Dopo mesi di attesa ecco finalmente i primi chiarimenti dell’Autorità Garante rispetto al trattamento dei dati in ambito sanitario.

Con provvedimento n. 55 dello scorso 07.03.2019 l’Autorità Garante è intervenuta in materia sanitaria esprimendosi su una serie di problematiche, oggetto di numerose segnalazioni e quesiti da parte degli addetti ai lavori.

In particolare, il Garante ha deciso di fornire a tutti coloro che operano nel settore sanitario un supporto nell’attività di adeguamento al GDPR e un’interpretazione univoca della nuova normativa, andando ad analizzare i seguenti aspetti: i) trattamento dei dati relativi alla salute in ambito sanitario; ii) informazioni da fornire all’interessato; iii) responsabile della protezione dei dati e iv) registro delle attività di trattamento.

Andiamo con ordine.

  1. Trattamento dei dati relativi alla salute in ambito sanitario

Fermo restando che il trattamento dei dati particolari, tra cui rientrano anche quelli sanitari, deve essere effettuato in presenza del consenso dell’interessato o di altre basi giuridiche contenute all’art. 9 del GDPR, l’Autorità Garante precisa ora che, qualora il trattamento sia finalizzato alla cura del paziente, alcun consenso dovrà essere prestato da quest’ultimo.

È, però, importante che il trattamento – che dovrà essere effettuato da un professionista sanitario che opera in qualità di libero professionista ovvero all’interno di una struttura sanitaria pubblica o privata – sia esclusivamente finalizzato alla cura del paziente o, in alternativa, strettamente necessario alla stessa.

Questa precisazione è molto rilevante, posto che restano esclusi tutti quei trattamenti attinenti in senso lato alla cura del paziente per cui il titolare dovrà individuare una precisa base giuridica: consenso e/o altri presupposti di legittimità. Tra questi rientrano, ad esempio quelli:

  • connessi all’utilizzo delle app mediche per finalità diverse dalla telemedicina, oppure quando indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato accedano soggetti diversi da professionisti sanitari soggetti a segreto professionale;
  • preordinati alla fidelizzazione della clientela ed effettuati da farmacie;
  • effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali;
  • effettuati da professionisti sanitari per finalità commerciali elettorali;
  • effettuati tramite il fascicolo sanitario elettronico (FSE).

Con riferimento specifico al FSE e al DSE per i quali è necessario il consenso dell’interessato (si vedano al riguardo le Linee Guida in tema di fascicolo sanitario elettronico e di dossier sanitario), l’Autorità Garante non esclude che in un futuro si possa rivedere tale impostazione per consentire che l’implementazione del fascicolo e del dossier sia possibile anche in assenza di consenso dell’interessato.

2. Informazioni da fornire all’interessato

L’Autorità Garante non aggiunge elementi di novità, limitandosi semplicemente a sottolineare che è diritto dell’interessato essere informato dal titolare circa gli elementi principali del trattamento.

Il titolare deve, quindi, rendere all’interessato le informazioni in modo semplice e chiaro, scegliendo le modalità più appropriate al caso concreto.

Quanto al contenuto, invece, il Garante si sofferma unicamente sul periodo di conservazione dei dati, uno degli elementi di novità introdotti dal GDPR. In particolare, evidenzia che i tempi di conservazione della documentazione sanitaria sono molteplici e restano disciplinati da precise disposizioni normative, ad oggi, in vigore. Tra i tanti precisa che la documentazione inerente accertamenti effettuati nel corso di visite per il rilascio del certificato di idoneità all’attività sportiva agonistica deve essere conservata per cinque anni, le cartelle cliniche per un periodo illimitato e la documentazione iconografica radiologica per un periodo non inferiore a dieci anni.

In tutti quei casi, invece, in cui il periodo di conservazione non è stabilito da una precisa disposizione normativa, il titolare è tenuto a conservare i dati per il periodo strettamente necessario al conseguimento delle finalità per le quali i dati sono trattati. Il tutto nel rispetto del principio di limitazione della conservazione.

3. Responsabile della protezione dei dati (DPO)

Fermi restando i casi di obbligatorietà della nomina del DPO espressamente sanciti dal GDPR, il Garante ribadisce che l’adozione di tale figura è obbligatoria sia per le aziende sanitarie appartenenti al SSN, sia per gli ospedali privati, le case di cura o le residenze sanitarie assistenziali (RSA).

Ciò, in quanto se da un lato l’azienda sanitaria appartenente al SSN rientra chiaramente nella definizione di “organismo pubblico”, dall’altro si configura un trattamento di dati particolari su larga scala.

Restano, quindi, esclusi dall’obbligatorietà della nomina il singolo professionista che opera in regime di libera professione a titolo individuale, le farmacie, le parafarmacie e le aziende ortoepiche e sanitarie.

4.Registro delle attività di trattamento

Ultimo aspetto analizzato, ma non per questo meno importante.

L’Autorità Garante chiarisce che l’adozione del registro delle attività di trattamento è fondamentale per dimostrare il rispetto del principio di accountability e obbligatoria in ambito sanitario, essendovi trattamenti di categorie particolari di dati.

Sono, quindi, obbligati alla tenuta del registro tutti i seguenti soggetti:

  • singoli professionisti sanitari che agiscono in libera professione;
  • medici di medicina generale e pediatri di libera scelta;
  • ospedali privati;
  • case di cura;
  • RSA;
  • aziende sanitarie appartenenti al SSN;
  • farmacie e parafarmacie e aziende ortopediche.

Seppur i predetti chiarimenti abbiamo sgombrato il campo da molti dubbi e perplessità, sono ancora molti gli aspetti da valutare ed esaminare in ambito sanitario. Non resta, quindi, che attendere nuovi provvedimenti da parte dell’Autorità Garante e, soprattutto, le misure di garanzia.