Dati particolari e GDPR. Quale disciplina per i dati sensibili tra prescrizioni settoriali del Garante e normativa privacy generale?

Il Garante Privacy, con provvedimento numero 146 del 5 giugno 2019, ha disposto le Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'articolo 21, comma 1 del d.lgs. 10.08.2018, numero 101” in GU Serie Generale numero 176 del 29-07-2019 .

Sommario 1. Dati sensibili, dati di salute e Autorizzazioni Generali - 2. Categorie particolari di dati nelle Prescrizioni . Regime privacy specifico - 3. Categorie particolari di dati nel GDPR 2016/679. Disciplina privacy generale - 4. Quale regime privacy per i dati sulla salute? Esempio specifico. Introduzione. Le Prescrizioni del Garante Privacy 5 giugno 2019 sulle categorie particolari di dati individuano dei regimi privacy specifici per settori specifici. Tuttavia gli stessi dati particolari, al di fuori di quei settori, potrebbero soggiacere a regimi privacy diversi. Un'informazione sulla salute trattata in ambito lavorativo soggiace al regime privacy specifico delle Prescrizioni. La stessa informazione sulla salute trattata in ambito sanitario soggiace al regime privacy generale del GDPR 2016/679 per i dati sulla salute ex articolo 9, par. 2 lett.h e par. 3. Si pensi altresì che le Prescrizioni sono del tutto provvisorie in attesa dell'elaborazione delle regole deontologiche e/o delle misure di garanzia. Pertanto la nostra informazione sulla salute in ambito lavorativo presto potrebbe smarcarsi dal regime privacy delle Prescrizioni per confluire nel nuovo regime privacy delle sopravvenute misure di garanzia. In conclusione le Prescrizioni del Garante non forniscono una soluzione uniforme e definitiva sul regime privacy applicabile ai dati particolari. Così ogni volta - di fronte a un dato particolare - dobbiamo interrogarci sulla disciplina da adottare e per trovare una risposta occorrerà porre mano sia alla regolamentazione specifica settoriale sia a quella generale come verificheremo nell'esempio specifico contemplato nell'ultimo paragrafo del presente contributo. 1. Dati sensibili, dati di salute e Autorizzazioni Generali. Le categorie particolari di dati abbracciano tutte le posizioni soggettive ad alto impatto privacy ex dati sensibili idonei a rivelare origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale , dati genetici, dati biometrici, dati sulla salute, dati sulla vita sessuale o sull'orientamento sessuale della persona, dati giudiziari. Nel nostro sistema interno pre-GDPR l'utilizzo di queste informazioni veniva disciplinato dalle Autorizzazioni Generali del Garante la numero 1/2016 lavoro , la numero 2/2016 dati sulla salute e sulla vita sessuale , la numero 3/2016 associazionismo e chiese , la numero 4/2016 dati sensibili trattati dai liberi professionisti , la numero 5/2016 dati sensibili trattati da diverse categorie di titolari , la numero 6/2016 investigatori privati , la numero 7/2016 dati giudiziari trattati da parte di privati, di enti pubblici economici e soggetti pubblici , la numero 8/2016 dati genetici e la numero 9/2016 ricerca scientifica . L'entrata in vigore il 25 maggio 2018 del GDPR ha imposto al legislatore italiano il coordinamento tra il Codice Privacy 196/03 e la disciplina eurounitaria realizzato con il D.lgs. 101/2018 Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati . Il D.lgs 101/2018 provvede all'abrogazione degli articoli del Codice Privacy incompatibili con la normativa europea nonché alle necessarie modifiche e integrazioni del testo. Vengono abrogati anche gli articoli 26 dati sensibili e 40 Autorizzazioni del d.lgs 196/03 rispettivamente riformulati dall'articolo 2- sexies trattamento categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante , dall'articolo 2 septies misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute e dall'articolo 21 Autorizzazioni generali del Garante per la protezione dei dati personali . L' articolo 21 co. 1, d.lgs. 101/18 stabilisce che le parti delle Autorizzazioni ritenute compatibili con il GDPR vengano riformulate con un provvedimento a carattere generale del Garante da sottoporsi successivamente a consultazione pubblica prima di essere pubblicato in Gazzetta Ufficiale. Il 13 Dicembre 2018, ex articolo 21 d.Lgs. 10 agosto 2018, numero 101, il Garante ha assunto il Provvedimento generale numero 497/2018 in cui ha individuato le prescrizioni contenute nelle Autorizzazioni generali compatibili con il GDPR. È stata aperta la consultazione pubblica per sessanta giorni e poi - una volta assunti i suggerimenti pervenuti dagli stakeholders di ciascun settore - si è provveduto a riformulare il testo del provvedimento reso noto il 5 giugno 2019 e pubblicato sulla G.U. numero 176 del 29-07-2019. Il provvedimento Garante Privacy numero 146, 5 giugno 2019 Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'articolo 21, co 1 del d.lgs. 10.08.2018, numero 101” traccia i regimi privacy specifici inerenti alle categorie particolari di dati ex dati sensibili dei settori che hanno superato il vaglio di compatibilità con il GDPR 2016/679 e che prima erano regolati dalle abrogate Autorizzazioni Generali nnumero 1/2016 lavoro , 3/2016 associazionismo e chiese , 6/2016 investigatori privati , 8/2016 dati genetici e 9/2016 ricerca scientifica . Non hanno superato il test di compatibilità la numero 2/2016 dati sulla salute e sulla vita sessuale , la numero 4/2016 dati sensibili trattati dai liberi professionisti e la numero 5/2016 dati sensibili trattati da diverse categorie di titolari . L'Autorizzazione numero 7/2016 dati giudiziari trattati da parte di privati, di enti pubblici economici e soggetti pubblici cessa di produrre effetti in quanto non contemplata tra le situazioni di trattamento richiamate dell’articolo 21 del d.lgs. numero 101/2018. 2. Categorie particolari di dati nelle Prescrizioni . Regime privacy specifico. Il provvedimento del Garante in parola attiene alla definizione del regime privacy specifico per settori specifici delle categorie particolari di dati dopo il superamento delle Autorizzazioni Generali dovuto all'abrogazione degli artt. 26 e 40 del vecchio Codice Privacy operata dall'articolo 27, comma 1, lett. a , numero 2 , del d.lgs. numero 101/2018. L'articolo 9 e l'intero Capo IX del GDPR 2016/679 stigmatizzano i criteri di liceità di trattamento e le condizioni generali di utilizzo dei dati particolari, lasciando agli Stati Membri il compito di definirne il regime specifico di utilizzo in determinate situazioni. Con il Provvedimento numero 146 - 5 giugno 2019, tale compito viene assolto adesso per lo Stato italiano dalla nostra Authority che detta le Prescrizioni specifiche per il trattamento delle categorie particolari di dati o ex dati sensibili relative ai settori coperti dalle vecchie Autorizzazioni nnumero 1,3,6,8,9. Il Provvedimento generale numero 497/2018 ha segnato lo spartiacque tra i settori coperti dalla specificità normativa delle esaminande Prescrizioni e tutti gli altri settori assorbiti dalla disciplina generale del GDPR 2016/679. Questi ultimi erano stati disciplinati dalle Autorizzazioni generali di cui è cessata l'efficacia in quanto prive di specifiche prescrizioni ovvero la numero 2/2016 dati sulla salute e sulla vita sessuale , la numero 4/2016 dati sensibili trattati dai liberi professionisti , la numero 5/2016 dati sensibili trattati da diverse categorie di titolari . L'Autorizzazione numero 7/2016 dati giudiziari trattati da parte di privati, di enti pubblici economici e soggetti pubblici ha cessato di produrre effetti in quanto non contemplata tra le situazioni di trattamento richiamate dell’articolo 21 del d.lgs. numero 101/2018. In definitiva i settori disciplinati dalle Prescrizioni sono i seguenti 1. Rapporti di lavoro. Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro aut. genumero numero 1/2016 2. Associazionismo laico e religioso, fondazioni e chiese. Prescrizioni relative al trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose aut. genumero numero 3/2016 3. Investigatori Privati. Prescrizioni relative al trattamento di categorie particolari di dati da parte degli investigatori privati aut. genumero numero 6/2016 4. Dati genetici. Prescrizioni relative al trattamento dei dati genetici aut. genumero numero 8/2016 5. Ricerca scientifica. Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica aut. genumero numero 9/2016 Le Prescrizioni hanno carattere provvisorio perché manterranno efficacia solo fino all’adozione delle regole deontologiche articolo 2 quater d.lgs. 101/18 e/o delle misure di garanzia di cui all’articolo 2-septies del Codice coordinato articolo 21, comma 4, del D.lgs. numero 101/2018 . Ogni Prescrizione deve formulare il regime privacy specifico articolato nei seguenti punti condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento tipologie di dati oggetto del trattamento gli interessati i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX del GDPR 2016/679. Pertanto in attesa delle regole deontologiche e/o delle misure di garanzia, ciascun settore considerato ha un proprio regime privacy ben definito a cui si rinvia. In tutti gli altri settori, la disciplina privacy delle categorie particolari di dati si trova nell'articolo 9 e nel Capo IX del GDPR richiamati negli articoli 2- sexies e 2- septies del d.lgs. 101/18 o Codice Privacy coordinato. La violazione delle Prescrizioni costituisce inosservanza di una disposizione a carattere normativo e per questo viene sanzionata con le stesse penalità fissate in tutte le altre ipotesi di infrazione del GDPR. L'articolo 21 comma 5, d.lgs. 101/2018 stabilisce infatti le sanzioni amministrative di cui all'articolo 83, paragrafo 5, del Regolamento UE 2016/679 ovvero fino a 20 000 000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente. 3. Categorie particolari di dati nel GDPR 2016/679. Disciplina privacy generale. Il primo principio in materia di Data Protection stabilisce che i dati personali devono essere trattati in modo lecito, corretto e trasparente . Secondo il Regolamento UE e il Codice Privacy coordinato si ha un trattamento lecito quando vengono osservati i criteri di liceità elencati all’articolo 6 GDPR 2016/679 per i dati personali non sensibili e all’articolo 9 GDPR 2016/679 per le categorie particolari di dati o ex dati sensibili . I dati personali comuni possono essere lecitamente trattati ex articolo 6 GDPR 2016/679 ove sia presente una delle seguenti condizioni a. il consenso C42, C43 b. il contratto C44 c. la legge C45 d. gli interessi vitali C46 e. l’interesse pubblico o l’esercizio di pubblici poteri C45, C46 f. l’interesse legittimo C47-C50 . I dati particolari o categorie particolari di dati ex dati sensibili origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale. Dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona in generale sono sottoposti al divieto di trattamento senza consenso esplicito salvo alcune deroghe indicate dall’articolo 9 par. 2, GDPR 2016/679 che si trasformano in motivi legittimi per eseguire il trattamento altrimenti vietato C51, C52 a. il consenso esplicito b. diritti da far valere o obblighi da adempiere in materia di lavoro, di sicurezza sociale o di protezione sociale c. interesse vitale d. membri, ex membri o persone in regolare contatto con organismi senza scopo di lucro fondazioni, associazioni, altri enti terzo settore a patto che i relativi dati personali non siano comunicati all'esterno senza il consenso dell'interessato e. dati personali resi manifestamente pubblici dall'interessato f. necessità di accertare, esercitare o difendere un diritto in sede giudiziaria g. motivi di interesse pubblico C55, C56 h. finalità di medicina preventiva o di medicina del lavoro C53 i. interesse pubblico nel settore della sanità pubblica C54 j. fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica, o a fini statistici. In definitiva, le categorie particolari di dati personali troviamo la loro disciplina privacy generale nell'articolo 9 GDPR che distingue fondamentalmente tra dati particolari ex sensibili razza, etnia, convinzioni politiche, religiose, filosofiche, appartenenza sindacale, orientamento sessuale e dati particolari genetici, biometrici, sulla salute. Salvo le Prescrizioni del Garante, i dati particolari ex sensibili sono sottoposti alla disciplina privacy generali dell'articolo 9 GDPR. I dati particolari genetici, biometrici e sulla salute hanno due possibilità di regolamentazione la disciplina privacy generale ex articolo 9,2, GDPR oppure il regime privacy specifico dello Stato Membri ex articolo 9,4, GDPR. Il nostro legislatore interno ha coordinato questi aspetti dell'articolo 9 GDPR con il nostro Codice Privacy rispettivamente nell'articolo 2- sexie s d.lgs. 101/18 rilevante interesse pubblico e nell'articolo 2- septies d.lgs 101/18 provvedimento specifico dello Stato Membro . Di seguito si tenta di rappresentare con uno schema la disciplina per i dati particolari appena menzionata. 4. Quale regime privacy per i dati sulla salute? Esempio specifico. Alla luce di quanto osservato, il ragionamento interpretativo applicabile ai dati sulla salute dovrebbe prima vagliare la natura del contesto in cui si trova il dato poi verificare se esista per questo ambito un regime privacy specifico Prescrizioni o Provvedimenti Garante sulle misure di garanzia ex articolo 2- septies d.lgs 101/18 infine - solo ove manchi un regime privacy specifico - applicare la disciplina generale per i dati particolari ex articolo 9 GDPR. ESEMPIO Poniamo il caso di un soggetto malato che sottoponendosi a visita del medico specialista scopra di avere un grave handicap di cui gli venga rilasciato certificato da comunicare al proprio medico di base al fine di attivare tutti i possibili canali di cura trattamento per finalità di cura . Poniamo anche che il percorso terapeutico del nostro soggetto implichi necessariamente l'assistenza di un familiare che essendo occupato presso un'azienda necessiti dello stesso certificato di grave handicap per richiedere al datore di lavoro i permessi della legge 104/1992 trattamento in ambito lavorativo . Lo stesso dato sulla salute certificato di grave handicap viene utilizzato in ambito sanitario ai fini di cura e anche in ambito lavorativo ai fini dell’applicazione della normativa in materia di assistenza. In entrambi i casi il trattamento è lecito anche senza il consenso dell'interessato. Tuttavia la disciplina privacy applicabile appartiene a due regimi differenti il certificato a fini di cura rientra nel regime privacy generale ex articolo 9, par.2, lett. h , GDPR lo stesso certificato a fini assistenziali rientra nel regime privacy specifico per l'ambito lavorativo delle Prescrizioni del Garante 5.06.2019. Questo ha conseguenze differenti in termini di policy per i titolari del trattamento e la relativa organizzazione interna. Il titolare-medico specialista può far trattare in chiaro al proprio dipendente-infermiere il certificato medico perché impegnato nell' attività di cura. Il titolare-datore di lavoro invece non deve assolutamente far trattare in chiaro ai propri dipendenti colleghi dell'interessato il certificato medico. Ai sensi delle Prescrizioni 1.5, lett.d , infatti, quando per ragioni di organizzazione del lavoro e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato altri colleghi dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza del lavoratore dalle quali sia possibile evincere la conoscibilità della malattia del familiare. Nota si consiglia la lettura del provvedimento del Garante Privacy Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario - 7 marzo 2019 https //www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9091942.