Il Garante della Privacy è intervenuto per fornire alcuni interessanti chiarimenti in merito al trattamento dei dati in ambito sanitario, uno dei temi decisamente più sensibili tra quelli trattati dal GDPR. Interessante come il provvedimento sia stato emanato non solo sulla base del Considerata 132 del GDPR, che prevede attività di sensibilizzazione, ma anche sulle FAQ ricevute dall’autorità e dalle segnalazioni ricevute.

Segno evidente che l’applicazione del GDPR si sta muovendo e i primi provvedimenti sanzionatori potrebbero presto giungere.

Ricordiamo che il trattamento dei dati sanitari, come di altri dati sensibili, è consentito solo dove sussistano i requisiti di cui all’art. 9 GDPR, che prevede anche la possibilità per gli Stati di mantenere o introdurre ulteriori accorgimenti o limiti, al punto che il D. Lgs. 101/2018 concede al Garante la possibilità di adottare misure di garanzia e promuovendo l’adozione di regole deontologiche.

• Il provvedimento del Garante: quando non serve richiedere il consenso

Già nel Dicembre 2018 il Garante era intervenuto ma, considerato come la regolamentazione non possa considerarsi definitiva, ha voluto emettere ulteriori linee guida e chiarimenti. In particolare, per quanto concerne i dati sanitari ha ripercorso l’articolo 9 del GDPR per ricordare come il loro trattamento possa essere effettuato, in deroga al divieto generale, per ragioni di interesse pubblico correlati a cure, trattamenti sanitari, medicina preventiva, ma anche, tra l’altro, per la salute a carattere transfrontaliero e la garanzia di parametri di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, emergenze sanitarie conseguenti a sismi e sicurezza alimentare). 

Il Garante precisa poi che i trattamenti per “finalità di cura”, sono quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Diversamente dal passato, quindi il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente che si tratti di libero professionista o operi all’interno di strutture sanitarie pubbliche o private. Tutto ciò anche sulla base del dato oggettivo che i trattamenti siano necessari a perseguire finalità di cura.

• Gli eventuali ulteriori trattamenti, quelli non strettamente necessari alla cura, ma attinenti alla stessa, richiedono il consenso dell’interessato.

In particolare il Garante indica come trattamenti che richiedono l’espresso consenso quelli eseguiti mediante App mediche che permettono ad autonomi titolari di raccogliere dati, anche sanitari, per finalità diverse dalla telemedicina e nei casi nei quali ai dati dell’interessato possano accedere soggetti diversi da coloro tenuti al segreto professionale. Necessitano ovviamente di espresso consenso tutti i trattamenti di natura commerciale quali, ad esempio, quelli destinati alla fidelizzazione o invio di materiale pubblicitario, nonché tutti i trattamenti eseguiti tramite il Fascicolo sanitario elettronico.

Il GDPR impone quindi anche ai medici di informare l’interessato in merito al trattamento, al fine di renderlo consapevole di finalità, modalità e caratteristiche dello stesso e, in particolare per le finalità dei trattamenti sanitari, quelle in tema di periodo di conservazione dei dati, facendo riferimento alle diverse necessità e eventuali periodi stabiliti da normative specifiche.

Per quanto riguarda il responsabile del trattamento, necessitano della nomina di un DPO tutte quelle strutture, pubbliche o private, comprese le RSA, che rientrino nel concetto di larga scala. Il singolo professionista sanitario non è invece tenuto alla designazione di tale figura, non operando su larga scala. È ovviamente demandata la scelta alla sensibilità dei singoli, così come per le farmacie e altre attività analoghe, le parafarmacie, le aziende ortopediche e sanitarie.

I registri delle attività di trattamento sono uno degli elementi per la definizione del quadro generale di accountability del GDPR e per il Garante rappresenta, in linea generale, la sussistenza di tale obbligo in ambito sanitario, in quanto la deroga a detta tenuta non opera in presenza anche di uno solo degli elementi che caratterizzano le attività mediche. E ciò vale anche per i professionisti sanitari che agiscano in libera professione. Ovviamente i registri di trattamento non devono essere trasmessi al Garante, ma messi a disposizione in caso di controllo.