Un caso concreto di responsabilità sanitaria che solleva una domanda precisa: davvero l’assicurazione della struttura può chiedere al paziente il consenso per trattare i suoi dati sanitari?
Mi è capitato recentemente, nell’ambito della gestione di una pratica di responsabilità professionale medica, un caso che ritengo meriti attenzione. Dopo aver formulato, nell’interesse del mio assistito, una richiesta di risarcimento danni per un presunto caso di malasanità, l’assicurazione della struttura sanitaria coinvolta mi ha inviato immediatamente un’informativa privacy con richiesta di consenso espresso al trattamento dei dati particolari, e in particolare dei dati relativi alla salute, da far sottoscrivere al mio cliente.
A una prima lettura, qualcuno potrebbe considerarla una formalità.
io, invece, leggendo quel documento, ho ritenuto di trovarmi davanti a un’impostazione giuridicamente molto discutibile.
Non contesto affatto che l’assicurazione debba rendere un’informativa privacy. Questo è corretto e doveroso. Quello che contesto è un altro aspetto: la scelta di fondare sul consenso il trattamento dei dati sanitari del paziente danneggiato, in un contesto nel quale quei dati vengono trattati perché indispensabili alla gestione della richiesta risarcitoria e alla difesa della posizione dell’assicurato.
Ed è proprio qui che, a mio avviso, emerge l’errore. Il punto centrale: non tutto ciò che riguarda dati sanitari deve essere fondato sul consenso. Esiste un equivoco molto diffuso: siccome i dati sulla salute sono dati particolari, allora ogni volta che vengono trattati servirebbe necessariamente il consenso dell’interessato. Non è così. Il GDPR non dice affatto questo.
Il consenso è solo una delle possibili condizioni di liceità per il tattamento dei dati particolari. Ma non è sempre la più corretta, né sempre la più solida. Nel caso di una richiesta risarcitoria per responsabilità sanitaria, i dati medici del paziente non vengono trattati per una finalità accessoria, eventuale o discrezionale. Vengono trattati perché sono il cuore stesso della vicenda: servono per valutare il danno, verificare il nesso causale, ricostruire i fatti, effettuare accertamenti medico-legali, decidere se contestare o meno la domanda, impostare una trattativa, predisporre una difesa. In altre parole, non si tratta di un trattamento rimesso alla logica del “mi autorizzi o non mi autorizzi”. Si tratta di un trattamento che appare strettamente connesso alla gestione di una pretesa giuridica e quindi, a mio avviso, molto più coerentemente riconducibile alla necessità di accertare, esercitare o difendere un diritto.
Perché, in questo caso, il consenso mi pare la base giuridica sbagliata? La ragione è semplice. Per essere valido, il consenso deve essere davvero libero. Deve essere espresso senza condizionamenti, senza pressioni, senza che il rifiuto comporti conseguenze pregiudizievoli improprie per l’interessato. Ma in questo caso la logica del modulo ricevuto è, sostanzialmente, questa: firmi il consenso, altrimenti la compagnia non può trattare compiutamente il sinistro. E allora mi domando: dov’è la libertà reale? Se la persona danneggiata si vede prospettare che il mancato consenso possa ostacolare l’istruttoria o la liquidazione della sua stessa domanda, quel consenso non si colloca in un contesto di autentica autodeterminazione. Si colloca invece in una situazione nella quale il paziente è posto davanti a un’alternativa solo apparente. Proprio per questo, nel caso concreto, ritengo che il consenso non solo non sia la base giuridica più corretta, ma rischi di essere anche strutturalmente debole, perché chiesto in un quadro in cui la libertà dell’interessato è quantomeno discutibile.
Poi c’è un problema, spesso sottovalutato, della revoca del consenso. C’è poi un secondo argomento che, secondo me, rende ancora più fragile questa impostazione. Il consenso, per definizione, è revocabile. E allora il ragionamento va portato fino in fondo. Se davvero l’assicurazione fondasse il trattamento dei dati sanitari del danneggiato sul consenso, che cosa accadrebbe se quel consenso venisse revocato nel corso dell’istruttoria? Si fermerebbe tutto? Si bloccherebbe la valutazione medico-legale? Si interromperebbe la gestione del sinistro? Si paralizzerebbe la possibilità di difesa della compagnia o della struttura sanitaria? Una costruzione del genere, a mio avviso, mostra immediatamente tutta la sua debolezza. Perché se il trattamento è davvero necessario per esaminare una pretesa risarcitoria e per difendersi rispetto a quella pretesa, non può dipendere da una base giuridica intrinsecamente precaria, come il consenso.
Questo non significa, ovviamente, che i dati possano essere trattati senza limiti. Significa però che la correttezza del sistema passa innanzitutto dalla scelta della base giuridica giusta, non dalla raccolta di una firma apparentemente rassicurante ma giuridicamente fuori fuoco. Una contraddizione che colpisce L’aspetto che più mi ha colpita, leggendo il documento ricevuto, è anche un altro. Nella stessa informativa, infatti, compare il riferimento alla possibilità di trattare dati particolari quando ciò sia necessario per accertare, esercitare o difendere un diritto. Dunque quella base giuridica è ben presente nella costruzione del documento. Eppure, proprio per la gestione del sinistro sanitario, si sceglie di chiedere il consenso. Questa impostazione mi pare contraddittoria.
Se il trattamento dei dati sanitari del paziente è necessario proprio per gestire la contestazione risarcitoria, per istruire la pratica e per difendere una posizione giuridica, non si comprende perché si debba far finta che tutto dipenda da un consenso liberamente prestato, come se si trattasse di una facoltà opzionale. Non lo è. Anche il richiamo alla base contrattuale lascia perplessi.
C’è poi un ulteriore profilo problematico. Spesso, in moduli di questo tipo, si richiama anche l’esecuzione di un contratto o di misure precontrattuali. Ma nel rapporto tra il paziente danneggiato e l’assicurazione della struttura sanitaria, questa ricostruzione appare tutt’altro che lineare. Il paziente, infatti, non è normalmente parte del contratto assicurativo stipulato tra clinica e compagnia.
Per questo anche il tentativo di collocare la vicenda sul terreno del rapporto contrattuale con l’interessato mi sembra, nel caso concreto, poco convincente.
Il punto non è sottrarsi al trattamento: il punto è pretendere correttezza. Vorrei essere molto chiara su questo aspetto. Contestare una richiesta di consenso formulata in questi termini non significa negare che l’assicurazione possa trattare i dati necessari alla gestione del sinistro. Non significa neppure voler ostacolare l’istruttoria. Significa, invece, pretendere che un trattamento tanto delicato venga costruito in modo giuridicamente corretto, trasparente e coerente.
Quando si trattano dati sanitari, non basta “far firmare un modulo”. Serve chiedersi: • qual è la vera finalità del trattamento; • quale sia la base giuridica realmente pertinente; • se il consenso sia davvero libero; • se il suo eventuale rifiuto o la sua revoca siano compatibili con la struttura concreta del trattamento.
Nel caso che mi è capitato, la mia risposta è netta: no.
La mia opinione professionale Ritengo che, in una vicenda di responsabilità sanitaria, nella quale il paziente agisce per ottenere il risarcimento del danno e l’assicurazione della struttura tratta i suoi dati sanitari per gestire quella pretesa, il ricorso al consenso come base giuridica sia profondamente criticabile.
Lo è per almeno tre ragioni: perché il trattamento non appare facoltativo, ma necessario alla gestione della controversia; perché il consenso, in quel contesto, non mi sembra realmente libero; perché la sua revocabilità dimostra quanto quella base giuridica sia inadeguata a sostenere un trattamento che, per sua natura, richiede stabilità e coerenza.
Per questo motivo intendo contestare formalmente questa impostazione.
Una riflessione finale
La protezione dei dati personali, soprattutto quando tocca la salute, non può essere ridotta a una formula burocratica o a una firma raccolta in automatico. La vera tutela passa dalla corretta qualificazione giuridica del trattamento. E proprio i casi concreti, come questo, ci ricordano una cosa fondamentale: non sempre chiedere il consenso significa rispettare davvero la privacy.
A volte, al contrario, significa usare in modo improprio uno strumento che il diritto prevede per situazioni del tutto diverse. Ed è esattamente per questo che ritengo utile parlarne.