
Il Garante della privacy, nel provvedimento emesso il 7 marzo, fornisce alcuni chiarimenti sull’applicazione del regolamento europeo n. 2016/679 in ambito sanitario
Il GDPR garantisce una particolare tutela ai dati di un soggetto che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso, e, per questa ragione sancisce determinate regole e/o limitazioni a loro trattamento. Il regolamento europeo sancisce un divieto generale al trattamento di questi dati c.d. “ particolari”, tuttavia, a tale divieto sono previste alcune deroghe espressamente indicate nell’art. 9 del GDPR. In particolare, è consentito il trattamento dei dati in ambito sanitario nel caso in cui gli stessi siano riconducibili a trattamenti necessari per le seguenti finalità:
- motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g);
- motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i);
- finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali in ossequio della normativa dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h).
In tutti gli altri casi, il trattamento dei suddetti dati è possibile solo dopo un’attenta analisi ed un contemperamento tra i diritti dell’interessato e le esigenze sanitarie.
Le regole fissate dal Garante
La Nomina del DPO
In ottemperanza a quanto disposto dal GDPR, l’Authority della privacy ha chiarito alcune regole di condotta che i professionisti e le strutture sanitarie dovranno seguire.
Per quel che concerne le strutture sanitarie pubbliche il Garante stabilisce che: “i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.” Il Garante precisa, inoltre, che: il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale possa rientrare nel concetto di larga scala, per cui anche in questo caso la nomina del DPO. Per il singolo professionista sanitario, invece, il discorso è diverso in questo caso non sussiste la condizione prevista dall’art. 37, par. 1, lett. c) del GDPR, cioè il trattamento su larga scala e conseguentemente sul professionista sanitario non grava l’obbligo di nomina del DPO.
Il consenso al trattamento
Il Garante ha, inoltre, chiarito che per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato non è necessario alcun tipo di consenso da parte dello stesso: ciò indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata. Di contro, invece, gli ulteriori trattamenti attinenti, solo in senso lato, alla cura (come l’utilizzo di app mediche, trattamenti preordinati alla fidelizzazione della clientela effettuati ad esempio dalle farmacie ma non strettamente necessari o ancora trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali come ad es. promozioni su programmi di screening, ed infine i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali), devono necessariamente trovare una diversa base giuridica che può essere individuata eventualmente o nell’esplicito consenso dell’interessato oppure in un altro presupposto di liceità.
Registro delle attività di trattamento
Per ultimo il Garante ha stabilito che nel rispetto del principio generale di accountability, pietra miliare del Regolamento europeo, tutti i professionisti sanitari: i medici di medicina generale/pediatri, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche hanno l’obbligo di tenuta del registro, che non deve essere trasmesso all’Authority, ma conservato per eventuali controlli.