Il Garante per la protezione dei dati personali con il Provvedimento n. 55 del 7 marzo 2019, ha fornito alcuni chiarimenti in relazione al trattamento dei dati personali in ambito sanitario, per supportare tutti i soggetti operanti in ambito sanitario nel processo di attuazione Regolamento (UE) 2016/679, nonché di favorire un’interpretazione uniforme del nuovo assetto normativo, fornendo orientamenti utili per i cittadini e gli operatori del settore, con particolare riferimento ai responsabili della protezione dei dati.

Tra i chiarimenti di maggior interesse quello relativo ai trattamenti effettuati da un soggetto professionista sanitario soggetto al segreto professionale o da altra persona anche essa soggetta all’obbligo di segretezza per “finalità di cura”.
Per questi trattamenti, diversamente dal passato, il professionista sanitario, non dovrà più richiedere il consenso del paziente e ciò indipendentemente dal fatto che operi in qualità di libero professionista ovvero all’interno di una struttura sanitaria pubblica o privata.

 

APP MEDICHE

Ai trattamenti dei medici e rofessionisti sanitari sono equiparati anche i trattamenti tramite applicazioni mediche via smartphone, quando la finalità perseguita è quella di fornire al paziente un servizio di telemedicina, telesorveglianza o di monitoraggio.

 

CATEGORIE DI TRATTAMENTI SANITARI SOGGETTI A CONSENSO

Con riferimento ai trattamenti in ambito sanitario che richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), si individuano, a titolo esemplificativo, le seguenti categorie:

a. trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità;

b. trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN);

c. trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);

d. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

e. trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5) In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall’art. 75 del Codice. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.

 

REFERTAZIONI ON LINE

Per la refertazione on-line il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).

 

INFORMATIVE 

Il Garante ha precisato che il GDPR non stravolge l’impianto delle informazioni da rendere all’interessato ma prevede solo alcuni elementi nuovi rispetto all’articolo 13 del Codice Privacy.
Pertanto, l’informativa predisposta in passato dal titolare, dovrebbe essere aggiornata e integrata solo con riferimento a questi elementi di novità previsti dagli articoli 13 e 14 del GDPR.

 

RESPONSABILE DELLA PROTEZIONE DEI DATI 

Per quanto riguarda la designazione del Responsabile della Protezione dei Dati (RPD) o Data protection Officer (DPO) secondo la versione inglese, il Garante ha chiarito che anche i trattamenti dei dati personali svolti da un ospedale privato (non solo quindi da un’azienda sanitaria appartenente al SSN) devono, in linea di principio, essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO, in ragione della natura, in via generale, del trattamento “su larga scala” dei dati sulla salute svolto dal titolare.

Non sono obbligati, invece, pur essendo sempre una facoltà, a nominare il DPO, le farmacie, le parafarmacie, le aziende ortopediche e sanitarie se non effettuano trattamenti di dati personali su larga scala. Non sono considerati su larga scala, i trattamenti svolti dal singolo professionista sanitario.

 

REGISTRO DELLE ATTIVITA' DI TRATTAMENTO

Il Garante ha, infine, ribadito l’importanza dei registri delle attività di trattamento che “rappresentano uno degli elementi per la definizione del quadro generale di accountability” previsto dal GDPR.

Tale posizione tiene conto del fatto che, essendo le fattispecie di esenzione di cui all’art. 30, par. 5 del Regolamento tra loro alternative, la deroga alla tenuta del registro non opera in presenza anche di uno solo degli elementi indicati dal predetto par. 5 (trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati).

Per dimostrare la compliance a tale disciplina, il titolare (ma anche il responsabile esterno) devono tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità. La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio.
La tenuta del registro delle attività di trattamento è obbligatoria in ambito sanitario, anche per i singoli professionisti sanitari che agiscono in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, le farmacie, le parafarmacie e le aziende ortopediche.

 

Fonte Garante privacy