Provvedimento privacy 22.02.07 - premessa

 

Premessa

(Provvedimento del Garante per la protezione dei dati personali, 22 febbraio 2007)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali nel seguito denominato «Codice»;

Visto, in particolare, l'art. 90, comma 1, del citato Codice, secondo cui il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute che acquisisce, a tal fine, il parere del Consiglio superiore di sanità;

Visto, altresì, l'art. 90, comma 2, del Codice, in base al quale l'autorizzazione individua anche gli ulteriori elementi da includere nell'informativa ai sensi dell'art. 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi;

Vista l'autorizzazione generale del Garante n. 2/2005 che richiama espressamente (punto 1.4) l'autorizzazione n. 2/2002 (punto 2, lettera b)), relativa al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, secondo la quale i dati genetici trattati per fini di prevenzione, di diagnosi o di terapia nei confronti dell'interessato, ovvero per finalità di ricerca scientifica, «possono essere utilizzati unicamente per tali finalità o per consentire all'interessato di prendere una decisione libera e informata, ovvero per finalità probatorie in sede civile o penale, in conformità alla legge»;

Considerata la necessità di assicurare, nella disciplina del trattamento dei dati personali, un elevato livello di tutela per i diritti e le libertà fondamentali, nonchè per la dignità delle persone e, in particolare, per il diritto alla protezione dei dati personali sancito all'art. 1 del Codice; ciò, anche riducendo al minimo i rischi di danno o di pericolo valutati sulla base delle raccomandazioni adottate in materia di dati sanitari dal Consiglio d'Europa e, in particolare, dalla raccomandazione n. R(97)5; rilevato che in base a quest'ultima sono considerati dati genetici tutti i dati, di qualunque tipo, che riguardano i caratteri ereditari di un individuo o che sono in rapporto con i caratteri che formano il patrimonio di un gruppo di individui affini (par. 1), dati che, nel quadro della più ampia categoria dei «dati sanitari», possano essere trattati solo a determinate condizioni (par. 1);

Rilevato che la raccomandazione del Consiglio d'Europa n. R(92)3 sui test e gli screening genetici a fini di cura afferma (principio n. 8) che la raccolta e la conservazione di sostanze e di campioni biologici, così come il trattamento dei dati che ne derivano, devono essere effettuati in conformità ai principi fondamentali di protezione e di sicurezza dei dati stabiliti dalla convenzione per la protezione degli individui con riguardo al trattamento automatizzato dei dati personali n. 108 del 28 gennaio 1981, nonchè dalle pertinenti raccomandazioni del Comitato dei ministri in materia;

Rilevato che, riguardo al trattamento dei dati genetici, sono desumibili altri importanti principi da alcune fonti internazionali e comunitarie tra le quali figurano:

a) la convenzione sui diritti dell'uomo e sulla biomedicina, fatta a Oviedo il 4 aprile 1997, che vieta qualsiasi forma di discriminazione nei confronti di una persona in ragione del suo patrimonio genetico (art. 11) e limita l'espletamento di test genetici predittivi ai soli fini medici o di ricerca medica e sulla base di una consulenza genetica appropriata (art. 12);

b) la dichiarazione universale sul genoma umano e i diritti umani dell'Unesco dell'11 novembre 1997, che sancisce il diritto della persona al rispetto della dignità e dei propri diritti indipendentemente dalle sue caratteristiche genetiche (art. 2) e vieta ogni discriminazione basata sulle caratteristiche genetiche che abbia per fine o sortisca l'effetto di violare i diritti umani, le libertà fondamentali e la dignità umana (art. 6);

c) la Carta dei diritti fondamentali dell'Unione europea, proclamata a Nizza il 7 dicembre 2000, che vieta qualsiasi forma di discriminazione fondata, in particolare, sulle caratteristiche genetiche (art. 21);

d) la direttiva 2004/23/Ce del Parlamento europeo e del Consiglio del 31 marzo 2004, che prescrive l'adozione di misure necessarie di protezione dei dati, compresi quelli genetici, e di altre misure di salvaguardia relativamente ad informazioni raccolte nell'ambito di attività di donazione, approvvigionamento, controllo, lavorazione, conservazione, stoccaggio e distribuzione di tessuti e cellule umani destinati ad applicazioni sull'uomo, nonchè di prodotti fabbricati derivati da tessuti e cellule umani destinati ad applicazioni sull'uomo (art. 14);

e) la convenzione sui diritti dell'uomo e sulla biomedicina (art. 10), la dichiarazione universale sul genoma umano e i diritti dell'uomo (art. 5, lettera c)) e la dichiarazione internazionale sui dati genetici umani dell'Unesco (art. 10), le quali riconoscono, con diverso ambito, il diritto di ogni individuo di essere o non essere informato dei risultati degli esami genetici e delle loro conseguenze (ovvero dei risultati della ricerca medica e scientifica laddove i dati genetici, i dati proteomici dell'individuo o i campioni biologici siano utilizzati per tali scopi);

f) il Codice di condotta dell'Organizzazione internazionale del lavoro sulla protezione dei dati personali dei lavoratori (novembre 1996), in base al quale lo svolgimento di screening genetici sui lavoratori dovrebbe essere vietato o limitato a casi specifici autorizzati espressamente dalla legge (art. 6.12);

g) la dichiarazione di Helsinki dell'Associazione medica mondiale (giugno 1964 e successive modificazioni), in base alla quale occorre acquisire l'assenso della persona legalmente incapace, in aggiunta a quello del legale rappresentante, laddove la stessa sia in grado di esprimere il proprio assenso a partecipare ad una ricerca (par. 25);

h) il documento di lavoro sui dati genetici adottato il 17 marzo 2004 (Wp 91) dal Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall'art. 29 direttiva n. 95/46/Ce che, nell'individuare le necessarie garanzie in materia di dati genetici, afferma la necessità di prendere in considerazione e di disciplinare anche lo statuto giuridico dei campioni biologici, suscettibili anch'essi di costituire una fonte di dati personali;

Vista la legge 19 febbraio 2004, n. 40, recante «Norme in materia di procreazione medicalmente assistita»;

Visto, altresì, l'Accordo del 15 luglio 2004 tra il Ministro della salute, le regioni e le province autonome di Trento e Bolzano sul documento recante le «Linee-guida per le attività di genetica medica» (in Gazzetta Ufficiale 23 settembre 2004, n. 224);

Visto il decreto legislativo 19 agosto 2005, n. 191, di attuazione della direttiva n. 2002/98/Ce, che stabilisce norme di qualità e di sicurezza per la raccolta, il controllo, la lavorazione, la conservazione e la distribuzione del sangue umano e dei suoi componenti;

Vista la legge 21 ottobre 2005, n. 219, che disciplina le attività trasfusionali e la produzione nazionale degli emoderivati, nonchè, l'ordinanza del Ministro della salute del 13 aprile 2006 recante «Misure urgenti in materia di cellule staminali da cordone ombelicale» (in Gazzetta Ufficiale 9 maggio 2005, n. 106);

Considerato che, ai sensi degli articoli 76 e 81 del Codice, gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono trattare i dati personali idonei a rivelare lo stato di salute per finalità di tutela della salute o dell'incolumità fisica dell'interessato solo con il consenso di quest'ultimo, oppure (quando occorre tutelare la salute o l'incolumità fisica di un terzo o della collettivita) anche senza il consenso dell'interessato, ma previa autorizzazione del Garante;

Considerato che gli articoli 77, 78 e 79 del Codice prevedono modalità semplificate per l'informativa di cui all'art. 13 del medesimo Codice da parte degli esercenti la professione sanitaria e degli organismi sanitari pubblici;

Visto il provvedimento del Garante del 19 luglio 2006 (in www.garanteprivacy.it, doc. web n. 1318699), con il quale, ai sensi degli articoli 78, comma 3, e 13, comma 3, del Codice, sono stati indicati gli elementi essenziali che il medico di medicina generale e il pediatra di libera scelta devono includere nell'informativa da fornire all'interessato relativamente al trattamento dei dati personali;

Considerato che, ai sensi degli articoli 23 e 26 del Codice, i privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione del Garante e, ove richiesto, con il consenso scritto dell'interessato;

Considerato che un elevato numero di trattamenti di dati genetici è effettuato per finalità di prevenzione, di diagnosi o di terapia nei confronti dell'interessato e per finalità di ricerca scientifica;

Considerato che l'art. 40 del Codice prevede il rilascio di autorizzazioni di carattere generale relative a determinate categorie di titolari o di trattamenti e che tali autorizzazioni sinora rilasciate sono risultate un idoneo strumento per prescrivere misure uniformi a garanzia degli interessati;

Ritenuto opportuno rilasciare la specifica autorizzazione prevista dall'art. 90 del Codice, in sostituzione delle prescrizioni già impartite in materia di dati genetici con l'autorizzazione generale del Garante n. 2/2002 richiamata dall'autorizzazione n. 2/2005;

Ritenuto opportuno prendere in considerazione con separato provvedimento il trattamento dei dati genetici effettuato da parte delle categorie di soggetti pubblici ricompresi nei titoli I, II, e III della parte II del Codice;

Considerato che, fuori dei casi appena indicati, ulteriori trattamenti di dati genetici non ricompresi nella presente autorizzazione non risultano allo stato leciti, anche in riferimento all'attività dei datori di lavoro volta a determinare l'attitudine professionale di lavoratori o di candidati all'instaurazione di un rapporto di lavoro, anche se basata sul consenso dell'interessato, nonchè all'attività delle imprese di assicurazione;

Visti gli articoli 41 e 167 del Codice;

Ritenuto opportuno che anche la presente autorizzazione sia a tempo determinato e riservata ogni determinazione in ordine alla sua integrazione o modifica anche in relazione al rapido sviluppo della ricerca e delle tecnologie applicate alla genetica e all'evolversi delle conoscenze nel settore;

Visto, altresì, l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B al medesimo Codice, recanti disposizioni e regole sulle misure di sicurezza;

Sentito il Ministro della salute, che ha acquisito il parere del Consiglio superiore di sanità, ai sensi dell'art. 90 del Codice;

Esaminate le osservazioni formulate, su richiesta del Garante, da parte di qualificati esperti della materia;

Visti gli altri atti d'ufficio;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;


autorizzazione