Con provvedimento n. 55 del 7 marzo 2019, il Garante per la protezione dei dati personali è intervenuto su questioni spinose ma dal taglio pratico inerenti il trattamento dei dati relativi alla salute, fornendo indicazioni e chiarimenti sull’applicazione del regolamento (UE) 2016/679, cd. Regolamento generale per la protezione dei dati personali – General Data Protection Regulation o GDPR, in ambito sanitario.
Il provvedimento è incentrato su quattro argomenti fondamentali.
La disciplina per il trattamento dei dati relativi alla salute in ambito sanitario
Il dato relativo alla salute, rientrando nelle “categorie particolari di dati”, per poter essere trattato in modo lecito, ai sensi dell’art. 9 GDPR, è necessario che ricorrano, specificamente: motivi di interesse pubblico rilevante; motivi di interesse pubblico nel settore della sanità pubblica; finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (cd. “finalità di cura”).
Con riferimento ai trattamenti per finalità di cura, il Garante chiarisce che il professionista sanitario, proprio perché tenuto al segreto professionale, non deve richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato – ossia essenziali per il raggiungimento di finalità determinate ed esplicitamente connesse alla cura della salute – indipendentemente dal fatto che operi come libero professionista presso uno studio medico ovvero all’interno di una struttura sanitaria pubblica o privata.
Quando invece un trattamento è solamente attinente, ma non necessario, alla finalità di cura, allora dovrà essere effettuato su una base giuridica, che può essere il consenso dell’interessato o altro presupposto di liceità previsto dal legislatore (artt. 6 e 9, par. 2, GDPR).
Tra i trattamenti in ambito sanitario che richiedono il consenso espresso dell’interessato, il Garante segnala: i trattamenti connessi all’utilizzo di app mediche, i trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali o anche quelli effettuati da professionisti sanitari per finalità commerciali o elettorali.
Attualmente il consenso dell’interessato è richiesto da disposizioni specifiche per trattamenti effettuati attraverso il Fascicolo sanitario elettronico e per la refertazione on line, mentre linee guida dello stesso Garante lo richiedono per trattamenti effettuati attraverso il Dossier sanitario.
L’informativa all’interessato
L’informativa sui principali elementi del trattamento costituisce espressione del principio di trasparenza e a tal fine il Garante chiarisce alcuni aspetti della stessa:
- caratteri della comunicazione: concisa, trasparente, intellegibile, facilmente accessibile, redatta con un linguaggio semplice e chiaro;
- modalità della comunicazione: è rimessa al titolare la scelta della modalità più appropriata al caso di specie;
- contenuto della comunicazione: deve essere conforme alle previsioni degli artt. 13 e 14 GDPR.
Interessante è la considerazione del Garante in ordine alla necessità di fornire all’interessato un’informativa stratificata da parte delle aziende sanitarie (o in generale dai titolari che effettuano pluralità di operazioni connotate da particolare complessità), in modo da fornire progressivamente solo le informazioni che di volta in volta si rendono necessarie. In particolare, solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie potrebbero essere fornite alla generalità dei pazienti afferenti a una struttura sanitaria, mentre elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line) potrebbero essere resi in un secondo momento, solo ai pazienti effettivamente interessati.
Il Responsabile della Protezione dei Dati (RPD)
La nomina del RPD è obbligatoria solo per autorità ed organismi pubblici: pertanto, è prevista la designazione obbligatoria del RPD per i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN.
L’elemento fondamentale per valutare l’obbligatorietà o meno della designazione del RDP è la presenza o meno di un trattamento su larga scala, di cui al considerando 91 del Regolamento.
Sono da considerare come trattamento, su larga scala, di dati sulla salute – con obbligo di designazione del Responsabile – quello riguardante dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA).
Diversamente, il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, non è tenuto alla designazione del RPD per lo svolgimento della propria attività, proprio perché non è da non considerare come ipotesi di trattamento su larga scala.
Infine, le farmacie, le parafarmacie, le aziende ortopediche e sanitarie, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.
Il registro delle attività di trattamento
Regola generale in ambito sanitario è che sussiste l’obbligo di tenuta del registro dei trattamenti, in quanto strumento per la responsabilità del titolare e di gestione del rischio.
In particolare sono tenuti all’obbligo di tenuta del registro i singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche.