Dati sanitari

I trattamenti dei dati sanitari che:
– sono essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute;
e
– sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza NON richiedono il consenso al trattamento dei dati da parte dell’interessato


Schermo intero

Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

Il trattamento dei dati sulla salute (dati sanitari) è consentito in presenza di taluni requisiti specifici individuati all’art. 9 del Regolamento (cfr. considerando n. 51), il quale ha previsto, in questo ambito, la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riferimento al predetto trattamento (cfr. art. 9, par. 4).

salute - dati personali

salute – dati personali

Il decreto legislativo n. 101/2018, in vigore dal 19 settembre 2018, ha previsto, al riguardo, che il Garante completi l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche (artt. 2-septies e 2-quater del Codice).  Considerata la delicatezza e la complessità di tali trattamenti, il legislatore ha, inoltre, previsto un periodo transitorio, affidando al Garante il compito di individuare, ed eventualmente aggiornare, le prescrizioni contenute nelle autorizzazioni generali sul trattamento dei dati sensibili che risultavano compatibili con le disposizioni del Regolamento e del decreto n. 101/2018, nonché di verificare la conformità dei codici deontologici al Regolamento (artt. 20 e 21 del citato decreto).
In attuazione della predetta disciplina transitoria, con il provvedimento del 13 dicembre 2018 (consultabile sul sito www.gpdp.it doc. web n. 9068972), sono state individuate le prescrizioni, contenute nelle autorizzazioni generali, compatibili con le disposizioni del Regolamento e del decreto n. 101/2018, deliberando contestualmente l’avvio di una procedura di consultazione pubblica, al fine di acquisire osservazioni e proposte a cura di tutti i soggetti interessati.
Analogamente, con provvedimento del 19 dicembre 2018 (doc. web n.9069637), il Garante ha provveduto alla verifica della conformità delle disposizioni contenute nei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici al Regolamento e alla loro conversione in regole deontologiche, il cui rispetto costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali (art. 2-quater del Codice).
L’Autorità ha, altresì, avviato la redazione dei provvedimenti, previsti dall’art. 2-septies del Codice, che stabiliscono le misure di garanzia e si impegna ad adottarli in tempi brevi per arrivare, quanto prima, alla completa definizione del quadro regolatorio.
In questi primi mesi di applicazione del Regolamento e delle nuove disposizioni del Codice, il Garante ha ricevuto numerosi quesiti in ordine al nuovo assetto della disciplina relativa al trattamento dei dati relativi alla salute in ambito sanitario.
E’ stata sollevata, infatti, in più occasioni, l’esigenza, da parte degli operatori del settore, dei soggetti istituzionali competenti, dei responsabili della protezione dati e dei cittadini di avere dei chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito.
Sebbene il quadro regolatorio, come sopra evidenziato, non sia ancora definitivo, l’Autorità ritiene opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario.


Schermo intero

I dati dei pazienti dopo il Gdpr

La Sanità dopo il GDPR: I medici possono trattare i dati dei pazienti per finalità di cura senza consenso.

I medici potranno trattare i dati dei pazienti, per finalità di cura, senza dover richiedere il loro consenso, ma dovranno comunque fornire loro informazioni complete sull’uso dei dati. Il medico che opera come libero professionista non è tenuto a nominare il Responsabile della protezione dati.  Tutti gli operatori del settore dovranno tenere un registro dei trattamenti dei dati.

GDPR: i dati dei pazienti

GDPR: i dati dei pazienti

Questi sono i principali chiarimenti forniti dal Garante della privacy a cittadini, medici, asl e soggetti privati, sulle novità introdotte, in ambito sanitario, dal Regolamento UE in materia di protezione dei dati (GDPR) e dalla normativa nazionale.

Il provvedimento generale, adottato dall’Autorità, intende favorire un’interpretazione uniforme della nuova disciplina, ancora in fase transitoria, e supportare gli operatori con informazioni utili alla sua corretta attuazione.

Il Garante ha chiarito, ad esempio, che il professionista sanitario (come il medico), soggetto al segreto professionale, non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria.

E’ invece richiesto il consenso, o una differente base giuridica, quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità. Ne sono un esempio i trattamenti di dati sulla salute connessi all’uso di “App” mediche (ad eccezione di quelle per la telemedicina), quelli effettuati per la fidelizzazione della clientela (come quelli praticati da alcune farmacie o parafarmacie), oppure per finalità promozionali, commerciali o elettorali.

L’Autorità ricorda che, sulla base dell’attuale normativa che regola il settore, permane la necessità di acquisire il consenso anche per il trattamento dei dati relativo al fascicolo sanitario elettronico, o per la consultazione dei referti online.

Nel documento del Garante sono forniti chiarimenti anche in merito all’informativa agli interessati, che deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro. Rispetto al modello pre-GDPR, essa deve contenere maggiori informazioni a tutela dell’interessato quali, ad esempio, quelle relative ai tempi di conservazione dei dati,  che – se non sono specificati dalla normativa di settore – dovranno comunque essere individuati dal titolare (ad esempio il medico specialista o l’ospedale).

Il Garante dedica una sezione anche al Responsabile per la protezione dei dati (RPD, DPO nell’acronimo inglese). Sono tenuti alla nomina del RPD tutti gli organismi pubblici, nonché gli operatori privati che effettuano trattamenti di dati sanitari su larga scala, quali le case di cura. Non sono invece tenuti alla sua nomina i liberi  professionisti o altri soggetti, come le farmacie, che non effettuano trattamenti su larga scala.

L’Autorità infine chiarisce che è obbligatorio per tutti gli operatori sanitari tenere un registro nel quale sono elencate le attività di trattamento effettuate sui dati dei pazienti. Tale documento rappresenta, in ogni caso, un elemento essenziale per il “governo dei trattamenti” e per l’efficace individuazione di quelli a maggior rischio, anche per dimostrare il rispetto del principio di responsabilizzazione (accountability) previsto da GDPR.


Schermo intero

Pin It on Pinterest