Ad oggi il quadro normativo è composto da: la disciplina del GDPR; il “nuovo” Codice Privacy; infine, gli articoli del D.Lgs. n. 101/2018.
Le novità
La novità più rilevante che riguarda l’ambito sanitario risulta essere il venire meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura ( ex art. 2-septies del Codice privacy, in combinato disposto con l’art. 9 GDPR).
Tutta la sanità si è sempre basata sul consenso. La nuova disciplina pur essendo meno burocratica è di certo più complessa, perché impone di analizzare tutti i processi di trattamento dei dati per “capire impianto e fondamento normativo”; si tratta dunque di selezionare le misure tecniche ed organizzative da implementare, dimostrando così la loro efficacia (la c.d. accountability di cui all’art. 5 GDPR); dall’altra parte mette l’interessato (il paziente in sanità) al centro del sistema privacy, amplificando il principio di trasparenza (art. 12 GDPR).
Le abrogazioni
Di seguito, l’elenco degli articoli abrogati, modificati e/o integrati. Il primo è stato l’articolo 6 del decreto legislativo che dettava disposizioni specifiche per il trattamento dei dati personali in ambito sanitario, intervenendo sugli articoli da 75 a 94 del Codice della privacy.
Innanzitutto, nel Capo I, relativo ai principi generali, con la modifica dell’articolo 75, la riforma delinea la cornice di liceità del trattamento dei dati effettuato per finalità di tutela della salute e dell’incolumità fisica dell’interessato, di terzi o della collettività, richiamando le disposizioni del Regolamento UE e della parte generale del Codice.
Tale trattamento può riguardare dati particolari, a meno che: il trattamento sia utile per finalità di medicina preventiva o di medicina del lavoro, di valutazione della capacità lavorativa del dipendente, di diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (art. 9, par. 2, lett. h) del Regolamento UE).
Assieme all’eliminazione del requisito del consenso, la riforma abroga l’articolo 76 del Codice che distingue, per la sanità pubblica, i trattamenti dati che possono essere effettuati anche senza il consenso dell’interessato, ma previa autorizzazione da parte del Garante, da quelli che necessitano del consenso.
Il Capo II riguarda le modalità con cui si può informare l’interessato del trattamento dati e per trattare i dati stessi. Si tratta di disposizioni che dovranno applicare tutti gli esercenti professioni sanitarie e le strutture sanitarie e socio-sanitarie tanto pubbliche quanto private, nonché gli altri soggetti pubblici operanti in ambito sanitario o della protezione e sicurezza sociale in base all’art. 80 del Codice. Tutti questi soggetti dovranno, anzitutto, informare l’interessato del trattamento dati.
Nello stesso articolo 77 è stato eliminato ogni riferimento al consenso dell’interessato. E’, inoltre, integrato l’elenco dei trattamenti rispetto ai quali le informazioni devono evidenziare specifici rischi per i diritti e le libertà fondamentali: alla ricerca scientifica, alla teleassistenza o telemedicina ed ai servizi resi attraverso la comunicazione elettronica si aggiungono ora il fascicolo sanitario elettronico e i sistemi di sorveglianza ed i registri nel settore sanitario (disciplinati dall’art. 12 del decreto-legge n. 179 del 2012).
Fascicolo sanitario elettronico
Il fascicolo sanitario elettronico (FSE) racchiude tutti i dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito. Il FSE, il quale deve consentire anche l’accesso da parte del cittadino ai servizi sanitari on line, è istituito presso le Regioni e Province autonome, a fini di prevenzione, diagnosi, cura e riabilitazione; studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Al fascicolo sanitario elettronico si accompagna il dossier farmaceutico, aggiornato a cura della farmacia che effettua la dispensazione. I sistemi di sorveglianza e i registri di mortalità, di tumori e di altre patologie, di trattamenti costituiti da trapianti di cellule e tessuti e trattamenti a base di medicinali per terapie avanzate o prodotti di ingegneria tessutale e di impianti protesici sono istituiti ai fini di prevenzione, diagnosi, cura e riabilitazione, programmazione sanitaria, verifica della qualità delle cure, valutazione dell’assistenza sanitaria e di ricerca scientifica in ambito medico, biomedico ed epidemiologico allo scopo di garantire un sistema attivo di raccolta sistematica di dati anagrafici, sanitari ed epidemiologici per registrare e caratterizzare tutti i casi di rischio per la salute, di una particolare malattia o di una condizione di salute rilevante in una popolazione definita. In seguito all’integrazione dell’articolo 78 lo schema di decreto legislativo sono stati abrogati gli articoli 91 e 94 del Codice relativi ai dati trattati mediante carte e ai registri in ambito sanitario. Intervento di coordinamento normativo è stato fatto anche per l’articolo 79 del Codice, in relazione alle informazioni che devono essere rese dalle strutture sanitarie pubbliche e private, e per l’articolo 80 del Codice, in relazione agli altri soggetti pubblici operanti in ambito sanitario o della protezione e sicurezza sociale: anche queste strutture potranno utilizzare un’unica informativa, in riferimento a una pluralità di prestazioni erogate da distinti reparti o articolazioni della struttura.
L’articolo 81 del Codice, relativo alla prestazione del consenso, è stato abrogato.
L’articolo 82, relativo alla possibilità di rendere le informazioni sul trattamento dati successivamente all’erogazione della prestazione sanitaria, in caso di emergenza, è integrato, quanto alla possibilità di rendere le informazioni ai congiunti, da un richiamo alle unioni civili (legge n. 86 del 2016) e al fiduciario disciplinato nell’ambito delle disposizioni anticipate di trattamento (legge n. 219 del 2017, art. 4).Gli articoli 83 e 84, che specificano alcune cautele a tutela della privacy da osservare da parte degli organismi sanitari e degli esercenti professioni sanitarie nell’organizzazione delle prestazioni e dei servizi, nonché nella comunicazione di diagnosi o referti all’interessato, sono abrogati.
Capo III- V-VI
Il Capo III dedicato ai trattamenti in ambito sanitario, è composto dagli articoli 85 e 86 del Codice, i quali attribuiscono la qualifica di rilevante interesse pubblico a una serie di attività del Servizio sanitario nazionale e alle attività amministrative inerenti la maternità, tossicodipendenze e handicap, è abrogato.
La riforma, inoltre, abroga il Capo V, composto dal solo articolo 90, avente ad oggetto i dati genetici. Si tratta della disposizione che oggi consente il trattamento di tali dati solo previa autorizzazione rilasciata dal Garante sentito il Ministro della salute e con il parere del Consiglio superiore di sanità.
Da ultimo l’analisi riguarda il Capo VI, dove sono stati abrogati gli articolo: 91, relativo ai dati trattati mediante carte anche non elettroniche.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento