I dati clinici di un paziente, registrati in un fascicolo sanitario elettronico, senza che il Titolare del trattamento abbia predisposto un’adeguata informativa sulla privacy e abbia ottenuto il consenso specifico da parte dello stesso al loro trattamento costituisce illecito, a stabilirlo è il Garante della privacy
adv

I dati clinici di un paziente, registrati in un Fascicolo Sanitario Elettronico, senza che il Titolare del trattamento abbia predisposto un’adeguata informativa sulla privacy e abbia ottenuto il consenso specifico da parte dello stesso al loro trattamento costituisce illecito, a stabilirlo è il Garante della privacy

Il caso

La vicenda vede protagonista un’Azienda Sanitaria Locale sanzionata dal Garante della privacy per aver raccolto e trattato i dati personali dei propri pazienti in modo illecito. Nel caso di specie, infatti, l’ASL nella costituzione del Fascicolo Sanitario Elettronico aveva effettuato la raccolta dei dati senza aver richiesto preventivamente il consenso degli interessati, inoltre non aveva ne fornito una specifica informativa e neanche provveduto alla corretta designazione degli incaricati del trattamento, indicando semplicemente quali incaricati tutto il personale sanitario della struttura.

Fascicolo sanitario elettronico

Istituito dal D.L. 179 del 2012, art. 12, il Fascicolo Sanitario Elettronico (FSE) è un dispositivo informatico che immagazzina dati e documenti sanitari e sociosanitari relativi al paziente (digitali e/o digitalizzati). La funzione specifica di questo meccanismo è la condivisione dei dati non solo tra i medici della stessa struttura ma anche di strutture ospedaliere diverse. Le informazioni in esso contenute sono particolarmente importanti, per questo il legislatore ed il Garante della privacy hanno previsto delle forme garanzia molto forti, come ad esempio la limitazione dell’accesso alle informazioni in esso contenute, al Fascicolo Sanitario Elettronico, infatti, possono accedere solo il paziente (con modalità sicure, es smartcard), il medico ed il personale sanitario autorizzato.

La Base normativa  

Il GDPR e il decreto di adeguamento, non contengono alcuna statuizione in merito al Fascicolo Sanitario Elettronico, pertanto, le modalità di compilazione, di accesso e di tenuta dello stesso, sono tutt’oggi, quelle previste dal DL 179 del 2012 ed in particolare dall’art. 12, nonché dalle linee guida emanate dal Garante della privacy in materia di dossier sanitario del 4 giugno 2015. Pertanto, affinché i dati di un soggetto possano essere inseriti nel Fascicolo Sanitario Elettronico è necessario il suo preventivo consenso. Inoltre, l’informativa rilasciata dal titolare del trattamento deve contenere tutti i diritti spettanti all’interessato come ad esempio: le modalità di accesso ai dati e lo scopo per cui verranno utilizzati nonché la possibilità di revocare il consenso ed infine sul diritto di oscurare anche solo alcune informazioni precedentemente inserite.

Questa disciplina, sembra entrare in contrasto con quanto disposto dal GDPR in materia di consenso, ed in particolare con la previsione secondo cui il consenso dell’interessato non sarebbe più richiesto nel caso in cui il trattamento dei dati sanitari sia necessario per finalità di medicina o nel caso in cui lo stesso sia necessario per motivi di interesse pubblico nel settore della sanità pubblica, tuttavia, tale conflitto è solo apparente. Questo perché le finalità perseguite dal FSE, che come anticipato, sono diverse da quelle previste dal GDPR.

Invero, lo scopo del Fascicolo Sanitario Elettronico è quello di condividere tra più soggetti le informazioni relative ad un determinato paziente. Tale finalità deve essere considerata diversa ed ulteriore rispetto a quella tipica per cui i dati sanitari vengono raccolti, cioè la cura del paziente.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.