Privacy e cure sanitarie, medici, farmacie e app

Il Garante per la protezione dei dati personali con il Provvedimento n. 55 del 7 marzo 2019, ha fornito alcuni chiarimenti in relazione al trattamento dei dati personali in ambito sanitario, per supportare tutti i soggetti operanti in ambito sanitario nel processo di attuazione Regolamento (UE) 2016/679, nonché di favorire un’interpretazione uniforme del nuovo assetto normativo, fornendo orientamenti utili per i cittadini e gli operatori del settore, con particolare riferimento ai responsabili della protezione dei dati.

Tra i chiarimenti di maggior interesse quello relativo ai trattamenti effettuati da un soggetto professionista sanitario soggetto al segreto professionale o da altra persona anche essa soggetta all’obbligo di segretezza per “finalità di cura”.
Per questi trattamenti, diversamente dal passato, il professionista sanitario, non dovrà più richiedere il consenso del paziente e ciò indipendentemente dal fatto che operi in qualità di libero professionista ovvero all’interno di una struttura sanitaria pubblica o privata.

APP MEDICHE

Ai trattamenti dei medici e rofessionisti sanitari sono equiparati anche i trattamenti tramite applicazioni mediche via smartphone, quando la finalità perseguita è quella di fornire al paziente un servizio di telemedicina, telesorveglianza o di monitoraggio.

CATEGORIE DI TRATTAMENTI SANITARI SOGGETTI A CONSENSO

Con riferimento ai trattamenti in ambito sanitario che richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), si individuano, a titolo esemplificativo, le seguenti categorie:

a. trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità;

b. trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN);

c. trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);

d. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

e. trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5) In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall’art. 75 del Codice. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.

REFERTAZIONI ON LINE

Per la refertazione on-line il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).

INFORMATIVE

Il Garante ha precisato che il GDPR non stravolge l’impianto delle informazioni da rendere all’interessato ma prevede solo alcuni elementi nuovi rispetto all’articolo 13 del Codice Privacy.
Pertanto, l’informativa predisposta in passato dal titolare, dovrebbe essere aggiornata e integrata solo con riferimento a questi elementi di novità previsti dagli articoli 13 e 14 del GDPR.

RESPONSABILE DELLA PROTEZIONE DEI DATI

Per quanto riguarda la designazione del Responsabile della Protezione dei Dati (RPD) o Data protection Officer (DPO) secondo la versione inglese, il Garante ha chiarito che anche i trattamenti dei dati personali svolti da un ospedale privato (non solo quindi da un’azienda sanitaria appartenente al SSN) devono, in linea di principio, essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO, in ragione della natura, in via generale, del trattamento “su larga scala” dei dati sulla salute svolto dal titolare.

Non sono obbligati, invece, pur essendo sempre una facoltà, a nominare il DPO, le farmacie, le parafarmacie, le aziende ortopediche e sanitarie se non effettuano trattamenti di dati personali su larga scala. Non sono considerati su larga scala, i trattamenti svolti dal singolo professionista sanitario.

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO

Il Garante ha, infine, ribadito l’importanza dei registri delle attività di trattamento che “rappresentano uno degli elementi per la definizione del quadro generale di accountability” previsto dal GDPR.

Tale posizione tiene conto del fatto che, essendo le fattispecie di esenzione di cui all’art. 30, par. 5 del Regolamento tra loro alternative, la deroga alla tenuta del registro non opera in presenza anche di uno solo degli elementi indicati dal predetto par. 5 (trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati).

Per dimostrare la compliance a tale disciplina, il titolare (ma anche il responsabile esterno) devono tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità. La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio.
La tenuta del registro delle attività di trattamento è obbligatoria in ambito sanitario, anche per i singoli professionisti sanitari che agiscono in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, le farmacie, le parafarmacie e le aziende ortopediche.

Fonte Garante privacy

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione.
Realizzazione, gestione, fornitura di:
siti web, servizi privacy UE e DPO, firme digitali, marche temporali, PEC, conservazione digitale a norma, archiviazione,

ACTAPRIVACY software online per l’adempimento del GDPR 2016/679

Software web based per la gestione degli adempimenti previsti dal Regolamento UE per la protezione dei dati personali.
On line Registro dei trattamenti, Registro dei Data Breach, Informative, Pseudonimizzazione.
Procedure per testare, verificare e valutare la conformità.

Online ActaFOIA, applicativo con accesso SPID e registro FOIA.

Il Dlgs. 25 maggio 2016, n. 97 prevede che ogni cittadino possa accedere senza alcuna motivazione ai dati in possesso della Pubblica Amministrazione e che non abbia la possibilità di ricevere rifiuto alla richiesta di informazioni, se non motivato. L’Articolo 5 introduce una nuova forma di accesso civico ai dati e documenti pubblici equivalente a […]

Microsoft word a Rischio Privacy per salvataggio One Drive

Da agosto 2025, Microsoft ha annunciato che Word per Windows salverà automaticamente tutti i nuovi documenti su OneDrive per impostazione predefinita. Estenderà il modello di salvataggio su cloud predefinito a tutti gli di Excel e PowerPoint nel corso dell’anno. Microsoft presenta questo cambiamento come un vantaggio per la sicurezza, la conformità, la collaborazione e le […]

Scade 31 dicembre 2025 – Dataset Open Data – Piano ICT

Come riportato tra gli adempimenti di AGID sul Piano Triennale Informatica 2024-26, scade il 31 Dicembre 2025 per – Ogni Comune con popolazione tra 10.000 e 100.000 abitanti, ogni Unione di Comuni o altri tipi di consorzi e associazioni, ogni Comunità Montana o isolana pubblica (non ancora presenti nel 2024 nel catalogo dati.gov.it) pubblicano e […]

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Servizi Web PA

PEC

Servizi Web Privati

Formazione

AI - Privacy UE - Cybersecurity

Amministrazione Digitale