Decreto legislativo - 30/06/2003 - n. 196 art. 2 sexies - Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante 1Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante 1
1. I trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o[, nei casi previsti dalla legge,] di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato2. 1-bis.I dati personali relativi alla salute, pseudonimizzati, sono trattati, anche mediante interconnessione, dal Ministero della salute, dall'Istituto superiore di sanità (ISS), dall'Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall'Agenzia italiana del farmaco (AIFA), dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP), nonché, relativamente ai propri assistiti, dalle regioni e dalle province autonome, nel rispetto delle finalità istituzionali di ciascuno, secondo le modalità individuate con decreto del Ministro della salute, adottato ai sensi del comma 1 previo parere del Garante per la protezione dei dati personali3. 1-ter. Il Ministero della salute disciplina, con uno o più decreti adottati ai sensi del comma 1, l'interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonimizzati, ivi incluso il fascicolo sanitario elettronico (FSE), compresi quelli gestiti dai soggetti di cui al comma 1-bis o da altre pubbliche amministrazioni che a tal fine adeguano i propri sistemi informativi. I decreti di cui al primo periodo adottati, previo parere del Garante per la protezione dei dati personali, nel rispetto del Regolamento, del presente codice, del codice dell'amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e delle linee guida emanate dall'Agenzia per l'Italia digitale in materia di interoperabilità, definiscono le caratteristiche e disciplinano un ambiente di trattamento sicuro all'interno del quale vengono messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascuno, secondo le modalità individuate al comma 14. 2. Fermo quanto previsto dal comma 1, si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie: a) accesso a documenti amministrativi e accesso civico; b) tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all'estero, e delle liste elettorali, nonché rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalità; c) tenuta di registri pubblici relativi a beni immobili o mobili; d) tenuta dell'anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli; e) cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato; f) elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonché documentazione delle attività istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell'attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari; g) esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonché l'accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche; h) svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all'espletamento di un mandato elettivo; i) attività dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale , comprese quelle di prevenzione e contrasto all'evasione fiscale 5; l) attività di controllo e ispettive; m) concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni; n) conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni, fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonché rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d'onore e ammissione a cerimonie ed incontri istituzionali; o) rapporti tra i soggetti pubblici e gli enti del terzo settore; p) obiezione di coscienza; q) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria; r) rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose; s) attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci; t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano; u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica; v) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, ivi incluse l'instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale; z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria; aa) tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili; bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario; cc) trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l'ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica, nonché per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan); dd) instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell'ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva. 3. Per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto dall'articolo 2-septies. [1] Articolo inserito dall'articolo 2, comma 1, lettera f), del D.Lgs. 10 agosto 2018, n. 101. [2] Comma modificato dall'articolo 9, comma 1, lettera b), numero 1), del D.L. 8 ottobre 2021 n. 139, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. Vedi anche l'articolo 9, comma 5, del D.L. 139/2021 medesimo, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. [3] Comma inserito dall'articolo 9, comma 1, lettera b), numero 2), del D.L. 8 ottobre 2021 n. 139, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. e successivamente sostituito dall'articolo 44, comma 1, lettera a), del D.L. 2 marzo 2024, n. 19, convertito con modificazioni dalla Legge 29 aprile 2024, n. 56. [4] Comma aggiunto dall'articolo 44, comma 1, lettera b), del D.L. 2 marzo 2024, n. 19, convertito con modificazioni dalla Legge 29 aprile 2024, n. 56. [5] Lettera modificata dall'articolo 1, comma 681, lettera a), della Legge 27 dicembre 2019, n. 160. InquadramentoL'art. 2-sexies cod. privacy definisce le fonti normative utilizzabili a livello nazionale nell'applicazione della base giuridica di cui all'art. 9, par. 2, lett. g )GDPR, ossia il trattamento di dati sensibili (o “particolari”) necessario per motivi di interesse pubblico rilevante. È chiaro infatti che la norma eurounitaria, nel richiamare tra le condizioni applicative la sussistenza di un interesse pubblico rilevante, esige l'individuazione dello stesso. La disposizione nazionale in commento facilita tale operazione ermeneutica proponendo, al comma secondo, un elenco di ipotesi in cui tale interesse sussiste. Rispetto alla disciplina dell'art. 2-ter, che riguarda (ad eccezione del comma 2), tanto i dati “comuni” quanto i dati sensibili (in tale ultimo caso, come di regola, occorre altresì la combinazione con una base valida dell'art. 9 GDPR), l'art. 2-sexies concerne solo questi ultimi, con circoscritto riferimento alla citata base 9.2.g) GDPR. Tale ultima disposizione insieme al 2-sexies può certamente dunque costituire base idonea per il trattamento, combinabile con l'art. 6.1, lett. c) o e) e l'art. 2-ter cod. privacy. La selezione delle fonti che possono costituire base giuridica, individuata al primo comma, risponde alla stessa logica applicata nell'art. 2- ter ed è stata interessata dal medesimo intervento di modifica con d.l. 139/2021. Si rimanda perciò più estesamente ai §§ 2 e 4 del relativo commento rispetto a tale tematica e alla nozione di “diritto nazionale presupposto”. Contenutisticamente, l'art. 2-sexies appare disegnato per ricomporre una linea di continuità con l'abrogato art. 20 cod. privacy, sia pure con evidenti differenze. Basti a tal proposito considerare che l'art. 20 riguardava i soli soggetti pubblici mentre l'art. 9.2, lett. g) GDPR può ben trovare applicazione anche a soggetti privati (cfr. anche art. 22, comma 9, d.lgs. n. 101/2018). Il menzionato d.l. n. 139/2021 ha inoltre aggiunto il comma 1-bis relativo all'implementazione di trattamenti di interconnessione di dati personali in ambito sanitario, per cui si rimanda appresso. Il terzo comma della disposizione si limita a fare rinvio all'art. 2-septies per i dati genetici, biometrici e relativi alla salute, nel senso che non si intendono derogate le disposizioni di tutela ivi previste. Si rammenta, infine, che la violazione dell'art. 2-sexies è oggetto di autonoma sanzione all'art. 166, secondo comma cod. privacy, che applica la fascia edittale più severa, ossia quella dell'art. 83, par. 5 GDPR. L'utilità strutturale dell'art. 9.2. lett. g) GDPRAi fini di una migliore contestualizzazione dell'art. 2-sexies cod. privacy, appare utile richiamare brevemente la collocazione strutturale dell'art. 9, par. 2, lett. g) GDPR all'interno della logica costruttiva del Regolamento. L'art. 9.2 elenca infatti un insieme alquanto eterogeneo di basi giuridiche, in parte di natura settoriale, come quella giuslavoristica di cui alla lett. b) o quella per trattamenti in ambito sanitario di cui alle lett. h) e i) e quelle ugualmente settoriali contemplate alle lett. d) e j); in parte di applicazione occasionale e specifica, come le basi delle lett. c) ed e). Residuano poche basi generali, enunciate alle lettere a), f) e, appunto, g). Soprattutto, spicca nell'art. 9 secondo paragrafo la mancanza di una base generale per l'adempimento di obblighi giuridici, ossia una base che rifletta quella della lett. c) dell'art. 6.1, con la conseguenza che, ove il titolare del trattamento si trovi necessariamente a effettuare, per obbedienza a un precetto, operazioni su dati sensibili e non ricorrano le condizioni per l'applicazione di una base settoriale, può essere ragionevolmente valutata la soluzione di costruire il trattamento sulla lett. g) dell'art. 9.2, vale a dire sul motivo di interesse pubblico rilevante, in combinato disposto con la lett. c) dell'art. 6.1. Si pensi in proposito al trattamento di dati sensibili per adempiere a obblighi tributari/fiscali. Appare infatti sostenibile ravvisare – quantomeno in prima approssimazione e fatte salve eccezioni – nella stessa esistenza di un obbligo giuridico contenuto in un provvedimento di applicazione generale, formulato da un soggetto istituzionalmente competente, la sussistenza, o quantomeno il fumus, di un interesse pubblico rilevante, diversamente venendo meno il presupposto logico-giuridico dell'imposizione di tale obbligo ai consociati. L'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, vale a dire la base di cui alla lett. e) dell'art. 6.1, trova a sua volta il naturale collegamento all'art. 9.2 nella lett. g) (in mancanza di diretta base settoriale), potendosi al limite ragionare se l'interesse pubblico raggiunga la soglia della “rilevanza” richiesta nella disposizione citata da ultimo. Del resto, considerando la questione sotto altro profilo, tanto l'obbedienza dei consociati a precetti normativi quanto l'esecuzione di compiti nel pubblico interesse o connessi con l'esercizio di pubblici poteri rispondono in re ipsa a un superiore interesse pubblico rilevante per il sistema giuridico, quello di evitare situazioni di anarchia e di inadempienza a precetti e regole. In definitiva, la lett. g) dell'art. 9.2 costituisce – ricorrendone naturalmente tutti i presupposti per la configurazione – una risorsa preziosa di applicazione generale cui collegare le lett. c) ed e) dell'art. 6.1 GDPR quando il trattamento di dati sensibili non possa essere sussunto nelle altre limitate basi settoriali dell'art. 9. A titolo di esempio, in materia di benefici tributari riconosciuti alle persone con disabilità e ai loro familiari relativamente all'acquisto o riparazione di autovetture, alcune categorie di operatori del mercato, quali i venditori di veicoli e le auto-officine, si trovano nella condizione di trattare necessariamente dati relativi alla salute del cliente destinatario del beneficio. A tale proposito GPDP, 16 febbraio 2011 [1792975], nel vigore della precedente disciplina, ha rilevato: «Il venditore [...] è tenuto ad acquisire e a conservare le specifiche certificazioni sanitarie indicate [...], a cui, con riferimento ai c.d. disabili con ridotte o impedite capacità motorie, vanno ad aggiungersi anche i seguenti ulteriori documenti: la fotocopia della patente di guida speciale o fotocopia del foglio rosa “speciale”; autodichiarazione dalla quale risulti che si tratta di disabilità comportante ridotte capacità motorie permanenti, come attestato dalla certificazione medica in possesso; fotocopia della carta di circolazione, da cui risulta che il veicolo dispone dei dispositivi prescritti per la conduzione di veicoli da parte di disabile titolare di patente speciale oppure che il veicolo è adattato in funzione della minorazione fisico/motoria; copia della certificazione di handicap o di invalidità rilasciata da una Commissione pubblica deputata all'accertamento di tali condizioni [...]». Nel caso di specie l'Autorità si è trovata costretta, attesi i limiti della precedente disciplina, a individuare la base giuridica di tale trattamento di dati sensibili nel consenso al trattamento ravvisato come implicito nella stipulazione di un contratto tra cliente e autofficina. Si tratta ovviamente di un escamotage, ampiamente insoddisfacente ma imposto dalla mancanza di alternative nell'abrogato art. 26 cod. privacy, laddove in realtà la base giuridica era evidentemente quella dell'adempimento, per l'autofficina, di disposizioni normative che determinano necessariamente il trattamento di dati sensibili. Tali disposizioni trovano la loro analitica definizione applicativa in circolari dell'Agenzia delle Entrate, le quali dettagliano i documenti da acquisire e conservare, le modalità da seguire, gli enti a cui trasmetterli, la scelta di particolari diciture per la fatturazione, dunque fonti oggi riconducibili al novero di quelle individuate dall'art. 2-sexies, comma 1 cod. privacy come novellato dal d.l. n. 139/2021 e in ogni caso riconducibili al considerando 41 GDPR, fermo restando che, oltre all'individuazione della base giuridica, occorre osservare una serie di misure ulteriori, v. infra § 4. La necessità di espandere la base giuridica del testo originarioIl citato intervento di novellazione con d.l. 139/2021 appare più chiaro se posto in relazione con i problemi applicativi che erano emersi a soli due mesi dall'entrata in vigore del testo originario dell'art. 2-sexies. Il Garante, con nota del 27 novembre 2018 [9065601] era allora stato costretto a fornire un'interpretazione assai ampia del primo comma della disposizione, per non bloccare l'attività ordinaria di una serie di amministrazioni. «Mentre, con riferimento ai medesimi trattamenti, ai sensi del sistema previgente, si operava un generico rinvio ai regolamenti dei singoli soggetti pubblici (cfr. art. 20 del Codice, ora abrogato), nel nuovo sistema, la fonte regolamentare è idonea a disciplinare i dati personali in questione solo “nei casi previsti dalla legge”. Il richiamato inciso può ingenerare dubbi interpretativi in ordine alla necessità che la legge debba prevedere, nei singoli casi, quando un trattamento può essere disciplinato con fonte regolamentare. Tale interpretazione rischierebbe tuttavia di irrigidire eccessivamente la disciplina delle suddette categorie di dati precludendo, almeno nell'immediato, la possibilità di un opportuno aggiornamento dei regolamenti per il trattamento dei dati sensibili e giudiziari già adottati dai soggetti pubblici. Aggiornamento, questo, invece auspicabile anche in ragione dell'estensione dell'ambito applicativo di tale disciplina ai soggetti privati che trattino particolari categorie di dati, per motivi di interesse pubblico rilevante, nelle materie previste (v. art. 22, comma 9, del d.lgs. n. 101/2018). Per tali ragioni, il Collegio di questa Autorità, nell'adunanza del 21 novembre u.s., in assenza di ulteriori interventi normativi al riguardo e al fine di salvaguardare il vigente assetto di garanzie, ha ritenuto che la citata locuzione debba essere interpretata come un rinvio a tutti quei casi in cui il soggetto chiamato a disciplinare le particolari categorie di dati sia – in base a specifica disposizione legislativa – titolare di poteri regolamentari. Tale interpretazione è peraltro compatibile con il Regolamento, il cui art. 9, par. 2, lett. g), individua il presupposto di legittimità del trattamento nel “diritto degli Stati membri” genericamente inteso, non limitandolo esclusivamente alla legge (come del resto chiarito al considerando 41 del Regolamento stesso). Ne consegue che solo enti titolari – in base a disposizioni di legge – di potestà regolamentare avente carattere normativo (con esclusione, quindi, dei soggetti titolari di potestà regolamentare a rilevanza meramente interna), potranno continuare a individuare, con tale fonte, trattamenti di particolari categorie di dati personali e di dati relativi a condanne penali e reati. Per i soggetti sprovvisti di potestà regolamentare in senso proprio, invece, sarà l'amministrazione di riferimento, titolare dei poteri di vigilanza, indirizzo e controllo sugli stessi, a disciplinare, con proprio regolamento, il trattamento di particolari categorie di dati personali e di dati relativi a condanne penali e reati. In ogni caso, nelle more dei pur opportuni aggiornamenti, devono peraltro intendersi tuttora applicabili i vigenti regolamenti sui trattamenti di dati sensibili e giudiziari adottati secondo la disciplina previgente (art. 20, comma 2 del Codice [abrogato dal d.lgs. n. 101/2018, n.d.a.])» (GPDP, Nota del Presidente del Garante, Antonello Soro, al Presidente del Consiglio dei Ministri, al Presidente della Conferenza delle regioni e delle province autonome e al Presidente dell'ANCI, in tema di trattamenti di categorie particolari di dati personali per motivi di interesse pubblico rilevante, 27 novembre 2018 [9065601]). Comma 1: le condizioni di liceità del trattamentoDunque, l'attuale primo comma dell'art. 2-sexies prevede come fonti normative utilizzabili: leggi, regolamenti, atti amministrativi generali. Ciò non basta ai fini dell'utilizzabilità della base g), occorrendo, altresì, che il trattamento di dati personali che si intende svolgere sia «proporzionato alla finalità perseguita, rispett[i] l'essenza del diritto alla protezione dei dati e preved[a] misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato», così l'art. 9.2.g) GDPR. Occorre altresì che siano «specific[ati] i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato», così l'art. 2-sexies, comma 1 cod. privacy. La verifica della sussistenza di tutte le condizioni di liceità va condotta caso per caso. Comma 1-bis: interconnessione di banche dati sulla saluteIl comma 1-bis individua un'ipotesi, disciplinata ex lege, di interconnessione tra sistemi di trattamento dei dati personali relativi alla salute, idonea a estendere significativamente il trattamento già in essere dei dati sanitari. Tali dati possono essere anche quelli estratti dal fascicolo sanitario elettronico o da altri sistemi informativi sanitari su base individuale, purché aventi finalità compatibili con quelle sottese al trattamento. Nonostante la misura di privazione di elementi identificativi diretti (che comunque non è operazione necessariamente sovrapponibile a una pseudonimizzazione), è corretto indicare che la disposizione, specie se letta in combinazione l'art. 7 d.l. n. 34/2020 in tema di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione (v. anche posizione del Garante infra), appare idonea a integrare una soglia di rischio particolarmente elevato. Le condizioni per dare corso alla previsione del comma 1-bis sono le seguenti: (i) i dati trasmessi devono essere «privi di elementi identificativi diretti», con tale espressione intendendosi dati idonei a identificare l'interessato senza l'apporto di ulteriori apporti informativi. Andranno perciò certamente esclusi elementi quali nome e cognome, codice fiscale. Tuttavia, la mancanza oggi di una definizione normativa di “elemento identificativo diretto” può rendere incerti i margini applicativi; (ii) siano rispettate le finalità istituzionali delle amministrazioni che partecipano al trattamento di interconnessione; (iii) le amministrazioni legittimate siano quelle menzionate nell'elenco tassativo della disposizione; (iv) le finalità di trattamento siano compatibili con quelle indicate dal Ministero della salute con decreto, previo parere del Garante. La scelta, non casuale, del termine «compatibili» anziché “corrispondenti” apre scenari sui quali andrebbe osservata la massima cautela, essendo dubbio che possa essere esercitato un test di compatibilità rispetto a una disposizione già di per sé eccezionale. Vanno in ogni caso osservate le regole fissate dal GDPR, dunque, a titolo di esempio, il trattamento è da ritenersi valido solo se preceduto da valutazione d'impatto sui diritti ai sensi dell'art. 35 GDPR, ossia la DPIA. «Dalla lettura combinata della citata disposizione sulle metodologie predittive (art. 7, d.l. n. 34/2020) con la richiamata nuova disciplina dell'art. 2 sexies, comma 1 bis, del Codice, emerge l'intenzione del legislatore di ampliare notevolmente il novero delle informazioni trattate attraverso i sistemi informativi del Ministero della salute, delle regioni/province autonome, dell'ISS, di AGENAS, dell'AIFA e dell'INMP. Ciò in quanto i dati presenti nei sistemi informativi su base individuale del SSN, ivi incluso il FSE, saranno arricchiti con le informazioni non relative alla salute detenute da altre pubbliche amministrazioni (es. dati reddituali detenuti dall'Agenzia dell'entrate) (art. 7, d.l. n. 34/2020), per poi essere messe a disposizione, anche mediante interconnessione, alle amministrazioni citate nell'art. 2-sexies, comma 1-bis, del Codice» (GPDP, Parere al Ministero della Salute sullo schema di decreto, da adottare assieme al Ministro delegato per l'innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico (FSE) – 22 agosto 2022 [9802729], § 1.1). Comma 2: interesse pubblico rilevante ex legeIl comma 2 dell'art. 2-sexies contiene un elenco di ipotesi nelle quali sussistono ex lege motivi di interesse pubblico rilevante, dunque permette in tali casi di risolvere agevolmente la necessità di individuarlo. Giova evidenziare che l'elenco di interessi pubblici rilevanti del secondo comma in commento non è esaustivo, come chiarito anche dalla relazione illustrativa (cfr. ivi p. 10, commento sub art. 7). Va altresì evidenziato che il secondo comma si applica solo ove sussistano le basi giuridiche individuate al primo comma («fermo quanto previsto dal comma 1»). Le tipologie di interessi pubblici rilevanti possono essere richiamate non solo da titolari del trattamento soggetti pubblici, ma anche da soggetti privati, beninteso in casi limitati. Si tratta di voci in gran parte già presenti nella versione ante-riforma del cod. privacy, sia pure con diversa numerazione. Solo a titolo di esempio, l'attuale lett. a) trova corrispondenza nell'art. 59 testo ante-riforma (cfr. anche cons. 154 GDPR), la lett. b) nell'abrogato art. 62, la lett. c) richiama in parte l'abrogato art. 66, comma 2. Le novità consistono nell'aggiunta di alcune ipotesi, cfr. lett. d) concernente la tenuta dell'anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli e lett. o) concernente i rapporti tra i soggetti pubblici e gli enti del terzo settore. Si segnala la presenza alle lettere da t) a z) anche di tematiche che avrebbero sede naturale verosimilmente nelle basi h) o al limite i) dell'art. 9.2 GDPR. Va tuttavia preso atto della scelta di ricondurle piuttosto alla base g), verosimilmente al fine di superare eventuali difficoltà nel soddisfare il rigoroso requisito di “necessità” del trattamento di dati rispetto a tali due ultime basi. La lett. g) si dimostra dunque ancora una volta come una clausola di salvezza, che permette di raccogliere un'ampia serie di interessi pubblici rilevanti che richiedono trattamento di dati personali. Va infatti notato che, nonostante anche la base in esame imponga, naturalmente, una clausola di “necessità”, essa si trova più ampiamente riferita, appunto, a un contesto di esigenze definite in termini astratti e trasversali quali “motivi di interesse pubblico rilevante”. Restano tuttavia alcune perplessità di fondo, posto che, ove il legislatore dell'Unione ha voluto disciplinare il settore, delicatissimo, dei trattamenti in materia sanitaria, lo ha fatto appunto attraverso due basi specifiche. Un esempio di trattamento verosimilmente fuoriuscente dalle basi h) e i) ma che a livello nazionale si è voluto ricomprendere nell'alveo della base g) è quello in materia di medicina predittiva o “d'iniziativa”, consentito – attraverso decreto del Ministero della salute, previo parere del Garante – dall'art. 7 d.l. n. 34/2020, che dispone al primo comma: «Il Ministero della salute, nell'ambito dei compiti di cui all'art. 47-ter del d.lgs. n. 300/1999 e, in particolare, delle funzioni relative a indirizzi generali e di coordinamento in materia di prevenzione, diagnosi, cura e riabilitazione delle malattie, nonché di programmazione tecnico sanitaria di rilievo nazionale e indirizzo, coordinamento, monitoraggio dell'attività tecnico sanitaria regionale, può trattare, ai sensi dell'articolo 2-sexies, comma 2, lettera v), del d.lgs. n. 196/2003 e nel rispetto del Regolamento UE 2016/679 [...] dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione, secondo le modalità di cui al decreto del Ministro della salute 7 dicembre 2016, n. 262». «Ferma restando la necessità che il trattamento sia individuato in una specifica disposizione di normativa, a fini di razionalizzazione e semplificazione, l'articolo riunisce in un elenco, non esaustivo, i trattamenti che possono ritenersi effettuati per motivi di rilevante interesse pubblico, in precedenza disseminati in molteplici disposizioni del previgente codice in materia di trattamento dei dati personali» (Relazione illustrativa, cit., 10). BibliografiaPelino in Bolognini-Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/18, Milano, 2018, 19 ss. |
