• Privacy -Istruzione, sanità e servizi sociali

18 marzo 2019

Trattamento dei dati relativi alla salute in ambito sanitario: i chiarimenti del Garante per la privacy

Con il provvedimento del 7 marzo 2019, il Garante per la protezione dei dati personali ha fornito importanti chiarimenti in merito all’applicazione della disciplina di protezione dei dati in ambito sanitario, al fine di supportare tutti i soggetti operanti nel settore sanitario nel processo di attuazione di tale disciplina e di favorire un’interpretazione uniforme del nuovo assetto normativo.

L’Autorità, pur rilevando come il quadro regolatorio non sia ancora definitivo, in considerazione delle numerose segnalazioni e quesiti pervenuti relativamente ai nuovi adempimenti per i titolari e i responsabili previsti dal Regolamento e dal Codice, ha ritenuto opportuno indicare le seguenti precisazioni sull’applicazione della disciplina di protezione dei dati in ambito sanitario.


Disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

L’art. 9 del RGPD elenca una serie di eccezioni che rendono lecito il trattamento dei dati e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:

a) motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;

b) motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);

c. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (c.d. finalità di cura) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità (art. 9, par. 2, lett. h) e par. 3 del Regolamento e art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.

Con riferimento ai trattamenti in ambito sanitario che non rientrano nelle ipotesi sopra descritte e, quindi, che richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), il Garante individua, a titolo esemplificativo, le seguenti categorie:

  • trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
  • trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN);
  • trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
  • trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali
  • trattamenti effettuati attraverso il Fascicolo sanitario elettronico.


Informazioni da fornire all’interessato

Con riferimento alle informazioni da fornire all'interessato, il Regolamento prevede solo alcuni nuovi elementi informativi rispetto a quanto era previsto nell’art. 13 del Codice. 

In particolare, così precisa il Garante:

"Con specifico riferimento all’attività posta in essere da titolari del trattamento operanti in ambito sanitario che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie), si ritiene opportuno suggerire di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo. Ciò significa che nei confronti della generalità dei pazienti afferenti a una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (cfr. art. 79 del Codice). Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento.

Tra gli elementi informativi di novità, merita evidenziare quello relativo al periodo di conservazione dei dati che, secondo il Regolamento, può essere fornito dal titolare anche attraverso l’indicazione dei criteri utilizzati per determinarlo (artt. 13 e 14, par. 2, lett. a), Regolamento).

Al riguardo, si ricorda che, con particolare riferimento alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione della stessa, che non sono stati modificati dalla disciplina sulla protezione dei dati personali e che, quindi, rimangono pienamente in vigore. Si fa riferimento, ad esempio: alla documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, che deve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5, D.M. 18/02/1982); alla conservazione delle cartelle cliniche che, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260); alla documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997).

Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e) del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato."


Responsabile della protezione dei dati (RPD)

La designazione del RPD nella struttura del Regolamento costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati, che risulta obbligatoria per le autorità o organismi pubblici; per gli altri soggetti tale obbligo sussiste invece, solo al ricorrere delle specifiche condizioni di cui all’art. 37. 

Il Garante a tal riguardo ha precisato:

  • i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN, da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA), devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del RPD;
  • il singolo professionista sanitario che operi in regime di libera professione a titolo individuale non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività;  lo stesso vale per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie. Pertanto, tali soggetti, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.

 

Registro delle attività di trattamento

Con riferimento a questo adempimento, il Garante ritiene che sussista tale obbligo in ambito sanitario, in quanto non ricadono nelle ipotesi di esenzione dall’obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.

Tuttavia,  il registro non deve essere trasmesso al Garante, ma soltanto deve essere messo a disposizione dell’Autorità in caso di controllo.