Il decreto PNRR modifica il Codice Privacy: cosa cambia per il trattamento dei dati sanitari

Con il decreto legge 2 marzo 2024 n. 19 sulle “Ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR)”, il Codice Privacy subisce un ennesimo ritocco. Questa volta, a essere rimodificato è l’art. 2 sexies, in materia di trattamento particolari categorie di dati personali per motivi di interesse pubblico. Ma vediamo…

Ennesima modifica al Codice Privacy. L’articolo nuovamente interessato è il 2 sexies che aveva già subito una modifica con l’allora decreto capienze convertito poi nella Legge 205/2021. Ad intervenire nuovamente sulla normativa privacy è adesso il DL PNRR 19/2024, cosiddetto decreto PNRR.

Sembrerebbe, di primo acchito, che le maglie sul trattamento dati sanitari reso necessario per motivi di interesse pubblico rilevante, siano state allargate.

Ma non affrettiamo con i giudizi e andiamo per gradi.

Decreto PNRR, come cambia il Codice Privacy: le novità

Con questo Decreto Legge del 2 marzo 2024, n. 19, nelle pieghe attuative del PNRR, il legislatore, tra gli altri, modifica all’art. 44, una norma dell’attuale Codice Privacy. Stiamo parlando dell’art. 2 sexies che legittima il trattamento dei dati particolari, sostanzialmente sanitari, per motivi di interesse pubblico rilevante.

Come anticipato, si tratta di una ennesima modifica. Già nel 2021, il legislatore era intervenuto inserendo un comma, l’1bis che autorizzava una serie di enti istituzionali (Ministero della Salute ecc.) e non, a trattare i dati personali relativi alla salutenel rispetto delle finalità istituzionali di ciascuno, citando anche i dati di cui al Fascicolo sanitario elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento e secondo modalità fissate con decreto attuativo del Ministro della salute, sentito il parere del Garante.

Il nuovo testo viene lessicalmente ridotto, e introduce la pseudoanonimizzazione come tecnica, amplia i poteri ad AUGENAS, ed elimina il riferimento alle “finalità compatibili”. Mentre, continua a richiedere i decreti attuativi e il parere del Garante.

Non solo, viene poi introdotto un ulteriore comma, l’1ter con il quale viene stabilito testualmente che:

Il Ministero della salute disciplina, con uno o più decreti adottati ai sensi del comma 1, l’interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonomizzati, ivi incluso il fascicolo sanitario elettronico (FSE), compresi quelli gestiti dai soggetti di cui al comma 1-bis o da altre pubbliche amministrazioni che a tal fine adeguano i propri sistemi informativi. I decreti di cui al primo periodo adottati, previo parere del Garante per la protezione dei dati personali, nel rispetto del Regolamento, del presente codice, del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e delle linee guida emanate dall’Agenzia per l’Italia digitale in materia di interoperabilitàdefiniscono le caratteristiche e disciplinano un ambiente di trattamento sicuro all’interno del quale vengono messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascuno, secondo le modalità individuate al comma 1”.

Il decreto PNRR e l’art. 2 sexies: la sinossi

Mettiamo ora a confronto i due testi normativi di cui all’art. 1 bis, notando in sinossi come il dettato cambia.

EX ANTE EX POST
1-bis. I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalità istituzionali di ciascuno, dal Ministero della salute, dall’Istituto superiore di sanità, dall’Agenzia nazionale per i servizi sanitari regionali, dall’Agenzia italiana del farmaco, dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà e, relativamente ai propri assistiti, dalle regioni anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità fissate con decreto del Ministro della salute, ai sensi del comma 1, previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal presente codice, dal codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell’Agenzia per l’Italia digitale in materia di interoperabilità. «1-bis. I dati personali relativi alla salute, pseudonomizzatisono trattati, anche mediante interconnessione, dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall’Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP), nonché, relativamente ai propri assistiti, dalle regioni e dalle province autonome, nel rispetto delle finalità istituzionali di ciascuno, secondo le modalità individuate con decreto del Ministro della salute, adottato ai sensi del comma 1 previo parere del Garante per la protezione dei dati personali

Decreto PNRR: gli impatti privacy

Concludiamo con gli impatti, soffermandoci sul trattamento dei dati sanitari.

Da una prima sommaria interpretazione, emerge che a livello letterale, l’art. 2 sexies al comma I bis, nell’eliminare il richiamo alle “finalità compatibili”, di fatto si limita a invocare quelle istituzionali. A questo punto, occorre valutarle singolarmente per poi capire se il trattamento di quel dato particolare rientri o meno, non potendosi più fare un ragionamento in termini di compatibilità, che secondo alcuni poteva dare adito a una estensione interpretativa.

Non solo, è come se nell’intento o meglio nelle pieghe PNRR e in questo non è affatto una novità, ci fosse da tempo, l’intenzione di creare un’unica banca dati con le dovute cautele del caso e il trattamento mediante la modalità di “interconnessione” — quale trasmissione contemporanea diversa dalla integrazione automatizzata— avalla una primissima interpretazione.

Non cambia, invece, la necessità di prevedere e avere dei decreti attuativi di fonte ministeriale che attendiamo vivamente.

Da ultimo, dobbiamo chiederci quanto, in questi casi, il parere del Garante sarà vincolante. Lo scopriremo, ma nel frattempo attendendo gli sviluppi, ulteriori approfondimenti andrebbero fatti anche alla luce del FSE 2.0.

Di certo, questo recente intervento normativo, nell’introdurre anche altre e diverse disposizioni, ci pone davanti alla considerazione per la quale chi tratta i dati personali particolari (sanitari), e le PA in primis, deve adottare tutte le più opportune misure volte a garantire la sicurezza e la riservatezza dei dati.

A cura di: Chiara Ponti – Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Fonte: cybersecurity360.it