Con proprio provvedimento n. 55 del 7 marzo 2019, intitolato “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, il Garante per la protezione dei dati personali ha dettato le prime linee guida per l’applicazione operativa del GDPR (Reg. UE 2016/679) in sanità.
Questo provvedimento anticipa le misure di garanzia e le regole deontologiche da emettersi ai sensi degli artt. 2-septies e 2-quater del Codice Privacy come adeguato dal d.lgs. 101/2018, entrato in vigore il 19 settembre 2018.
Il Garante ha ricordato in premessa che il trattamento dei dati sulla salute è consentito solo in presenza dei requisiti specifici individuati all’art. 9 del GDPR, il quale ultimo ha previsto peraltro la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni e limitazioni con riferimento a tale settore.
Il provvedimento in oggetto segue quello del 13 dicembre 2018 avente ad oggetto l’individuazione delle prescrizioni, già contenute nelle precedenti autorizzazioni generali, compatibili con le disposizioni del GDPR e del Codice Privacy Adeguato, nonché quello ulteriore del 19 dicembre 2018 avente ad oggetto la verifica della conformità al GDPR dei Codici di deontologia e di buona condotta dettati nella previgente normativa per i trattamenti con scopi storici, statistici e scientifici.
Il provvedimento affronta quattro macro aree di intervento: quella del consenso e delle altre basi giuridiche di trattamento, quella dell'informativa, quella della figura del RPD ed infine quella del registro dei trattamenti.
Vediamole nello specifico.
1. Le condizioni minime di lecito trattamento dei dati relativi alla salute in ambito sanitario. In particolare, l’esenzione dal consenso
Il Garante ricorda in primo luogo che, ai sensi dell’art. 9 del GDPR, le “categorie particolari di dati” (ossia gli ex dati sensibili, tra cui in primis i dati sulla salute), possono essere trattate solo in presenza di condizioni eccezionali, quali per l’ambito sanitario:
i motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri;
i motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, previo sempre il rispetto del segreto professionale (ad es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
le "finalità di cura", ossia le finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali, previste sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, effettuati da, o sotto la responsabilità di, un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
Per tale finalità di cura, il Garante conferma la grande novità dell'esenzione dal consenso (peraltro già intuibile normativamente dalla riforma introdotta dal d.lgs. 101/2018), per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dal contesto entro cui essa venga eseguita (presso uno studio medico o presso una struttura sanitaria pubblica o privata).
Dal punto di vista oggettivo, l’esenzione dal consenso riguarda dunque i soli dati necessari al perseguimento delle finalità di cura, cioè solo quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute.
Gli altri trattamenti non necessari, ma solo attinenti in senso lato alla cura, richiedono invece il consenso o altra valida base giuridica.
Rientrano in questa tipologia di trattamenti accessori e non necessari:
i trattamenti connessi all’utilizzo di App mediche, funzionali alla raccolta di dati anche sanitari, per finalità diverse dalla telemedicina oppure quelli per i quali, indipendentemente dalla finalità dell’applicazione, sia dato accesso ai dati a soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
i trattamenti preordinati alla fidelizzazione della clientela, tra cui le operazioni di “accumulo punti” svolti da farmacie ed ogni altra aggiuntiva rispetto alle mere attività di assistenza farmaceutica svolte nell’ambito del SSN;
i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali, tra cui ad esempio le promozioni su programmi di screening o su servizi di degenza privata;
i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
i trattamenti effettuati attraverso il Fascicolo sanitario elettronico, per cui la necessaria acquisizione del consenso è un obbligo di legge stabilito dall’art. 12 D.L. 179/2012, che peraltro il Garante “suggerisce” di rivedere alla luce della nuova disciplina.
Quanto invece ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmente richiesto dalle Linee guida emanate dal Garante prima del GDPR, ma alla luce della nuova disciplina il Garante stesso individuerà, con le predette misure di garanzia ai sensi dell’art. 2-septies del Codice, quali trattamenti potranno andarne esenti.
Un caso particolare ed ulteriore è infine quello della refertazione on line, per cui il consenso è invece richiesto dall’art. 5 del DPCM 8 agosto 2013.
2. Le informazioni da fornire all’interessato
Il Garante ricorda che le informazioni da fornire all’interessato ai sensi degli artt. 13 (per i dati raccolti presso di lui) e 14 (per i dati raccolti non presso di lui) del GDPR, devono essere rese, nel rispetto del principio di trasparenza, in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro, e nel rispetto del principio di accountability, secondo le modalità più appropriate al caso, alle circostanze ed al contesto.
Quanto al raccordo tra le “vecchie” informative disposte ai sensi dell’art. 13 del Codice Privacy e quelle “nuove” previste ai sensi degli artt. 13-14 del GDPR, il Garante permette che le prime possano essere aggiornate ed integrate solo con riferimento agli elementi di novità introdotti dalla normativa comunitaria.
Quanto ai contesti sanitari che effettuano una pluralità di operazioni connotate da particolare complessità (come ad esempio avviene per le aziende sanitarie), il Garante suggerisce una resa delle informazioni secondo una modalità progressiva, che preveda cioè una prima informativa generale sulle ordinarie attività di erogazione delle prestazioni sanitarie e, solo successivamente, un’informativa specifica per le singole particolari attività di trattamento (ad es. per le finalità di ricerca) da rendersi agli specifici pazienti interessati, nell’ottica di una maggiore attenzione alle informazioni rilevanti e quindi di una maggiore consapevolezza nel trattamento.
In merito al nuovo aspetto informativo circa il periodo di conservazione dei dati (data retention), che si ricorda poter essere reso anche con indicazione dei criteri di determinazione, il Garante evidenzia che la disciplina di settore dettata in proposito per la documentazione sanitaria permane in vigore e non viene toccata né dal GDPR, né dal Codice Privacy Adeguato. Trattasi in particolare:
della documentazione inerente le visite medico sportive agonistiche, per cui il periodo minimo di data retention è di almeno cinque anni (art. 5, D.M. 18/02/1982);
delle cartelle cliniche e dei relativi referti, per cui la conservazione è illimitata (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260);
della documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni (art. 4, D.M. 14 febbraio 1997).
In tutti gli altri casi, la data retention dovrà prevedere un termine non superiore al conseguimento delle finalità per cui i dati sono trattati, nel rispetto del principio di accountability e di limitazione della conservazione.
3. Il Responsabile della Protezione dei Dati (RPD/DPO)
La designazione del RPD è obbligatoria nei soli casi dettati dall’art. 37 del GDPR, ossia:
quando il titolare sia un organismo pubblico
quando l’attività principale del titolare consista nel monitoraggio regolare e sistematico di dati su larga scala
quando tale attività principale riguardi il trattamento di dati particolari e penali, sempre su larga scala.
A tale proposito, il Garante chiarisce che il trattamento dei dati eseguito dalle aziende sanitarie appartenenti al SSN configura sia il primo che il terzo caso, per cui per tali soggetti il RPD è sempre e comunque obbligatorio.
Con riferimento invece agli ospedali privati, alle case di cura o alle residenze sanitarie assistenziali (RSA), l’obbligatorietà della designazione discende dal requisito della larga scala nel trattamento dei dati particolari.
In merito a tale casistica, il Garante ha inoltre ammesso chiaramente la possibilità e fattibilità del RPD unico, la cui opportunità viene rimessa alla responsabilità del titolare del trattamento.
Quanto infine al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, alle farmacie e parafarmacie, nonché alle aziende ortopediche e sanitarie, la nomina del RPD non è obbligatoria in assoluto, ma dipende dalla sussistenza o meno del requisito della larga scala nel trattamento dei dati particolari.
4. Il Registro delle attività di trattamento
Il Garante ricorda infine le proprie raccomandazioni sulla tenuta del registro delle attività di trattamento (art. 30 GDPR), inteso quale elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio, non operando per l’ambito sanitario le deroghe previste dal par. 5 dell’art. 30 del GDPR (trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati).
Il Garante ritiene dunque che non ricadano nelle ipotesi di esenzione i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.
Tutti tali soggetti dovranno quindi tenere e mantenere aggiornato il registro dei trattamenti, sia lato titolare, sia lato responsabile ossia nei casi in cui essi agiscano per conto del titolare.
Per la lettura integrale del provvedimento del Garante Privacy, clicca qui.