G.D.P.R. Sanità: l’informativa all’interessato in ambito sanitario

Continua l’esame delle regole specifiche per la tutela dei dati personali quando il trattamento è effettuato nel modo della sanità.

Il Regolamento UE 2016/679 pone, in ambito sanitario, in ragione della particolare natura dei dati personali trattati particolare attenzione relativamente alle informazioni che devono essere rese all’interessato e alla sicurezza dei dati con particolare riguardo alla figura del responsabile e alla tenuta dei registri richiesti.

INFORMATIVA

In merito alla informazioni da rendere all’interessato quando i dati trattati possono rivelare la sua salute fisica o rendere note informazioni relative al suo stato di salute,  oltre a quanto già normalmente previsto nel Regolamento Europeo agli articoli 13 e 14 relativamente all’informativa che ogni Titolare è tenuto a dare agli interessati i cui dati personali sono oggetti di trattamento, il Garante fornisce dei chiarimenti specifici per l’ambito sanitario anche in funzione di quanto previsto dall’articolo 78 del Codice della Privacy nella formulazione attualmente in vigore risultante dalle modifiche introdotte dal D. Lgs 101/2018.

Particolare attenzione deve essere posta nella redazione dell’informativa da fornire preferibilmente in forma scritta.

Questa, infatti, deve essere: “concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro”

Qualora l’informativa sia resa dal medico di medicina generale o dal pediatra di libera scelta (D.Lgs 196/2003, art. 78), questa può essere fornita per il complessivo trattamento dei dati personali necessario per “attività di diagnosi, assistenza e terapia sanitaria”.

Le informazioni in essa contenute, se ciò non è espressamente e diversamente specificato dal medico, sono valide anche per quei trattamenti che sono direttamente collegati e/o correlati a quello effettuato dal titolare purchè siano svolti da un professionista o altro soggetto “parimenti individuabile in base alla prestazione richiesta” che:

  • sostituisce temporaneamente il medico o il pediatra;
  • fornisce una prestazione specialistica su richiesta del medico e del pediatra;
  • può trattare lecitamente i dati nell’ambito di un’attività professionale prestata in forma associata;
  • fornisce farmaci prescritti;
  • comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.

Inoltre, è necessario che l’informativa contenga esplicito e analitico riferimento a quei trattamenti che presentino rischi specifici per i diritti e le libertà fondamentali, nonché alla dignità dell’interessato, con particolare riferimento a quei trattamenti effettuati per:

  • fini di ricerca scientifica anche nell’ambito di sperimentazioni cliniche, in conformità alle leggi e ai regolamenti;
  • teleassistenza o telemedicina;
  • fornire altri beni o servizi all’interessato attraverso una rete di comunicazione elettronica;
  • l’implementazione del fascicolo sanitario elettronico – FSE;
  • l’implementazione dei sistemi di sorveglianza e i registri di mortalità, di tumori e di altre patologie, di trattamenti costituiti da trapianti di cellule e tessuti e trattamenti a base di medicinali per terapie avanzate o prodotti di ingegneria tessutale e di impianti protesici istituiti ai fini di prevenzione, diagnosi, cura e riabilitazione, programmazione sanitaria, verifica della qualità delle cure, valutazione dell’assistenza sanitaria e di ricerca scientifica in ambito medico, biomedico ed epidemiologico allo scopo di garantire un sistema attivo di raccolta sistematica di dati anagrafici, sanitari ed epidemiologici per registrare e caratterizzare tutti i casi di rischio per la salute, di una particolare malattia o di una condizione di salute rilevante in una popolazione definita.

Nel caso in cui titolari del trattamento siano strutture pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie (D.Lgs 196/2003, art. 79), l’Autorità Garante consiglia a questi soggetti,  qualora ponessero in essere una “pluralità̀ di operazioni connotate da particolare complessità (es. aziende sanitarie)”, di fornire le informazioni previste dalla normativa in maniera graduale al fine di rispettare al meglio il requisito della chiarezza e della facilità di comprensione da parte degli interessati e della completezza e puntualità dell’informazione resa.

In questo modo, la generalità degli utenti potrebbe essere informata solo in relazione a quanto avviene per i trattamenti correlati a quelle prestazioni che possono essere annoverate nell’ambito della “ordinaria attività di erogazione delle prestazioni sanitarie”; mentre, ulteriori elementi necessari a rendere un’informazione completa, ma legati a specifiche attività di trattamento (a esempio: “fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca”) potrebbero essere comunicati successivamente solo a quegli interessati (pazienti) effettivamente destinatari dei servizi specifici.

Tra le informazioni che obbligatoriamente devono essere inserite all’interno dell’informativa, particolare attenzione è posta sia Regolamento UE, sia dall’Autorità Garante nei confronti di quella relativa ai tempi di conservazione dei dati trattati.

Relativamente a questo aspetto, il Garante ricorda come, in ambito sanitario, ci siano numerose fattispecie specifiche previste dall’ordinamento nazionale in ragione della tipologia di servizi e delle prestazioni erogate, che rimangono comunque valide e in vigore indipendentemente dalla normativa privacy vigente.

A titolo esemplificativo la Delibera 55 fa riferimento agli esempi riportati nella tabella in allegato.

Qualora il tempo di conservazione non sia esplicitamente previsto da alcuna fonte normativa o di prassi, è obbligo del Titolare, in ragione del principio generale di responsabilty (Regolamento UE, art. 24 e considerando 74 e 78), di stabilire un termine e renderlo noto. Tale termine dovrà essere individuato tenendo conto del principio di limitazione della conservazione, di cui all’art. 5, paragrafo 1, lett. E) del G.D.P.R. che prevede che i dati siano conservati in una forma che permetta di identificare l’interessato per un periodo di tempo “non superiore” al perseguimento delle finalità per le quali sono trattati.

RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD – DPO)

Il Garante specifica che la nomina del Responsabile per la protezione dei dati, in ambito sanitario, sulla base dei principi contenuti nell’art. 37 del G.D.P.R., è dovuto sia dalle strutture appartenenti al S.S.N., sia dalle strutture private (a esempio: ospedale privato, casa di cura, residenza sanitaria assistenziale RSA).

Le prime perché rientranti nel novero delle autorità pubbliche o dei soggetti pubblici (art. 37, paragrafo 1, lett. a), le secondi perché rientranti nella fattispecie di coloro che trattano dati particolari su larga scala (lett. c, dello stesso articolo).

Non devono, invece, procedere ad alcuna nomina i medici che operano in modalità libero professionale a titolo privato.

Analogamente non sono tenute a nominare un R.P.D., le farmacie, le parafarmacie, aziende ortopediche e sanitarie qualora non effettuino trattamenti su larga scala.

REGISTRO DEI TRATTAMENTI

Relativamente al Registro dei trattamenti il Garante chiarisce che, in ambito sanitario, tutti i Titolari di trattamento sono tenuti alla sua redazione e conservazione.

Secondo l’autorità Garante, infatti, in questo caso non sono applicabili eccezioni poiché, relativamente ai trattamenti effettuati in questo particolare ambito, si sarebbe sempre in presenza di almeno uno dei requisiti previsti al paragrafo 5 dell’art. 30 del G.D.P.R..

Dunque, la tenuta del Registro dei trattamenti è obbligatoria per tutti gli “operatori sanitari”, inclusi “i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA, nonché le farmacie, le parafarmacie e le aziende ortopediche”.

Renato Carafa

Richiedi una consulenza

Fiscolexnews oltre ad offrire ai propri lettori informazioni e aggiornamenti sui principali argomenti in materia fiscale, legale e del mondo dell’impresa, implementa il proprio servizio offrendo la sezione “Richiedi una consulenza”. Sarai messo in contatto diretto con i nostri esperti nelle varie materie, che saranno pronti a fornire consulenze mirate e specifiche su quesiti ad hoc.