Come proteggere i dati sanitari


Quando si parla di trattamento dei dati personali in ambito sanitario, si fa riferimento alle misure  specifiche a garanzia della tutela dei pazienti. In questo articolo un nostro consulente cercherà di fare chiarezza sulle misure che titolari e responsabili del trattamento dei dati in ambito sanitario dovranno adottare per garantire che sia conforme al Regolamento Ue 2016/679 e al codice Privacy come modificato dal decreto Legislativo del 2018.  Non solo, il 7 marzo 2019 il Garante per la protezione dei dati personali ha emesso il provvedimento n° 55 per fornire ulteriori chiarimenti sull’applicazione della disciplina e per favorire un’interpretazione uniforme del nuovo assetto normativo riguardo a rischi, garanzie e diritti in relazione ai trattamenti, nonché agli obblighi imposti ai titolari e ai responsabili del trattamento.

Indice:

Disciplina per il trattamento dei dati in ambito sanitario

Chi si occupa di protezione dei dati sanitari

Come deve essere attuata la procedura 

Registro delle attività di trattamento

Le sanzioni

 

Disciplina per il trattamento dei dati in ambito sanitario

 

Privacy Sperimentazioni cliniche GDPR | Labor Project

 

 

Nei primi mesi di applicazione del Regolamento e delle nuove disposizioni, il Garante ha ricevuto numerosi quesiti in merito al nuovo assetto della disciplina relativa al trattamento dei dati in ambito sanitario tale per cui ha ritenuto opportuno fornire alcuni chiarimenti sull’applicazione della disciplina.

NON è necessario il consenso esplicito

Secondo l’articolo 9 del regolamento esistono alcuni ambiti in cui il trattamento dei dati sanitari è lecito senza necessità di consenso esplicito dell’interessato:

  • Motivi di interesse pubblico nel settore della sanità pubblica: in caso di gravi minacce per la salute.
  • Finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari, sociali o di terapia sanitaria. Andando nello specifico, occorre precisare che diversamente dal passato, il professionista sanitario non è più tenuto a chiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente che operi in qualità di libero professionista, ovvero presso uno studio medico, oppure all’interno di una struttura sanitaria pubblica o privata.
  • Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri.  

È necessario il consenso esplicito

Esistono poi trattamenti in ambito sanitario in cui il consenso dell’interessato deve essere esplicito. Si individuano, a titolo esemplificativo, le seguenti categorie:

  • Personale che utilizza App mediche: attraverso le quali titolari autonomi raccolgono dati, anche sanitari, dell’interessato, per finalità diverse dalla telemedicina; oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possono avere accesso soggetti differenti rispetto ai professionisti sanitari o altri soggetti tenuti al segreto professionale.
  • Farmacie orientate alla fidelizzazione della clientela attraverso programmi di accumulo punti per offrire servizi o prestazioni accessorie attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del servizio sanitario nazionale.
  • Persone giuridiche private che effettuano trattamenti di dati per finalità promozionali o commerciali. Ad esempio, promozione di programmi di screening, contratto di fornitura di servizi amministrativi come quelli alberghieri di degenza.
  • Personale incaricato alla tenuta del fascicolo sanitario elettronico. In questo caso l’acquisizione del consenso, quale condizione di liceità del trattamento, è prevista dalle linee guida in materia di dossier sanitario del 4 giugno 2015 anche se, in virtù del nuovo quadro giuridico in materia di protezione dei dati, il Garante può stabilire che non è più necessario acquisire il consenso dell’interessato per alimentare il fascicolo. Diverso è il caso della refertazione on line per la quale il consenso dell’interessato è richiesto in relazione alle modalità di consegna del referto.

Chi si occupa della protezione dei dati sanitari

 

RPD, sanità, Labor Project

 

 

 Il Responsabile della Protezione dei Dati 

La designazione del Responsabile della protezione dei dati (RPD) nella struttura del Regolamento costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati, che risulta obbligatoria per le autorità o organismi pubblici; per gli altri soggetti tale obbligo sussiste invece solo al ricorrere delle specifiche condizioni di cui all’art. 37 (le attività principali del titolare o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali)

L’autorità di controllo italiana ha precisato che in linea generale i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del RPD. Tuttavia anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) può rientrare nel concetto di larga scala.

Per ciò che attiene il registro dei trattamenti è stato definitivamente chiarito che sono tenuti alla sua redazione tutte le aziende e professionisti sanitari anche se agiscono in libera professione nonché le farmacie, le parafarmacie e le aziende ortopediche.

 

Come deve essere attuata la procedura 

 

privacy, sanità, Labor Project

 

Informativa dei dati

Il principio di trasparenza previsto dall’art. 5, par. 1, lett. a) del Regolamento impone ai titolari di informare l’interessato sui principali elementi del trattamento, al fine di renderli consapevoli delle caratteristiche dello stesso. Tali informazioni vanno rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.

A tal fine il Garante suggerisce ai titolari del trattamento che effettuano una pluralità di operazioni, di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo (granulare) rispetto ai trattamenti effettuati.

Riguardo alle modalità con cui il titolare deve fornire l’informativa, secondo l’articolo 5 del Regolamento, è lo stesso a scegliere quelle più opportune sulla base delle circostanze e del contesto..

Per quanto riguarda il contenuto, il Regolamento prevede solo alcune novità rispetto al passato:

  • progressione delle informazioni: ovvero in un primo momento potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie, mentre elementi relativi a particolari attività di trattamento (ad esempio fornitura di presidi sanitari, modalità di consegna dei referti medici on line) potrebbero essere resi in un secondo momento solo ai pazienti effettivamente interessati da tali servizi. Ciò permetterebbe di focalizzare l’attenzione sulle notizie veramente rilevanti.
  • Periodo di conservazione: la normativa di settore in merito alla documentazione sanitaria prevede tempi di conservazione differenti a seconda dei contenuti. Alcuni esempi:
    • i certificati di idoneità all’attività sportiva agonistica devono essere conservati dal medico per almeno 5 anni,
    • le cartelle cliniche vanno conservate illimitatamente
    • le radiografie, ecografie, tac devono essere conservate per un periodo non inferiore a 10 anni.

Nel caso in cui il periodo di conservazione non sia specificato da una normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, deve individuare il periodo non inferiore al raggiungimento delle finalità per le quali i dati sono trattati  e deve essere indicato il periodo o i criteri per determinarlo tra le informazioni da rendere all’interessato.

 

Registro delle attività di trattamento

 

privacy, sanità, registro attività trattamento, Labor Project

 

 

Il registro delle attività di trattamento rappresenta un elemento essenziale nella gestione del trattamento dei dati sanitari. È stato infatti definitivamente chiarito che sono tenuti alla sua redazione tutte le aziende e professionisti sanitari, anche se agiscono in libera professione, nonché le farmacie, le parafarmacie e le aziende ortopediche. Il registro non deve essere trasmesso al Garante, ma messo a disposizione dell’Autorità in caso di controllo.

Le sanzioni

Per quel che riguarda le sanzioni pecuniarie ci sono due livelli:

  • il trattamento non conforme dei dati personali può generare sanzioni fino a 10.000.000 euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
  • violazioni dei principi di base del trattamento, come le condizioni relative al consenso o dei diritti dell’interessato,  possono comportare sanzioni fino a 20.000.000 euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia