1. Il contesto fattuale: la richiesta di accesso ai dati del paziente defunto In un parere reso ad una Azienda sanitaria in materia di accesso civico Il Garante per la protezione dei dati personali (il “Garante”) ha affermato il principio secondo il quale le tutele previste dalla normativa in materia di protezione dei dati personali si applicano anche ai dati personali dei soggetti defunti. In particolare, il parere era stato richiesto dal Responsabile della prevenzione, della corruzione e della trasparenza di una Azienda sanitaria, a fronte di una istanza di riesame di un provvedimento di diniego riguardante un accesso civico ai dati sanitari di un paziente deceduto. La richiesta di accesso era stata rivolta all’Azienda sanitaria da parte di una persona attraverso il cosiddetto “FOIA” e mirava ad avere accesso agli atti di audit clinico e agli approfondimenti condotti sul paziente deceduto. Particolarmente riservate le informazioni a cui il richiedente avrebbe potuto avere accesso e, in particolare: dati sul ricovero, sintomi, anamnesi, diagnosi, esami effettuati, alcuni particolarmente invasivi, terapia, farmaci somministrati, credo professato. 2. Le considerazioni preliminari del Garante Il Garante, prima di affrontare il merito della questione posta, ha svolto alcune considerazioni preliminari. Nello specifico, l’Autorità rileva che il GDPR esclude che il predetto Regolamento si applichi alle persone decedute, stabilendo, tuttavia, una cd. “clausola di salvaguardia” la quale dispone che gli Stati membri dell’UE possano “prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Di tale clausola si è avvalso il legislatore italiano che inserito all’interno del D.Lgs. 196/2003 (il “Codice Privacy”) l’articolo 2-terdecies derubricato “Diritti riguardanti le persone decedute”. Il richiamato articolo prevede che i diritti relativi ai dati personali dei defunti (artt. 15 – 22 GDPR) possano essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. Da tale riconoscimento deriverebbe, secondo il Garante, la naturale conseguenza che ai dati delle persone decedute continuino ad applicarsi le tutele previste dalla disciplina sulla protezione dei dati. Ciò in quanto il Titolare, per garantire il rispetto dei diritti esercitati dal soggetto agente ai sensi dell’art. 2-terdecies del Codice Privacy, dovrà per forza rispettare la normativa in materia di protezione dei dati personali ed in particolare le disposizioni degli artt. 15 – 22 GDPR che prevedono, per l’appunto, i diritti dell’interessato. 3. Il merito: conferma del provvedimento di rigetto dell’istanza di accesso civico Per quanto riguarda invece la richiesta di accesso alla documentazione sanitaria il Garante ha affermato che questo tipo di informazioni non sono accessibili con il FOIA. Infatti, Il Codice Privacy prevede infatti un espresso “divieto di diffusione” (art. 2-septies, c. 8) di dati relativi alla salute per cui è impossibile darne conoscenza a soggetti indeterminati. La vicenda esaminata rientra dunque in una delle ipotesi di esclusione dell’accesso civico previste dalla normativa sulla trasparenza, che prevede espressamente come l’accesso civico debba essere escluso nei “casi di divieto di accesso o divulgazione previsti dalla legge”. Il Garante ha quindi concluso che l’Azienda sanitaria, pur con una motivazione sintetica, ha correttamente respinto l’istanza di accesso che, se accolta, avrebbe diffuso – e quindi reso conoscibili a terzi indeterminati– dati personali anche particolarmente sensibili del soggetto defunto.