Avv. Carlo Delfino | LegalSanità

Il Garante con il provvedimento n. 55 del 7/3/19 ha emanato una serie di indicazioni sull’applicazione del Regolamento UE 2016/679 (GDPR) in materia di protezione dei dati sanitari personali, riguardanti le basi giuridiche del trattamento, le informazioni da fornire agli interessati, la nomina del Responsabile per la protezione dei dati ed il Registro delle attività di trattamento.

  1. Il Garante ha innanzitutto individuato una serie di eccezioni che, oltre al consenso, rendono lecito il trattamento dei dati sanitari ai sensi dell’art. 9 GDPR.

Esse sono riconducibili ai trattamenti necessari per:

  1. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9 par. 2 lett. G GDPR);
  2. motivi di interesse pubblico nella sanità pubblica (art. 9 par. 2 lett. i GDPR);
  3. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (art. 9 par. 2 lett. h GDPR) effettuati da o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Quindi, alla luce del GDPR, i soggetti di cui alla lett. c non devono più richiedere al paziente il consenso al trattamento dei suoi dati personali.

Ma, attenzione: i trattamenti indicati alla lett. c non strettamente necessarial perseguimento di specifiche finalità di cura della salute  richiedono tuttora il consenso o un altro presupposto di liceità(artt. 6 e 9 par. 2 GDPR).

Ad avviso del Garante il consenso esplicito dell’interessato è in ogni caso necessarioin caso di trattamenti : a)  connessi all’utilizzo di App mediche; b) preordinati alla fidelizzazione della clientela svolti dalle farmacie; c) effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali; d) svolti  da professionisti sanitari per finalità commerciali o elettorali; d) effettuati attraverso il fascicolo sanitario elettronico; e) svolti attraverso la refertazione on line.

Il Garante tuttavia si ripromette (nell’ambito delle misure di garanzia da adottarsi sulla base dell’art. 2 septies del Codice privacy) di individuare in modo organico i trattamenti che, ai sensi dell’art. 9 par. 2 lett. h GDPR,  non necessitino il consenso degli interessati.

2. Il Garante ribadisce che l’obbligo dei titolari di informare gli interessati sui principali elementi del trattamento dei loro dati trova il suo fondamento nel principio di TRASPARENZA di cui all’art. 5 par. 1 lett. A del GDPR.

Le modalità di fornitura delle informazioni sono lasciate dal Garante alla responsabilità dei titolari.

Riguardo, tuttavia,  alle attività poste in essere da titolari che operino in ambito sanitario e che effettuino una pluralità di operazioni connotate da particolare complessità, il Garante suggerisce una modalità progressivadi fornitura delle informazioni.  

Ciò significa che verso la generalità dei pazienti di una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie. Le informazioni relative a particolari attività di trattamento (come ad es. le modalità di consegna dei referti medici on lineo le finalità di ricerca) potrebbero essere rese in un secondo momento solo ai pazienti interessati effettivamente da tali servizi od ulteriori trattamenti.

Riguardo al periodo di conservazione dei dati sanitari, per il Garante rimangono in vigore i numerosi e differenziati tempi di conservazione previsti dall’ordinamento interno. Qualora i tempi di conservazione non siano stabiliti da una disposizione normativa, l’individuazione del periodo di conservazione dovrà essere a cura del titolare (in virtù del principio di responsabilizzazione) in maniera tale che i dati personali  non siano conservati per un arco di tempo superiore al conseguimento delle finalità per cui sono stati trattati.

3. Il Garante ritiene che il trattamento dei dati sanitari di pazienti svolto da ASL, ospedali privati, case di cura e RSA preveda la necessaria designazione di un Responsabile per la protezione dei dati medesimi, rientrando esso nella fattispecie di trattamento su larga scala di dati relativi alla salute, di cui all’art. 37 par. 1 lett. C GDPR.

La possibilità di nominare un unico RPD per più strutture sanitarie viene rimessa dal Garante alla responsabilità del titolare del trattamento.

Il singolo professionista sanitario che operi in regime di libera professione a titolo individuale non è tenuto alla designazione di un RPD, in quanto i trattamenti da questi effettuati non rientrano tra quelli su larga scala. Qualora non effettuino trattamenti su larga scala, sono altresì esentati dall’obbligo di nomina di un RPD farmacie, parafarmacie, aziende ortopediche e sanitarie.

4. Il Garante, infine, rappresenta la sussistenza – in linea generale – dell’obbligo di tenuta del Registro delle attività di trattamento in ambito sanitario; questo perché le fattispecie di esenzione dall’obbligo di cui all’art. 30 par. 5 GDPR sono tra loro alternativee quindi la deroga alla tenuta del Registro non opera in presenza anche di uno solo degli elementi indicati dalla norma predetta: nella fattispecie, l’obbligo di tenuta del Registro non viene meno in caso di trattamento di dati relativi alla salute.

Il Garante, per l’effetto, è dell’avviso  che nonsiano esentati  i singoli professionisti sanitari che agiscano in regime di libera professione, i medici di medicina generale/pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA, le ASL, le farmacie, le parafarmacie e le aziende ortopediche.

Avv. Carlo Delfino