fbpx

Con un provvedimento del 7 marzo 2019  indirizzato a tutte le Regioni e ai soggetti che si occupano di salute, il Garante per la Protezione dei Dati Personali ha diramato le prime linee applicative del GDPR in ambito sanitario.

L’occasione è stata fornita dall’alto numero di quesiti ricevuti che segnalavano dubbi interpretativi. Nel contempo il Garante ha “garantito” che in tempi brevi emanerà le misure di garanzia previste dall’art. 2 septies del Codice. 

Il fondamento giuridico di questo intervento viene rinvenuto nell’art. 57 del GDPR che demanda all’Autorita’ il compito di  promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento, oltre che il compito di promuovere la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento.

L’analisi del contenuto del provvedimento fa emergere come alcuni chiarimenti si limitano a ribadire concetti ovvi, facilmente desumibili dal GDPR. Tra questi:

  1. l’esistenza di basi giuridiche alternative al consenso per la legittimazione del trattamento dei dati personali di tipo sanitario
  2. La non necessità della nomina del Responsabile Protezione Dati Personali per i professionisti che operano in regime di libera professione a titolo individuale
  3. La necessità della istituzione del registro trattamento dati a carico di tutti gli operatori sanitari.

Ci sono poi alcune esplicitazioni che in effetti aggiungono un contenuto specificativo rispetto alle indicazioni del GDPR.

Intanto, viene introdotta l’espressione “finalità di cura” per raggruppare in un’unica categoria l’insieme dei trattamenti che il GDPR sottrae all’onere del preventivo consenso se funzionali alla medicina preventiva, alla diagnosi, all’assistenza o terapia sanitaria o sociale ovvero alla gestione dei sistemi e servizi sanitari o sociali. Viene ribadito in tal senso che la copertura giuridica delle indicate finalità opera solo in relazione ai professionisti sanitari soggetti al segreto professionale o ad altra persona soggetta all’obbligo di segretezza. 

Molto utile, poi, l’elencazione delle finalità di trattamento che richiedono il consenso dell’interessato perché non sono attinenti in senso stretto alla “cura”, rispetto alla quale non sono necessarie ed indispensabili. Essi riguardano l’uso di App mediche, le operazioni di fidelizzazione della clientela, le attività promozionali e commerciali, quelle elettorali. Altre finalità invece sono subordinate all’acquisizione del consenso in virtù di disposizioni normative pregresse: tra queste, la refertazione on line e l’utilizzo del fascicolo sanitario elettronico. Riguardo a quest’ultimo il Garante auspica un intervento normativo che elimini la necessità del previo consenso, oggi previsto da disposizioni precedenti l’entrata in vigore del GDPR. Riguardo invece al Dossier sanitario, il Garante si riserva di escludere la necessità del consenso per alcune tipologie di trattamenti, nell’ambito delle emanande misure di garanzia.

Il Garante suggerisce, ancora, di fornire l’informativa all’interessato in modo progressivo, se si tratta di attività poste in essere da strutture sanitarie che effettuano una pluralità di operazioni  connotate da particolare complessità (per esempio, aziende sanitarie). In questi casi andrebbe fornita in prima battuta una informativa di base, rendendo quella specifica per le particolari attività di trattamento in un secondo momento, solo ai pazienti effettivamente interessati. Il suggerimento è finalizzato alla migliore attuazione del principio di intelligibilità da parte dell’interessato e alla acquisizione di maggiore consapevolezza da parte dello stesso. 

Il provvedimento fa anche il punto sulle disposizioni normative che prevedono una durata minima di conservazione dei dati personali (in relazione al certificato di idoneità all’attività sportiva agonistica, alle cartelle cliniche, alla documentazione iconografica radiologica). Per il resto dei trattamenti, il Garante rinvia alla norma del GDPR che fissa il termine massimo non superiore al conseguimento delle finalità per le quali i dati sono trattati. Qua emerge un limite applicativo del GDPR: appare in contrasto con il diritto di difesa riconosciuto dalla nostra Costituzione l’impossibilità di conservare dati personali di un interessato al di là del tempo necessario per la finalità di trattamento, allorquando il professionista sanitario tema di potere essere chiamato in futuro a rispondere di un’accusa di inadempimento contrattuale (per esempio, per responsabilità da colpa medica). Il GDPR infatti consente il trattamento per accertare, esercitare o difendere un diritto in sede giudiziaria, ma non lo consente nella fase precedente l’instaurazione  di un giudizio. In questi casi, dovrebbe essere consentita la possibilità di prolungare la conservazione dei dati laddove dovesse emergere il sospetto di una possibile ragione di lagnanza da parte del paziente. 

Infine, utile la precisazione sulla interpretazione dell’art. 30 par. 5 del GDPR laddove stabilisce che l’obbligo di istituzione del registro di trattamento  non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati sensibili (tra cui quelli sanitari). Il Garante ha specificato che le tre eccezioni  dall’esonero dell’obbligo sono alternative; ragion per cui è sufficiente rientrare in una sola delle tre situazioni per essere ritenuti destinatari dell’obbligo. Per questa ragione, qualunque professionista sanitario è sicuramente tenuto ad istituire il registro.

Avv. Vittorio Fiasconaro