Studi medici privati, cliniche private e, ancora di più, i laboratori di analisi cliniche, si caratterizzano per essere soggetti che devono prestare maggiore cautela rispetto ad altri nella procedura di adeguamento al GDPR. Ciò è del resto intuitivo laddove si pensi che i dati da loro trattati sono tra i più sensibili in assoluto ai sensi del GDPR. Manteniamo la dicitura “Dati sensibili”, ormai entrata nel linguaggio in quanto utilizzata nel D. Lgs. 196/2003, che considerava tali i dati che possono rivelare (attenzione all’uso del condizionale, non è un caso): 

• l'origine razziale ed etnica di un individuo;
• le sue convinzioni e adesioni religiose, politiche e filosofiche;
• lo stato di salute e la vita sessuale.

Rispetto a tutti gli altri, questa categoria di dati godeva di maggior tutela e per il loro trattamento era necessario il consenso scritto dell'interessato. Il GDPR parla all’art.9 di “categorie particolari di dati personali”, vietandone il trattamento salvo esplicito consenso: tra le altre ipotesi, rientrano i dati sanitari. Pertanto tutti gli operatori sanitari, prima di svolgere qualsiasi attività di trattamento che vada oltre quella meramente anagrafica, dovranno premurarsi che sia stato ottenuto il consenso da parte dell’interessato.

In tal senso si richiama l’attenzione dei collaboratori degli studi medici e laboratori sull’opportunità di premurarsi che detto consenso sia stato preventivamente raccolto e, viceversa, da parte di detti studi e laboratori, di rendere edotti personale e collaboratori delle particolarità della materia. Studi medici, cliniche e laboratori di analisi cliniche sono pertanto Titolari del Trattamento, potranno nominare i Responsabili e, stante proprio la tipologia dei dati, anche un DPO. Intuibile come il principio di Accountability si riveli particolarmente stringente e vada a responsabilizzare le persone fisiche che dovranno decidere le modalità di Trattamento e, in particolare, le azioni da porre in essere materialmente, tenendo conto di molti fattori, dal numero di soggetti interni o collaboratori che possono venire a contatto con i dati, alle eventuali modalità di trasmissione a collaboratori esterni (es. invio di referti a consulenti o altri professionisti).

Cura non certo inferiore deve essere dedicata alle informative da sottoporre all’utenza. Gli elementi indicati agli artt.12 e 13 dovranno essere puntualmente inseriti usando un linguaggio semplice, scevro di tecnicismi, tenendo conto della potenziale utenza che, è fatto noto, può essere formata da soggetti anziani, non avvezzi alle carte e alle tecnologie, ma anche, spesso, minori, oltre naturalmente a soggetti afflitti dalle più gravi svariate patologie.

Una particolare cautela andrà all’art. 17 in materia di cancellazione; seppur sia diritto dell’interessato ottenerla, dovrà essere cura della struttura indicare le possibili conseguenze. Non dimentichiamo che la cancellazione dei dati potrebbe impedire comparazioni in caso di future patologie. In ogni caso non vi è obbligo di cancellazione in presenza di obblighi di legge da rispettare per un pubblico interesse, ovvero l’esercizio di pubblici poteri cui può essere investito il laboratorio di analisi cliniche titolare del trattamento: ad esempio motivi di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi e, infine in presenza di accertamento, esercizio o difesa di un diritto in sede giudiziaria

Per l’art. 18 GDPR l’interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano, quando ne contesti il Trattamento o vi si opponga, ovvero questo sia illecito, nonché laddove debba utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria ancorché un medico o laboratorio di analisi non abbia più bisogno di questi dati. Ovviamente non sono in discussione il diritto alla portabilità e di opposizione.

Rispetto alla vecchia Legge Privacy il GDPR (Art.9.2) prevede la liceità del Trattamento dei dati particolari, tra l’altro, per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali. In queste fattispecie non è necessario il consenso al trattamento.