Il trattamento dei dati in ambito sanitario
Alle persone che entrano in contatto con medici e strutture sanitarie per cure, prestazioni mediche, acquisto di medicine, operazioni amministrative, devono essere garantite la più assoluta riservatezza ed il rispetto della dignità. Considerata la delicatezza e la complessità dei trattamenti dei dati in ambito sanitario, il Regolamento (EU) 2016/679 ha previsto un divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quelle sulla salute. Tuttavia, l’articolo 9 elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:
- motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri;
- motivi di interesse pubblico nel settore della sanità pubblica (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
- finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (“finalità di cura”);
- finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1.
Questo nuovo assetto ha indotto medici, professionisti, associazioni e strutture sanitarie a chiedere chiarimenti al Garante, in merito alla disciplina della protezione dei dati in ambito sanitario.
I chiarimenti del provvedimento del Garante
In tal senso, il provvedimento n. 9091942 del Garante, avente come titolo “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” e pubblicato il 7 marzo 2019, ha fornito alcuni importanti chiarimenti in merito all'applicazione della disciplina di protezione dei dati in ambito sanitario. Il Garante, infatti, pur rilevando come il quadro regolatorio non sia ancora definitivo, ha ritenuto opportuno pubblicare il provvedimento in questione, proprio allo scopo di supportare tutti i soggetti che operano in ambito sanitario.
Dopo la premessa, il provvedimento tratta quattro punti che riguardano le principali criticità e dubbi interpretativi sul tema del trattamento di dati in ambito sanitario: la disciplina per il trattamento dei dati, le informazioni da fornire all'interessato, il Data Protection Officer (o Responsabile della Protezione dei Dati) e il Registro delle attività di trattamento. In questo articolo, per cercare di fare luce sulla necessità di nominare un Data Protection Officer, ci soffermeremo sugli ultimi due punti, perché strettamente correlati, come vedremo più avanti.
La designazione del Data Protection Officer
Nella sezione del provvedimento dedicata proprio al Data Protection Officer, viene ribadito come tutte le indicazioni necessarie per valutare la obbligatorietà o meno della nomina di un Data Protection Officer sono contenute nell'art. 37 del Regolamento (EU) 2016/679. Per quanto di interesse di questo articolo che affronta il tema della sua nomina nel contesto sanitario, l’obbligo di designazione del Data Protection Officer riguarda:
- le aziende sanitarie pubbliche Titolari o Responsabili del trattamento;
- le aziende sanitarie private Titolari o Responsabili del trattamento, e le strutture che, anche con dimensioni limitate, effettuano attività di assistenza, cura o di analisi (esempi: ospedali privati, case di cura o residenze sanitarie assistite);
- le aziende che, come Titolari o Responsabili, forniscono servizi o attività alle strutture sanitarie, se per questo trattano sistematicamente dati sensibili, genetici, giudiziari, biometrici o effettuano trattamenti che per la loro natura, il loro oggetto o, ancora, per le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
(AISIS, “Privacy e sicurezza a supporto dell’innovazione digitale in sanità: il nuovo GDPR”, 2017)
Per ciò che riguarda il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, viene invece ribadito la non obbligatorietà della nomina del Data Protection Officer e la stessa conclusione vale anche per farmacie, parafarmacie, aziende ortopediche (se non effettuano trattamenti di dati personali su larga scala). Il Garante non specifica il caso dello studio associato, delle associazioni di rete o delle aggregazioni territoriali, per le quali si ritiene che il discrimine sia la larga scala del trattamento.
Quindi, la necessità della nomina di un Data Protection Officer è strettamente legata al concetto di “larga scala”. Secondo le Linee Guida dell’European Data Protection Board per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento. In base a queste considerazioni, appare chiara la necessità di nominare un Data Protection Officer per uno studio associato (5 medici di medicina generale possono arrivare a gestire i dati sanitari di 7500 interessati), per le associazioni di rete e ancor di più per le aggregazioni territoriali (che spesso svolgono anche servizi CUP e prenotazione di esami di laboratorio). Ma lo stesso concetto si dovrebbe applicare al caso del singolo medico di medicina generale o del pediatra di libera scelta che operi su un intero comune o su più piccoli comuni (come le località montane), o di una farmacia dislocata nei pressi di uno studio associato o di una associazione di rete (soprattutto quando tale farmacia effettui misurazioni di pressione, glicemia, profilo lipidico e holter cardiaci, che spesso vengono inviati tramite servizi di telemedicina presso un centro di refertazione dislocato in altra regione).
(Article 29 Working Party guidelines, paragraph 2.1.3, endorsed by the European Data Protection Board (EDPB) on 25 May 2018 )
Tenuta del Registro delle attività di trattamento
Per ciò che riguarda il punto dedicato al Registro delle attività di trattamento, Il Garante chiarisce che è obbligatorio tenere il Registro delle attività di trattamento effettuate sui dati dei pazienti per tutti gli operatori sanitari: i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta, gli ospedali privati, le case di cura, le residenze sanitarie assistite e le aziende sanitarie appartenenti al Servizio Sanitario Nazionale, nonché le farmacie, le parafarmacie e le aziende ortopediche.
In conclusione
Le due sezioni, lette in parallelo, fanno tuttavia emergere ulteriori considerazioni.
Se, da una parte, come indicato sopra, nella sezione dedicata al Data Protection Officer viene esplicitamente indicato che “il singolo professionista sanitario che operi in regime di libera professione a titolo individuale” non ha l’obbligo di nominare un Data Protection Officer, nella sezione dedicata al Registro delle attività di trattamento, viene indicata l'obbligatorietà della sua tenuta, tra gli altri, sia per “singoli professionisti sanitari che agiscano in libera professione” sia per “medici di medicina generale e per i pediatri di libera scelta”.
Quindi, nel provvedimento del Garante, siamo in presenza di due categorie di professionisti sanitari ben distinti. E questa distinzione, assieme alle considerazioni circa la delicatezza e complessità dei trattamenti dei dati sulla salute, al concetto di “larga scala”, all'obbligatorietà della tenuta del registro delle attività di trattamento e alla necessità di effettuare una valutazione di impatto sulla privacy per “trattamenti di categorie particolari di dati ai sensi dell’art.9 (Provvedimento del Garante n.9058979), fa pendere decisamente l’ago della bilancia verso la necessità della nomina di un Data Protection Officer per i medici di medicina generale e i pediatri di libera scelta, che siano in associazione o no.
Articolo a cura del Comitato Scientifico ASSO DPO – Gruppo di Lavoro Sanità