Privacy e Trattamento dei Dati Sanitari

Ultimo Aggiornamento 20 Maggio 2024

Dati Sanitari & Privacy: i chiarimenti del Garante

Com’è noto, il 27 aprile 2016 è stato approvato il Regolamento UE 2016/679 (cd. “G.D.P.R.“) in tema di trattamento dei dati personali, che ha abrogato la disciplina previgente.
Sul piano nazionale, il G.D.P.R. ha trovato attuazione nel d.lg. 10 agosto 2018, n. 101, che ha modificato il nostro Codice in materia di protezione dei dati personali“, già introdotto con d.lg. 30 giugno 2003, n. 196.

Il nuovo assetto normativo ha sollevato notevoli dubbi sulle regole da rispettare in materia di trattamento dei dati sanitari, tanto che all’Autorità Garante sono stati rivolti numerosi quesiti da parte degli operatori della salute. Pertanto, sebbene il quadro regolatorio non sia ancora definitivo (si attendono, in particolare, i provvedimenti di cui all’art. 2-septies del Codice, che stabiliranno le “misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute“), il Garante Privacy ha ritenuto opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati personali in ambito sanitario.

Analizziamo allora, in dettaglio, i chiarimenti forniti dal Garante con provvedimento del 7 marzo 2019, inviato alle Regioni, al Ministero della Salute e alle federazioni professionali sanitarie con nota del 13 marzo 2019.


INDICE SOMMARIO | Trattamento dati sanitari & Privacy


§ 1. La disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

Il trattamento dei dati sanitari, ai sensi del G.D.P.R., è senz’altro lecito:

  • quando si deve tutelare un interesse pubblico (come, ad esempio, la protezione da gravi minacce per la salute o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici).
  • quando è effettuato con finalità di cura medica (per la prevenzione, la diagnosi, l’assistenza o la terapia di stati patologici).

Dunque, diversamente dal passato, il professionista sanitario (tenuto al segreto professionale) non deve più richiedere il consenso dell’interessato per i trattamenti necessari alla erogazione delle prestazioni sanitarie richieste dal paziente, sia se operi in qualità di libero professionista (presso uno studio medico), sia se operi all’interno di una struttura sanitaria, tanto pubblica quanto privata.

Beninteso, il trattamento di dati che non necessita di consenso del paziente è solo quello strettamente necessario alla realizzazione delle specifiche “finalità di cura” previste dal G.D.P.R. Pertanto, non rientrano nell’ipotesi descritta (e, quindi, richiedono il consenso esplicito del paziente), i trattamenti di dati:

a) connessi all’utilizzo di “App” mediche;
b) preordinati alla fidelizzazione della clientela (effettuati dalle farmacie attraverso programmi di accumulo punti);
c) effettuati da strutture sanitarie private per finalità promozionali o commerciali (es. promozioni su programmi di screening, fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
d) effettuati da professionisti sanitari per finalità commerciali o elettorali;
e) effettuati attraverso il Fascicolo sanitario elettronico previsto dall’art. 12 del d.l. 18 ottobre 2012, n. 179.

§ 2. Le informazioni da fornire all’interessato e i tempi di conservazione dei dati

Il G.D.P.R. non ha stravolto il contenuto delle informazioni da fornire all’interessato in materia di privacy, ma ha previsto soltanto alcuni nuovi elementi, che potranno dunque essere aggiunti alla tradizionale comunicazione informativa già utilizzata dagli operatori sanitari.

In particolare, il nuovo elemento informativo che merita di essere segnalato è quello relativo al periodo di conservazione dei dati sanitari.

A questo proposito, ricordiamo che il nostro ordinamento prevede alcuni obblighi relativamente ai tempi di conservazione della documentazione sanitaria (che non sono stati modificati dal G.D.P.R. e che, pertanto, restano pienamente in vigore).
In particolare:

  • la documentazione relativa agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica deve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5 Decreto del Ministero della Sanità 18 febbraio 1982);
  • le cartelle cliniche, unitamente ai relativi referti, devono essere conservate illimitatamente (come indicato dalla Circolare del Ministero della Sanità n. 61 del 19 dicembre 1986), perché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte per ricerche di carattere storico-sanitario;
  • quanto alla documentazione radiologica e di medicina nucleare (cfr. art. 4 Decreto del Ministero della Sanità 14 febbraio 1997):
    • i documenti iconografici, prodotti a seguito dell’indagine diagnostica utilizzata dal medico specialista o nell’ambito delle attività radiodiagnostiche complementari all’esercizio clinico, devono essere conservati per un periodo non inferiore a dieci anni;
    • i resoconti radiologici e di medicina nucleare, vale a dire i referti stilati dal medico specialista radiologo o dal medico nucleare, devono essere conservati a tempo indeterminato.

Per quanto riguarda l’attività delle Aziende Sanitarie e, in generale, delle Strutture che effettuano una pluralità di complesse operazioni di trattamento dei dati, il Garante suggerisce di fornire al paziente le informazioni previste dal G.D.P.R. in modo progressivo: l’informativa generale ai pazienti dovrebbe contenere solo le notizie relative all’attività ordinaria, mentre gli elementi informativi inerenti a particolari trattamenti (presidi sanitari, consegna dei referti on-line, finalità di ricerca, ecc.) dovrebbero essere forniti soltanto ai pazienti che effettivamente accedono a tali servizi. Questo andrebbe a beneficio – precisa il Garante – di una maggiore attenzione alle informazioni veramente rilevanti, fornendo piena consapevolezza circa gli aspetti più significativi del trattamento.

§ 3. La figura del Responsabile della protezione dei dati (R.P.D.)

Com’è noto, la figura del “Responsabile della Protezione dei Dati” dovrebbe costituire, nelle intenzioni del legislatore europeo, una misura volta a facilitare l’osservanza della disciplina in materia.

La nomina del R.P.D. è obbligatoria:

  • per le autorità e per gli organismi pubblici, quindi per tutte le Aziende Sanitarie appartenenti al S.S.N.;
  • per gli ospedali privati, le case di cura o le residenze sanitarie assistenziali che pratichino il trattamento di dati personali “su larga scala” (art. 37, par. 1, lett. c del G.D.P.R.).

La designazione del R.P.D. non è, invece, obbligatoria:

  • per i singoli professionisti sanitari che operino in regime di libera professione a titolo individuale;
  • per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie che non effettuino trattamenti di dati personali “su larga scala”.

Resta salva, in ogni caso, la possibilità di nominare un unico R.P.D. per più strutture sanitarie, sulla base di una valutazione rimessa alla responsabilità del titolare del trattamento.

Hai bisogno di assistenza in ambito sanitario?

§ 4. Il Registro delle attività di trattamento

Nel cd. “Registro delle attività di trattamento” debbono essere annotate le principali informazioni relative al trattamento dei dati personali. La regolare tenuta del Registro è un obbligo per tutti i titolari del trattamento, e costituisce un requisito fondamentale al fine di valutare il rispetto della disciplina in materia.

Sono esonerati dall’obbligo di tenere il Registro – a mente dell’art. 30, par. 5, del G.D.P.R. – le imprese o le organizzazioni con meno di 250 dipendenti, salvo che il trattamento che esse effettuano:

  • possa presentare un rischio per i diritti e le libertà dell’interessato, o
  • non sia occasionale, o
  • includa il trattamento di categorie particolari di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, o ancora dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o ancora
  • riguardi dati personali relativi a condanne penali e a reati, o a connesse misure di sicurezza.

La deroga all’obbligo di tenuta del Registro delle attività di trattamento non è operante in presenza anche di uno soltanto degli elementi sopra indicati. Pertanto, il Garante Privacy ritiene che non siano esentati, ma debbano soggiacere all’obbligo di tenuta del Registro:

  1. i singoli professionisti sanitari che agiscano in libera professione,
  2. i medici di medicina generale e i pediatri di libera scelta,
  3. gli ospedali privati,
  4. le case di cura,
  5. le R.S.A. e
  6. le Aziende Sanitarie appartenenti al S.S.N., nonché
  7. le farmacie, le parafarmacie e le aziende ortopediche.

In ogni caso, il Registro delle attività di trattamento non deve essere trasmesso al Garante; esso andrà messo a disposizione dell’Autorità soltanto in caso di controllo.

§ 5. Risorse & approfondimenti sul trattamento dei dati sanitari

Avv. Gabriele Chiarini per Italia Oggi - Privacy in Sanità & sicurezza delle cure
In “Italia Oggi” ed “AssiNews” l’intervento dell’Avv. Chiarini su privacy & sanità