Tutela dei Dati in Ambito Sanitario: chiarimenti del Garante sul consenso dell’interessato

* di Sarah Yacoubi – Il Garante della privacy, con provvedimento del 7 marzo inviato (il 13 marzo) a tutte le Regioni, le Federazioni professionali, le associazioni scientifiche e i sindacati, spiega l’interpretazione autentica delle nuove norme europee sulla privacy per quanto riguarda il consenso informato. E non solo.

Il Garante della Privacy ha ritenuto opportuno intervenire fornendo un’interpretazione uniforme della nuova normativa nonché degli orientamenti sui comportamenti da tenere in materia di protezione dei dati in ambito sanitario. In considerazione del fatto che al Garante privacy sono pervenute numerosi quesiti e segnalazioni relativi al trattamento dei dati personali in ambito sanitario, soprattutto in considerazione dei nuovi adempimenti che sono richiesti ai Titolari e ai Responsabili del trattamento dal Regolamento europeo 679 del 2016 (GDPR) e dal Codice privacy come da poco modificato dal D. Lgs. 101 del 2018.

L’Autorità di controllo italiana ha rammentato che i dati sanitari o comunque relativi alla salute possono essere oggetto di trattamento soltanto quando ricorrono alcuni requisiti che sono individuati dall’articolo 9 del Regolamento europeo. Requisiti sui quali, lo stesso Regolamento, ha previsto che gli Stati membri possono intervenire anche introducendo degli ulteriori requisiti nonché stabilendo delle vere e proprie limitazioni in ordine al trattamento dei suddetti dati. A tal proposito, quindi, il Garante ha ricordato che il decreto legislativo numero 101 del 2018, che ha recentemente modificato il Codice della privacy, ha affidato allo stesso Garante il compito di completare l’individuazione dei presupposti e dei requisiti in presenza dei quali il trattamento di dati sanitari possa ritenersi lecito, a tal fine individuando delle specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche in detta materia.

Il trattamento dei dati relativi alla salute in ambito sanitario. Il Garante per la protezione dei dati personali, nel Provvedimento del trattamento dei dati relativi alla salute, è avvenuto a individuare la disciplina del trattamento dei dati relativi alla salute in ambito sanitario, precisando che sussiste un generale divieto di trattare i dati relativi alla salute (in quanto essi rientrano nelle “categorie particolari di dati” di cui all’articolo 9 del Regolamento), ma che lo stesso articolo determina una serie di ipotesi in cui il trattamento di tali dati risulta lecito. Pertanto, per quanto riguarda l’ambito sanitario, le ipotesi in cui il trattamento dei dati relativi alla salute possa ritenersi lecito riguarda i trattamenti necessari per:

a. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;

b. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);

c. finalità di Medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

In analisi di tale disciplina, quindi, il Garante ha spiegato che, con la nuova normativa in materia di privacy, i medici e in generale i professionisti sanitari che sono soggetti al segreto professionale possono trattare i dati relativi alla salute delle persone i quali risultano necessari per l’esecuzione della prestazione sanitaria richiesta dall’interessato anche senza il consenso di quest’ultimo, sia che questi ultimi lavorino all’interno di una struttura sanitaria pubblica o privata sia che siano dei liberi professionisti.

Il Garante ha chiarito che tale regola vale per i trattamenti di dati personali relativi alla salute che servono per raggiungere una specifica finalità e che sono necessarie per la cura della salute del paziente interessato. Mentre, gli altri trattamenti di dati, che, sebbene sono connessi alla cura della salute del paziente, non sono necessari a tal fine, sono legittimi soltanto se sussiste un’altra base giuridica tra quelle previste dal regolamento europeo (come per esempio il consenso dell’interessato).

Tuttavia il Garante specifica la perdurante necessità di acquisire il consenso dell’interessato per trattamenti:

• inerenti APP mediche con finalità differenti dalla telemedicina o ai quali abbiano accesso soggetti differenti da quelli tenuti al segreto professionale

• relativi ad attività di refertazione online

• effettuati tramite il Fascicolo sanitario elettronico (FSE)

• effettuati mediante il Dossier Sanitario Elettronico (DSE), come previsto dalle Linee guida del 4 giugno 2015, doc. web. n. 4084632.

Diverso è il caso della refertazione on line per il quale il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).

Il GDPR, oltre ad inserire nuovi elementi, valorizza la trasparenza richiedendo massima intelligibilità. Alla luce di ciò il Garante consiglia alle strutture impegnate in attività complesse (le strutture sanitarie pubbliche ) di studiare una modalità di elaborazione dell’informativa tale da renderla graduale, progressiva: informazioni sul trattamento relativo alle prestazioni di carattere generale, fornite ad ogni utente, al aggiungerne successivamente altre, specifiche sulle attività di dettaglio (per esempio fornitura di presidi, refertazione on line).

Altro aspetto sul quale il GDPR pone grande importanza è quello della durata della conservazione dei dati, che in linea di principio dovrebbe coincidere con il tempo necessario ad erogare la prestazione.

Laddove non stabiliti da normative di settore, è responsabilità del Titolare del trattamento indicarne i termini dei tempi di conservazione dei dati, oppure i criteri per poterli stabilire, laddove si rendesse necessario conservarli oltre la durata del servizio erogato e quindi del naturale trattamento.

Nel provvedimento n. 55 il Garante riporta alcuni degli obblighi di conservazione normativamente previsti: 5 anni per le certificazioni di idoneità all’attività sportiva agonistica (DM 18/02/1982 art 5), 10 anni per la documentazione iconografica radiologica (DM 14/02/1997 art 4), tempo illimitato per le cartelle cliniche (Circolare del Ministero della Sanità 19/12/1986 n. 900 2/AG454/260).

In conclusione, occorre evidenziare che, così come richiamato dall’art. 22, comma 1, del d.lgs. n. 101/2018, le disposizioni del Codice si devono, in ogni caso, interpretare e applicare alla luce del Regolamento.

* DPO AOCZ Catanzaro

Docente a contratto Università Telematica Pegaso

Trasparenza  Anticorruzione e Privacy 

Contenuti correlati