PRIVACY E TRATTAMENTI IN AMBITO SANITARIO: i chiarimenti del Garante

Con il provvedimento del 7 marzo 2019 l’autorità garante italiana dà indicazioni per l’applicazione delle nuove regole per il trattamento di dati in ambito sanitario, pubblico e privato.

QUALI TRATTAMENTI NON HANNO BISOGNO DEL CONSENSO

Premesso che il trattamento di dati inerenti la salute, così come di altri dati particolari previsto dall’art 9 del Regolamento europeo (UE)2016/679,  va inteso sempre come un’eccezione alla regola generale che lo vieta, il Garante  riassume i  trattamenti che in ambito sanitario non necessitano  del consenso dell’interessato.

In primo luogo, sono quelli NECESSARI PER  MOTIVI DI INTERESSE PUBBLICO RILEVANTE, come specificati dall’art 2-sexies del Codice(D.lgs. 196/2003), fra cui ci sono:

  • attività socioassistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
  • attivita’ amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonchè alle trasfusioni di sangue umano;
  • compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonche’ compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumita’ fisica;
  • programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
  • vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria;
  • tutela sociale della maternita’ ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili;
  • istruzione e formazione in ambito scolastico, professionale, suoperiore o universitario;
  • trattamenti effettuati  ai fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica nonchè per fini statistici da parte di soggetti che fanno parte del sistema statistico (Sistan).

Non occorre acquisire il consenso, inoltre,  quando vi sono MOTIVI  DI INTERESSE PUBBICO NEL SETTORE SELLA SANITÀ PUBBLICA, in particolare riferibili alla protezione da gravi minacce per la salute a carattere transfrontalieroo la vgaranzia di parametri elevati di qualità e sicurezza dell’assistenza sanitari, dei medicinali e dispositivi medici e in fine quando  vi siano  FINALITA’ DI MEDICINA PREVENTIVA, DIAgnosi, assistenza e te4raqpia sanitaria o sociale  o gestione dei sistemi e servizi sanitari o sociali, ovvero   si sia nell’ambito delle finalità di cura.

In questi casi  occorre che vi sia un vincolo di segretezza, in quanto  chi tratta i dati è un professionista sanitario o altra persona tenuta al segreto.

In altre parole, il consenso al trattamento dati del paziente per finalità di cura non è più da richiedere. (e come è noto,  è cosa diversa dal “consenso informato” per gli atti medici, che ha il suo fondamento nella libertà prersonale di sottoporsi a trattamenti sanitari).

Il Garante  specifica inoltre che  se i dati non sono “necessari”, ma solo “attinenti” alle finalità di cura, occorre altra base giuridica prevista dall’art 6 del Regolamento europeo.

IN QUALI CASI CI VUOLE IL CONSENSO

Va ricordato, in primoi luogo, che il consenso, quando è richiesto, è  sempre  revocabile a semplice richiesta dell’interessato.

I casi un cui il consenso è la base giuridica necessaria per trattare i dati in sanità sono  tutti quelli riconducibili a finalità di fidelizzazione, commerciali  o promozionali o eletttorali di professionisti, esercenti la professione  nell’ambito del SSN,  farmacie, laboratori, ambulatori o centri sanitari, priovati o convenzionati.

Un caso particolare – e recente – è quello delle APP SANITARIE in cui il consenso, sia  ai privati che in ambito puybblkico, è SEMPRE NECESSARIO.  Se un programma di  promozione della salute promosso, ad esempio,  da un’ASL dovesse avvalersi di una APP, occorre senz’altro ricordarsi di quest’obbligo.

In ambito sanitario pubblico IL CONSENSO per trattare i dati personali è tuttora richiesto (dalla legge) in due casi: il FASCICOLO SANITARIO ELETTRONICO (art. m12 comma 5 del d.l. 18.10.2012, n 179) e la REFERTAZIONE ON LINE (art.5 DPCM 8.8.2013).

Com è ovvio, Il diniego del consenso o la revoca dello stesso  non dovranno in nessun caso incidere sulle possibilità di cura.

LE INFORMAZIONI DA DARE AGLI INTERESSATI

Le informazioni sul trattamento dei dati  VANNO SEMPRE DATE, anche quando non si deve chiedere il consenso e devono essere di facile comprensione in modo da rendere le persone consapevoli di questi trattameanti di dati e dei loro diritti al riguardo.

Nella gran parte dei casi le Aziende sanitarie e  gli altri enti  hano aggiornato i  cartelli, la modulistica, i siti  secondo le nuove  indicazioni  normative.  La raccomandazione del Garante è di rendere queste informazioni  più comprensibili, fornendle agli interessati in modo progeressivo, in relazione all’accesso effettivo alle diverse prestazioni / alle effettive necessità di trattamenti  dati.

CONSERVAZIONE DEI DATI – DOCUMENTAZIONE DEI TRATTAMENTI- RESPONSABILE DEI DATI PERSONALI

Nell’ultima parte del provvedimento  si richiamano gli obblighi riguardo alla conservazione dei dati; in  ambito publbico la conservazione di documenti sanitari è definita da norme di legge che tengono conto di varie finalità.  Ad es. le cartelle cliniche debbono essere conservate illimitatamente.

Dove l’indicazione di legge non c’è il Regolamento europeo prescrive di conservare i dati personali solamente per  il tempo  necessario a raggiungere le finalità per le quali i dati sono stati raccolti, dopo di che i dati vanno anonimizzati. E’opportuno che questo tempo di scadenza sia indicato, in modo esplicito, nei documenti  del titolare del trattamento.

Il registro dei trattamenti è lo strumento di cui ogni titolare deve dotarsi per poter dimostrare all’autorità di controllo, in caso di ispezione,  che i trattamenti sono coindotti in modo lecito e corretto e sono “sotto controllo” per il profilo della sicurezza dei dati.

E’ un obbligo che riguarda tutti i titolari, sia i professionisti privati, sia le strutture sanitarie private,  le farmacie,  le aziende ortopediche, sia  tutto l’ambito sanitario pubblico.

A differenza delle aziende sanitarie pubbliche e cliniche private, non sono invece tenuti a individuare un DPO (responsabile dei dati personali) tutti I PROFESSIONISTI SINGOLI,  LE AZIENDE ORTOPEDICHE, LE FARMACIE E PARAFARMACIE, in quanto si ritiene che questi esercenti non svolgano trattamenti su larga scala.

 


DOWNLOAD & LINK

FONTE: DORS

Print Friendly, PDF & Email