Trattamento dei dati personali in ambito sanitario: i chiarimenti del Garante

Anap il : 
2 Aprile, 2019

Con il provvedimento n. 55 del 7 marzo 2019 il Garante per la protezione dei dati personali fornisce degli utili chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario alla luce del decreto di adeguamento n. 101/2018.

Come noto il d.lgs. n. 101/2018 è intervenuto anche in materia sanitaria modificando, abrogando ed integrando le specifiche disposizioni del d.lgs. 196/2013. Difatti a seguito della nuova formulazione dell’art. 75 del codice è chiarito che non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura (art. 2-septies del Codice Privacy emendato) anche se occorrerà sempre rispettare le misure di garanzie stabilite dal Garante con cadenza biennale.

L’art. 75, difatti, nella sua nuova formulazione sancisce che il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell'interessato o di terzi o della collettività deve essere effettuato ai sensi dell'articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell'articolo 2-septies del codice, nonché nel rispetto delle specifiche disposizioni di settore.

L’art. 9 del GDPR, paragrafo 2, lett. h) riguarda il caso in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, mentre la lett. i) riguarda il caso in cui il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale.

L’art. 3 del GDPR disciplina l’ambito di applicazione territoriale, mentre l’art. 2-septies del d.lgs. n. 101/2018 riguarda la previsione di specifiche misure di garanzia per i dati genetici, biometrici e relativi alla salute. L’obbligo di informativa al paziente continua ad essere reso in area sanitaria con modalità semplificate, in particolare l’art. 78 del codice privacy emendato prevede che il medico di medicina generale o il pediatra di libera scelta informano l'interessato relativamente al trattamento dei dati personali, in forma chiara e tale da rendere agevolmente comprensibili gli elementi indicati negli articoli 13 e 14 del Regolamento.

Le informazioni possono essere fornite per il complessivo trattamento dei dati personali necessario per attività di diagnosi, assistenza e terapia sanitaria, svolte dal medico o dal pediatra a tutela della salute o dell'incolumità fisica dell'interessato, su richiesta dello stesso o di cui questi è informato in quanto effettuate nel suo interesse. Inoltre le informazioni possono riguardare, altresì, dati personali eventualmente raccolti presso terzi e sono fornite preferibilmente per iscritto.

Anche le strutture pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie possono avvalersi delle modalità particolari di cui all'articolo 78 in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed unità della stessa struttura o di sue articolazioni ospedaliere o territoriali specificamente identificate (art. 79 del codice emendato). Nei casi precedenti la struttura o le sue articolazioni annotano l'avvenuta informazione con modalità uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità che, anche in tempi diversi, trattano dati relativi al medesimo interessato.  Le modalità particolari di cui all'articolo 78 possono essere utilizzate in modo omogeneo e coordinato in riferimento all'insieme dei trattamenti di dati personali effettuati nel complesso delle strutture facenti capo alle aziende sanitarie.

Lo stesso consenso dell’interessato, nella nuova formulazione dell’art. 110 del codice per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando, tra l’altro, la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del GDPR.

Naturalmente l’Autorità in considerazione delle numerose richieste pervenute in merito a questi aspetti disciplinari ha chiarito nel proprio provvedimento che i trattamenti per “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del GDPR, sono propriamente quelli effettuati da (o sotto la responsabilità) di un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Di conseguenza lo stesso professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.
Naturalmente i trattamenti di cui all’art. 9, par. 2, lett. h) sono quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute, quindi gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento).

Nel proprio provvedimento il Garante menziona a titolo esemplificato diversi trattamenti che non rientrando nella fattispecie prevista dal GDPR richiedono un consenso esplicito dell’interessato come:

  1. trattamenti connessi all’utilizzo di App mediche;
  2. trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti;
  3. trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali;
  4. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
  5. trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5). In tal caso lo stesso garante, ritiene, per la verità, ammissibile un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo, alla luce del nuovo quadro giuridico in materia di protezione dei dati.

In merito, invece, ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmente richiesto dalle Linee guida emanate dall’Autorità prima dell’applicazione del Regolamento (Linee guida in materia di Dossier sanitario del 4 giugno 2015). La stessa Autorità precisa nel provvedimento che individuerà nell’ambito delle misure di garanzia da adottarsi sulla base dell’art. 2-septies del Codice, i trattamenti che, ai sensi dell’art. 9, par. 2, lett. h), potranno essere effettuati senza il consenso dell’interessato.
Diverso è il caso della refertazione on line per il quale il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5). Il Garante ribadisce che invece rimane l’obbligo dell’informativa in materia sanitaria che andrà predisposta nel rispetto del principio di trasparenza, introducendo gli elementi di novità previsti dagli artt. 13 e 14 del Regolamento.

Opportuno è il suggerimento del Garante rivolto alle aziende sanitarie di fornire agli interessati le informazioni previste dal Regolamento in modo progressivo. Per cui innanzitutto vanno fornite le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie, per poi successivamente fornire gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Infine l’Autorità sulla base anche delle linee guida dei garanti europei affronta l’argomento sempre delicato del DPO o RPD.

Innanzitutto oltre a ritenere sempre necessaria tale figura per le aziende sanitarie appartenenti al SSN in quanto organismi pubblici che tra l’altro trattano su larga scala dati attinenti alla salute, ritiene che la stessa sia necessaria anche per gli ospedali privati o case di cura che, di norma, trattano dati sensibili su larga scala.

Diverso è il caso del singolo professionista sanitario o anche delle farmacie dove anche sulla scorta dei suggerimenti forniti dai garanti europei è da escludere che in linea di massima queste realtà trattino dati su larga scala. Ovviamente in questi ambiti bisogna, sempre, essere prudenti poiché esistono casi che fanno eccezione a queste indicazioni presuntive. Per cui si suggerisce di valutare sempre con la massima attenzione ogni singola realtà organizzativa senza lasciarsi fuorviare da generalizzazioni che talvolta sono inopportune. Non esistono dubbi invece per il Garante sulla necessità dei registri delle attività di trattamento in ambito sanitario.

Fonte: Altalex