Pubblichiamo un sunto del Provvedimento n. 55 del 7 marzo 2019 emanato dal Garante per la protezione dei dati personali.

(vedi il link in blu per il documento completo): pdf GarantePrivacy-documento web n. 9091942-1.5- 07.03.2019 (159 KB)

Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.

(…omissis…) E’ stata sollevata, in più occasioni, l’esigenza, da parte degli operatori del settore, dei soggetti istituzionali competenti, dei responsabili della protezione dati e dei cittadini di avere dei chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito (della salute, ndr)

Sebbene il quadro regolatorio, come sopra evidenziato, non sia ancora definitivo, l’Autorità ritiene opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario.

1. Disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

Le deroghe al divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quelli sulla salute, sulla base delle quali è ammesso il trattamento di tali dati, sono ora da individuarsi nell’art. 9 del Regolamento che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:

  1. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;
  2. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
  3. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Ciò non esclude che a seconda dello specifico trattamento effettuato, non possa ritenersi applicabile al caso concreto una delle altre deroghe previste dall’art. 9 del Regolamento.

In proposito, si osserva che la fattispecie indicata alla c) del precedente elenco presenta alcune peculiarità che ne caratterizzano l’applicabilità. Al riguardo, si precisa, innanzitutto, che i trattamenti per “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Diversamente dal passato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.

Altro aspetto riguarda l’ambito oggettivo: i trattamenti di cui all’art. 9, par. 2, lett. h) sono infatti quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).

Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento).

2. Informazioni da fornire all’interessato (estratto)

(…omissis…) Al riguardo, si ricorda che, con particolare riferimento alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione della stessa, che non sono stati modificati dalla disciplina sulla protezione dei dati personali e che, quindi, rimangono pienamente in vigore. Si fa riferimento, ad esempio: alla documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, che deve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5, D.M. 18/02/1982); alla conservazione delle cartelle cliniche che, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260); alla documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997).

Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e) del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato. (…omissis…)

3. Responsabile della protezione dei dati (RPD – DPO)

(… omissis …) Si ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala.

Anche per gli aspetti organizzativi dell’ufficio del RPD, la possibilità e la fattibilità (art. 39 del Regolamento) di nominare un unico RPD per più strutture sanitarie, è rimessa alla responsabilità del titolare del trattamento.

Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività.

4. Registro delle attività di trattamento

I registri delle attività di trattamento rappresentano uno degli elementi per la definizione del quadro generale di accountability previsto dal Regolamento. Per dimostrare di conformarsi a tale disciplina, infatti, il titolare/il responsabile devono tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità (cfr. Considerando n. 82). La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio. (… omissis …) Per le suddette ragioni, si ritiene, quindi, che non ricadono nelle ipotesi di esenzione dall’obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.

IN PRATICA:

  1. Il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti specificatamente necessari alla prestazione richiesta con finalità di cura; eventuali altri trattamenti non necessari alla cura invece, presuppongono comunque un consenso (si pensi ad esempio una certificazione per ottenere un assegno di invalidità, un risarcimento assicurativo, ecc …)
  2. Il singolo professionista sanitario che operi in regime di libera professione a livello individuale non è tenuto alla designazione del DPO
  3. Il registro dei trattamenti è un obbligo di legge; i singoli professionisti sanitari non ricadono in ipotesi di esenzione da tale obbligo.