I chiarimenti del Garante privacy sulla legittimazione dei trattamenti di dati in materia sanitaria e sul consenso dell’interessato

Scarica PDF Stampa
 

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019

In considerazione del fatto che al Garante privacy sono pervenute numerosi quesiti e segnalazioni relativi al trattamento dei dati personali in ambito sanitario, soprattutto in considerazione dei nuovi adempimenti che sono richiesti ai titolari e ai responsabili del trattamento dal Regolamento europeo 679 del 2016 (GDPR) e dal Codice privacy come recentemente modificato dal D. Lgs. 101 del 2018 nonché in considerazione dei dubbi sollevati in queste segnalazioni, il Garante della privacy ha ritenuto opportuno intervenire attraverso il Provvedimento in esame, fornendo un’interpretazione uniforme della nuova normativa nonché degli orientamenti sui comportamenti da tenere in materia di protezione dei dati in ambito sanitario.

Preliminarmente l’autorità di controllo italiana ha ricordato che i dati sanitari o comunque relativi alla salute possono essere oggetto di trattamento soltanto quando ricorrono alcuni requisiti che sono individuati dall’articolo 9 del Regolamento europeo. Requisiti sui quali, lo stesso Regolamento, ha previsto che gli Stati membri possono intervenire anche introducendo degli ulteriori requisiti nonché stabilendo delle vere e proprie limitazioni in ordine al trattamento dei suddetti dati. A tal proposito, quindi, il Garante ha ricordato che il decreto legislativo numero 101 del 2018, che ha recentemente modificato il Codice della privacy, ha affidato allo stesso Garante il compito di completare l’individuazione dei presupposti e dei requisiti in presenza dei quali il trattamento di dati sanitari possa ritenersi lecito, a tal fine individuando delle specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche in detta materia.

Il trattamento dei dati relativi alla salute in ambito sanitario

Ciò premesso, il Garante per la protezione dei dati personali, nel Provvedimento oggetto del presente commento, è passato a individuare la disciplina del trattamento dei dati relativi alla salute in ambito sanitario, specificando che sussiste un generale divieto di trattare i dati relativi alla salute (in quanto essi rientrano nelle “categorie particolari di dati” di cui all’articolo 9 del Regolamento), ma che lo stesso articolo individua una serie di ipotesi in cui il trattamento di tali dati risulta lecito. Ebbene, per quanto riguarda l’ambito sanitario, le ipotesi in cui il trattamento dei dati relativi alla salute possa ritenersi lecito riguarda i trattamenti necessari per:

  • motivi di interesse pubblico rilevante sulla base del diritto dell’unione europea e degli Stati membri, che sono individuati dal codice privacy;
  • motivi di interesse pubblico nel settore della sanità pubblica (come la protezione da gravi minacce per la salute a carattere transfrontaliero, la garanzia di parametri elevati di qualità e di sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione e degli Stati membri che preveda misure appropriate specifiche per tutelare i diritti e le libertà dell’interessato);
  • finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero di gestione dei sistemi e servizi sanitari sociali sulla base del diritto dell’unione o degli Stati membri o conformemente al contratto con un professionista della sanità, quando tali trattamenti sono effettuati da un professionista sanitario soggetto al segreto professionale o comunque da un’altra persona anch’essa soggetta all’obbligo di segretezza.

In considerazione di tale disciplina, quindi, il Garante ha chiarito che, con la nuova normativa in materia di privacy, i medici e in generale i professionisti sanitari che sono soggetti al segreto professionale possono trattare i dati relativi alla salute delle persone i quali risultano necessari per l’esecuzione della prestazione sanitaria richiesta dall’interessato anche senza il consenso di quest’ultimo, sia che essi lavorino all’interno di una struttura sanitaria pubblica o privata sia che essi siano dei liberi professionisti.

In secondo luogo, il Garante ha chiarito che tale regola vale per i trattamenti di dati personali relativi alla salute che servono per raggiungere una specifica finalità e che sono necessarie per la cura della salute del paziente interessato. Mentre, gli altri trattamenti di dati, che, seppure connessi alla cura della salute del paziente, non sono necessari a tal fine, sono legittimi soltanto se sussiste un’altra base giuridica tra quelle previste dal regolamento europeo (come per esempio il consenso dell’interessato).

Ricapitolata in tal modo la disciplina generale sulla legittimità del trattamento dei dati relativi alla salute per finalità di cura, il Garante ha formulato una serie di ipotesi in cui non sussiste tale legittimazione del trattamento dati, ma è invece necessario il consenso dell’interessato per ritenere lecito tale trattamento. Si tratta, evidentemente, di un elenco meramente esemplificativo, all’interno del quale il Garante annovera:

  1. i trattamenti connessi all’utilizzo di APP mediche (quando i dati relativi alla salute sono raccolti dal professionista sanitario attraverso la APP per finalità diverse dalla cura oppure quando altri soggetti, che non sono tenuti al segreto professionale, possono accedere a detti dati qualunque sia la finalità della loro raccolta);
  2. i trattamenti preordinati alla fidelizzazione della clientela (quali, per esempio, le raccolte punti promosse da farmacie per far ottenere al cliente dei prodotti o dei servizi gratuiti o scontati);
  3. i trattamenti effettuati in ambito sanitario da persone giuridiche private per finalità promozionali o commerciali;
  4. i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
  5. i trattamenti effettuati attraverso il fascicolo sanitario elettronico (in questo caso, infatti, il consenso dell’interessato è necessario in quanto è specificatamente richiesto dalla normativa che disciplina il fascicolo sanitario elettronico);
  6. i trattamenti effettuati per la refertazione on-line (anche in questo caso, infatti, il consenso dell’interessato è espressamente richiesto dalla normativa che disciplina la consegna del referto).

Volume consigliato

La tutela della privacy in ambito sanitario

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.

Pier Paolo Muià | 2018

20.00 €  19.00 €

Il dossier sanitario

Diverso è il caso, invece, a parere del Garante, dei trattamenti che sono effettuati attraverso il dossier sanitario. In questo caso, infatti, il consenso dell’interessato è espressamente ed attualmente richiesto, non da una disposizione normativa, bensì dalle linee guida che sono state emanate dallo stesso Garante privacy prima dell’applicazione del Regolamento europeo (GDPR). In questo caso, ritiene il Garante che dovrà essere egli stesso, nell’ambito delle specifiche misure di garanzia che dovrà adottare in materia di tutela dei dati sanitari, ad individuare i trattamenti che possono essere effettuati senza il consenso dell’interessato. A parere di chi scrive, ciò significa, quindi, che: (i) le linee guida continuano a produrre effetti; (ii) fin quando il Garante non emanerà le misure di garanzia di cui sopra, individuando in quali caso non è richiesto il consenso dell’interessato, per la legittimità dei trattamenti effettuati attraverso il dossier sanitario, sarà richiesto detto consenso.

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento