Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Gdpr

DPO e trattamento dati sulla salute, gli effetti del provvedimento del Garante

Tutto quello che c’è da sapere sul recente provvedimento con cui il Garante ha fornito i necessari chiarimenti post Gdpr ai Responsabili della protezione dei dati: le indicazioni sul consenso, progressività delle informazioni in caso di pluralità di prestazioni, registro delle attività, obbligo di designazione del DPO

02 Apr 2019

Fabio Di Resta

Avvocato – DPO in ambito ospedaliero e settore pubblico, presidente EPCE, titolare dello studio legale Di Resta Lawyers


Il provvedimento con cui il 7 marzo scorso l’Autorità Garante ha fornito chiarimenti sulla disciplina sul trattamento dei dati relativi alla salute in ambito sanitario ha come scopo generale di favorire nello specifico un’interpretazione uniforme per i cittadini e gli operatori del settore sanitario, ma è rivolto in particolare ai responsabili della protezione dei dati personali (RPD – Data Protection Officer, DPO).

I DPO devono infatti fornire consulenza e informare i titolari del trattamento sulle modalità per garantire la piena conformità al quadro normativo esistente, ma non solo devono anche “sorvegliare” il titolare del trattamento.

Come è noto, le problematiche in ambito sanitario sono numerose e spinose, le criticità sono svariate: dai profili organizzativi e gestionali, alla titolarità e alla contitolarità, nonché al corretto inquadramento del rapporto titolare-responsabile del trattamento, al parere sulla valutazione di impatto, all’informativa privacy e alla gestione delle violazioni di impatto e certamente non ultima per importanza l’adozione delle misure per consentire il corretto esercizio dei diritti degli interessati.

E’ bene sottolineare che tale provvedimento dovrà essere integrato con altri provvedimenti relativi al settore sanitario ove si specificheranno le misure di garanzia applicabili al trattamento dei dati biometrici, genetici e relativi alla salute che includono sia i profili organizzativi e gestionali, sia le modalità di comunicazione dei dati personali ai pazienti che le prescrizioni di medicinali (art. 2 septies del Codice della Privacy) e le regole deontologiche (art. 2 quater del Codice della Privacy).

Approfondiamo quindi i chiarimenti forniti dal Garante in un quadro non di facile interpretazione, ricordando che tra l’altro che il 19 maggio prossimo scadrà il periodo transitorio previsto dall’art. 22 comma 13 del d.lgs. 101/2018, tale giorno termineranno infatti gli otto mesi relativi alla fase di “prima applicazione delle disposizioni sanzionatorie”. Tale scadenza piuttosto imminente non è né un inizio né un arrivo, ma un’altra tappa per la quale le aziende e i soggetti pubblici dovrebbero essere ben preparati.

La portata del provvedimento del Garante

Con il provvedimento del 7 marzo scorso l’Autorità Garante ha fornito chiarimenti sulla disciplina sul trattamento dei dati relativi alla salute in ambito sanitario. Tale provvedimento rappresenta un tassello volto a promuovere la consapevolezza del pubblico, dei titolari e responsabili del trattamento nel quadro normativo generale del Regolamento UE 2016/679 (Gdpr) e del Codice della Privacy novellato (d.lgs. 196/2003 modificato con il d.lgs. 101/2018 dare attuazione al Regolamento), che andrà ad affiancarsi ad altri provvedimenti già in corso di adozione. In particolare, il provvedimento del 13 dicembre 2018 con il quale sono state individuate le prescrizioni presenti nelle autorizzazioni generali compatibili con il Regolamento europeo, le autorizzazioni generali dopo la consultazione pubblica dovrebbero essere presto approvate con eventuali integrazioni e pubblicate in Gazzetta Ufficiale.

Questo quadro normativo generale è rilevante per comprendere la portata del provvedimento in oggetto.

Il consenso e le altre basi giuridiche per le finalità di cura

Il legislatore europeo con il regolamento entrato in vigore lo scorso 25 maggio aveva chiaramente effettuato la scelta di prevedere oltre ai presupposti di liceità anche le basi giuridiche per il trattamento di categorie particolari di dati personali come i dati inerenti allo stato di salute. In tale impianto normativo il consenso al trattamento è da considerarsi solo una delle diverse basi giuridiche previste.

D’altro canto, appare opportuno ricordare che il quadro normativo previgente prevedeva il consenso preventivo al trattamento dei dati personali inerenti allo stato di salute (si ricorda tra gli articoli abrogati, l’art. 81 quale disposizione specifica sulla prestazione del consenso in ambito sanitario) come base giuridica indispensabile, salvi i casi di urgenza per i quali erano previste ipotesi di consenso differito in una fase successiva alla prestazione sanitaria urgente (l’art. 82 del Codice, attualmente vigente).

Con il provvedimento del 7 marzo il Garante privacy ha fornito l’indirizzo interpretativo secondo il quale il consenso al trattamento non è richiesto per i trattamenti relativi alle finalità di cura effettuati da un professionista soggetto ad un segreto professionale o altra persona anch’essa soggetta all’obbligo di segretezza. Le finalità di cura sono da interpretarsi alla luce della lettera h dell’art. 9 comma 2 del regolamento europeo, pertanto, il consenso non sarà richiesto solo per i trattamenti strettamente necessari al perseguimento delle finalità di medicina preventiva e medicina del lavoro, valutazione di capacità del dipendente, diagnosi, assistenza e terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali. Nel quadro attuale si tratta del chiarimento più rilevante nel settore, stante il quadro normativo non di facile interpretazione.

Il consenso in ambito sanitario sarà comunque necessario quando le finalità non saranno strettamente indispensabili alla prestazione sanitaria ed in particolare nei seguenti casi:

  1. consultazione del Fascicolo Sanitario Elettronico (FSE);
  2. consegna del referto online;
  3. utilizzo di app mediche;
  4. fidelizzazione della clientela;
  5. finalità promozionali o commerciali;
  6. finalità elettorali;
  7. consultazione del Dossier Sanitario Elettronico (DSE);
  8. trattamento di dati genetici per finalità di tutela di un soggetto terzo;
  9. lo svolgimento dei test genetici nell’ambito delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziari;
  10. il trattamento effettuato mediante test genetici, compreso lo screening, a fini di ricerca o di ricongiungimento familiare;
  11. il trattamento effettuato per finalità di ricerca scientifica e statistica non previste dalla legge.

In riferimento ai punti indicati sopra da 1 a 7, gli stessi sono specificati nel provvedimento del 7 marzo, mentre i punti da 8 ad 11 sono indicati nell’autorizzazione generale n.6/2018 del Garante privacy soggetta alla consultazione pubblica conclusasi lo scorso febbraio (rif. Provvedimento del 13 dicembre 2018) e per la quale si attende la pubblicazione del testo definitivo nei prossimi mesi. Con riguardo al Dossier Sanitario nel provvedimento in oggetto è indicata una specifica riserva per la quale Garante privacy potrà valutare l’applicabilità del consenso in tale ambito oppure far rientrare tali trattamenti all’interno delle finalità di cura, ricordando che attualmente il consenso è previsto come base giuridica obbligatoria.

Alla luce di quanto sopra illustrato, occorrerà che i titolari del trattamento supportati dai RPD e dai consulenti in materia di protezione dati personali valutino attentamente se la prestazione sia strettamente necessaria per le finalità di cura corrispondente alla base giuridica prevista dalla lettera h dell’art. 9 comma 2 del Regolamento, tenendo in conto anche dei presupposti di liceità. Tuttavia, a seconda della complessità delle attività svolte dal titolare del trattamento e dei servizi sanitari erogati è bene sottolineare che potrebbero ricorrere altre basi giuridiche incluso il consenso al trattamento da considerarsi obbligatorio quantomeno qualora ricorrano situazioni assimilabili ai punti sopra richiamati.

Progressività delle informazioni in caso di pluralità di prestazioni 

Non si ravvisano rilevanti novità ma si conferma l’esigenza che l’informativa, quella predisposta in passato dai titolari dovrebbe essere aggiornata e integrata solo con riferimento agli elementi di novità previsti dagli artt. 13 e 14 del Regolamento, evitando pertanto di inserire nella stessa informazioni superflue e già conosciute dagli interessati. Per i titolari che erogano una pluralità di prestazioni e connotati di una particolare complessità come per esempio le ASL, le informazioni dovrebbero essere fornite in modo progressivo, distinguendo tra attività sanitarie ordinarie e particolari.

Obbligatorietà del Registro delle Attività di trattamento

In riferimento all’art. 30 comma 5 del Regolamento viene confermata un’interpretazione estensiva già nota da tempo a livello europeo e in primo luogo dal Comitato europeo della protezione dei dati personali, nell’osservanza del principio di responsabilizzazione saranno tenuti all’adozione del Registro tutti “i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche”.

Obbligatorietà della designazione DPO

In riferimento all’art. 37 i criteri del “larga scala” e le “attività principali” si confermano come i criteri fondamentali per definire l’ambito di obbligatorietà riferiti alla designazione del DPO. Il criterio del “larga scala” in particolare necessiterà in futuro di linee guida più precise, come già indicato dal Comitato europeo, basate sull’applicazione del Regolamento nei prossimi anni.

Appare interessante infine richiamare una specificazione presente nel provvedimento nella quale le farmacie, le parafarmacie, le aziende ortopediche e sanitarie, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4