Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il provvedimento

Trattamento dati in Sanità dopo i chiarimenti del Garante: che c’è di nuovo e che manca

Il recente provvedimento del Garante privacy sul trattamento dati in sanità offre indicazioni interessanti  su alcune delle attività che l’Autorità sta portando avanti e su provvedimenti che a breve vedranno la luce. Restano però alcuni punti ancora non sufficientemente chiariti, Vediamo quali

05 Lug 2019

Marco Cingolani

ingegnere elettronico - GDPR Consultant & Data Protection Officer


Il recente provvedimento del Garante privacy “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, pur riassumendo molte indicazioni già ampiamente e chiaramente espresse in altri documenti, contiene una serie di spunti interessanti  perché prefigurano indicazioni su alcune delle attività che l’Autorità sta portando avanti e, quindi, dei forecast interessanti su provvedimenti che a breve vedranno la luce.

In questo articolo ho provato a individuare gli elementi e le indicazioni che, almeno dal mio punto di vista, esulano dalla semplice esegesi della normativa ma rappresentano un reale chiarimento rispetto alla normativa.

Ritengo inoltre che alcuni punti rimangano ancora non sufficientemente chiariti e lascerò questi elementi nelle conclusioni dell’articolo.

Il provvedimento

Il provvedimento n. 9091942, avente come titolo “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” è stato pubblicato, lo scorso 7 marzo. In molte sue parti, come  ho già anticipato, il documento altro non è (e non potrebbe essere altrimenti) che una sintesi, magari più articolata e più esplicita, della documentazione già in essere: chi quindi ha una buona conoscenza degli elementi normativi che elencherò di seguito, non potrà che trovare “ovvie” molte delle indicazioni contenute nel documento.

Il provvedimento ha infatti come base tutta la legislazione e la documentazione corrente sul tema del trattamento e quindi:

Il Garante, tenuto conto dei numerosi quesiti e segnalazioni pervenuti in merito a dubbi interpretativi sulle modalità di trattamento dei dati in ambito sanitario, ha ritenuto quindi opportuno pubblicare il provvedimento in questione, proprio allo scopo di supportare tutti i soggetti che operano in ambito sanitario.

In premessa viene ribadito che il GDPR, oltre ai requisiti specifici di liceità previsti per poter trattare dati sanitari (indicate alle lettere dalla a) alla h) del punto 2 dell’art. 9), prevede, al punto 4 dell’art. 9) che gli Stati membri possano individuare ulteriori elementi di liceità per il trattamento di queste tipologie di dati.

Tali elementi sono stati individuati, per l’Italia, agli artt. 2 – septies e 2 quater del Codice che, pertanto, prevedono come questi ulteriori elementi di liceità saranno costituiti da ulteriori misure di garanzia e dalla adozione di opportune regole deontologiche che il Garante, a breve, pubblicherà.

Dopo la premessa, il provvedimento tratta i quattro punti che riguardano le principali criticità e dubbi interpretativi sul tema del trattamento di dati in ambito sanitario:

  1. La disciplina per il trattamento dei dati
  2. Le informazioni da fornire all’interessato
  3. Il Responsabile della Protezione dei Dati
  4. Il Registro delle attività di trattamento

La Disciplina del trattamento dati

Per ciò che riguarda il primo punto – Disciplina del Trattamento – vengono riprese le deroghe generali previste dal punto 2 dell’art. 9 del GDPR al divieto di trattamento di talune tipologie di dati personali indicate dal punto 1 dello stesso articolo.

In particolare viene ribadito che quanto presente alla lettera h) del punto 2 – “Trattamento di dati per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali” – si applica esclusivamente ai trattamenti effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta al segreto professionale (come specificato successivamente dal GDPR al punto 3 dello stesso articolo 4) per le finalità esatte indicate nel titolo dell’articolo.

A differenza quindi dal passato, per il trattamento di questa tipologia di dati (e quindi per lo svolgimento delle relative prestazioni sanitarie) non è più necessario richiedere il consenso all’interessato, indipendentemente dal fatto che il professionista sanitario operi nel suo studio in qualità di libero professionista ovvero all’interno di una struttura sanitaria (pubblica o privata).

Il Garante però sottolinea come questa deroga al consenso vale solo ed esclusivamente per il trattamenti strettamente afferenti a questa finalità e che pertanto altri eventuali trattamenti, afferenti solo in senso lato a questa finalità, non possono che avere come base giuridica di liceità lo strumento del consenso.

Gli esempi specifici portati dal Garante per queste tipologie di trattamenti di dati in ambito sanitario che richiedono il consenso sono:

  • Trattamenti connessi all’uso di app medicali – diverse dalla telemedicina – con raccolta di dati che esulano le finalità di cura, ovvero casi in cui ai dati raccolti possono accedere anche soggetti diversi da professionisti sanitari;
  • Trattamenti legati alla fidelizzazione della clientela da parte del medico;
  • Trattamenti per finalità promozionali o commerciali o, addirittura (è stata erogata recentemente una sanzione da parte del Garante in tal senso) per finalità di promozione elettorali;
  • Trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico, ed in questo contesto viene specificato che al momento il consenso dell’interessato è indispensabile per la creazione e la alimentazione del Fascicolo Sanitario ma che a breve, mediante un opportuno provvedimento, questo trattamento, sarà regolata come ulteriore deroga al punto 1 dell’art. 9 del GDPR la creazione e la alimentazione del Fascicolo (visibile così solo ed esclusivamente all’interessato); sarà mantenuto invece lo strumento del consenso dell’interessato per permettere l’accesso – per finalità di cura – a terzi (operatori sanitari).
  • I trattamenti effettuati attraverso il Dossier Sanitario, per i quali, al momento, è necessario il consenso ma per il quale, a breve, un provvedimento del Garante individuerà, nell’ambito delle misure di garanzia da adottare, le modalità per il trattamento senza il consenso dell’interessato.
  • Trattamenti effettuati per la refertazione on line, per il quale è e rimane valido lo strumento del consenso.

Le informazioni da fornire all’interessato

Per ciò che riguarda il secondo punto – Informazioni da fornire all’interessato – vengono ripresi gli elementi di obbligatorietà per quel che riguarda la consegna delle informative agli interessati, previste per il principio di trasparenza previsto dall’art. 5 par. 1 lett a).

Vengono riprese, in generale, le indicazioni, fornite dal GDPR agli artt. 13 e 14, su come devono essere redatte le informative: forma concisa, trasparente, intellegibile, facilmente accessibile, linguaggio semplice e chiaro.

Per quel che concerne l’ambito sanitario, il Garante nel Provvedimento in analisi suggerisce, vista la pluralità di operazioni connotate da particolare complessità, di fornire all’interessato le Informative previste dal GDPR in modo progressivo, ossia fornire, nei confronti della generalità dei pazienti afferenti una determinata struttura sanitaria, le informative che descrivono solamente i trattamenti che rientrano nella ordinaria attività di erogazione delle prestazioni sanitarie, lasciando quindi le informative per specifiche attività di trattamento, solo ai pazienti effettivamente interessati. Quindi non una unica omnicomprensiva informativa su tutti gli elementi e i trattamenti svolti (alcune volte anche solo ipoteticamente) ma delle snelle e più semplici e leggibili informative, focalizzate su singoli trattamenti.

Il provvedimento poi ribadisce le novità che il GDPR ha previsto per l’informativa, rispetto a quanto contenuto al punto 13 del Codice non novellato.

In particolare si parla quindi del periodo di conservazione, che può essere fornito dal Titolare anche attraverso l’indicazione dei criteri utilizzati per determinarlo.

Il Provvedimento sottolinea che, in ambito sanitario, sono previsti numerosi e differenziati riferimenti in merito ai tempi di conservazione che non sono stati modificati dal GDPR e che quindi rimangono pienamente in vigore.

In mancanza quindi di un elemento specifico sui tempi di conservazione, sarà il Titolare stesso ad individuare il periodo scelto coerentemente alle finalità del trattamento.

Il Responsabile della protezione dei dati

Per ciò che riguarda il terzo punto – Responsabile della protezione dei dati (RPD) – viene ribadito come tutte le indicazioni necessarie per valutare la obbligatorietà o meno della nomina di un RPD sono contenute nell’art. 37 del GDPR.

Si definisce quindi come tutte le attività effettuate da una Azienda Sanitaria appartenente al SSN rientrano nell’insieme di quelle che hanno l’obbligo di nomina di un RPD, sia in relazione alla natura giuridica di ente pubblico sia per il fatto che trattano su larga scala dati relativi alla salute e quindi all’art. 9.

Anche i trattamenti svolti in ambito non pubblico da un ospedale privato, da una casa di cura o da una residenza sanitaria assistita (RSA) in linea generale rientrano nel concetto di larga scala e quindi hanno l’obbligo di nominare un RPD.

Per ciò che riguarda infine il singolo professionista sanitario che operi in regime di libera professione a titolo individuale, viene invece ribadito la non obbligatorietà della nomina dell’RPD, come peraltro indicato dal Gruppo di lavoro art. 29 al punto 2.1.3

Il punto viene concluso indicando come la stessa conclusione (non obbligatorietà della nomina di un RPD) vale anche per farmacie, parafarmacie, aziende ortopediche e sanitarie.

Il Registro delle attività di trattamento

Per ciò che riguarda infine il quarto punto – Registro delle attività di trattamento – viene ribadito come, in ambito sanitario, è comunque obbligatorio la predisposizione e la alimentazione di un Registro delle attività di trattamento.

Pertanto, la tenuta del registro è obbligatoria per singoli professionisti sanitari che agiscano in libera professione, per i medici di Medicina Generale e per i Pediatri di Libera Scelta, per gli ospedali privati, le case di cura, le RS, le azienda sanitarie ma anche per farmacie, parafarmacie ed aziende ortopediche.

Come già indicato in apertura, il provvedimento del garante riporta, per la sua quasi totalità, elementi già presenti e ben specificati nei documenti cardine della normativa: probabilmente quindi molte delle indicazioni presenti sono ovvie per addetti ai lavori, e cioè chi conosce e lavora tutti i giorni sui temi del GDPR. Però, altrettanto probabilmente e vista la numerosità dei quesiti presentati, è importante che tali elementi siano stati sintetizzati ed espressi nuovamente in un documento formale del Garante, che si rivolge quindi anche e soprattutto agli operatori sanitari: pertanto è presumibile che questo provvedimento sarà un prezioso elemento che servirà a rendere più “vere” e “credibili” le motivazioni che i professionisti e i consulenti sul tema del GDPR portano ai Titolari del trattamento per motivare la necessità di mettere in campo gli elementi per dimostrare la loro accountability.

Contiene – in aggiunta a quanto presente nei vari documenti della normativa – le interessanti anticipazioni sul tema del Fascicolo Sanitario Elettronico e del Dossier Sanitario come pure la indicazione circa la granularizzazione delle Informative su specifici e limitati trattamenti, piuttosto che nel creare una Informativa globale e unica di tutti i trattamenti svolta.

Si tratta infatti di una modalità operativa che già molti consulenti ed esperti suggeriscono ma che, molto spesso, non viene adottata da chi redige le informative: chi scrive le informative tende quindi a semplificare la propria attività, a scapito della chiarezza e della intellegibilità da parte di chi l’informativa deve leggerla e valutarla (l’interessato).

Cosa manca nel provvedimento

  • Un definitivo chiarimento sulla obbligatorietà della nomina del Responsabile per la Protezione dei Dati (RPD) nel caso di Medici di Medicina Generale e di Pediatri di Libera Scelta. Infatti se, da una parte, come indicato sopra, al punto 3 viene esplicitamente indicato che “ il singolo professionista sanitario che operi in regime di libera professione a titolo individuale” non ha l’obbligo di nominare un RPD, al punto 4, quando si parla di Registro delle Attività di trattamento, viene indicata la obbligatorietà della sua tenuta, tra gli altri, sia per “singoli professionisti sanitari che agiscano in libera professione” che per “medici di Medicina Generale e per i Pediatri di Libera Scelta”. Quindi, nel provvedimento del Garante, viene molto ben specificato che siamo davanti a due categorie di professionisti sanitari ben distinti. Pertanto, almeno ad una prima lettura, il fatto che al punto 3 sia specificato che l’RPD non è obbligatorio solo “per il singolo professionista”, potrebbe far pensare, almeno in linea di principio, che invece la nomina sia obbligatoria per MMG e PLS. O, quanto meno, il documento lascia dei dubbi e delle interpretazioni in proposito. Il fatto che, nel caso in cui si indichi l’obbligatorietà della nomina dell’RPD per MMG e PLS, ci sia un problema operativo di quantità di RPD, formati ed esperti, per dare un servizio adeguato alle migliaia di medici e pediatri di base esistenti in Italia, è una valutazione diversa e non può comunque avere alcuna correlazione con la definizione della obbligatorietà della nomina. Peraltro, tale eventuale criticità, potrebbe essere ovviata, vista la buona omogeneità delle modalità di trattamento svolte da queste categorie, con la nomina di un RPD per gruppi più o meno numerosi di professionisti. Però, in definitiva, il provvedimento del Garante non dà la risposta ultima alla domanda “Il trattamento di dati sanitari svolto da un MMG e/o da un PLS massimalisti deve essere considerato su larga scala?”.
  • Un accenno al tema della obbligatorietà della valutazione di impatto per i trattamenti svolti non solo da un MMG/PLS ma anche dal singolo professionista sanitario. Da una parte infatti il GDPR, all’art. 35, alla lettera b) del punto 3, prevede l’obbligatorietà di una Valutazione di Impatto per i trattamenti sanitari afferenti all’art. 9, svolti su Larga Scala( e quindi presenta gli stessi elementi di obbligatorietà che valgono anche per la nomina di un RPD), lasciando quindi lo stesso dubbio del punto precedente per le attività svolte da MMG e PLS. Dall’altra parte però il nostro Garante, con provvedimento 9058979, ha specificatamente individuato le attività di trattamento soggette al requisito di una valutazione di impatto in base all’art. 35 del GDPR. Al punto 10 dell’Allegato 1 a questo provvedimento viene indicata come “obbligatoria” la redazione di una Valutazione di Impatto per “Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse”. Probabilmente, in un provvedimento di chiarimento sul tema del trattamento di dati sanitari, sarebbe stato opportuno inserire anche un punto su questo tema, indicando/confermando, a questo punto, se tale obbligo vale, come per il tema del Registro delle attività di trattamenti, per tutti gli operatori indicati al punto 4.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4