Diritto alla privacy dopo la morte

Con parere del 10.01.2019 il Garante Privacy ha risposto ad un’azienda sanitaria, che chiedeva se avesse agito correttamente negando l’accesso ad informazioni personali inerenti il quadro clinico di un soggetto deceduto.

L’azienda sanitaria aveva, infatti, ricevuto una segnalazione relativa a cure eseguite su un paziente, poi deceduto, per un possibile caso di errore clinico. A seguito della risposta dell’amministrazione con la quale si informava il segnalante del corretto operato «dei clinici nella gestione del caso», lo stesso presentava istanza di accesso civico ai sensi del D.lgs. 33 del 14.03.2013 (disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni), che obbliga la pubblica amministrazione, nei casi previsti dalla legge, a fornire informazioni nel rispetto dei principi di pubblicità e trasparenza. L’azienda ha quindi negato l’accesso, rappresentando che la documentazione conteneva dati sensibili personali e quindi non accessibili a terzi sulla base della normativa sopra richiamata.

Il Garante nel caso di specie ha rilevato che i dati richiesti con l’accesso civico riguardavano specifici e accurati dettagli sul ricovero, degenza, sintomi, anamnesi, diagnosi, esami effettuati con relativi risultati, terapia, farmaci somministrati ecc., quindi dati relativi alla salute del paziente.

Il GDPR definisce come «dati relativi alla salute» i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35).

Per quanto riguarda i dati personali delle persone decedute il Garante ha precisato che in relazione ai «dati personali delle persone decedute», la normativa europea in materia di protezione dei dati personali, pur prevedendo che il Regolamento non trovi ad essi applicazione, stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando n. 27 del GDPR).

Sul punto il legislatore italiano all’art. 2-terdecies, comma 1, del Codice Privacy, come modificato dal D. lgs. n. 101 del 10/8/2018) ha sancito che «I diritti di cui agli articoli da 15 a 22 del Regolamento» (fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato), laddove «riferiti ai dati personali concernenti persone decedute», «possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione».

In caso di accesso civico a dati personali relativi a soggetti deceduti il Garante precisa che devono essere coinvolti nel procedimento i parenti del de cuius o gli altri soggetti indicati all’art. 2-terdecies, comma 1, del Codice Privacy, in quanto deve essere data loro la possibilità di presentare opposizione all’accesso ai dati del defunto.

In ogni caso anche in caso di silenzio di questi ultimi l’amministrazione deve valutare circa l’accoglimento o meno dell’accesso secondo i limiti posti dalla normativa a protezione dei dati personali.

Il Garante evidenzia che ai sensi dell’art. 3, comma 1, del D.lgs. n. 33/2013 i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», ciò comporta il rischio di diffusione di tali dati.

Sul punto il Codice Privacy, recentemente modificato, all’art. 2-septies, comma 8 prevede un espresso divieto alla diffusione, ossia della possibilità di dare conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione, di dati personali relativi alla salute.

Il Garante in ragione di tale divieto, dando ragione all’azienda ospedaliera, così conclude il parere: “La vicenda esaminata rientra, dunque, in una delle ipotesi di “esclusione dell’accesso civico” previste dalla normativa statale in materia di trasparenza, che prevede espressamente come l’accesso civico deve essere escluso nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3, del D.lgs. n. 33/2013)”.

Scopri i Master e Corsi che potrebbero Interessarti

• 

  Esperti in Proprietà Intellettuale: Il Business dell’Intangibile
• 

  Legal English: l’Inglese Giuridico per il mondo del Lavoro
• 

  Diritto Societario: Affari, Governance e Compliance
• 

  Il Legale d’Impresa e la Compliance Interna
• 

  Contratti Internazionali: Negoziazione, Redazione e Gestione
• 

  Diritto del Lavoro e Relazioni Sindacali