GDPR e trattamento dei dati in ambito sanitario: i chiarimenti del Garante

È del 7 marzo 2019 il  provvedimento del Garante per la Protezione dei Dati Personali che chiarisce la portata dell’impatto del GDPR sul trattamento dei dati personali in ambito sanitario. Vediamo le principali novità.

 

Quando il trattamento dei dati in ambito sanitario è da considerarsi lecito

Il Garante chiarisce innanzitutto che il trattamento dei dati in ambito sanitario deve ritenersi lecito ai sensi del GDPR (ovverosia del Regolamento UE n. 679/2016) quando viene effettuato:

  1. per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione, o nel settore della sanità pubblica;
  2. per finalità di cura, ovverosia per “finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali” effettuati da un professionista sanitario, soggetto all’obbligo di segretezza.

 

È necessario il consenso del paziente per il trattamento dei dati necessari alla prestazione sanitaria?

Sulla base della premessa che precede, nella misura in cui il trattamento dati del paziente è necessario al fine di rendere la prestazione sanitaria richiesta dal paziente stesso, la risposta al quesito è negativa: quando il professionista sanitario – sia che operi come professionista indipendente, sia che sia inserito in una struttura sanitaria pubblica o privata – tratta i dati del paziente per la finalità di cura, non deve più chiedere il suo consenso al trattamento dei dati.

Se, invece, cambia la finalità per cui vengono trattati i dati – ovverosia si tratta di un trattamento di dati che attiene solo in senso lato alla cura del paziente, ma non è strettamente necessario a tale fine – cambia anche il relativo regime. Pertanto, è necessario ottenere il consenso esplicito dell’interessato per:

  1. i trattamenti connessi all’utilizzo di App mediche
  2. i trattamenti per la fidelizzazione della clientela (per esempio i programmi di accumulo punti svolti dalle farmacie)
  3. i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (per esempio promozioni su programmi di screening)
  4. i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali
  5. i trattamenti effettuati attraverso il fascicolo sanitario elettronico, il dossier sanitario o per la refertazione online.

 

Quali sono le informazioni da fornire al paziente?

Il paziente va informato sui principali elementi del trattamento, al fine di renderlo consapevole sulle principali caratteristiche dello stesso.

Il GDPR non ha travolto il precedente impianto privacy in materia di informativa del paziente, ma ha previsto – con gli artt. 13 e 14 – solo alcuni nuovi elementi informativi aggiuntivi, che il titolare del trattamento (ovverosia la persona fisica o giuridica, autorità pubblica, servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali: medico, azienda sanitaria etc.) ha l’obbligo di comunicare al paziente; pertanto

l’informativa al paziente precedentemente predisposta dai titolari del trattamento non andrà stravolta, ma solo integrata con riferimento agli elementi di novità introdotti dagli artt. 13 e 14 del GDPR.

Spetta al titolare del trattamento scegliere le modalità di informativa più appropriate nel caso concreto, tenendo conto di tutte le circostanze, e in particolare il fatto che

 “le informazioni vanno rese in forma concisa, trasparente, intellegibile e facilmente accessibile, con linguaggio semplice e chiaro”.

 

Come determinare il periodo di conservazione dei dati sanitari

Tra gli elementi informativi di novità va evidenziato, in particolare, quello relativo al periodo di conservazione dei dati, che va necessariamente comunicato al paziente.

L’ordinamento giuridico prevede riferimenti numerosi e differenziati concernenti i tempi di conservazione della documentazione sanitaria, che non vengono modificati dalla disciplina in materia di trattamento dei dati personali e che sono pienamente in vigore.

Solo per ricordare i principali termini di conservazione documentale previsti dalla legge:

  • documentazione inerente agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica: 5 anni;
  • cartelle cliniche e referti: durata illimitata;
  • documentazione iconografica radiologica: 10 anni.

Nel caso in cui i tempi di conservazione non siano stabiliti espressamente dalla legge, spetta al titolare del trattamento individuare tale periodo in modo tale che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati, ed indicare tale periodo tra le informazioni da rendere al paziente.

Secondo il GDPR, l’informazione in merito al termine di conservazione dei dati può essere fornita dal titolare anche mediante l’indicazione dei criteri da utilizzare per determinare tale durata (per esempio, cinque anni dalla conclusione della prestazione).

 

Se si effettuano più tipi di attività, meglio informare per gradi

Il Garante precisa poi che, se il titolare del trattamento dei dati effettua pluralità di operazioni connotate da particolare complessità (è il caso, per esempio, delle aziende sanitarie), è consigliabile rendere le informazioni dovute al paziente in modo progressivo.

Ciò significa che andranno fornite a tutti i pazienti le informazioni relative all’ordinaria attività delle prestazioni sanitarie, mentre le informazioni relative a particolari attività di trattamento (per esempio la fornitura di presidi sanitari, le modalità di consegna dei referti on-line, le finalità di ricerca etc.) potranno essere rese in un secondo momento, solo ai pazienti effettivamente interessati a tali servizi.

 

Quando va nominato il RPD

Il Garante chiarisce che la designazione della figura del responsabile della protezione dei dati (RPD) risulta obbligatoria per le autorità o organismi pubblici; per gli altri, tale obbligo sussiste solo se ricorrano determinate condizioni previste dall’art. 37 GDPR, ovverosia nel caso in cui le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento di dati sanitari su larga scala.

In generale, il Garante ritiene che i trattamenti di dati personali effettuati da un’azienda sanitaria appartenente al Servizio Sanitario Nazionale, così come da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale rientrino nei casi di nomina obbligatoria del RPD.

I professionisti sanitari che operano in regime di libera professione a titolo individuale non sono invece tenuti alla designazione del RPD con riferimento allo svolgimento della loro attività.

Il trattamento dei dati svolto dai professionisti individuali non rientra infatti tra quelli considerati su larga scala.

Per quanto concerne farmacie, parafarmacie, aziende ortopediche e sanitarie, l’obbligatorietà della nomina del RPD scatterà solo in caso di trattamento di dati su larga scala da parte degli stessi, che andrà valutata caso per caso.

 

Il registro delle attività di trattamento è sempre obbligatorio

Sempre obbligatoria, invece, in ambito sanitario, la tenuta di un registro delle attività di trattamento: per dimostrare di conformarsi alla vigente disciplina in materia di privacy, il titolare/responsabile del trattamento deve infatti tenere un registro in cui vengono annotate le attività di trattamento effettuate sotto la sua responsabilità.

La tenuta del registro – che non deve essere inviato al Garante, ma solo tenuto a disposizione dell’autorità in caso di eventuali controlli – costituisce infatti un elemento essenziale per la gestione del rischio dei trattamenti.

L’obbligo di tenuta del registro delle attività di trattamento si applica ai singoli professionisti sanitari in regime di libera professione, ai medici di medicina generale e pediatri di libera scelta, agli ospedali privati e case di cura, alle RSA ed aziende sanitarie appartenenti al SSN, nonché a farmacie, parafarmacie ed aziende ortopediche.

Restiamo in attesa degli ulteriori provvedimenti del Garante, che stabiliranno le misure di garanzia per il trattamento dei dati sanitari e che verranno adottate nei prossimi mesi.

 

Ci aggiorniamo la prossima settimana con un altro, interessante argomento!

Nel frattempo, resta collegato o iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

 

LEGGI I DOCUMENTI

Garante per la Protezione dei Dati Personali-Provvedimento n. 55 del 7 marzo 2019

Artt. 13 e 14 del Regolamento UE n. 679 del 27 aprile 2016