Sotto la rubrica "Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario" il decreto legislativo 282/99 stabilisce che, con decreto del Ministero della Sanità siano individuate modalità semplificate per le informative di cui all'art. 10 della L 675/96 e per la prestazione del consenso nei confronti degli operatori sanitari.
La questione non è di scarso momento posto che da come il predetto DM si atteggerà potrebbero discendere tutta una serie di responsabilità, anche di carattere penale, riferibili agli esercenti la professione sanitaria.

Proprio a questo riguardo il Ministero della sanità ha istituito un gruppo di lavoro che, in collaborazione con il Garante, sta in questi giorni discutendo il modo in cui tentare di risolvere le questioni concernenti il consenso all'acquisizione (specie da parte dei medici di medicina generale) di dati personali e sensibili dei pazienti, tenuto conto della realtà in cui è dato operare. Non è dato infatti immaginare una raccolta del consenso che sia sempre perseguibile in condizioni di operatività ottimale, si pensi ad esempio alla raccolta del consenso da parte del paziente ultraottantenne o con problemi psichici, o ancora in situazioni di emergenza ambientale.

Tutto molto commendevole, ma è necessario? Ci sia consentito di dubitare.
Non pare dubbio che la legge sulla tutela dei dati personali non sia nata per creare qualche adempimento burocratico in più, ma per proteggere i dati personali laddove si corresse un pericolo di abuso. Ma laddove di abuso non si può parlare, tali adempimenti dovrebbero essere esclusi o semplificati. Nel caso dei dati sensibili in campo sanitario, così come negli adempimenti previdenziali, il consenso non pare poter essere rifiutato, pena la compromissione di beni giuridici di primario valore.

In realtà, prima dell'emanazione del Dlgs 282/99, l'interpretazione della legge poteva essere plausibilmente quella per cui il consenso al trattamento dei dati sensibili (tra cui quelli inerenti alla salute) previsto dall'art. 22 della 675, non fosse diverso dal consenso richiesto in termini generali se non per la forma di raccolta (consenso scritto contro consenso espresso). E dunque venisse escluso qualora ricorressero le condizioni previste dall'art. 12. Il Dlgs 282/99 ha introdotto nuovi criteri per la concessione del consenso in ambito sanitario per fini di cura. Ma proprio in tale ambito il consenso dovrebbe essere escluso per l'art. 12 lett. a) e b) (obbligo di legge o contrattuale) della 675/96 e dunque delle due l'una: o la disposizione è perfettamente inutile, o stiamo parlando di due consensi diversi.

Personalmente tendiamo a sposare la prima posizione, anche perché proprio la nuova formulazione dell'art. 23 della L675/96, introdotta dal Dlgs 282/99, fa riferimento non al consenso previsto dall'art. 22, ma a quello previsto dall'art. 11 comma 3! Un altro indice letterale per cui le esclusioni dell'articolo 12, in particolare quella sub a), valgono anche per i dati sensibili, viene dato proprio dal raffronto di tale articolo e l'art. 7. Si tratta dell'esenzione nel caso in cui il trattamento è necessario per l'assolvimento di un obbligo imposto dalla legge (...). Entrambi gli articoli usano le stesse identiche parole, solo che all'art. 7 è espressamente previsto che l'esenzione dall'obbligo non valga per i dati sensibili e di origine giudiziaria, specificazione assente dall'art. 12. Ubi lex voluit dixit..., dove la legge volle, disse, dove non volle, tacque.

Da ultimo, un altro indice è ravvisabile nell'art. 20, che parla di consenso alla comunicazione: la norma non distingue affatto tra dati normali e sensibili, ed esclude la necessità di un consenso espresso alla comunicazione più o meno negli stessi casi previsti per l'esclusione del consenso di cui all'art. 12. Parrebbe assai bizzarro che, una volta che si richieda il consenso pur ricorrendo una delle esclusioni di cui all'art. 12, successivamente si possano comunicare (e in certi casi diffondere) tali dati senza il consenso espresso.
Addirittura le esigenze di tutela della comunicazione dovrebbero essere più restrittive per la comunicazione dei dati che per la raccolta e trattamento degli stessi. Ed in realtà lo sono, se solo si interpreta la norma secondo il senso dato dal presente scritto. Detto per inciso, si dubita assai della necessità di discriminare il consenso al trattamento e quello alla comunicazione, quando la comunicazione è una forma di trattamento (art. 1 comma 2 lett. a) della 675/1996).

La questione non è peregrina. La direttiva UE cui la legge italiana ha dato attuazione è infatti orientata nello stesso senso. L'art. 8 punto 3 della stessa infatti prevede che il punto 1 (divieto di trattamento di dati sensibili) non si applichi, in campo medico, quando i dati sulla salute sono utilizzati a fini di cura da professionisti soggetti a segreto professionale e obblighi deontologici. In tale caso il consenso non è necessario.
Ma legge italiana è stata raffazzonata all'ultimo momento, ed infatti il legislatore delegato ha poi dovuto intervenire pesantemente per adeguarla alla direttiva. Quest'ultima era sufficientemente precisa: non ci si poteva semplicemente limitare a copiare, come fa lo studente in ritardo con i compiti, invece di inventarsi soluzioni tanto estrose quanto poco meditate e capaci di generare una serie di responsabilità davvero rilevanti?

Tutto l'impianto normativo ne ha risentito. Ad esempio, in tema di dati sensibili, le stesse identiche condizioni previste dalla direttiva in alternativa al consenso, sono state poste dalla legge di recepimento in via alternativa all'autorizzazione del Garante. E così il meccanismo di esenzione in via generale dall'obbligo di ottenere il consenso, concedibile dall'autorità indipendente, è diventato esenzione all'obbligo di ottenere l'autorizzazione preventiva del Garante. Ma la necessità di autorizzazione preventiva era in realtà prevista dalla direttiva (art. 20) solo "per trattamenti che potenzialmente presentino rischi specifici per i diritti e le libertà delle persone", e non in via generale per tutti i dati sensibili. La direttiva, da ultimo, non prevede neppure un consenso esplicito e separato per comunicazione e diffusione.

Il Data Protection Act inglese adotta le stesse soluzioni della Direttiva. Gli inglesi, pur avendo già dal 1984 una propria legge in materia, hanno copiato? E così hanno fatto ad esempio tedeschi e olandesi: il § 39 del Bundesdatenschutzgesetz (BDSG) tedesco e l'art. 21 del WBP olandese (quest'ultimo non ancora approvato) allo stesso modo non richiedono il consenso in ambito medico (uno studio paneuropeo in materia è in corso da parte di euroITcounsel).

In realtà il legislatore, in sede di recepimento, non era libero di fare quello che voleva: doveva adeguarsi per quanto possibile alla direttiva. Questa è destinata sì a provvedere tutele minime, ma anche a ravvicinare le legislazioni dei singoli Stati. Se i requisiti per il trattamento sono troppo diversi da stato a stato, perché qualcuno va in fuga, si perde parte dell'effetto liberalizzatore ricercato. Il legislatore che si allontani irragionevolmente dalle disposizioni di armonizzazione probabilmente commette un illecito comunitario.
Anche senza arrivare a tanto, comunque, è ovvio che la direttiva condizioni l'interpretazione della norma interna. Invece l'interpretazione corrente, anche quella del Garante, è in senso difforme alla direttiva. Ma l'interpretazione non è la legge!

Per concludere, ecco una tabella che mostra le più rilevanti discrepanze tra la direttiva 95/46/CE e la nostra legge 675/96: