Primi chiarimenti del Garante privacy sul trattamento dei dati in ambito sanitario

Il Garante per la protezione dei dati personali, a seguito di segnalazioni da parte delle aziende e operatori sanitarie, fornisce degli importanti orientamenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario al fine di supportare le aziende sanitarie, professionisti, case di cura e farmacie.

Il Garante per la protezione dei dati personali alla luce del mutato e articolato assetto normativo Regolamento UE sulla protezione dei dati personali 2016/679 e d.lgs. n. 101/2018 chiarisce con uno specifico provvedimento alcuni aspetti importanti del trattamento di dati nell’ambito del settore sanitario. Il Garante approfondisce i seguenti profili la disciplina per il trattamento dei dati relativi alla salute in ambito sanitario le informazioni da fornire all’interessato il ruolo del Responsabile della protezione dei dati personali ed il registro delle attività di trattamento. Il provvedimento di esame è di notevole importanza in quanto costituisce una preziosa guida gli operatori nella complessa sfida dell’applicazione della disciplina di protezione dei dati in ambito sanitario. Il provvedimento del Garante privacy è particolarmente apprezzabile in quanto risponde alle istanze e richieste di chiarimenti delle Aziende sanitarie e case di cura ed è stato adottato in un contesto e quadro regolatorio non ancora definitivo. Il provvedimento è stato trasmesso dal Garante per la protezione dei dati personali a tutte le Regioni, al Ministero della Salute, alle federazioni professionali mediche e infermieristiche e ai sindacati di area medica con preghiera di provvedere alla massima diffusione del provvedimento. Nel dettaglio. In riferimento alla disciplina per il trattamento dei dati relativi alla salute in ambito sanitario il Garante richiama l’attenzione sulla serie di eccezioni al divieto generale di trattare le categorie particolari di dati, eccezioni che rendono lecito il trattamento dei dati in ambito sanitario nei seguenti casi - motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri art. 9, par. 2, lett. g del regolamento privacy europeo - motivi di interesse pubblico nel settore della sanità pubblica - finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali finalità di cura art. 9, par. 2 lett. h e paragrafo 3 del regolamento privacy europeo. Il Garante sottolinea come i trattamenti per finalità di cura sulla base dell’art. 9, par. 2, lett h e par. 3 del regolamento sono propriamente quelli effettuati da o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale o da altra persona soggetta all’obbligo di riservatezza. Il Garante richiama l’attenzione sul profilo che il professionista sanitario, soggetto al segreto professionale, a differenza del passato non deve chiedere più il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato indipendentemente dalla circostanza che il professionista operi in qualità di libero professionista presso uno studio medico ovvero all’interno di una struttura sanitaria pubblica o privata. Il Garante precisa, come indicato dal considerando 53 del regolamento privacy europeo, che i trattamenti previsti dall’art. 9, par. 2, lett. h sono costituiti dai trattamenti di dati necessari per il perseguimento delle specifiche finalità di cura previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute. Negli altri casi di trattamento di dati attinenti alla cura ma non strettamente necessari occorre verificare la presenza di una distinta base giuridica da individuarsi, eventualmente nel consenso dell’interessato o in un altro presupposto di liceità artt. 6 e 9, par. 2 del regolamento privacy . Il Garante illustra, a riguardo, a titolo esemplificativo, alcune categorie di trattamenti di dati che non rientrano nei casi di trattamenti necessari al perseguimento di specifiche finalità di cura quali i trattamenti di dati connessi all’utilizzo di app mediche i trattamenti preordinati alla fidelizzazione della clientela i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità di promozionali o commerciali programmi di screening, fornitura di servizi amministrativi, alberghieri di degenza i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. Il Garante approfondisce il profilo del consenso nei trattamenti di dati connessi al fascicolo sanitario elettronico, al dossier sanitario e ai referti online. Il Garante privacy evidenzia, a riguardo, come i trattamenti effettuati attraverso il Fascicolo sanitario elettronico richiedano come condizione di liceità del trattamento l’acquisizione del consenso in quanto previsto dalla normativa di settore d.l. 18 ottobre 2012, n. 179, art. 12, comma 5 come previsto dall’art. 75 del regolamento europeo. Il Garante sottolinea come in materia di dossier sanitario il consenso sia attualmente richiesto dalle Linee guida della stessa autorità adottate il 4 giugno 2015. In riferimento alla refertazione online, il Garante richiama l’obbligo del consenso richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto d.P.C.M. 8 agosto 2013, art. 5 . Il Garante richiama l’attenzione sull’importanza del ruolo del responsabile per la protezione dei dati personali RPD o Data protection Officer DPO , figura che deve essere designata dalle aziende sanitarie. La designazione di tale figura costituisce uno dei primi adempimenti in materia e una misura volta a facilitare l’osservanza della disciplina di protezione dei dati personali. L’obbligo di designazione, si estende, secondo il Garante anche nel caso di trattamenti svolto da ospedali privati, da un casa di cura o da una residenza sanitaria assistenziale RSA in quanto si rientra, nel concetto di larga scala. Il singolo professionista che opera in regime di libera professione a titolo individuale non é tenuto a designare il DPO con riferimento allo svolgimento della propria attività in quanto i trattamenti di dati non rientrano tra quelli su larga scala come specificato nelle linee guida sui responsabili della protezione dei dati personali adottate dal Gruppo di lavoro art. 29 ora Comitato europeo per la protezione dei dati personali . Il provvedimento del Garante approfondisce anche l’adempimento del registro dei trattamenti, uno degli elementi più importanti per la definizione del quadro generale di accountability previsto dal Regolamento europeo. L’azienda sanitaria in qualità di titolare o responsabile esterno del trattamento deve tenere un registro delle attività del trattamento effettuate sotto la propria responsabilità. La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggiore rischio. Il Garante richiama l’attenzione sull’estensione dell’obbligo di tenuta e aggiornamento del registro dei trattamenti anche ai singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta MMG/PLS , gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie , le parafarmacie e le aziende ortopediche. Il Garante richiama in materia il Position paper n. 1 del 2018 related to article 30, del Gruppo art. 29 per la protezione dei dati personali che ha chiarito come la deroga alla tenuta del registro non scatta in presenza anche di uno degli elementi indicati dal paragrafo cinque che include trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati . In riferimento alle informazioni da fornire all’interessato, il Garante suggerisce agli operatori di fornire ai pazienti le informazioni in modo progressivo. Il Garante specifica che nei confronti della generalità dei pazienti assistiti da una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell'ordinaria attività di erogazione delle prestazioni sanitarie cfr. art. 79 del codice . Gli elementi informativi relativi a particolari attività di trattamento es. fornitura di presidi sanitari, modalità di consegna dei referti medici online, finalità di ricerca potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. La soluzione prospettata dal Garante è finalizzata a suscitare una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento. Il valore aggiungo del provvedimento, in relazione alle informazioni da fornire all’interessato, consiste nell’approfondimento del profilo della conservazione dei dati, profilo richiesto dagli art. 13 e 14 del regolamento privacy europeo. Il Garante richiama a riguardo i tempi di conservazione relativi alla documentazione sanitaria previsti dalla normativa di settore che non è stata modificata dal regolamento. Il Garante cita in particolare la documentazione inerenti gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità dell’attività sportiva agonistica, che deve essere conservata a cura del medico curante, per almeno cinque anni art. 5 d.m. 18 febbraio 1982 alla conservazione delle cartelle cliniche, che unitamente ai referti devono essere conservati per un periodo illimitato circolare del Ministero della salute del 19 dicembre 1986 n. 9002/AG454/260 alla documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni art. 4, d.m. 14 febbraio 1997 . Il Garante osserva come nel caso in cui i tempi di conservazione non siano stabiliti da una disposizione normativa, il titolare del trattamento, dovrà individuare, ai sensi del principio di accountability, il periodo di tempo di conservazione dei dati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati principio di limitazione della conservazione, art. 5, par. 1, lett. e del regolamento e indicare tale periodo o i criteri per determinarlo tra le informazioni da rendere agli interessati. Il provvedimento sottolinea come le disposizioni del codice della privacy devono essere interpretate, come indicato dall’art 22, comma 1, d.lgs. 101/2018 alla luce del regolamento privacy europeo. I chiarimenti del Garante in ambito sanitario sono importanti in quanto confermano la volontà dell’Autorità di attivare un dialogo con gli operatori in attesa dell’importante tassello mancante alla definizione di un quadro regolatorio completo l’adozione da parte del Garante privacy dei provvedimenti, previsti dall’art. 2-septies del Codice della privacy, che sono in corso di adozione e che stabiliscono le misure di garanzia a protezione dei dati in ambito sanitario.

Garante_Privacy_nota_13_marzo_2019