Sanità e tutela della privacy: «Ecco cosa cambia»

«Il Garante della privacy, con provvedimento del 7 marzo inviato (il 13 marzo) a tutte le Regioni, le Federazioni professionali, le associazioni scientifiche e i sindacati, spiega l’interpretazione autentica delle nuove norme europee sulla privacy per quanto riguarda il consenso informato. E non solo. Ha ritenuto opportuno intervenire fornendo un’interpretazione uniforme della nuova normativa nonché degli orientamenti sui comportamenti da tenere in materia di protezione dei dati in ambito sanitario». È quanto riferisce Sarah Yacoubi, Dpo Aocz Catanzaro nello specificare che :«In considerazione del fatto che al Garante privacy sono pervenute numerosi quesiti e segnalazioni relativi al trattamento dei dati personali in ambito sanitario, soprattutto in considerazione dei nuovi adempimenti che sono richiesti ai Titolari e ai Responsabili del trattamento dal Regolamento europeo 679 del 2016 (GDPR) e dal Codice privacy come da poco modificato dal D. Lgs. 101 del 2018 l’autorità di controllo italiana ha rammentato che i dati sanitari o comunque relativi alla salute possono essere oggetto di trattamento soltanto quando ricorrono alcuni requisiti che sono individuati dall’articolo 9 del Regolamento europeo».

Si tratta di una limitazione sul trattamento dei dati: «Il Garante ha ricordato che il decreto legislativo nel modificare il Codice della privacy, ha affidato allo stesso Garante il compito di completare l’individuazione dei presupposti e dei requisiti in presenza dei quali il trattamento di dati sanitari possa ritenersi lecito, a tal fine individuando delle specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche in detta materia». Le ipotesi in cui il trattamento dei dati relativi alla salute possa ritenersi lecito riguarda i trattamenti necessari per:

motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;

 motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);

finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

In sintesi «i medici e in generale i professionisti sanitari che sono soggetti al segreto professionale possono trattare i dati relativi alla salute delle persone i quali risultano necessari per l’esecuzione della prestazione sanitaria richiesta dall’interessato anche senza il consenso di quest’ultimo, sia che questi ultimi lavorino all’interno di una struttura sanitaria pubblica o privata sia che siano dei liberi professionisti».

Tuttavia, si ribadisce nella nota, il Garante specifica la perdurante necessità di acquisire il consenso dell'interessato per trattamenti:

inerenti APP mediche con finalità differenti dalla telemedicina o ai quali abbiano accesso soggetti differenti da quelli tenuti al segreto professionale

relativi ad attività di refertazione online

effettuati tramite il Fascicolo sanitario elettronico (FSE)

effettuati mediante il Dossier Sanitario Elettronico (DSE), come previsto dalle Linee guida del 4 giugno 2015, doc. web. n. 4084632.

Diverso è il caso della refertazione on line per il quale il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).

Il regolamento sulla privacy Gdpr, «oltre ad inserire nuovi elementi, valorizza la trasparenza richiedendo massima intelligibilità. Alla luce di ciò il Garante consiglia alle strutture impegnate in attività complesse (le strutture sanitarie pubbliche ) di studiare una modalità di elaborazione dell'informativa tale da renderla graduale, progressiva: informazioni sul trattamento relativo alle prestazioni di carattere generale, fornite ad ogni utente, al aggiungerne successivamente altre, specifiche sulle attività di dettaglio (per esempio

Laddove non stabiliti da normative di settore, è responsabilità del titolare del trattamento «indicarne i termini dei tempi di conservazione dei dati, oppure i criteri per poterli stabilire, laddove si rendesse necessario conservarli oltre la durata del servizio erogato e quindi del naturale trattamento».