G.D.P.R. Le regole per la sanità

Il Garante con la delibera 55 del marzo 2019 offre dei chiarimenti sul rapporto tra mondo della sanità e regole per la tutela dei dati personali.

Il Regolamento UE 2016/679 prevede delle regole specifiche relativamente a quei trattamenti che hanno per oggetto quei particolari dati personali attinenti “alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” ovvero “relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”.

Il G.D.P.R. e la normativa nazionale prevedono alcune regole specifiche per i trattamenti relativi a particolari categorie di dati. Tra queste una posizione di rilievo, poiché per loro natura sono dati “particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali”, hanno i dati relativi alla salute degli interessati che sono trattati in ambito sanitario.

In esso, infatti, sono trattati quei dati particolari che permettono di ricavare informazioni relative alla salute o alla vita sessuale o all’orientamento sessuale degli interessati; nonché dati genetici o biometrici.

In particolare, troviamo dei richiami specifici al trattamento dei dati in ambito sanitario nell’articolo 9, paragrafi 2, lettere b), i) e j) e 3 del Regolamento UE 2016/979 e negli articoli 2-septies, 75, 77, 78, 79, 80, 82, 89-bis, 92 e 93 del Codice della Privacy D. Lgs n. 196/2003 e successive modifiche e integrazioni.

La regola generale pone il divieto di trattare dati particolari (Reg. UE 2016/679 art. 9, par 1).

Tuttavia, come specificato nei considerando 52 e 53 del G.D.P.R. e previsto nell’articolo 9, paragrafo 2 e 3 dello stesso Regolamento, la deroga a tale divieto è consentita quando, ammessa dal diritto dell’Unione o degli Stati membri, il trattamento avvenga per “finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica (…) o a fini statistici” in particolare nel contesto “ della gestione dei servizi e sistemi di assistenza sanitaria o sociale, compreso il trattamento di tali dati da parte della dirigenza e delle autorità sanitarie nazionali” anche per “finalità di sicurezza sanitaria, controllo e allerta” e per “la prevenzione e il controllo di malattie trasmissibili e altre minacce gravi alla salute”.

L’autorità Garante nazionale si è più volte occupata degli aspetti e delle problematiche inerenti a questa tipologia di dati e dei relativi trattamenti.

Da ultimo, con la Delibera numero 55 del 7 marzo 2019, il Garante ha voluto fare il punto della situazione sulla base del nuovo quadro normativo risultante dal combinato disposto del Regolamento UE e delle conseguenti norme nazionali che hanno modificato il Codice della Privacy nella forma ora in vigore.

I principali chiarimenti offerti dal Garante in questo provvedimento sono:

  • possibilità per i medici di trattare, per finalità di cura, i dati particolari dei loro pazienti senza obbligo di richiedere loro il consenso sia che essi operino in qualità di libero professionista, sia che operino presso strutture sanitarie pubbliche o private;
  • necessità di fornire comunque agli interessati, a fronte della possibilità di cui al punto precedente, una informativa che contenga informazioni chiare, comprensibili e complete sull’uso dei dati;
  • obbligo per tutti gli operatori del settore di tenuta del Registro dei trattamenti;
  • non obbligatorietà della nomina di un Responsabile della protezione dei dati (D.P.O.) per il medico che opera come libero professionista.

Di seguito sarà evidenziato quanto specificatamente previsto in tema di: consenso dell’interessato, informativa da rendere all’interessato, tempi di conservazione dei dati, figura del D.P.O. e registro dei trattamenti.

Consenso dell’interessato

In relazione alla possibilità di trattare i dati particolari dei pazienti senza necessità di acquisirne preventivamente il consenso, questa opportunità trova la sua ragione di essere nel fatto che il professionista sanitario (il medico) nella sua azione è tenuto a rispettare le regole deontologiche che regolano l’esercizio della sua professione, tra cui l’obbligo di segreto professionale.

Tuttavia, questa eccezione è valida per quei soli trattamenti di dati che sono strettamente “necessari” per le “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”.

Mentre, perché il trattamento sia lecito è necessario acquisire il consenso, o essere in presenza di una differente base giuridica, quando i trattamenti dei dati, anche se effettuati da professionisti della sanità, non sono strettamente necessari per le finalità di cura.

A questo proposito, il Garante riporta alcuni esempi:

  • trattamenti di dati sulla salute connessi all’uso di “App” mediche (ad eccezione di quelle per la telemedicina);
  • trattamenti di dati posti in essere per la fidelizzazione della clientela (come quelli praticati da alcune farmacie o parafarmacie),
  • trattamenti dati finalizzati ad attività promozionali,
  • trattamenti dati funzionali alla proposizione di offerte commerciali;
  • trattamenti dati effettuati per comunicazioni elettorali.

Si sottolinea come, con particolare riferimento al fascicolo sanitario elettronico (FSE) e/o al dossier sanitario, sia obbligatorio acquisire il consenso specifico ed esplicito da parte dell’interessato per il trattamento dei dati in essi contenuti.

All’interessato, inoltre, deve essere “consentito di scegliere, in piena libertà, se far costituire o meno un FSE/dossier con le informazioni sanitarie che lo riguardano, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista o organismo sanitario che li ha redatti, senza la loro necessaria inclusione in tali strumenti” (Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario – 16 luglio 2009).

In merito, appare opportuno segnalare come le attività relative ai trattamenti di dati associati al FSE/dossier possano essere poste in essere solo da personale che opera in ambito sanitario con specifico riferimento ai processi di cura dell’interessato poiché tali trattamenti hanno esclusiva finalità di prevenzione, diagnosi e cura dell’interessato.

Ciò comporta l’impossibilità di accedere a tali dati da parte, a titolo esemplificativo, di: periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche e organismi amministrativi.

Analogo consenso autonomo e specifico è richiesto nei casi di consegna dei referti medici in modalità digitale, intendendosi per questa (D.p.c.m. 8/8/203, art.3):

  • consegna tramite Fascicolo sanitario elettronico (FSE);
  • consegna tramite Web;
  • consegna tramite posta elettronica;
  • consegna tramite posta elettronica certificata anche presso il domicilio digitale del cittadino;
  • consegna tramite supporto elettronico.

In questa fattispecie è necessario, inoltre, predisporre le misure di sicurezza previste nell’allegato al citato Decreto.

Renato Carafa

Richiedi una consulenza

Fiscolexnews oltre ad offrire ai propri lettori informazioni e aggiornamenti sui principali argomenti in materia fiscale, legale e del mondo dell’impresa, implementa il proprio servizio offrendo la sezione “Richiedi una consulenza”. Sarai messo in contatto diretto con i nostri esperti nelle varie materie, che saranno pronti a fornire consulenze mirate e specifiche su quesiti ad hoc.