I dati sanitari rappresentano una delle categorie di dati personali più delicate e protette dal diritto, in quanto riguardano lo stato di salute fisica o mentale di una persona e possono rivelare informazioni particolarmente intime. Tali dati sono definiti come “categorie particolari di dati” ai sensi dell’art. 9 del Regolamento UE n. 679/2016 (GDPR). Per approfondire, abbiamo organizzato il corso di formazione Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)
Indice
- 1. Il quadro normativo
- 2. Trattamento dei dati sanitari: condizioni e limiti
- 3. Consenso dell’interessato e deroghe
- 4. Obblighi e responsabilità del titolare del trattamento
- 5. Sicurezza e misure tecniche
- 6. Giurisprudenza e interventi del Garante Privacy
- 7. Conclusioni
- Formazione in materia
- Ti interessano questi contenuti?
1. Il quadro normativo
In Italia, oltre al GDPR, il trattamento dei dati sanitari è disciplinato anche dal Codice della Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) e da altre normative settoriali, come il Codice di Deontologia Medica e specifici provvedimenti del Garante per la protezione dei dati personali.
L’importanza di un quadro normativo rigido deriva dalla necessità di tutelare i diritti fondamentali della persona, in particolare il diritto alla riservatezza e alla protezione dei dati personali, previsti anche dall’art. 8 della Carta dei diritti fondamentali dell’UE.
2. Trattamento dei dati sanitari: condizioni e limiti
Il trattamento dei dati sanitari è consentito esclusivamente in presenza di specifiche condizioni, definite all’art. 9, par. 2, del GDPR. Tra queste:
- Consenso esplicito dell’interessato;
- Necessità del trattamento per finalità di diagnosi, cura e prevenzione da parte di professionisti soggetti a obbligo di segretezza (es. medici, operatori sanitari);
- Necessità per motivi di interesse pubblico rilevante, come la gestione delle emergenze sanitarie (es. epidemie, monitoraggio pandemico);
- Necessità per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria.
Principi fondamentali del trattamento:
- Limitazione della finalità: I dati devono essere raccolti per finalità determinate, esplicite e legittime.
- Minimizzazione: Devono essere trattati solo i dati necessari per raggiungere la finalità.
- Accuratezza: I dati devono essere aggiornati e corretti.
- Conservazione limitata: I dati devono essere conservati solo per il tempo strettamente necessario.
- Integrità e riservatezza: Devono essere garantite misure di sicurezza adeguate per proteggere i dati da accessi non autorizzati o illeciti.
3. Consenso dell’interessato e deroghe
Il consenso rappresenta una delle basi giuridiche principali per il trattamento dei dati sanitari. Tuttavia, esso deve essere:
- Esplicito: Richiede una dichiarazione chiara e inequivocabile dell’interessato.
- Specifico e informato: Deve essere chiaro lo scopo del trattamento e chi accederà ai dati.
- Revocabile: L’interessato può ritirare il consenso in qualsiasi momento.
In ambito sanitario, però, il consenso può essere derogato quando il trattamento è necessario per finalità di cura e diagnosi da parte di soggetti abilitati (es. medici) o in situazioni di interesse pubblico rilevante, come programmi di screening sanitario o emergenze epidemiologiche.
4. Obblighi e responsabilità del titolare del trattamento
Il titolare del trattamento, come ad esempio una struttura ospedaliera, un medico o un laboratorio diagnostico, ha precisi obblighi:
- Designazione del DPO (Responsabile della protezione dei dati), obbligatorio per i trattamenti su larga scala;
- Tenuta del Registro delle attività di trattamento;
- Effettuazione della Valutazione di impatto sulla protezione dei dati (DPIA) per trattamenti ad alto rischio (art. 35 GDPR);
- Adozione di misure di sicurezza adeguate: crittografia, pseudonimizzazione, controllo degli accessi e tracciabilità.
L’inadempimento a tali obblighi espone il titolare a sanzioni pecuniarie molto severe, che possono raggiungere 20 milioni di euro o il 4% del fatturato mondiale annuo, ai sensi dell’art. 83 del GDPR.
5. Sicurezza e misure tecniche
La sicurezza dei dati sanitari è un elemento centrale per prevenire accessi non autorizzati e possibili violazioni di dati (data breach). Le misure principali includono:
- Autenticazione forte e sistemi di accesso tracciabili;
- Crittografia dei dati;
- Implementazione di policy aziendali per la gestione dei dati sanitari;
- Backup regolari per garantire la disponibilità dei dati.
6. Giurisprudenza e interventi del Garante Privacy
Numerosi provvedimenti del Garante per la protezione dei dati personali hanno chiarito i confini del trattamento lecito dei dati sanitari.
Ad esempio:
- Provvedimento n. 248/2020: violazione della privacy per accessi non autorizzati da parte del personale sanitario;
- Cassazione Penale, Sez. III, sentenza n. 50259/2017: utilizzo illecito dei dati sanitari in contesti non sanitari, con responsabilità penale del professionista.
Questi casi sottolineano la centralità del principio di riservatezza e l’obbligo per i professionisti di adottare cautele rigorose.
7. Conclusioni
I dati sanitari, per la loro natura sensibile, godono di un regime di protezione rafforzato nel diritto europeo e nazionale. La gestione di tali dati richiede il rispetto di standard elevati in termini di consenso, sicurezza e responsabilità, al fine di tutelare la dignità della persona e prevenire usi illeciti o impropri. Le sanzioni severe previste dal GDPR e i numerosi provvedimenti giurisprudenziali dimostrano l’importanza di un approccio rigoroso e conforme alle normative vigenti.
Formazione in materia
Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)
Il corso si propone di approfondire le novità introdotte dal nuovo Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS), dandone una lettura critica e pratica: nel primo modulo sono analizzati gli aspetti legati all’uso primario dei dati (inclusi i diritti di accesso e portabilità, e i requisiti stabiliti per le cartelle cliniche elettroniche); nel secondo modulo gli aspetti relativi all’uso secondario e ai fini di ricerca. Saranno approfondite le interazioni con il GDPR e con la normativa in materia di intelligenza artificiale e di dispositivi medici.
Il corso si rivolge ad avvocati e DPO che assistono enti operanti nel settore sanitario, direttori sanitari, professionisti e manager operanti nel settore della sanità pubblica e privata.
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scrivi un commento
Accedi per poter inserire un commento