Privacy e Trattamento dei Dati Sanitari

Dati Sanitari & Privacy: i chiarimenti del Garante

Privacy e Trattamento dei Dati Sanitari

Com’è noto, il 27 aprile 2016 è stato approvato il Regolamento UE 2016/679 (cd. “G.D.P.R.“) in tema di trattamento dei dati personali, che ha abrogato la disciplina previgente.
Sul piano nazionale, il G.D.P.R. ha trovato attuazione nel d.lg. 10 agosto 2018, n. 101, che ha modificato il nostro Codice in materia di protezione dei dati personali“, già introdotto con d.lg. 30 giugno 2003, n. 196.

Il nuovo assetto normativo ha sollevato notevoli dubbi sulle regole da rispettare in materia di trattamento dei dati sanitari, tanto che all’Autorità Garante sono stati rivolti numerosi quesiti da parte degli operatori della salute. Pertanto, sebbene il quadro regolatorio non sia ancora definitivo (si attendono, in particolare, i provvedimenti di cui all’art. 2-septies del Codice, che stabiliranno le “misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute“), il Garante Privacy ha ritenuto opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati personali in ambito sanitario.

Analizziamo allora, in dettaglio, i chiarimenti forniti dal Garante con provvedimento del 7 marzo 2019, inviato alle Regioni, al Ministero della Salute e alle federazioni professionali sanitarie con nota del 13 marzo 2019.

 

INDICE SOMMARIO

 

§ 1. La disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

Il trattamento dei dati sanitari, ai sensi del G.D.P.R., è senz’altro lecito:

  • quando si deve tutelare un interesse pubblico (come, ad esempio, la protezione da gravi minacce per la salute o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici).
  • quando è effettuato con finalità di cura medica (per la prevenzione, la diagnosi, l’assistenza o la terapia di stati patologici).

 

Dunque, diversamente dal passato, il professionista sanitario (tenuto al segreto professionale) non deve più richiedere il consenso dell’interessato per i trattamenti necessari alla erogazione delle prestazioni sanitarie richieste dal paziente, sia se operi in qualità di libero professionista (presso uno studio medico), sia se operi all’interno di una struttura sanitaria, tanto pubblica quanto privata.

Beninteso, il trattamento di dati che non necessita di consenso del paziente è solo quello strettamente necessario alla realizzazione delle specifiche “finalità di cura” previste dal G.D.P.R. Pertanto, non rientrano nell’ipotesi descritta (e, quindi, richiedono il consenso esplicito del paziente), i trattamenti di dati:

a) connessi all’utilizzo di “App” mediche;
b) preordinati alla fidelizzazione della clientela (effettuati dalle farmacie attraverso programmi di accumulo punti);
c) effettuati da strutture sanitarie private per finalità promozionali o commerciali (es. promozioni su programmi di screening, fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
d) effettuati da professionisti sanitari per finalità commerciali o elettorali;
e) effettuati attraverso il Fascicolo sanitario elettronico previsto dall’art. 12 del d.l. 18 ottobre 2012, n. 179.

 

§ 2. Le informazioni da fornire all’interessato e i tempi di conservazione dei dati

Il G.D.P.R. non ha stravolto il contenuto delle informazioni da fornire all’interessato in materia di privacy, ma ha previsto soltanto alcuni nuovi elementi, che potranno dunque essere aggiunti alla tradizionale comunicazione informativa già utilizzata dagli operatori sanitari.

In particolare, il nuovo elemento informativo che merita di essere segnalato è quello relativo al periodo di conservazione dei dati sanitari.

A questo proposito, ricordiamo che il nostro ordinamento prevede alcuni obblighi relativamente ai tempi di conservazione della documentazione sanitaria (che non sono stati modificati dal G.D.P.R. e che, pertanto, restano pienamente in vigore).
In particolare:

  • la documentazione relativa agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica deve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5 Decreto del Ministero della Sanità 18 febbraio 1982);
  • le cartelle cliniche, unitamente ai relativi referti, devono essere conservate illimitatamente (come indicato dalla Circolare del Ministero della Sanità n. 61 del 19 dicembre 1986), perché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte per ricerche di carattere storico-sanitario;
  • quanto alla documentazione radiologica e di medicina nucleare (cfr. art. 4 Decreto del Ministero della Sanità 14 febbraio 1997):
    • i documenti iconografici, prodotti a seguito dell’indagine diagnostica utilizzata dal medico specialista o nell’ambito delle attività radiodiagnostiche complementari all’esercizio clinico, devono essere conservati per un periodo non inferiore a dieci anni;
    • i resoconti radiologici e di medicina nucleare, vale a dire i referti stilati dal medico specialista radiologo o dal medico nucleare, devono essere conservati a tempo indeterminato.

 

Per quanto riguarda l’attività delle Aziende Sanitarie e, in generale, delle Strutture che effettuano una pluralità di complesse operazioni di trattamento dei dati, il Garante suggerisce di fornire al paziente le informazioni previste dal G.D.P.R. in modo progressivo: l’informativa generale ai pazienti dovrebbe contenere solo le notizie relative all’attività ordinaria, mentre gli elementi informativi inerenti a particolari trattamenti (presidi sanitari, consegna dei referti on-line, finalità di ricerca, ecc.) dovrebbero essere forniti soltanto ai pazienti che effettivamente accedono a tali servizi. Questo andrebbe a beneficio – precisa il Garante – di una maggiore attenzione alle informazioni veramente rilevanti, fornendo piena consapevolezza circa gli aspetti più significativi del trattamento.

 

§ 3. La figura del Responsabile della protezione dei dati (R.P.D.)

Com’è noto, la figura del “Responsabile della Protezione dei Dati” dovrebbe costituire, nelle intenzioni del legislatore europeo, una misura volta a facilitare l’osservanza della disciplina in materia.

La nomina del R.P.D. è obbligatoria:

  • per le autorità e per gli organismi pubblici, quindi per tutte le Aziende Sanitarie appartenenti al S.S.N.;
  • per gli ospedali privati, le case di cura o le residenze sanitarie assistenziali che pratichino il trattamento di dati personali “su larga scala” (art. 37, par. 1, lett. c del G.D.P.R.).

 

La designazione del R.P.D. non è, invece, obbligatoria:

  • per i singoli professionisti sanitari che operino in regime di libera professione a titolo individuale;
  • per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie che non effettuino trattamenti di dati personali “su larga scala”.

 

Resta salva, in ogni caso, la possibilità di nominare un unico R.P.D. per più strutture sanitarie, sulla base di una valutazione rimessa alla responsabilità del titolare del trattamento.

 

Hai bisogno di assistenza in ambito sanitario?

 

§ 4. Il Registro delle attività di trattamento

Nel cd. “Registro delle attività di trattamento” debbono essere annotate le principali informazioni relative al trattamento dei dati personali. La regolare tenuta del Registro è un obbligo per tutti i titolari del trattamento, e costituisce un requisito fondamentale al fine di valutare il rispetto della disciplina in materia.

Sono esonerati dall’obbligo di tenere il Registro – a mente dell’art. 30, par. 5, del G.D.P.R. – le imprese o le organizzazioni con meno di 250 dipendenti, salvo che il trattamento che esse effettuano:

  • possa presentare un rischio per i diritti e le libertà dell’interessato, o
  • non sia occasionale, o
  • includa il trattamento di categorie particolari di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, o ancora dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o ancora
  • riguardi dati personali relativi a condanne penali e a reati, o a connesse misure di sicurezza.

 

La deroga all’obbligo di tenuta del Registro delle attività di trattamento non è operante in presenza anche di uno soltanto degli elementi sopra indicati. Pertanto, il Garante Privacy ritiene che non siano esentati, ma debbano soggiacere all’obbligo di tenuta del Registro:

  1. i singoli professionisti sanitari che agiscano in libera professione,
  2. i medici di medicina generale e i pediatri di libera scelta,
  3. gli ospedali privati,
  4. le case di cura,
  5. le R.S.A. e
  6. le Aziende Sanitarie appartenenti al S.S.N., nonché
  7. le farmacie, le parafarmacie e le aziende ortopediche.

 

In ogni caso, il Registro delle attività di trattamento non deve essere trasmesso al Garante; esso andrà messo a disposizione dell’Autorità soltanto in caso di controllo.

 

§ 5. Risorse & approfondimenti

 

Avv. Gabriele Chiarini
Gabriele Chiarini
gabriele@chiarini.com

Avvocato Cassazionista e Dottore di Ricerca in Diritto Civile, nell'esercizio della professione si occupa prevalentemente di diritto civile e commerciale, con speciale riferimento alla malpractice medico-sanitaria, alla responsabilità per fatto illecito, alla consulenza d'impresa e al diritto dei contratti. Ha maturato particolare esperienza, conseguendo importanti risultati tanto in sede giudiziale quanto in sede stragiudiziale, nel settore degli appalti privati e nel campo della responsabilità della struttura ospedaliera per colpa dei sanitari e per difetto di organizzazione. Curriculum



Hai bisogno di aiuto?

Richiedi una consulenza legale ai professionisti dello Studio Chiarini.
La soddisfazione del Cliente rappresenta l'obiettivo principale di ogni nostra attività.

Rassegna Stampa

io donna corriere della sera gabriele chiarini privacy sanità

Su Io Donna del Corriere della Sera,
l'Avv. Gabriele Chiarini spiega le nuove
regole della Privacy in Sanità

complicanza malasanità

Avv. Gabriele Chiarini su
Italia Oggi: Quel labile confine
tra complicanza e "malasanità"

Image is not available

"Residenze Sanitarie" intervista
l'Avv. Chiarini sugli errori sanitari e sul valore delle statistiche nazionali

Avv. Gabriele Chiarini su Radio Cusano

L'Avv. Chiarini interviene sullo stato di attuazione del “Garante per il Diritto alla Salute” previsto dalla legge "Gelli"

Avv. Gabriele Chiarini su Radio Cusano

Risarcimento di oltre 1.200.000,00 euro
ottenuto dagli Avv.ti Chiarini e Sisti
per un tragico incidente sul lavoro

Image is not available

Intervento dell’Avv. Gabriele Chiarini su “Diritto 24” del Sole24Ore in tema di tutela risarcitoria del paziente

Avv. Gabriele Chiarini su Radio Cusano

Qualità dei servizi sanitari, errori medici e prevenzione dei rischi in sanità:
ne parliamo con l'Avv. Chiarini

Avv. Gabriele Chiarini su Radio Cusano

“Genetica Oggi” su Radio Cusano intervista l’Avv. Gabriele Chiarini su malasanità e diritti del paziente

Avv. Gabriele Chiarini su Radio Cusano

La Rivista "Così" si occupa del nostro report sul costo degli eventi avversi nel Sistema Sanitario Nazionale

Avv. Gabriele Chiarini su Radio Cusano

Interview to Attorney Gabriele Chiarini,
an expert in the field of health liability
and medical-malpractice lawsuits

Image is not available

Omicidio di Sant’Angelo in Vado:
l’Avv. Giovanni Chiarini è il difensore della nuova indagata

Image is not available

Intervista di “Pianeta Salute” all’Avv. Gabriele Chiarini su responsabilità medica e infezioni ospedaliere

Image is not available

Il quotidiano "La Verità" richiama gli approfondimenti dello Studio in tema
di "emergenza malasanità"

Image is not available

Intervista di “Uomo & Manager” all’Avv. Chiarini sugli errori sanitari in Italia e sui costi della malpractice medica

Image is not available

La sezione "Diritto24" del Sole24Ore ospita un contributo dell’Avv. Chiarini sulla legge Gelli-Bianco

Image is not available

Incendio del ristorante "Pesce Azzurro". Unico assolto: l'imputato difeso
dall'Avv. Giovanni Chiarini

Image is not available

L’Avv. Gabriele Chiarini ospite su "Genetica Oggi " di Radio Cusano: il Garante per il Diritto alla Salute

Image is not available

Osservatorio Imprese e Pubblica Amministrazione intervista l’Avv. Chiarini sui diritti del malato in Italia

previous arrow
next arrow
Slider