Con il provvedimento del 7 marzo 2019 (“Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”) il Garante Privacy ha fornito utili elementi interpretativi del nuovo assetto normativo per il settore sanitario, con particolare riferimento agli operatori del settore e ai responsabili della protezione dei dati (DPO).
In particolare il Garante chiarisce che il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.
Consenso del paziente
Invece il consenso del paziente (o eventuale altro presupposto di liceità) sarà essenziale per quei trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, quali:
- utilizzo di App mediche
- trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di raccolta punti
- trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza)
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali
- trattamenti effettuati attraverso il Fascicolo sanitario elettronico
- trattamenti effettuati attraverso il Dossier sanitario (come previsto dalle Linee guida in materia di Dossier sanitario del 4 giugno 2015)
refertazione on line (in tal caso il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto)
Trattamento dei dati
Alla luce del nuovo quadro giuridico, sarà il Garante ad individuare, nell'ambito delle misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, i trattamenti che possono essere effettuati senza il consenso dell’interessato per le “finalità di cura” ( ”finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali” effettuate da - o sotto la responsabilità di - un professionista sanitario soggetto al segreto professionale o da altra persona soggetta all’obbligo di segretezza).
Con riferimento alle informazioni da fornire ai pazienti, il Garante ribadisce che il principio di trasparenza impone ai titolari di informare l’interessato sui principali elementi del trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro, fermo restando il rispetto dell’obbligo di comunicare tutti gli elementi di cui agli artt. 13 e 14 del GDPR.
Sul punto, il Garante ricorda che le informative redatte prima del GDPR possono essere semplicemente aggiornate e integrate con riferimento agli elementi informativi di novità, tra cui il periodo di conservazione dei dati o l’indicazione dei criteri utilizzati per determinarlo.
Al riguardo, con riferimento alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione che rimangono pienamente in vigore, tra cui:
- documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica: almeno cinque anni
- conservazione delle cartelle cliniche unitamente ai relativi referti: conservazione illimitata
- documentazione iconografica radiologica: almeno dieci anni
Nei casi non disciplinati dalle normative di settore, il titolare del trattamento, in virtù del principio di accountability, dovrà individuare tali periodi nel rispetto del principio di limitazione della conservazione.
Il ruolo del titolare
Con riferimento alle informazioni da fornire ai pazienti, il Garante chiarisce che spetta al titolare scegliere le modalità più appropriate al caso di specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato.
In relazione alle attività poste in essere da titolari operanti in ambito sanitario che effettuano una pluralità di operazioni di particolare complessità (es. aziende sanitarie), il Garante suggerisce poi di fornire ai pazienti le informazioni previste dal GDPR in modo progressivo, fornendo - ad esempio - alla generalità dei pazienti solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie e fornendo le informazioni relative a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) in un secondo momento, solo ai pazienti effettivamente interessati da tali ulteriori trattamenti.
Lo scopo è quello di concentrare l’attenzione dei pazienti sulle informazioni veramente rilevanti, al fine di permettere una piena consapevolezza circa gli aspetti più significativi del trattamento.
La figura del DPO
Con riferimento alla figura del DPO, il Garante conferma l’obbligatorietà della nomina del DPO sia per le aziende sanitarie appartenenti al SSN che per il settore sanitario privato (es. ospedale privato, casa di cura, residenza sanitaria assistenziale - RSA) ritenendo che il trattamento dei dati relativi a pazienti di queste strutture possa rientrare, in linea generale, nel concetto di larga scala.
Non sono invece tenuti alla designazione del DPO i soggetti che non effettuano trattamenti di dati personali su larga scala, quali il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, le farmacie, le parafarmacie, le aziende ortopediche e sanitarie.
Infine il Garante ribadisce la necessità della tenuta del registro delle attività del trattamento quale strumento di accountability e di gestione del rischio anche per i singoli professionisti sanitari in libera professione, i medici di medicina generale/pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.
Leggi il provvedimento completo >
Come gestire correttamente la catena di ruoli e responsabilità privacy? Il Parere 22/2024 dell’EDPB
Il Parere 22/2024Nel corso dell’ultima riunione plenaria, il Comitato europeo per la protezione dei dati (EDPB) ha adottato il Parere 22/2024 [...]