Con il Provvedimento n. 55 del 7 marzo 2019, il Garante per la Protezione dei dati personali chiarisce alcuni dubbi riguardo il trattamento di dati particolari in ambito sanitario.
Secondo l’art. 9 comma 1 del Regolamento Europeo UE 679/2016:
“È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”
Il comma 2, tuttavia, specifica in quali casi è consentito il trattamento dei dati sopraccitati. Prenderemo in esame alcuni punti specifici:
“Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche […]
[…]
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
[…]
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali […]
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici […]”
Il decreto legislativo n. 101/2018, in vigore dal 19 settembre 2018, ha inoltre previsto che il Garante completi l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche (artt. 2-septies e 2-quater del Codice).
In questi primi mesi di applicazione del Regolamento e delle nuove disposizioni del Codice, il Garante ha ricevuto numerosi quesiti in ordine al nuovo assetto della disciplina relativa al trattamento dei dati relativi alla salute in ambito sanitario.
È stata sollevata, infatti, in più occasioni, l’esigenza, da parte degli operatori del settore, dei soggetti istituzionali competenti, dei responsabili della protezione dati e dei cittadini di avere dei chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito.
Sebbene il quadro regolatorio, come sopra evidenziato, non sia ancora definitivo, l’Autorità ritiene opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario.
Quando è consentito il trattamento di categorie di dati particolati in ambito sanitario?
In linea generale, il trattamento di dati in ambito sanitario, è consentito se:
- Esiste un motivo di interesse pubblico rivelante sulla base del diritto dell’Unione o degli Stati membri
- motivi di interesse pubblico nel settore della sanità pubblica (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
- finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali («finalità di cura»)
Quando è necessario il consenso al trattamento da parte dell’interessato?
Non è necessario il consenso dell’interessato se:
- sono essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute;
E
- sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza
È necessario il consenso dell’interessato per:
- La consultazione del fascicolo sanitario elettronico (l. 18 ottobre 2012, n. 179, art. 12, comma 5)
- La consegna del referto online (il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).
- L’utilizzo di app mediche (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità)
- Altre finalità quali finalità promozionali, commerciali, elettorali, fidelizzazione della clientela ecc…
Con riferimento ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmente richiesto dalle Linee guida emanate dall’Autorità prima dell’applicazione del Regolamento (Linee guida in materia di Dossier sanitario del 4 giugno 2015, doc web. n.4084632). Alla luce del nuovo quadro giuridico, sarà il Garante ad individuare, nell’ambito delle misure di garanzia da adottarsi sulla base dell’art. 2-septies del Codice, i trattamenti che, ai sensi dell’art. 9, par. 2, lett. h), possono essere effettuati senza il consenso dell’interessato.
L’informativa e i tempi di conservazione
L’informativa al trattamento dovrà avere le stesse caratteristiche già esplicitate più volte dal Garante. Oltre a contenere tutte le informazioni richieste dagli articoli 13 e 14, dovrà essere:
- Concisa
- Trasparente
- Intelligibile
- Facilmente accessibile
- Scritta con linguaggio semplice, chiaro e in linea con il target di riferimento
Occorre porre particolare attenzione ai tempi di conservazione (che dovranno, fra l’altro, essere indicati nell’informativa): se non esistono particolari obblighi di legge che impongono un tempo prestabilito per la conservazione di alcuni dati, sarà compito del titolare fissarli tenendo conto delle finalità per cui quei dati sono stati raccolti.
È sempre necessario il DPO?
Se il titolare è un organismo pubblico (facente parte del Servizio Sanitario Nazionale)
In generale, si ritiene che i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al Servizio Sanitario Nazionale devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del RPD, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.
Se il titolare è un soggetto privato
Si ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale possa rientrare, in linea generale, nel concetto di larga scala. (Linee guida sui Responsabili della protezione dei dati, WP243, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, punto 2.1.3, doc. web n. 612048, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n. 1/2018).
Anche per gli aspetti organizzativi dell’ufficio del RPD, la possibilità e la fattibilità (art. 39 del Regolamento) di nominare un unico RPD per più strutture sanitarie, è rimessa alla responsabilità del titolare del trattamento.
Se il titolare è il singolo professionista
Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto necessariamente alla designazione di tale figura con riferimento allo svolgimento della propria attività.
Secondo quanto indicato nel Considerando n. 91 del Regolamento, infatti, i trattamenti dallo stesso effettuati non rientrano tra quelli su larga scala. In tal senso, anche il Gruppo di lavoro Art. 29 per la protezione dei dati indica, tra gli esempi di trattamento da non considerare su larga scala, quelli svolti da un singolo professionista sanitario (Linee guida sui Responsabili della protezione dei dati, cit., punto 2.1.3.).
Analoghe considerazioni valgono anche per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie. Pertanto, i citati soggetti, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.
