Antefatto: una donna sottoposta a interruzione di gravidanza dettata da scopi terapeutici, scopre casualmente come il feto sia stato seppellito da un’associazione antiabortista in apposita sezione di un cimitero capitolino con indicazione, sulla lapide, del proprio nome e cognome. L’episodio diventa caso nazionale e apre la finestra su migliaia di casi analoghi ove una disciplina risalente di trent’anni mal si concilia con il vigente diritto della privacy. L’eco mediatica e gli esposti presentati alla procura di Roma hanno spinto il Garante della Privacy ad aprire un’istruttoria. La vicenda si è chiusa negli scorsi mesi con l’archiviazione del caso che farà molto discutere.
Il legislatore nazionale, probabilmente per motivi dettati da praticità, decise di disciplinare la materia di polizia mortuaria con apposito D.P.R. n° 285 del 10 settembre 1990.[1]
Con l’articolo 7 illustra un caleidoscopio di ipotesi afferente il seppellimento/smaltimento del feto in relazione alla sua età di gestazione[2]: il quarto comma, in particolare, riconosce in prima battuta ai parenti il diritto di presentare specifica domanda di seppellimento entro le 24 ore dall’espulsione o dall’estrazione del feto. Se essi decidono di non avvalersi di tale facoltà (fermo restando l’obbligo legale per le strutture sanitarie di provvedere allo smaltimento) l’adempimento de quo potrà essere eseguito da “terze parti”. Questi terzi soggetti sono sempre più spesso rappresentati da associazioni pro-life che, in seguito a protocolli stipulati con ASL e strutture sanitarie, si curano dello smaltimento sgravando queste ultime dal relativo adempimento.
L’analisi della questione vertendo su un piano squisitamente tecnico-giuridico e scevro da qualunque implicazione di carattere filosofico, etico e morale non può prescindere dal focus su alcuni fondamentali quesiti relativi alla qualificazione dei soggetti interessati, all’oggetto del trattamento e alla disciplina applicabile.
Gli interessati e l’oggetto del trattamento
Se non può esserci discussione circa la posizione di interessato al trattamento in capo alle gestanti che si rivolgono alle strutture sanitarie per l’interruzione della gravidanza, resta da chiarire la posizione del feto.
Secondo l’ordinamento giuridico, è considerato “persona fisica” ogni essere umano nato vivo anche se deceduto poco dopo. In quanto tale, il feto non potrà essere giuridicamente considerato centro di imputazione di diritti e doveri e conseguentemente non titolare del ventaglio dei diritti compresi quelli della privacy.
Il tempo e il ciclo di vita del trattamento dati personali
Relativamente all’efficacia dei Regolamenti UE, la regola vuole che essi entrino in vigore 20 giorni dopo la loro pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea rendendo quindi le relative disposizioni regolamentari inapplicabili a quei rapporti giuridici definiti anteriormente a tale momento.
Con riferimento alla fattispecie in esame, sarà d’uopo stabilire quando un trattamento dei dati personali possa considerarsi definito e concluso e quando invece ancora intercorrente. Nel primo caso, stante la generale irretroattività dei regolamenti comunitari[3], i trattamenti di dati personali definiti prima del 25 maggio 2018[4] seguiranno la disciplina del previgente Codice della Privacy[5], quelli intercorrenti o definiti dopo quella data dal GDPR e dal novellato Codice della Privacy.
I dati personali devono essere raccolti per finalità determinate, esplicite, legittime e successivamente trattati in modo non incompatibile con tali finalità. Perseguite le finalità in parola, i dati dovranno essere cancellati previa verifica che non ne sia rimasta traccia negli archivi[6].
Acquisito pacificamente che ogni attività con cui si entra a contatto con la sfera di conoscibilità del dato personale costituisca trattamento, la mera conservazione dei dati dopo il perseguimento delle finalità di raccolta costituisce prosecuzione del trattamento medesimo. Non lecito e non consentito ma pur sempre trattamento e quindi tale da non potersi considerare come “definito” e “concluso”.
Finalità, basi giuridiche del trattamento e criticità
Le finalità di interruzione volontaria o terapeutica della gravidanza, richiamano atti tipicamente ed espressamente consensuali il che spinge a ritenere come la base giuridica per il trattamento dei dati personali prima[7] e dopo[8] il 25 maggio 2018 sia il consenso.
La finalità di smaltimento del feto/prodotto abortivo, essendo specificamente prevista dal dettato dell’articolo 7 del D.P.R. 285/1990, sottende all’adempimento di un obbligo legale o all’esecuzione di un compito di interesse pubblico[9].
La naturale linea di continuità tra le menzionate finalità imponeva che nell’informativa dovesse darsi conto, tanto nella vecchia quanto nella nuova normativa, di quel complesso di informazioni indispensabili per l’esercizio dei diritti dell’interessato.
Informative rilasciate oralmente che, secondo quanto sommariamente denunciato dagli interessati, risultavano vaghe e frammentarie rispettando la forma ma non la sostanza del previgente Codice della Privacy[10] e violando completamente quanto disposto dal GDPR[11].
Nella vecchia e nella nuova disciplina privacy, i rapporti tra il titolare della raccolta e del trattamento dei dati personali (le ASL) e quei soggetti che andranno a trattare dati per conto di esso in qualità di responsabili del trattamento (le associazioni pro-life) dovranno essere dettagliatamente regolati per iscritto specialmente in tema di finalità, tempi, modalità del trattamento e rispettivi diritti e doveri fra le parti. L’apposizione delle generalità delle madri sulle lapidi dei feti sembra configurarsi come evidenza di un trattamento dati personali senza alcuna base giuridica, quindi illecito, e nella migliore delle ipotesi basato su un consenso non pienamente cosciente né formalmente espresso da parte degli interessati.
Conclusioni: le ragioni alla base dei provvedimenti di archiviazione
Stupisce che l’istruttoria aperta dal Garante della Privacy[12] al pari degli esposti presentati alla Procura di Roma siano spirati senza dar luogo a sviluppi significativi.
Il GIP del Tribunale di Roma pur accertando la materiale violazione della privacy ai danni delle parti (derubricata come prassi erronea della struttura sanitaria) non avendo riscontrato l’elemento soggettivo del dolo, quale presupposto essenziale per integrare il reato ex art. 21[13] legge 194/1978, ha disposto l’archiviazione del procedimento.
Meno condivisibile la scelta dell’Autorità Garante che a seguito dell’istruttoria ha optato egualmente per l’archiviazione. Una decisione probabilmente influenzata dalla delibera con cui la giunta capitolina ha adeguato il regolamento di polizia mortuaria[14] inserendo, in sezione ad hoc del registro cimiteriale, i dati delle gestanti associati a un codice alfanumerico (apposto sulle lapidi dei feti) in modo da garantirne l’anonimizzazione[15]: scelta che pone sì un correttivo allo status quo ma che lascia impregiudicata l’illegittima precedente diffusione, e quindi illegittimo trattamento, dei dati personali dei soggetti interessati.
Una seconda considerazione riguarda il fatto che non esiste nel nostro ordinamento giuridico una formale distinzione tra “dato” e “informazione”. Essa può essere mutuata dal settore informatico ove il primo è considerato unità di conoscenza elementare e grezza, solitamente costituita da simboli, mentre la seconda è sintesi di più dati che permette un livello di conoscenza più qualificato.
Ma in ambito privacy, il Regolamento generale sulla protezione dei dati[16] (GDPR) non contempla tale distinzione atteso che “dato personale” è qualsiasi “informazione” riguardante una persona fisica identificata o identificabile[17] fondendo così in unico concetto le due succitate definizioni. Un assunto ribadito dal Considerando 26 secondo il quale “è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile”.
Tale premessa può costituire una delle potenziali chiavi di lettura del “non luogo a procedere” dell’Autorità Garante. È infatti possibile che essa, basandosi sulla formale divisione tassonomica dei dati personali in comuni e particolari, abbia rilevato nella diffusione delle generalità delle gestanti sui cippi dei feti (dati personali comuni) una violazione così tenue da non giustificare l’adozione di provvedimenti formali.
Ma se per la disciplina comunitaria il dato personale è sinonimo di informazione e viceversa, una lettura più sostanziale della stessa avulsa dalla dicotomia suesposta avrebbe dovuto condurre il Garante Privacy a non inquadrare l’accaduto come una semplice diffusione illegittima di dati comuni. Appare infatti evidente come il complesso delle circostanze spaziali (il cimitero dei feti), simboliche (il crocifisso apposto sul cippo funerario del prodotto abortivo) e normativamente rilevanti (le generalità delle madri) elaborandosi tra loro diano vita non a un dato particolare sensu stricto ex articolo 9 GDPR[18] ma a un’informazione particolare suscettibile di rivelare aspetti personali afferenti la salute e l’eventuale appartenenza ad una determinata confessione religiosa tanto sensibili da meritare le maggiori tutele previste dalle norme cogenti di rango più elevato.
[1] Il D.P.R. in menzione è una fonte secondaria che tratta materia non disciplinata da legge e non coperta da riserva di legge. Si configura come atto formalmente presidenziale ma sostanzialmente governativo.
[2] Articolo 7, D.P.R. n° 285/1990: “1. Per i nati morti, ferme restando le disposizioni dell'art. 74 del regio decreto 9 luglio 1939, n. 1238, sull'ordinamento dello stato civile, si seguono le disposizioni stabilite dagli articoli precedenti. 2. Per la sepoltura dei prodotti abortivi di presunta età di gestazione dalle 20 alle 28 settimane complete e dei feti che abbiano presumibilmente compiuto 28 settimane di età intrauterina e che all'ufficiale di stato civile non siano stati dichiarati come nati morti, i permessi di trasporto e di seppellimento sono rilasciati dall'unità sanitaria locale. 3. A richiesta dei genitori, nel cimitero possono essere raccolti con la stessa procedura anche prodotti del concepimento di presunta età inferiore alle 20 settimane. 4. Nei casi previsti dai commi 2 e 3, i parenti o chi per essi sono tenuti a presentare, entro 24 ore dall'espulsione od estrazione del feto, domanda di seppellimento alla unità sanitaria locale accompagnata da certificato medico che indichi la presunta età di gestazione ed il peso del feto.”
[3] L’efficacia retroattiva dei regolamenti UE si pone come eccezione rispetto alla regola generale in considerazione dell’obiettivo che con tale strumento si intende realizzare.
[4] Il GDPR è entrato formalmente in vigore il 25 maggio 2016 ma ha spiegato la sua efficacia, per espressa previsione, solamente due anni dopo il 25 maggio 2018.
[5] Il Codice della Privacy prima di essere novellato dal D. Lgs 101/2018.
[6] L’articolo 5, par. 1, lett. e) del GDPR prevede eccezioni alla regola generale per fini statistici, di ricerca scientifica e storica.
[7] Si vedano gli articoli 13 e 23 del previgente Codice della Privacy.
[8] Si vedano gli articoli 6, par. 1, lett. a) e 7 del GDPR.
[9] Si veda l’articolo 6, par. 1, lett. c) ed e).
[10] Si veda l’articolo 13, par. 1 del previgente Codice della Privacy;
[11] L’articolo 12, par. 1 del GDPR pone a carico del Titolare del trattamento l’onere di rendere l’informativa in via principale per iscritto o alternativamente con mezzi idonei.
[12] Istruttoria aperta in data 30 settembre 2020.
[13] L’articolo 21 della legge 194/1978 recita: “Chiunque, fuori dei casi previsti dall'articolo 326 del codice penale, essendone venuto a conoscenza per ragioni di professione o di ufficio, rivela l'identità - o comunque divulga notizie idonee a rivelarla - di chi ha fatto ricorso alle procedure o agli interventi previsti dalla presente legge, è punito a norma dell'articolo 622 del codice penale”. Il primo comma dell’art. 622 c.p. subordina l’integrazione del reato di diffusione di segreto al perseguimento di un profitto: se non sussiste il profitto viene meno il reato anche se viene accertata l’illecita diffusione di fatti riservati.
[14] Nel testo originario vi era un vulnus normativo relativo alle sepolture dei prodotti abortivi.
[15] Merita attenzione la questione della tutela privacy riguardante la gestione dei dati delle gestanti nel registro cimiteriale: non potrà esserci pseudonimizzazione se le generalità della gestante associate al codice alfanumerico apposto sul cippo del feto non saranno sottoposte a policyadeguate a impedire l’illecita diffusione dei dati in parola.
[16] Regolamento UE 2016/679.
[17] Si veda GDPR, art. 4, par. 1.
[18] Si riferisce al trattamento (e alla protezione) di categorie particolari di dati che possano rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.