Sanità e minori, i rischi nascosti dietro le semplificazioni normative | Agenda Digitale

PRIVACY

Sanità e minori, i rischi nascosti dietro le semplificazioni normative

Il Garante Privacy ha stabilito che i medici possono trattare senza consenso i dati dei pazienti. Ma se ad aver bisogno di cure è un under18 possono comunque emergere problematiche. Ecco le strategie migliori adottabili dalle strutture sanitarie

12 Nov 2019
Salvatore Bella

Privacy Consultant Data Protection Officer


La tutela dei minori richiama la massima attenzione in materia di trattamento dati personali. Ancor di più se il trattamento riguarda una struttura sanitaria. Analizziamo lo scenario aperto dal GDPR nella Sanità digitale e l’impatto del recente provvedimento del Garante sull’obbligo di richiesta di consenso.

Il GDPR è entrato nel merito della tematica relativa alla tutela dei minori, prevedendo, al considerando 38, che sia loro assicurata una specifica protezione e chiarendo che gli stessi “possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.

Sanità e minori, la misura del Garante

In questo quadro normativo si inserisce il provvedimento del Garante numero 55 del 7 Marzo del 2019, le cui ripercussioni in ambito privacy finiscono per interessare anche la tutela dei minori. Il provvedimento (Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario) ha chiarito che “il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata”.

Ciò sta a significare che uno dei capisaldi della disciplina privacy, il consenso al trattamento dati personali, non rappresenta più un adempimento imprescindibile per tutti gli operatori sanitari; prima dell’intervento del Garante infatti, di fronte ad un eventuale rifiuto dell’interessato di prestare il proprio consenso al trattamento dati, la prestazione sanitaria non avrebbe potuto avere luogo, dal momento che la struttura non sarebbe stata formalmente autorizzata a trattare i dati personali dell’interessato.

È possibile che il provvedimento del Garante venga valutato unicamente nell’ottica di semplificazione degli adempimenti previsti in ambito privacy, ma sarebbe opportuno considerare la possibilità che il venir meno del consenso comporti maggiori rischi per una struttura sanitaria se l’interessato è un minore.

Via il consenso: semplificazione o rischio?

Cosa succederebbe ad esempio se l’interessato fosse un minore d’età in una situazione familiare controversa, ad esempio i cui genitori siano separati o divorziati? In situazioni di questo tipo spesso gli operatori sanitari si trovano in grande difficoltà, non potendo, per ovvi motivi legati alla privacy, chiedere informazioni riguardanti lo stato dei rapporti tra i genitori del minore.

Si rischia in tal modo di essere coinvolti in conflitti familiari che possono portare la struttura sanitaria ad essere soggetta a reclami da parte dell’uno o dell’altro genitore per avere o non aver dato seguito ad una determinata richiesta relativa al trattamento dati del minore.

Specifichiamo al riguardo che, prima del Provvedimento del Garante, il consenso al trattamento dati sanitari per il minore doveva essere prestato da entrambi i genitori se la prestazione sanitaria fosse rientrata tra gli atti invasivi (es. operazioni chirurgiche). Era invece sufficiente la firma di un solo genitore se si fosse trattato di atto non invasivo, come un semplice prelievo ematico.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza
Disaster recovery

Il Garante ha chiarito che il consenso al trattamento dati necessari alla prestazione sanitaria non è più un obbligo nemmeno se l’interessato sia un soggetto minore d’età. Ma non sempre un adempimento in meno è sinonimo di semplificazione nella gestione di una struttura sanitaria.

Consenso sanitario, buona prassi da mantenere

L’esigenza primaria di una struttura sanitaria resta sempre quella di adottare tutte le misure di sicurezza tecniche-organizzative in grado di garantire che il rischio per l’interessato sia ridotto al minimo e proprio in tale ottica prevedere un modulo di consenso al trattamento dati da far firmare ai genitori, pur non essendo più un obbligo, può rappresentare una misura organizzativa in grado di tutelare la struttura sanitaria di fronte a qualsiasi reclamo da parte dei genitori riguardante il trattamento dati personali del minore.

Minori sui social, obbligo del consenso

La tematica riguardante la gestione del consenso al trattamento dati dei minori non si esaurisce con l’aspetto sanitario appena considerato. È sempre più frequente infatti l’utilizzo, da parte delle strutture sanitarie, del proprio sito internet o della propria pagina sui social network al fine di pubblicizzare la propria attività, ed è altrettanto frequente che su queste pagine vengano pubblicate foto dei pazienti al fine di dare prova dei risultati ottenuti.

Se l’interessato è un soggetto minore d’età è assolutamente indispensabile ottenere il consenso di entrambi i genitori per la pubblicazione di qualsiasi immagine relativa al minore, in assenza del quale la stessa non può essere utilizzata in alcun modo dalla struttura sanitaria.

Va tenuto presente infatti che la pubblicazione di immagini relative al minore su un sito o una pagina social relativa ad una struttura sanitaria potrebbe comportare non solo la diffusione della stessa immagine ma anche quella di dati relativi allo stato di salute del minore, che possano essere desunti dal contesto in cui viene pubblicata.

Il rischio è quello di incorrere in una violazione di dati personali tra le cui fattispecie rientra anche la “divulgazione di dati non autorizzata”, con la necessità di attivare la procedura di comunicazione al Garante entro il termine previsto (72 ore) e tutte le conseguenze che ne potrebbero derivare in termini sanzionatori.

@RIPRODUZIONE RISERVATA

Articoli correlati