Il Garante della privacy detta le nuove regole in base al GDPR
Cambia il consenso. Uno degli aspetti su cui sono stati sparsi “fiumi d’inchiostro”, con un aumento progressivo di ciò che si deve e non si deve chiedere al paziente, legato alle interpretazioni “giurisprudenziali “ che via via cercavano di “mettere a fuoco” il tema nelle diverse forme, ha ora una “pietra miliare” interpretativa.
In sintesi, per le finalità di cura non si deve chiedere il consenso (come da art.2 septies D. Lgs.101/2018). E’ invece necessario per la refertazione online, il fascicolo ed il dossier sanitari elettronici. Viene riconfermato che tocca ai medici, alle farmacie ed alle aziende sanitarie la compilazione del registro dei trattamenti. E’ altresì chiarito che il singolo medico non deve nominare il DPO – RPD (responsabile della protezione dei dati).
“Diversamente dal passato, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata”.
La citazione è tratta dal Provvedimento del 7 marzo, con il quale il Garante della Protezione dei Dati Personali chiarisce la corretta interpretazione, in base al regolamento Ue (679/2016) sulla protezione dei dati sanitari. Con una circolare, firmata dal responsabile del settore ispezioni, ha inviato (il 13 marzo) a tutte le Regioni, le Federazioni professionali, le associazioni scientifiche ed i sindacati, l’interpretazione “autentica” delle nuove norme europee sulla privacy per quanto riguarda il consenso informato.
Vediamo i nuovi concetti (da assimilarsi nel più breve tempo possibile) trattati nella circolare.
Dati personali. Paragrafo 1: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, informazioni relative alla salute o alla vita sessuale o all’orientamento affettivo della persona, possono essere trattati per le finalità di cui al paragrafo 2 (lettera h),
Finalità di cura. I trattamenti sono quelli previsti dal nuovo regolamento Ue (articolo 9, paragrafo 2, lettera h): “… il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali, sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”.
Garanzie. Paragrafo 3: “…tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale, conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza, conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.
Il Garante spiega l’aspetto che riguarda l’ambito oggettivo: i trattamenti previsti dagli articoli della norma Ue indicata, sono infatti quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli “essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute”. Prosegue precisando che gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, “una distinta base giuridica, da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par.2, del Regolamento)”.
Gli atti che richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett- a del Regolamento), a titolo esemplificativo, comprendono:
a. APP: modalità di utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari, dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dagli scopi dell’applicazione, ai dati dell’interessato possano avere accesso operatori diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
b. fidelizzazione della clientela: trattamenti preordinati effettuati dalle farmacie, con programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali, pubbliche e private, nell’ambito del Servizio sanitario nazionale;
c. finalità promozionali o commerciali: attività effettuate in campo sanitario, da persone giuridiche private (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
d. finalità commerciali o elettorali: trattamenti effettuati da professionisti sanitari;
e. Fascicolo sanitario elettronico: Dlgs 18 ottobre 2012, n. 179, art. 12, comma 5. In tali casi, quale condizione di liceità del trattamento, l’acquisizione del consenso è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall’art. 75 del Codice.
Il provvedimento spiega poi che, nei confronti della generalità dei pazienti assistiti da una struttura sanitaria, potrebbero essere fornite solo le informazioni relative ai trattamenti che “rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (cfr. art. 79 del Codice)”. Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca), potrebbero essere resi solo ai pazienti effettivamente interessati da tali servizi o ulteriori trattamenti ed in un secondo momento.
In pratica si tratta l’esplicitazione dell’informativa “stratificata”, prevista dal GDPR. Ciò va a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, in quella specifica situazione, fornendo la piena consapevolezza sugli aspetti più significativi del trattamento in essere.
Viene chiarito che, oltre alle aziende sanitarie, devono nominare il DPO-RPD anche l’ ospedale privato, le case di cura e le residenze sanitarie assistenziali. E’ escluso Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, come anche le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l’obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).
BIBLIOWEB:
Garante della protezione dei dati personali - Chiarimenti sull’applicazione della disciplina per il trattamento dei dati in ambito sanitario – 7 marzo 2019 [doc. web 9091942]. Registro dei provvedimenti n.55 del 7 marzo 2019 (PDF allegato) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9091942
Circolare GPDP.Ufficio Protocollo.U.0009002.13/03/2019 Chiarimenti sull’applicazione della disciplina per il trattamento dei dati in ambito sanitario (PDF allegato)
L’urgenza prevale sul consenso informato http://newmicro.altervista.org/?p=4555
Diagnostica per immagini, consenso informato e dematerializzazione http://newmicro.altervista.org/?p=4293
Sanità Digitale: le credenziali SPID http://newmicro.altervista.org/?p=4206
Privacy & Rischio http://newmicro.altervista.org/?p=4187
Privacy europea: GDPR, informativa e nuovi diritti http://newmicro.altervista.org/?p=4122
Privacy Countdown http://newmicro.altervista.org/?p=3891
DAT & consenso informato http://newmicro.altervista.org/?p=3801
Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019 e Circolare attuativa (PDF)
Articoli correlati:
MAR
Per qualsiasi comunicazione tecnica riguardante il presente Sito Web, potete contattare il WEBMASTER inviando un messaggio di posta elettronica. Grazie.
About the Author
Email: [email protected]