Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

gli adempimenti

GDPR e professionisti della Sanità: ruolo nel trattamento dati, misure di garanzia, informazioni agli interessati

Tutti gli adempimenti che i professionisti della Sanità devono osservare per essere in regola con il Gdpr e il Codice in materia di protezione dei dati personali così come novellato dal d.lgs. 101/2018

20 Feb 2019

Stefano Gazzella

Consulente Privacy


Tutti i professionisti della Sanità – sia che abbiano uno Studio in proprio sia che prestino servizio all’interno di una struttura sanitaria mantenendo la propria autonomia per la gestione dei pazienti – devono adeguarsi alla normativa in vigore relativa alla protezione dei dati personali (GDPR e Codice in materia di protezione dei dati personali così come novellato dal d.lgs. 101/2018). Una panoramica sui principali adempimenti cui prestare attenzione, magari adottando un approccio sistematico e adeguato alla realtà in cui si opera, ma soprattutto, user friendly per il paziente, oltre che per il professionista.

Ruolo nelle attività di trattamento

Il professionista della sanità è titolare del trattamento dei dati dei propri pazienti, in ragione della propria autonomia decisionale sulla determinazione di finalità e mezzi del trattamento. È bene ricordare che il ruolo di titolare del trattamento è un fatto, valutabile mediante un approccio sostanziale e funzionale secondo il contesto[1].

Questa posizione cambia parzialmente qualora egli si trovi inserito all’interno di una struttura polifunzionale: in questi contesti il professionista rimane titolare dei trattamenti svolti presso il proprio ambulatorio, mentre nella parte dei trattamenti concernenti l’attività di segreteria, la gestione degli appuntamenti e quella amministrativo-contabile, diviene contitolare con chi amministra la struttura che lo ospita. In tale ipotesi, ai sensi dell’art. 26 GDPR, dovrà verificare se vi è un’idonea base contrattuale che consideri il riparto di compiti e responsabilità e definire, eventualmente, un punto di contatto per gli interessati (ad esempio: affidando alla segreteria della struttura il compito di rendere le informazioni agli interessati).

È opportuno ricordare che eventuali clausole di manleva inserite nei contratti di contitolarità, ove confliggenti con l’assegnazione di responsabilità ex art. 82 GDPR, non producono efficacia nell’esonerare dalla responsabilità solidale ex art. 26 GDPR ma, al più, possono consentire un diritto di regresso. Il diritto dell’interessato ad esercitare la propria azione risarcitoria nei confronti di ciascuno dei contitolari non può trovare limitazioni di tipo pattizio, soprattutto se tali limitazioni sono determinate all’interno di un contratto (i.e. la contitolarità) di cui l’interessato non è parte stipulante.

Informazioni agli interessati

Ciascun medico è tenuto a fornire ai propri pazienti le informazioni riguardanti le attività di trattamento dei dati personali che svolge ai sensi degli artt. 13 e 14 GDPR. Tali informazioni non sono necessarie soltanto nella misura in cui il paziente già ne disponga.

Con particolare riguardo ai tempi di conservazione documentale, è consigliabile distinguere ed evidenziare le diverse categorie di documentazione, indicando anche la base giuridica in ragione della quale il tipo di documento viene conservato per quel periodo.

Nel caso del singolo medico, è consigliabile comunque esibire tali informazioni presso il proprio studio, mentre nel caso di una struttura polifunzionale, tali informazioni devono essere rese presso l’accettazione. Le modalità con cui tali informazioni vanno rese possono essere diverse e ridondanti: due buoni esempi sono la somministrazione a ciascun paziente con contestuale affissione in luogo idoneo per favorirne la consultazione (ad es. presso il desk informativo). L’uso di un linguaggio “chiaro e trasparente”, imposto dall’art. 12 GDPR dovrebbe indirizzare il professionista all’adozione di informative cc.dd. “stratificate”, soprattutto nelle ipotesi in cui è presente un pubblico eterogeneo di interessati, appartenente peraltro alla categoria dei “soggetti vulnerabili” (quali sono i pazienti).

Base giuridica

La base giuridica dei trattamenti svolti da un professionista della sanità è, nella maggior parte dei casi, individuabile nell’art. 9.2 lett. h) GDPR:

«il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;».

La base giuridica così individuata, per essere valida, deve essere letta avendo cura di riscontrare le condizioni e garanzie prescritte dall’art. 9.3 GDPR:

«I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.»

Ai sensi dell’art. 9.4 GDPR poi, bisogna tenere conto anche delle ulteriori condizioni definite dagli Stati membri: tale disposizione, infatti, autorizza il legislatore nazionale ad introdurre condizioni e limitazioni per i dati genetici, biometrici o relativi alla salute.

È bene inoltre ricordare che anche l’attività di conservazione dei dati, in quanto trattamento, necessita che s’individui una base giuridica che la legittima.

Misure di garanzia

L’art. 75 del Codice in materia di protezione dei dati personali ha recepito il binomio garanzia-deroga del GDPR nel modo che segue:

«Il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell’articolo 2 septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore.»

Così facendo il Legislatore nazionale ha ribadito (repetita iuvant) le condizioni già definite dal GDPR, nonché indicato le disposizioni specifiche di settore e le misure di garanzia che il Garante andrà a definire con provvedimento adottato secondo lo schema dell’art. 2-septies del citato Codice.

Le misure di garanzia dettate dall’Autorità di controllo italiana riguarderanno:

  • i presidi di conformità ai principi del GDPR (sono citate a titolo di esempio le misure di minimizzazione);
  • la sicurezza dei trattamenti e dunque, la conformità all’art. 32 GDPR (il catalogo esemplificativo richiama cifratura e pseudonimizzazione);
  • la tutela dei diritti degli interessati (ad esempio, il diritto a ricevere informazioni sui trattamenti).

Pur in attesa del provvedimento del Garante, è bene già utilizzare lo schema esemplificativo sopra richiamato per individuare e valutare le misure in essere ed eventualmente programmarne di ulteriori, alla luce del principio di responsabilizzazione del titolare (artt. 5 e 24 GDPR).

Consenso

Il consenso/autorizzazione al trattamento dei dati diagnostico-sanitari come fondamento di liceità appare non solo non necessario, in ragione della diversa base giuridica su cui poggia, ma potenziale elemento di confusione per l’interessato[2], in quanto inutilmente prestato. Sul punto è interessante, inoltre, l’art. 2-septies del Codice dove contempla il consenso per i soli dati genetici e come «ulteriore misura di protezione dei diritti dell’interessato», nell’ipotesi in cui ricorra un «particolare ed elevato livello di rischio».

In via generale è bene evidenziare che, qualora un trattamento sia basato sul consenso, il titolare deve onerarsi della gestione di tale consenso dovendone riscontrare e garantire la validità[3]: l’errore, dunque, dal piano logico-giuridico transita direttamente su quello operativo.

Taluni trattamenti, però, potrebbero comunque richiedere il consenso del paziente. A titolo esemplificativo si può pensare ad un’autorizzazione a comunicare i dati ad un’altra struttura o all’invio di un promemoria degli appuntamenti via SMS.

Con riguardo al promemoria degli appuntamenti, è bene anche osservare che il contenuto della comunicazione dovrebbe rispettare il principio di minimizzazione e dunque indicare i dati strettamente necessari all’appuntamento, limitando così il trattamento ai soli dati di contatto (escludendo, dunque, il contenuto della prestazione sanitaria). Per tale ragione, una base giuridica alternativa e idonea potrebbe ben riscontrarsi nel legittimo interesse ad una efficiente organizzazione degli appuntamenti del titolare del trattamento; nella maggior parte dei casi, infatti, non appare una prevalenza di interessi e diritti fondamentali dell’interessato.

Consenso e consenso informato

Il consenso informato in ambito medico è una diversa specie di consenso rispetto al consenso al trattamento dei dati personali regolato dall’art. 7 GDPR. Dal momento che riguarda l’adesione al trattamento sanitario proposto dal medico, esso copre un ambito differente di espressione della volontà del paziente che, a stretto rigore di logica, non può che essere successiva all’attività di trattamento dei dati personali dello stesso da parte del professionista (ad es. registrazione anagrafica, raccolta dei dati anamnestici).

In più, accorpare nel consenso informato il consenso al trattamento dei dati personali è foriero di confusione per il paziente/interessato, il quale sarebbe quanto meno destinatario di informazioni poco chiare (anche per ragioni semantiche: trattamento sanitario/trattamento di dati personali), potendo persino essere indotto nell’erronea convinzione di poter controllare mediante il proprio consenso anche le attività di trattamento dei propri dati personali. Esse però, come già considerato in precedenza, trovano un diverso fondamento di liceità e sono sottratte alla sua libera disponibilità.

Sicuramente la protezione dei dati personali in ambito medico è una delle più incise dalle innovazioni del GDPR, tanto che molti si possono trovare disorientati rispetto all’ampiezza e all’incertezza degli adempimenti che hanno di fronte. L’unico modo per districarsi tra questi obblighi in modo efficace è adottare un approccio sistematico, che abbia riguardo delle molteplici intersezioni normative e che sappia essere contestualizzato e adeguato alla realtà in cui si opera, ma soprattutto, user friendly (o ancora meglio: data subject-oriented) per il paziente, oltre che per il professionista.

______________________________________________

  1. https://www.garanteprivacy.it/documents/10160/10704/wp169+-+Parere+1+2010+sui+concetti+di+responsabile+del+trattamento+e+incari.
  2. Sull’incertezza del “consenso inutile”, F. Pizzetti: https://www.agendadigitale.eu/sicurezza/gdpr-tutti-gli-equivoci-del-consenso-nei-contratti-ecco-una-guida/
  3. Per approfondimenti a riguardo, si indicano le linee guida dell’Art.29WP in materia di consenso (WP259) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4