Un provvedimento del Garante precisa le modalità di applicazione del Gdpr nella sanità
Meno vincoli su richiesta dei consensi e nomina del Dpo
di Antonio Ciccia Messina
Il singolo medico non deve nominare il Dpo (responsabile della protezione dei dati); per le finalità di cura non si deve chiedere il consenso, mentre ci vuole per refertazione online, fascicolo e dossier sanitario elettronico; medici, farmacie e aziende sanitarie devono compilare il registro dei trattamenti. Sono alcune delle precisazioni fornite dal Garante della privacy (provvedimento n. 55 del 7 marzo 2019) a proposito dell’applicazione in ambito sanitario del regolamento Ue sulla protezione dei dati n. 2016/679. Il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato: ciò indipendentemente dal fatto che operi presso uno studio medico oppure all’interno di una struttura sanitaria pubblica o privata (si veda ItaliaOggi del 14/5/2018).
Quanto sopra riguarda solo i trattamenti necessari per le finalità di cura. Altri trattamenti attinenti solo in senso lato, ma non strettamente necessari alla cura, richiedono il consenso o altra base giuridica. Tra questi trattamenti rientrano le app mediche; i trattamenti di dati delle farmacie per fidelizzare la clientela (accumulo punti per fruire di servizi e prestazioni accessorie); campagne promozionali e commerciali (programmi di screening, fornitura di servizi amministrativi, alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. Per questo trattamento ci vuole il consenso dell’interessato. Il Garante ricorda che il consenso è richiesto da norme speciali anteriori al regolamento Ue, fatte salve dall’articolo 75 del codice della privacy. Al parlamento spetta la scelta di eliminare eventualmente il consenso. Il consenso è richiesto da Linee guida del 4 giugno 2015: sarà il Garante a individuare nell’ambito delle misure di garanzia (articolo 2-septies) i trattamenti che non necessitano il consenso. L’informativa dovrebbe essere aggiornata e integrata solo con riferimento alle novità degli articoli 13 e 14 del Regolamento Ue.
Per le aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento (fornitura di presidi sanitari, consegna di referti on line, finalità di ricerca) potrebbero essere rese in un secondo momento ai soli pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, può essere fissato da regole specifiche. Ad esempio le cartelle cliniche vanno tenute non meno di dieci anni. Si noti che l’indicazione di un termine minimo lascia, però, aperto il problema del termine massimo. Quando non c’è o non è chiaro il periodo di conservazione, è il titolare del trattamento che deve motivatamente stabilirlo e indicarlo nelle informative: se non come periodo fisso, per lo meno precisando i criteri per individuarlo. Le aziende sanitarie devono nominare il Dpo o responsabile della protezione dei dati (siglato anche Rpd). Lo stesso vale per un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non è tenuto a nominare un Dpo. Non sono tenute alla nomina del Dpo le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l’obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala). Il Garante non specifica il caso dello studio associato, per il quale si ritiene che il discrimine sia la larga scala del trattamento. Devono compilare il registro i singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al garante, ma conservato per eventuali controlli.
© Riproduzione riservata
Fonte: