Trattamento dei dati personali relativi allo stato di salute in ambito sanitario
Considerati la lacunosa disciplina, le numerose segnalazioni e i molti quesiti pervenuti circa l’applicazione della disciplina per il trattamento dei dati personali relativi allo stato di salute in ambito sanitario, con Provvedimento n. 55 del 7 marzo 2019 il Garante per la Protezione dei Dati Personali è intervenuto per fornire utili chiarimenti in materia e precisamente con riguardo alla necessità o meno del consenso dell’interessato, delle informazioni da rendere allo stesso, del periodo di conservazione dei dati, dell’obbligatorietà o meno di designare il DPO e della tenuta del Registro dei Trattamenti.
Il Garante ha precisato che il professionista sanitario soggetto al segreto professionale – sia che operi in qualità di libero professionista presso uno studio medico ovvero all’interno di una struttura sanitaria pubblica o privata- non è più obbligato ad ottenere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dell’interessato. Ciò vale solo per le cosiddette “ finalità di cura” (da intendersi per tale la medicina preventiva, la diagnosi, l’assistenza o terapia sanitaria o sociale ovvero la gestione dei sistemi e servizi sanitari o sociali, effettuati da -o sotto la responsabilità di- un professionista sanitario soggetto al segreto professionale) e dunque solo per i trattamenti essenziali al raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute; al contrario, per i trattamenti attinenti solo in senso lato alla cura, ma non strettamente necessari (come ad esempio trattamenti connessi all’utilizzo di app mediche, trattamenti preordinati alla fidelizzazione della clientela effettuati dalle farmacie, trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali o elettorali, trattamenti effettuati attraverso il Fascicolo Sanitario elettronico o il Dossier Sanitario e per la refertazione online), il consenso esplicito dell’interessato continuerà ad essere obbligatorio.
In merito alle informazioni da fornire all’interessato, il Garante sottolinea che il titolare del trattamento dovrà fornire all’interessato le medesime in forma concisa, trasparente, intelleggibile e facilmente accessibile con linguaggio semplice e chiaro. Il titolare dovrà inoltre scegliere le modalità più appropriate al caso di specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato. Si evidenzia il suggerimento del Garante secondo cui, in caso di pluralità di operazioni connotate da particolare complessità, è opportuno fornire le informazioni in maniera progressiva. Più precisamente: le informative relative ai trattamenti che rientrano nelle ordinarie prestazioni sanitarie possono essere fornite immediatamente alla generalità dei pazienti, mentre gli elementi informativi relativi a particolari attività di trattamento, possono essere comunicati successivamente e solo nei confronti di pazienti effettivamente interessati a tali ulteriori trattamenti e servizi.
Tra i chiarimenti del Garante, importante è quello riferito al periodo di conservazione dei dati: quando gli stessi non sono stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in una forma che consenta l’individuazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per cui i dati sono trattati. Tale periodo deve essere indicato tra le informazioni da rendere all’interessato e costituisce una novità introdotta dal Gdpr.
In merito alla designazione del DPO, il Garante precisa che il singolo professionista sanitario che operi in regime di libera professione a titolo individuale nonché le farmacie le parafarmacie e le aziende ortopediche e sanitarie non siano tenue alla designazione a meno che non effettuino trattamenti su larga scala.
Tema importante e dibattuto è quello relativo alla tenuta del registro delle attività di trattamento. Il Garante ha – finalmente – chiarito che non rientrano nelle ipotesi di esenzione i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale o pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche. Pertanto tutti gli esercenti la professione sanitaria sono obbligati alla regolare tenuta del registro dei trattamenti.
Nonostante i chiarimenti del Garante sopra indicati, si auspica un ulteriore intervento volto a colmare i vari vuoti legislativi ancora – purtroppo – in essere sulla tematica trattata.