I dati sanitari nel diritto – Scheda di Diritto

I dati sanitari rappresentano una delle categorie di dati personali più protette dal diritto, e riguardano lo stato di salute psicofisica di una persona.

Redazione 17/12/24

I dati sanitari rappresentano una delle categorie di dati personali più delicate e protette dal diritto, in quanto riguardano lo stato di salute fisica o mentale di una persona e possono rivelare informazioni particolarmente intime. Tali dati sono definiti come “categorie particolari di dati” ai sensi dell’art. 9 del Regolamento UE n. 679/2016 (GDPR). Per approfondire, abbiamo organizzato il corso di formazione Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)

Indice

1. Il quadro normativo


In Italia, oltre al GDPR, il trattamento dei dati sanitari è disciplinato anche dal Codice della Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) e da altre normative settoriali, come il Codice di Deontologia Medica e specifici provvedimenti del Garante per la protezione dei dati personali.
L’importanza di un quadro normativo rigido deriva dalla necessità di tutelare i diritti fondamentali della persona, in particolare il diritto alla riservatezza e alla protezione dei dati personali, previsti anche dall’art. 8 della Carta dei diritti fondamentali dell’UE.

2. Trattamento dei dati sanitari: condizioni e limiti


Il trattamento dei dati sanitari è consentito esclusivamente in presenza di specifiche condizioni, definite all’art. 9, par. 2, del GDPR. Tra queste:

  • Consenso esplicito dell’interessato;
  • Necessità del trattamento per finalità di diagnosi, cura e prevenzione da parte di professionisti soggetti a obbligo di segretezza (es. medici, operatori sanitari);
  • Necessità per motivi di interesse pubblico rilevante, come la gestione delle emergenze sanitarie (es. epidemie, monitoraggio pandemico);
  • Necessità per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria.

Principi fondamentali del trattamento:

  • Limitazione della finalità: I dati devono essere raccolti per finalità determinate, esplicite e legittime.
  • Minimizzazione: Devono essere trattati solo i dati necessari per raggiungere la finalità.
  • Accuratezza: I dati devono essere aggiornati e corretti.
  • Conservazione limitata: I dati devono essere conservati solo per il tempo strettamente necessario.
  • Integrità e riservatezza: Devono essere garantite misure di sicurezza adeguate per proteggere i dati da accessi non autorizzati o illeciti.

3. Consenso dell’interessato e deroghe


Il consenso rappresenta una delle basi giuridiche principali per il trattamento dei dati sanitari. Tuttavia, esso deve essere:

  • Esplicito: Richiede una dichiarazione chiara e inequivocabile dell’interessato.
  • Specifico e informato: Deve essere chiaro lo scopo del trattamento e chi accederà ai dati.
  • Revocabile: L’interessato può ritirare il consenso in qualsiasi momento.

In ambito sanitario, però, il consenso può essere derogato quando il trattamento è necessario per finalità di cura e diagnosi da parte di soggetti abilitati (es. medici) o in situazioni di interesse pubblico rilevante, come programmi di screening sanitario o emergenze epidemiologiche.

4. Obblighi e responsabilità del titolare del trattamento


Il titolare del trattamento, come ad esempio una struttura ospedaliera, un medico o un laboratorio diagnostico, ha precisi obblighi:

  • Designazione del DPO (Responsabile della protezione dei dati), obbligatorio per i trattamenti su larga scala;
  • Tenuta del Registro delle attività di trattamento;
  • Effettuazione della Valutazione di impatto sulla protezione dei dati (DPIA) per trattamenti ad alto rischio (art. 35 GDPR);
  • Adozione di misure di sicurezza adeguate: crittografia, pseudonimizzazione, controllo degli accessi e tracciabilità.

L’inadempimento a tali obblighi espone il titolare a sanzioni pecuniarie molto severe, che possono raggiungere 20 milioni di euro o il 4% del fatturato mondiale annuo, ai sensi dell’art. 83 del GDPR.

5. Sicurezza e misure tecniche


La sicurezza dei dati sanitari è un elemento centrale per prevenire accessi non autorizzati e possibili violazioni di dati (data breach). Le misure principali includono:

  • Autenticazione forte e sistemi di accesso tracciabili;
  • Crittografia dei dati;
  • Implementazione di policy aziendali per la gestione dei dati sanitari;
  • Backup regolari per garantire la disponibilità dei dati.

6. Giurisprudenza e interventi del Garante Privacy


Numerosi provvedimenti del Garante per la protezione dei dati personali hanno chiarito i confini del trattamento lecito dei dati sanitari.
Ad esempio:

  • Provvedimento n. 248/2020: violazione della privacy per accessi non autorizzati da parte del personale sanitario;
  • Cassazione Penale, Sez. III, sentenza n. 50259/2017: utilizzo illecito dei dati sanitari in contesti non sanitari, con responsabilità penale del professionista.

Questi casi sottolineano la centralità del principio di riservatezza e l’obbligo per i professionisti di adottare cautele rigorose.

7. Conclusioni


I dati sanitari, per la loro natura sensibile, godono di un regime di protezione rafforzato nel diritto europeo e nazionale. La gestione di tali dati richiede il rispetto di standard elevati in termini di consenso, sicurezza e responsabilità, al fine di tutelare la dignità della persona e prevenire usi illeciti o impropri. Le sanzioni severe previste dal GDPR e i numerosi provvedimenti giurisprudenziali dimostrano l’importanza di un approccio rigoroso e conforme alle normative vigenti.

Formazione in materia


Le nuove regole per l’uso primario e secondario dei dati sanitari: il nuovo Regolamento europeo (EHDS)
Il corso si propone di approfondire le novità introdotte dal nuovo Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS), dandone una lettura critica e pratica: nel primo modulo sono analizzati gli aspetti legati all’uso primario dei dati (inclusi i diritti di accesso e portabilità, e i requisiti stabiliti per le cartelle cliniche elettroniche); nel secondo modulo gli aspetti relativi all’uso secondario e ai fini di ricerca. Saranno approfondite le interazioni con il GDPR e con la normativa in materia di intelligenza artificiale e di dispositivi medici.
Il corso si rivolge ad avvocati e DPO che assistono enti operanti nel settore sanitario, direttori sanitari, professionisti e manager operanti nel settore della sanità pubblica e privata.
>>>Per info ed iscrizioni<<<

Ti interessano questi contenuti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Redazione

Scrivi un commento

Accedi per poter inserire un commento