Consenso informato sanitario e consenso privacy "a confronto"
I due strumenti giuridici vanno tenuti ben distinti in quanto hanno fondamento normativo, finalità e funzioni radicalmente diversi
I due concetti di "consenso informato" di tipo sanitario e "consenso al trattamento dei dati personali" (cd. "consenso privacy") fanno entrambi riferimento a espresse manifestazioni di volontà del soggetto dichiarante, tuttavia rappresentano due istituti giuridici nettamente differenti.
In particolare, il cd. "consenso informato sanitario" rientra nell'ambito della gestione dei trattamenti clinico-sanitari, mentre il cd. "consenso privacy" è rilevante sotto il profilo del trattamento e della protezione dei dati personali, i quali nell'ambito sanitario, comprendono naturalmente i dati relativi alla salute (rientranti nella categoria più generale delle "categorie particolari di dati personali" di cui all'articolo 9, GDPR – General Data Protection Regulation).
I due strumenti giuridici vanno tenuti ben distinti in quanto hanno fondamento normativo, finalità e funzioni radicalmente diversi. Di seguito vengono distintamente analizzati.
Consenso informato sanitario
Il cd. "consenso informato" di tipo sanitario è l'espressa manifestazione di consenso del paziente che costituisce presupposto di liceità del trattamento diagnostico-terapeutico e/o medico chirurgico in tutte le sue fasi.
Le fonti normative che disciplinano il consenso in ambito sanitario si radicano innanzitutto a livello costituzionale. In primis, infatti, le norme costituzionali su cui si fonda tale importante istituto giuridico si possono rinvenire negli articoli 2 e 3 della Costituzione, ma soprattutto nell'art. 32 della Carta costituzionale che tutela la salute come fondamentale diritto dell'individuo. In particolare, in virtù di tale norma «nessuno può essere obbligato ad un determinato trattamento sanitario, se non per disposizione di legge» e neppure la legge «può in nessun caso violare i limiti imposti dal rispetto della persona umana». Il Legislatore costituzionale fissa così il principio secondo cui il diritto di autodeterminazione, che si esplica in questo caso nella facoltà di acconsentire o di rifiutare un trattamento sanitario, costituisce la regola, mentre l'imposizione di trattamenti obbligatori, che superano il consenso/dissenso della persona, rappresenta l'eccezione. E, ancora, l'eccezione è ammissibile soltanto se prevista espressamente da una legge che si deve rivelare rispettosa della persona, salvo comunque il caso in cui ricorrano le condizioni dello stato di necessità previste dall'articolo 54 c.p.
Attualmente la L. 22 dicembre 2017, n. 219 («Norme in materia di consenso informato e di disposizioni anticipate di trattamento») contiene la disciplina organica del consenso informato di tipo sanitario.
L'articolo 1 della legge si apre, oltre con il reinvio agli articoli costituzionali sopra citati, con un principio fondamentale, secondo il quale "nessun trattamento sanitario può essere iniziato o proseguito se privo del consenso libero e informato della persona interessata, tranne che nei casi espressamente previsti dalla legge".
Tale norma stigmatizza quello che possiamo definire il rapporto, o meglio, l' "alleanza" tra medico e paziente, che ha come perno il consenso informato, momento in cui si incontrano da un lato, "l'autonomia decisionale del paziente", che come detto ha il diritto di essere informato e quindi di prestare o negare il suo consenso e, dall'altro, "la competenza, l'autonomia professionale e la responsabilità del medico", il quale pertanto ha il corrispondente obbligo di informare e raccogliere il consenso del paziente (le espressioni virgolettate sono contenute nel comma 2 del citato articolo 1).
L'articolo 1, L. 219/2017 prosegue poi regolando la disciplina e le modalità di manifestazione del consenso da parte del paziente, prevedendo a chiare lettere che "ogni persona ha il diritto di conoscere le proprie condizioni di salute e di essere informata in modo completo, aggiornato e comprensibile riguardo alla diagnosi, alla prognosi, ai benefici e ai rischi degli accertamenti diagnostici e dei trattamenti sanitari indicati, nonché riguardo alle possibili alternative e alle conseguenze dell'eventuale rifiuto del trattamento sanitario".
In relazione alle modalità di acquisizione del consenso, sinteticamente si evidenzia come il consenso informato deve essere raccolto nei modi e con gli strumenti più consoni alle condizioni del paziente e va documentato in forma scritta o attraverso videoregistrazioni. La dichiarazione di consenso deve essere poi inserita in cartella clinica o nel fascicolo sanitario elettronico.
Ogni persona capace di agire ha il diritto di rifiutare, in tutto o in parte, e con le stesse forme con cui deve essere prestato il consenso, qualsiasi accertamento diagnostico o trattamento sanitario e di revocare il consenso prestato.
Come anticipato, la necessità del consenso viene meno esclusivamente in due casi:
-nelle ipotesi di trattamenti sanitari obbligatori, previsti espressamente per legge, che perseguono finalità di salute pubblica (ad esempio, vaccinazioni obbligatorie, trattamenti imposti per malattie mentali, collocamenti in quarantena);
-quando ricorra lo stato di necessità ex articolo 54 c.p., il quale prevede che non è punibile chi ha commesso il fatto per esservi stato costretto dalla necessità di salvare sé od altri dal pericolo attuale di un danno grave alla persona, pericolo da lui non volontariamente causato, né altrimenti evitabile, sempre che il fatto sia proporzionato al pericolo.
Vale la pena di sottolineare altri elementi che contraddistinguono il consenso informato sanitario, che nonostante non siano ripresi espressamente dalla L. 219/2017, sono frutto di consolidati orientamenti giurisprudenziali sviluppati negli anni e sono tutt'ora applicabili: il consenso medico-sanitario deve essere personale, specifico, libero da condizionamenti di ogni natura, preventivo e attuale, nonché adeguato, completo, esplicito, consapevole e reale.
Inoltre, anche l'informazione data dal medico al paziente deve avere determinate caratteristiche, in quanto il deve essere semplice, veritiera, razionale, ricettiva, aggiornata, esauriente, personalizzata, gratuita.
Consenso al trattamento dei dati personali" (cd. "consenso privacy")
Il "consenso al trattamento dei dati personali" (cd. "consenso privacy") secondo il Regolamento europeo n. 2016/679 (GDPR – General Data Protection Regulation) rappresenta una delle possibili basi giuridiche che rendono lecito un trattamento di dati personali, collocandosi specificatamente all'apertura dell'articolo 6 (rubricato "Liceità del trattamento dei dati personali"). Tale norma, al par. 1, lett. a), prevede che il trattamento è lecito, tra le altre ipotesi, se "l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità".
Al consenso, il Legislatore europeo dedica, in particolare, due specifiche norme del GDPR (articoli 4, n. 11 e articolo 7) e quattro Considerando (C. 32, 33, 42 e 43), che rappresentano importanti criteri interpretativi delle norme europee.
Per capire cosa si intende per "consenso", sotto il profilo della disciplina del trattamento e della protezione dati personali, occorre naturalmente partire dalla definizione.
In virtù, dell'articolo 4, n. 11, GDPR, il consenso dell'interessato è "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento".
Pertanto, il cd. "consenso privacy" reinvia al concetto di manifestazione di volontà libera: l'interessato (persona fisica cui si riferiscono i dati personali) compie, attraverso l'esplicazione di un valido consenso, una scelta effettiva "autorizzando" il titolare del trattamento dei dati personali a trattare i suoi dati. L'interessato in questo modo ha il controllo sui propri dati, il concetto di "libertà" associato al consenso va inteso nel doppio senso di consapevolezza degli elementi sui quali il consenso si esercita, nonché di mancanza di condizionamenti o vincoli. In relazione a quest'ultimo aspetto, assumono particolare rilevanza i "concetti chiave" di squilibrio di potere, condizionalità, granularità e pregiudizio.
Considerando gli aggettivi con cui il Legislatore europeo descrive, minuziosamente, tale manifestazione di volontà in ambito privacy, i requisiti di validità di tale base giuridica (tenendo conto anche dell'articolo 7, GDPR) fanno riferimento ad un consenso:
1) libero, ossia senza condizionamenti o vincoli;
2) specifico, in quanto occorre un consenso per ciascuna finalità;
3) informato, vale a dire preceduto da valida informativa (spesso è tale aggettivo che induce i "non addetti ai lavori" a confondere le due tipologie di consenso qui analizzate);
4) inequivocabile (basato su un atto positivo), occorre la certezza che l'interessato lo abbia prestato;
5) esplicito (in determinate ipotesi espressamente previste ex lege).
Considerando anche l'altra norma del Regolamento europeo (articolo 7, GDPR) che si occupa del consenso, disciplinando specificatamente le "condizioni per il consenso", occorre precisare che, oltre alle caratteristiche sopra citate necessarie per la sussistenza di un'idonea manifestazione di volontà, il consenso deve essere:
6) dimostrabile (articolo 7, par. 1, GDPR);
7) revocabile (articolo 7, par. 3, GDPR).
In questo contesto, occorre solo accennare all'importante provvedimento del Garante per la protezione dei dati personali del 7 marzo 2019 che offre chiarimenti sull'applicazione della disciplina privacy al trattamento dei dati relativi alla salute in ambito sanitario.
L'applicazione del GDPR ha comportato che, diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista presso uno studio medico ovvero all'interno di una struttura sanitaria pubblica o privata. In particolare, il consenso non è più previsto per i trattamenti posti in essere per "finalità di cura" sulla base dell'articolo 9, par. 2, lett. h, e par. 3, GDPR. I trattamenti per cui viene meno l'obbligatorietà del consenso, sottolinea il Garante privacy, sono esclusivamente quelli "necessari" al perseguimento delle specifiche "finalità di cura" previste dalla norma citata, vale a dire quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute. Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, pertanto, anche se effettuati da un professionista della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell'interessato o in altro presupposto di liceità (ex articoli 6 e 9, par. 2, GDPR).