Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

Sanità digitale, GDPR e consenso: facciamo chiarezza

E’ la trasparenza il concetto base su cui fanno perno i passaggi previsti dal GDPR sul fronte Sanità digitale. Purtroppo però la distinzione tra i due processi – consenso medico e consenso al trattamento dati – è ancora incerta per molte strutture di cura. Ecco i passaggi corretti da effettuare

02 Dic 2019
Francesco Maldera

Data Protection Officer e Data Specialist


Alcuni luoghi di cura fanno confusione tra consenso previsto per il trattamento dei dati personali e consenso medico e presentano al paziente un lenzuolo di informazioni che può confondere e, quindi, non ottenere il risultato di chiarezza richiesto dalle rispettive norme di riferimento, in particolare dal GDPR. È utile, dunque, sciogliere i dubbi ed indicare quali sono i passaggi necessari per rendere pienamente consapevoli i pazienti del rapporto che stanno per instaurare al momento della cura, così da rendere allineata alle norme la Sanità digitale.

L’obbligo di trasparenza

Negli ultimi trent’anni, nel nostro ordinamento, si è fatto largo il principio che dovrebbe governare ogni rapporto sociale tra soggetti pubblici e privati: la trasparenza. Ciò è avvenuto partendo dalla legge 241/1990 fino ad arrivare al decreto legislativo 101/2018 (modificativo del Codice privacy) e passando, solo per fare qualche esempio, per il decreto legislativo 33/2013 e la legge 219/2017. Lo scopo è garantire ad ogni cittadino la chiarezza dei contenuti dell’azione che sta per porre in essere rapportandosi con altri soggetti: la società di telecomunicazioni, il Comune di residenza, l’ospedale e così via.

Nelle varie norme, questa chiarezza è variamente definita e non sempre viene citato il termine trasparenza. Per esempio, nel regolamento europeo 2016/679 (GDPR) si parla esplicitamente di trasparenza come mezzo per il “rafforzamento del controllo dei propri dati personali” mentre nella legge 219/2017 si cita “l’autodeterminazione della persona”.

L’obbligo alla chiarezza, in ogni caso, non è mai messo in dubbio. Tuttavia, è diffuso l’equivoco rispetto a due fasi distinte dei rapporti sociali: la spiegazione delle “condizioni” del rapporto che si sta per instaurare e l’accettazione (o non accettazione) da parte dell’interessato di quelle “condizioni”. Ed il caso specifico che stiamo affrontando genera un ulteriore equivoco: la confusione tra consenso per il trattamento dei dati personali e consenso per il trattamento medico.

Il consenso per il trattamento dei dati personali

Secondo il GDPR la trasparenza è un elemento fondamentale per il trattamento dei dati personali del paziente. Questo vuol dire che al paziente devono essere fornite sempre le informazioni previste dagli articoli 13 e 14 del GDPR: siamo nella fase della spiegazione delle condizioni che governano il rapporto tra medico e paziente, sia se questo avviene in un ambulatorio privato sia se succede in un ospedale.

Questa è una fase preliminare e propedeutica all’accettazione delle condizioni. Infatti, rispetto ai dati personali le condizioni per il loro lecito trattamento (ovvero le basi giuridiche del trattamento stesso) possono essere diverse dal consenso e sono esposte nel paragrafo 1 dell’articolo 6 (per i dati comuni) e nel paragrafo 2 dell’articolo 9 (per le particolari categorie di dati personali) del GDPR.

Anzi, come viene spiegato in maniera chiarissima dal provvedimento del Garante per la Protezione dei Dati Personali n. 55 del 7/3/2019, i trattamenti di dati personali riguardanti la salute e strettamente necessari per “finalità di cura” non richiedono più il consenso del paziente perché basano la liceità sull’art. 9, par. 2, lett. h) del GDPR cioè vengono effettuati per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità.

Quindi, quando un paziente si reca in un ambulatorio medico, in un laboratorio di analisi cliniche o in un ospedale, la prima cosa che deve essere garantita è l’informazione ai sensi degli articoli 13 e 14 del GDPR: bisogna dirgli esplicitamente che per finalità di cura possono essere trattati i suoi dati personali senza necessità di consenso. Se il paziente non intende procedere (cioè non intende accettare le condizioni del trattamento) può abbandonare preventivamente il percorso intrapreso. Viceversa, se il paziente intende procedere l’accettazione delle cure non è necessaria alcuna espressione del consenso ma l’accettazione stessa è automatica a patto che le predette informazioni siano state chiaramente fornite.

Consenso al trattamento: quando non chiederlo

In molti casi le strutture sanitarie acquisiscono il consenso al trattamento dei dati personali “a prescindere”, anche quando viene effettuata una prestazione per finalità di cura: è una pratica controproducente. Bisogna sempre ricordare che il consenso è revocabile e che la chiarezza delle condizioni è un principio cardine del GDPR: se, per esempio, ad un paziente che si presenta al pronto soccorso di un ospedale si chiede il consenso al trattamento dei dati personali e, poi, si riscontra una meningite, il personale sanitario è obbligato a trattare quei dati personali per avviare un protocollo di prevenzione dell’infezione anche se il paziente revoca il proprio consenso il giorno dopo. Qualora lo facesse, bisognerebbe spiegargli, a posteriori, che il trattamento dei dati personali non era basato sul consenso ma su altre basi giuridiche (appunto l’art. 9, par. 2, lett. h) del GDPR) e questa sarebbe una violazione del principio di trasparenza previsto dall’art. 5 del GDPR e sanzionabile ai sensi dell’art. 83, par. 5, lett. a) (fino a 20.000.000 di euro).

Consenso al trattamento: quando chiederlo

Ma, allora, quando serve il consenso al trattamento dei dati personali in ambito sanitario? Il consenso informato, specifico, esplicito ed inequivocabile è necessario quando esistono finalità diverse da quelle strettamente necessarie alla cura. Anche in questo caso, per chiarire con qualche esempio, soccorre il provvedimento n. 55 del 7/3/2019: utilizzo di app mediche che “passano” attraverso soggetti diversi da professionisti tenuti al segreto professionale (per esempio applicazioni per smartphone per il monitoraggio della glicemia in pazienti diabetici fornite da società che producono glucometri) oppure carta a punti delle farmacie fornite per fidelizzare il paziente.

Ma, soprattutto, il consenso è necessario per l’istituzione del Dossier Sanitario Elettronico (DSE) e del Fascicolo Sanitario Elettronico (FSE): il primo è lo strumento che fornisce la storia clinica nell’ambito di una specifica struttura sanitaria mentre il secondo fornisce la storia clinica nell’ambito di tutte le strutture sanitarie nazionali. Il trattamento connesso ad entrambi gli strumenti non è necessario al singolo intervento di cura e, quindi, occorre che il paziente accetti esplicitamente le condizioni del trattamento stesso. Peraltro, proprio di recente, la circolare n. 3 del 2/9/2019 dell’AGID[2] ha ribadito la presenza, nell’ambito dell’infrastruttura informatica di gestione del FSE, di un’apposita e specifica funzionalità di “gestione dei consensi”.

In definitiva, dunque, quando un paziente entra in un ospedale deve essere messo in grado di:

  • leggere e comprendere l’informativa fornita conformemente agli articoli 13 e 14 del GDPR; l’informativa deve esplicitare tutte le finalità di trattamento dei suoi dati personali e le relative basi giuridiche: per il singolo intervento di cura sono art. 9, par. 2, lett. h), per il DSE ed il FSE è il consenso art. 9, par. 2, lett. a);
  • esprimere il consenso specifico (oltre che informato, libero ed inequivocabile) per i trattamenti che lo richiedono; per esempio, per il FSE è possibile esprimere consensi differenziati all’avvio dell’alimentazione piuttosto che alla consultazione da parte del personale sanitario, oppure alla consultazione dei dati pregressi piuttosto che alla consultazione dei dati a partire dall’espressione del consenso;
  • revocare i consensi espressi in precedenza.

Il consenso per il trattamento medico

La trasparenza rispetto ai dati personali è, quindi, un principio che precede, logicamente ed operativamente, la chiarezza rispetto al trattamento di cura vero e proprio (l’intervento chirurgico come la procreazione medicalmente assistita). La norma di riferimento che disciplina la chiarezza nei trattamenti sanitari è la legge 219 del 22/12/2017 che esordisce con l’articolo 1 rubricato come “Consenso informato”; già il titolo dell’articolo segna una certa differenza di approccio tra questa norma ed il GDPR: sembra quasi che la distinzione tra le fasi di spiegazione ed accettazione, accennata nell’introduzione, sia più sfumata nella legge 219.

In effetti, nel trattamento dei dati personali l’informazione (spiegazione) è sempre obbligatoria mentre non è necessario acquisire il consenso con la canonica firma per lo specifico intervento con finalità di cura; nel caso del trattamento sanitario vero e proprio, invece, il comma 1 dell’articolo 1 della 219 dice che “nessun trattamento sanitario può essere iniziato o proseguito se privo del consenso libero e informato della persona interessata, tranne che nei casi espressamente previsti dalla legge”.

Questo, quindi, richiede che il consenso medico (chiamiamolo così per semplicità) sia la precondizione obbligatoria per eseguire il trattamento, con le sole eccezioni previste dagli altri commi dello stesso articolo 1 (in particolare, nelle situazioni di urgenza previste dal comma 7).

In effetti, molte Regioni hanno sancito l’obbligatorietà della presenza del consenso medico all’interno della cartella sanitaria (anche perché prevista dal comma 4 dell’art. 1 della legge 219) per poter rimborsare il compenso della prestazione alla struttura sanitaria che l’ha erogata mentre, non si sa quanto consapevolmente, non hanno previsto alcun riferimento agli eventuali (e si sottolinea eventuali) consensi al trattamento dei dati personali.

Dati personali nei casi di urgenza medica

Le informazioni relative al trattamento dei dati personali, quindi, devono essere fornite, anche concretamente, prima di ogni altra. Tuttavia, quando ciò non è possibile, per esempio in casi di urgenza, il nuovo Codice privacy (così come modificato dal decreto legislativo 101/2018) ha previsto, all’articolo 82, che queste siano fornite anche successivamente alla prestazione in caso di:

  1. impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato, quando non è possibile rendere le informazioni, nei casi previsti, a chi esercita legalmente la rappresentanza, ovvero a un prossimo congiunto, a un familiare, a un convivente o unito civilmente ovvero a un fiduciario ai sensi dell’articolo 4 della legge 22 dicembre 2017, n. 219 o, in loro assenza, al responsabile della struttura presso cui dimora l’interessato;
  2. rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell’interessato.

C’è, quindi, nella disciplina della privacy, un esplicito riferimento alla disciplina del consenso medico ovvero alla legge 219. Questo riferimento dovrebbe sciogliere qualsiasi dubbio rispetto alla effettiva comprensione dell’informativa privacy nei casi di interessati in condizioni di vulnerabilità temporanea o permanente (soggetti psicolabili, anziani, soggetti in stato di dipendenza patologica, ecc.).

Conclusioni

La tabella di riferimento, dunque, per le cure mediche è la seguente:

Trattamento di dati personaliTrattamento medico
InformazioneDa fornire sempre e preventivamenteDa fornire sempre e preventivamente allo specifico intervento di cura
ConsensoDa acquisire solo per trattamenti con finalità diverse dallo specifico intervento di curaDa acquisire sempre e preventivamente allo specifico intervento di cura
@RIPRODUZIONE RISERVATA

Articolo 1 di 4