GDPR e Privacy
adv

Il Garante della privacy, nel provvedimento emesso il 7 marzo, fornisce alcuni chiarimenti sull’applicazione del regolamento europeo n. 2016/679 in ambito sanitario

Il GDPR garantisce una particolare tutela ai dati di un soggetto che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso, e, per questa ragione sancisce determinate regole e/o limitazioni a loro trattamento. Il regolamento europeo sancisce un  divieto generale al trattamento di questi dati c.d. “ particolari”, tuttavia, a tale divieto sono previste alcune deroghe espressamente  indicate nell’art. 9 del GDPR. In particolare, è consentito il trattamento dei dati in ambito sanitario nel caso in cui gli stessi siano riconducibili a trattamenti necessari per le seguenti finalità:

  • motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g);
  • motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i);
  • finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali in ossequio della normativa dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h).

In tutti gli altri casi, il trattamento dei suddetti dati è possibile solo dopo un’attenta analisi ed un contemperamento tra i diritti dell’interessato e le esigenze sanitarie.

Le regole fissate dal Garante

  1. La Nomina del DPO

In ottemperanza a quanto disposto dal GDPR, l’Authority della privacy ha chiarito alcune regole di condotta che i professionisti e le strutture sanitarie dovranno seguire.

Per quel che concerne le strutture sanitarie pubbliche il Garante stabilisce che: “i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.” Il Garante precisa, inoltre, che: il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale possa rientrare nel concetto di larga scala, per cui anche in questo caso la nomina del DPO. Per il singolo professionista sanitario, invece, il discorso è diverso in questo caso non sussiste la condizione prevista dall’art. 37, par. 1, lett. c) del GDPR, cioè il trattamento su larga scala e conseguentemente sul professionista sanitario non grava l’obbligo di nomina del DPO.

  1. Il consenso al trattamento

Il Garante ha, inoltre, chiarito che per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato non è necessario alcun tipo di consenso da parte dello stesso: ciò indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata. Di contro, invece, gli ulteriori trattamenti attinenti, solo in senso lato, alla cura (come l’utilizzo di app mediche, trattamenti preordinati alla fidelizzazione della clientela effettuati ad esempio dalle farmacie ma non strettamente necessari o ancora trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali come ad es. promozioni su programmi di screening, ed infine i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali), devono necessariamente trovare una diversa base giuridica che può essere individuata eventualmente o nell’esplicito consenso dell’interessato oppure in un altro presupposto di liceità.

  1. Registro delle attività di trattamento

Per ultimo il Garante ha stabilito che nel rispetto del principio generale di accountability, pietra miliare del Regolamento europeo, tutti i professionisti sanitari: i medici di medicina generale/pediatri, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche hanno l’obbligo di tenuta del registro, che non deve essere trasmesso all’Authority, ma conservato per eventuali controlli.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.