PRIVACY: TRATTAMENTO DEI DATI DI SALUTE IN AMBITO SANITARIO I CHIARIMENTI DEL GARANTE
Il Garante per la protezione dei dati personali ha fornito chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario; riportiamo in estrema sintesi, di seguito, i principali.
Nel provvedimento n. 55 del 7 marzo 2019 il Garante chiarisce, anzitutto, che “diversamente dal passato il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata” e fornisce indicazioni, di carattere generale, sulla disciplina del trattamento dei dati relativi alla salute in ambito sanitario.
In tale ottica il provvedimento chiarisce che le deroghe al divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quelli sulla salute, sulla base delle quali è ammesso il trattamento di tali dati, sono ora da individuarsi nell’art. 9 del Regolamento che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:
- motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;
- motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
- finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali(di seguito “finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
Il provvedimento opera, poi, un’elencazione esemplificativa dei dati che, ai sensi dell’art. 9, par. 2, lett. a) del GDPR, richiedono il consenso esplicito dell’interessato. Fra essi:
- trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
- trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale;
- trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- trattamenti effettuati attraverso il Fascicolo sanitario elettronico (Dl 18 ottobre 2012, n. 179, art. 12, comma 5). In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del GDPR, il cui rispetto è ora espressamente previsto dall’art. 75 del d. lgs. 196/2003. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.
Il provvedimento del Garante, poi, fornisce preziose indicazioni:
- sulle informazioni da fornire all’interessato. Si suggerisce alle aziende sanitarie di fornire agli interessati le informazioni previste dal GDPR in modo progressivo;
- sul DPO e Responsabile della Protezione dei Dati. Figura che il Garante ritiene obbligatoria non solo nelle aziende sanitarie ma anche negli ospedali privati o case di cura che, di norma, trattano dati sensibili su larga scala. Diverso è il caso del singolo professionista sanitario o anche delle farmacie dove anche sulla scorta dei suggerimenti forniti dai garanti europei è da escludere che in linea di massima queste realtà trattino dati su larga scala;
- sul Registro delle attività di trattamento che viene reputato sempre necessario in ambito sanitario.