies cod. privacy.

Il primo (GPDP, 13 dicembre 2018 [doc. web 9068972]) ha individuato le disposizioni delle Autorizzazioni Generali n. 3-6-8-9/2016 compatibili con il Regolamento. A tale provvedimento, sottoposto a un procedimento di consultazione pubblica, è seguita l'adozione del Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 d.lgs. n. 101/2018 (GPDP, 5 giugno 2019 [doc. web n. n. 9124510]). Un altro importante tassello è stato posato dal Garante con il provvedimento Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario (GPDP, 7 marzo 2019 [doc. web n. 9091942]) contenente, tra l'altro, considerazioni in merito alle informazioni da fornire all'interessato, ai Responsabili per la protezione dei dati e al registro delle attività di trattamento. Con questo provvedimento si è tentato di riorganizzare una disciplina in cui, a seguito dei numerosi interventi normativi e della pluralità delle fonti, risultava non facile orientarsi. In tale sede il Garante ha ricondotto, limitatamente all'ambito sanitario e in via generale (non escludendo che a seconda dello specifico trattamento effettuato, non possa ritenersi applicabile al caso concreto una delle altre deroghe previste dall'art. 9 del Regolamento), le deroghe di cui all'art. 9 a tre categorie:

a) motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri (art. 9.2, lett. g) del Regolamento), individuati dall'art. 2-sexies del Codice;

b) motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale (art. 9.2, lett. i e considerando 54 del Regolamento) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);

c) finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito «finalità di cura») sulla base del diritto dell'Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9.2, lett. h) e art. 9.3 e considerando 53 del Regolamento; art. 75 cod. privacy) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch'essa soggetta all'obbligo di segretezza (GPDP, 13 dicembre 2018 [doc. web 9068972]; GPDP, 7 marzo 2019 [doc. web n. 9091942]).

Riguardo ai trattamenti indicati al punto c) (per «finalità di cura») il Garante osserva che tale finalità costituisce il caso più peculiare. Si tratta infatti di trattamenti «effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch'essa soggetta all'obbligo di segretezza». Ci si trova quindi in discontinuità con il passato: il professionista sanitario, soggetto al segreto professionale, «non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all'interno di una struttura sanitaria pubblica o privata». Ciò, peraltro, coerentemente alle considerazioni in merito alla perdita della centralità assoluta del consenso nell'ambito delle condizioni di liceità (cfr. commento art. 6).

Inoltre, riguardo all'ambito oggettivo, anche in relazione al considerando 53 del Regolamento, il Garante rileva che i trattamenti di cui all'art. 9.2, lett. h) sono proprio quelli «necessari» al perseguimento delle specifiche «finalità di cura» previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute.

Al contrario, tutti i trattamenti connessi solo in senso lato alla cura, «ma non strettamente necessari», richiedono, anche se effettuati da professionisti della sanità, una distinta base giuridica, «da individuarsi, eventualmente, nel consenso dell'interessato o in un altro presupposto di liceità». Tra questi rientrano i trattamenti connessi all'utilizzo di App mediche (v. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità), i trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell'ambito del Servizio sanitario nazionale (SSN), i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza), trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali (GPDP, 6 marzo 2014, [doc. web n. 3013267]), trattamenti effettuati attraverso il Fascicolo sanitario elettronico, previsto dal d.lgs. n. 179/2012, art. 12, comma 5. Sul punto il Garante specificava che «In tali casi, l'acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all'applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall'art. 75 del codice. Al riguardo, un'eventuale opera di rimeditazione normativa in ordine all'eliminazione della necessità di acquisire il consenso dell'interessato all'alimentazione del Fascicolo potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati». Il prospettato intervento legislativo ha infine avuto corso. Il citato art. 12 del d.l. n. 179/2012, convertito dalla l. n. 221/2012 – e successivamente disciplinato dal d.P.C.M. n. 178/2015 – è stato modificato dall'art. 11 d.l. n. 34/2020, convertito dalla l. n. 77/2020, facendo venire definitivamente meno il requisito del consenso dell'interessato all'alimentazione del Fascicolo sanitario elettronico. Successivamente, il Garante è intervenuto con due note del 15 dicembre 2020 e del 20 gennaio 2021 volte a chiarire, in particolare, le regole vigenti per l'alimentazione del Fascicolo con i dati delle prestazioni sanitarie svolte prima del maggio 2020, data di entrata in vigore del c.d. decreto rilancio.

Al riguardo, merita di essere richiamato anche il Compendio del 28 marzo 2024 sul trattamento dei dati personali attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app (doc. web n. 9997624), con il quale l'Autorità Garante è tornata a pronunciarsi sulle basi giuridiche invocabili in ambito sanitario, con particolare riferimento – tuttavia – allo scenario concernente i diversi trattamenti svolti nell'ambito delle piattaforme volte a facilitare la messa in contatto degli utenti con i professionisti sanitari. In particolare, è stato specificato che:

a)       il trattamento dei dati sulla salute degli utenti che utilizzano le predette piattaforme per scegliere e prenotare una prestazione con un professionista sanitario, non estrinsecandosi in operazioni strettamente necessarie alla diagnosi o terapia sanitaria, debba basarsi sul preventivo consenso informato degli utenti (art. 9, par. 2., lett. a) del Regolamento); tale manifestazione di volontà deve essere espressa attraverso un atto positivo con il quale l'interessato manifesta una volontà libera, specifica, informata e inequivocabile e revocabile relativa al trattamento dei dati personali che lo riguardano;

b)       il trattamento dei dati personali dei professionisti sanitari che si avvalgono delle piattaforme per entrare in contatto con possibili pazienti possa ritenersi lecito nella misura in cui risulti necessario per l'esecuzione di un contratto di servizi tra il soggetto che gestisce la piattaforma e lo stesso professionista sanitario (art. 6, par. 1, lett. b) del Regolamento);

c)       i trattamenti di dati sulla salute dei pazienti -che potrebbero essere venuti in contatto con il professionista sanitario attraverso la piattaforma - strettamente necessari per le finalità di cura, eventualmente effettuati dal professionista tenuto al segreto professionale, in qualità di titolare del trattamento, nell'ambito del rapporto medico, possa ritenersi lecito ai sensi dell'art. 9, par. 2, lett. h) e par. 3 del Regolamento (in senso analogo a quanto già chiarito con i sopra menzionati “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019).

j) Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'art. 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

Anche per il commento di quest'ultima deroga, che rimanda al diritto nazionale, si rinvia ai commenti del presente volume dedicati ai trattamenti di archiviazione nel pubblico interesse e di ricerca storica, e a quelli relativi alla ricerca scientifica. È qui necessario segnalare che il cod. privacy ha dedicato due articoli all'interno del Capo III, ovvero quello sui trattamenti a fini statistici o di ricerca scientifica. Si tratta dell'art. 107 cod. privacy, «Trattamento di categorie particolari di dati personali», e dell'art. 109 cod. privacy, «Dati statistici relativi all'evento di nascita». Il primo articolo consente, sulla base delle regole deontologiche individuate dal Garante (art. 106) o in base alle misure di cui all'art. 2-septies e «fuori dei casi di particolari indagini a fini statistici o di ricerca scientifica previste dalla legge» che il consenso dell'interessato al trattamento di categorie particolari di dati possa essere prestato con modalità semplificate. L'art. 109 prevede invece che per la rilevazione dei dati statistici relativi agli eventi di nascita, «compresi quelli relativi ai nati affetti da malformazioni e ai nati morti nonché per i flussi di dati anche da parte di direttori sanitari» si osservano, oltre alle disposizioni di cui al decreto del Ministro della sanità n. 349/2001 e le modalità tecniche determinate dall'Istituto nazionale di statistica, sentiti i Ministri della salute, dell'interno e il Garante.

La disciplina dei dati “super-sensibili” nel Codice italiano e le misure di garanzia stabilite dal Garante

Nell'ambito della più ampia categoria dei dati “particolari”, riguardanti profili particolarmente delicati della vita privata delle persone (es. sfera religiosa, politica, sindacale e filosofica, origine razziale ed etnica), i dati genetici e biometrici e le informazioni relative allo stato di salute e all'orientamento e alla vita sessuale sono oggetto di una speciale protezione.

Una delle più interessanti novità, introdotte in Italia dal Decreto legislativo di adeguamento del 10 agosto 2018, n. 101, riguarda proprio, in generale, il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale o all'orientamento sessuale delle persone. Innovazioni significative si riscontrano anche, più nello specifico, con riferimento all'ambito sanitario strettamente inteso (mentre è chiaro che le menzionate categorie di dati – genetici, biometrici, relativi alla salute e alla vita o all'orientamento sessuale, categorie spesso definite impropriamente “super-sensibili” – possono ben essere oggetto anche di trattamento in altri settori, diversi da quello sanitario) (Bolognini, Pelino).

In primo luogo, è bene sottolineare un aspetto definitorio direttamente derivante dal Regolamento: le parole “dati relativi a” (es. lo stato di salute), che troviamo nel testo del Regolamento europeo a definizione delle categorie di dati particolari (sensibili e “super-sensibili”), appaiono senz'altro modificative dell'estensione del perimetro potenziale di appartenenza di un'informazione a tali categorie di dati, in senso restrittivo rispetto alla previgente e più larga definizione di “dati idonei a rivelare” (es. lo stato di salute).

In secundis, va ricordato che l'art. 9 (ma è utile anche il richiamo, in tal senso, dei considerando 51, 52 e 53) – il quale fissa le condizioni di liceità, a contrario per rimozione del divieto, del trattamento dei dati particolari (sensibili) – annovera già, a monte, diverse previsioni immediatamente legittimanti il trattamento di dati delle categorie anche “super-sensibili”, in ambiti di loro normale e frequente utilizzo.

Alla luce del paragrafo 4 dell'art. 9, ogni Stato membro può mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Questa previsione, si noti, non si riferisce solo all'ambito sanitario, ma più in generale a qualsiasi ambito nel quale si trattino dati “super-sensibili”, ad eccezione di quelli relativi alla vita o all'orientamento sessuale.

La parola “mantenere” fa pensare alla possibile e legittima conservazione, anche come condizioni di liceità e prescrizioni di misure necessarie o opportune, di autorizzazioni e di alcuni importanti provvedimenti e linee guida del Garante relativi al trattamento di dati genetici, dati biometrici o dati relativi alla salute, già adottati in passato, e rivedibili dall'Autorità in ottica di compatibilità con il Regolamento (o anche, semplicemente, interpretabili nei limiti di tale compatibilità).

Il legislatore italiano ha comunque colto il margine riconosciuto dall'art. 9.4 del Regolamento con il nuovo art. 2-septiesdel Codice privacy, nel quale si stabilisce che i dati genetici, biometrici e relativi alla salute possano essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo art. 9 e – qui la novità di rilievo italiano – in conformità alle misure di garanzia disposte dal Garante con proprio provvedimento, da adottarsi con cadenza almeno biennale. Lo schema di provvedimento è sottoposto dal Garante a consultazione pubblica per un periodo non inferiore a sessanta giorni. Il Garante, nell'adottare tale provvedimento generale, deve tenere conto:

a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;

b) dell'evoluzione scientifica e tecnologica nel settore oggetto delle misure;

c) dell'interesse alla libera circolazione dei dati personali nel territorio dell'Unione europea.

Le misure di garanzia devono naturalmente essere compatibili con il Regolamento (il legislatore italiano, ancora una volta, nell'art. 2-septies cod. privacy al comma 4, ridonda infelicemente, richiamando l'Autorità al dovere di rispettare la normativa europea). Tali misure riguardano anche – non necessariamente solo – le cautele da adottare relativamente a:

a) contrassegni sui veicoli e accessi a zone a traffico limitato;

b) profili organizzativi e gestionali in ambito sanitario;

c) modalità per la comunicazione diretta all'interessato delle diagnosi e dei dati relativi alla propria salute;

d) prescrizioni di medicinali.

Le misure di garanzia sono adottate in relazione a ciascuna categoria dei dati personali, avendo riguardo alle specifiche finalità del trattamento e possono individuare ulteriori condizioni sulla base delle quali il trattamento di tali dati è consentito. È presumibile che il provvedimento in questione debba essere suddiviso, pertanto, in capitoli (dedicati l'uno ai dati genetici, l'altro ai dati biometrici, l'altro ancora ai dati relativi alla salute), a loro volta ripartiti in paragrafi per differenti “scenari” o casi d'uso (legati alle diverse finalità). In particolare, le misure di garanzia individuano le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.

Tra le ulteriori condizioni di liceità, che il Garante potrà introdurre mediante tale provvedimento, non vi potrà però essere quella del consenso dell'interessato, salvo in un caso: il consenso potrà infatti essere aggiunto come condizione dall'Autorità solo con riferimento al trattamento di dati genetici e unicamente in caso di particolare ed elevato livello di rischio. Questa interpretazione si evince chiaramente, al negativo, dalla lettura del comma 6 dell'art. 2-septies: «Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell'interessato, a norma dell'art. 9, paragrafo 4, del Regolamento, o altre cautele specifiche».

Le misure di garanzia relative ai dati genetici e quelle per l'ambito sanitario sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità.

Ai fini del rispetto dei principi in materia di protezione dei dati personali, con riferimento agli obblighi di cui all'art. 32 del Regolamento, cioè per l'adozione di adeguate misure di sicurezza tecniche e organizzative da parte dei titolari e responsabili del trattamento, è ammesso espressamente dal legislatore italiano (già ex art. 2-septies, comma 7 cod. privacy, e anche in mancanza di provvedimento del Garante) l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati; naturalmente, una volta adottato il provvedimento dal Garante, tale trattamento di dati biometrici dovrà anche eseguirsi nel rispetto delle misure di garanzia in esso prescritte. Questa norma appare opportuna e al passo coi tempi, per l'inevitabile diffusione e l'indubbia utilità dei sistemi di controllo e autenticazione biometrici in contesti aziendali sempre più informatizzati, sebbene l'interprete debba anche notare come ne resti esclusa l'applicazione nei casi di accesso logico o fisico ad ambienti privi di dati (che, tuttavia, potrebbero derivare l'esigenza di controlli stringenti dalla presenza di altri rischi): per tale ragione, sarebbe auspicabile un allargamento del perimetro, proprio ad opera del Garante che adotterà il provvedimento ex art. 2-septies.

Con riferimento al trattamento di dati biometrici nell'ambito del lavoro presso le pubbliche amministrazioni, il Garante si è espresso con due correlati pareri resi a distanza di circa un anno. Il primo (GPDP, 11 ottobre 2018 [doc. web n. 9051774]) è stato richiesto dalla Presidenza del Consiglio dei ministri relativamente ad uno schema di disegno di legge recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo”, mentre il secondo (GPDP, 19 settembre 2019 [doc. web n. 9147290]) è stato domandato dalla Presidenza del Consiglio dei ministri - Ufficio legislativo del Ministro per la pubblica amministrazione con riferimento a uno schema di schema di decreto del Presidente del Consiglio dei ministri concernente la disciplina di attuazione della disposizione di cui all'art. 2 l. n. 56/2019, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo”. Oggetto dei due pareri è l'introduzione obbligatoria, da parte delle pubbliche amministrazioni, di sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica ai fini della verifica dell'osservanza dell'orario di lavoro. Tra i vari rilievi posti dal Garante, risulta particolarmente significativa la censura, mossa in ambedue i provvedimenti, circa la previsione dell'impiego obbligatorio e contestuale di entrambi i sistemi, vale a dire la raccolta di dati biometrici e la videosorveglianza. Ciò è stato ritenuto dall'Autorità «eccedente (oltre che inutilmente costoso) rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori», in contrasto dunque «con l'esigenza di stretta necessità del trattamento rispetto al fine perseguito [...] esigenza tanto più rilevante rispetto ai dati biometrici, annoverati nella categoria di dati personali cui la disciplina europea accorda maggiore tutela». Il Garante si è altresì soffermato sul rispetto, tra gli altri, del principio di proporzionalità, invocato con riferimento all'introduzione sistematica, generalizzata e indifferenziata dei sistemi di rilevazione biometrica delle presenze per tutte le pubbliche amministrazioni. Occorre comunque dare conto che la l. n. 178/2020 (legge di bilancio 2021) ha infine abrogato le rilevanti disposizioni della l. n. 56/2019.

I dati genetici, biometrici e relativi alla salute non possono essere diffusi, come specificato dall'art. 2-septies, comma 8 cod. privacy (mentre in passato tale divieto generale ex lege di diffusione si riferiva esclusivamente ai dati idonei a rivelare lo stato di salute): è, tuttavia, evidente che tale divieto possa essere superato sulla base di un consenso esplicito dell'interessato (ex art. 9.2, lett. a) del Regolamento) o nel caso questi tipi di dati siano resi manifestamente pubblici dall'interessato stesso (ex art. 9.2, lett. e) del Regolamento).

In merito al trattamento dei dati appartenenti alle categorie particolari di cui all'art. 9 del Regolamento, può essere d'interesse soffermarsi su una recente pronuncia dell'Autorità, con la quale, tra l'altro, la stessa ha ritenuto che l'acquisizione e il successivo trattamento a fini disciplinari di dati personali riconducibili anche alla “vita sessuale” e all'“orientamento sessuale” del reclamante da parte di una pubblica amministrazione, ancorché reperiti online in quanto previamente ivi resi disponibili dallo stesso interessato, fossero avvenuti in assenza di un'idonea base giuridica e in contrasto con le disposizioni nazionali che vietano al datore di lavoro di acquisire e trattare informazioni relative alla sfera privata del dipendente (artt. 5, par. 1 lett. a), 6, 9 e 88 del Regolamento, nonché 2-ter, 2-sexies e 113 del Codice, in relazione all' art. 8 della l. 20 maggio 1970, n. 300 e art. 10 del d.lgs. 10 settembre 2003, n. 276; cfr. provv. del 24 aprile 2024 n. 268, doc. web n. 10021491; v. in senso analogo, provv. del 21 luglio 2011 n. 308, doc. web n. 1829641, confermato da Cass. sez. I civ. 19 sett. 2016, n. 18302, proprio in relazione all'accertata violazione dell'art. 8 della l. 300/1970 e del 113 del Codice).

In particolare, nell'ambito della citata pronuncia, l'Autorità Garante ha rammentato come la normativa nazionale applicabile annoveri la vita sessuale e l'orientamento sessuale del lavoratore o aspirante tale - proprio in quanto informazioni che, accedendo alla dimensione intima della persona, sono considerate inconferenti rispetto all'esecuzione della prestazione -  tra le informazioni cui è fatto divieto di trattamento al datore di lavoro (cfr., in particolare, art.10 del d.lgs. 10 settembre 2003, n. 276, vi sono le “convinzioni personali […i]l sesso, […]l'orientamento sessuale […]”cui fa rinvio l'art. 113 del Codice).

In tale quadro, è stato altresì ribadito come il datore di lavoro, quale titolare del trattamento, debba sempre operare nell'ambito e nei limiti previsti dalla disciplina applicabile, che costituisce la base giuridica dei relativi trattamenti (artt. 5, 6, 9, par. 2, lett. b) e g) e 88 del Regolamento), evitando di porre in essere iniziative non previste dalla legge che, in talune circostanze, possono porsi in contrasto anche con le disposizioni nazionali che vietano al datore di lavoro di trattare informazioni non attinenti all'attività lavorativa, con possibili effetti lesivi per gli interessati nel contesto lavorativo e professionale.

Il limite del diritto di pari rango nella disciplina italiana

Nella vecchia formulazione, ormai abbandonata, del cod. privacy, i dati idonei a rivelare lo stato di salute o la vita sessuale delle persone fisiche potevano essere trattati, per esercitare il diritto di accesso ai documenti amministrativi (exartt. 22 e ss. l. n. 241/1990) o per far valere o difendere un diritto in giudizio, solo se la situazione giuridica da tutelare (nel caso dell'accesso ai documenti amministrativi) o il diritto da far valere o difendere (nelle finalità difensive) era di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.

Ebbene, la nuova formulazione del cod. privacy, come modificato dal decreto del 2018, riproduce sostanzialmente una disciplina analoga alla previgente (fatto salvo per il cambio dei termini da “idonei a rivelare” a “relativi a e per l'aggiunta dei dati genetici e di quelli relativi all'orientamento sessuale), ma solo con riferimento alla disciplina dell'accesso ai documenti amministrativi. Recita, infatti, il nuovo art. 60 cod. privacy: «Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale».

Viceversa, non si rintraccia nella nuova lettera del Codice una limitazione di pari rango equivalente alla previgente con riguardo alle finalità difensive. Abrogato l'art. 26 cod. privacy, e con esso il suo comma 4, lett. c), l'unica limitazione, in tal senso, è reperibile all'art. 92 cod. privacy, il quale, però, non comprende genericamente tutti i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale, ma si riferisce soltanto alla cartella clinica e alla scheda di dimissione ospedaliera. Si può estensivamente interpretare che tale limitazione di pari rango, sia per finalità difensive sia per eventuali accessi ai documenti amministrativi, debba riferirsi anche ai singoli dati contenuti in tali particolari documenti, la cartella o la SDO, appunto, ma non è possibile spingersi oltre. Non resta che concludere per la constatazione che il trattamento per fini difensivi in giudizio di dati relativi alla salute o alla vita o all'orientamento sessuale di una persona, ove non contenuti in una cartella clinica o in una SDO, non debba più sottostare alla regola del diritto di pari rango, nell'ordinamento italiano. Scelta non banale, che rafforza il peso dell'art. 24 della Costituzione nel confronto e bilanciamento con l'art. 2 della medesima.

Infine, si segnala un dettaglio di assoluto rilievo introdotto dalla novella del 2018: anche laddove permane la limitazione del diritto di pari rango (artt. 60 e 92 cod. privacy), come condizione di liceità per il trattamento di dati relativi alla salute o alla vita o all'orientamento sessuale di una persona fisica per finalità difensive in sede giudiziaria o di accesso ai documenti amministrativi, viene comunque eliminata la parola “inviolabile”. La lettera della legge non parla più di diritto di pari rango come “diritto o libertà fondamentale e inviolabile” bensì solo di “diritto o libertà fondamentale”. Potrà apparire un'assenza da poco, ma non lo è: sarà ammesso, d'ora innanzi, anche considerare di pari rango diritti fondamentali riconosciuti non già in assoluto alla persona umana, ma anche al cittadino e persino alle persone giuridiche (v. Savini, Reggio D'Aci). Grazie a tale modifica si potenzia, altresì, moltissimo la portata dell'art. 4 della l. n. 24/2017 (Disposizioni in materia di sicurezza delle cure e della persona assistita, nonché in materia di responsabilità professionale degli esercenti le professioni sanitarie) in materia di trasparenza e accessibilità delle documentazioni sanitarie (Bolognini, Pelino).