Gdpr e sanità: non è più necessaria la richiesta del consenso esplicito per l’utilizzo dei dati personali del paziente raccolti per finalità di cura; l’informativa, invece, va sempre fornita.

Lo studio del medico o la singola farmacia sono esonerati dalla nomina del RPD (responsabile della protezione dei dati); tutti gli operatori sanitari, dall’ospedale al singolo professionista, sono invece obbligati alla tenuta del registro delle attività di trattamento.

Sono questi i chiarimenti forniti dal Garante della Privacy, con il provvedimento n. 55 del 7 marzo 2019, a chi lavora nella sanità, cominciando dai medici.

La normativa

Le indicazioni dell’Autorità Privacysi collocano nel nuovo quadro di tutela della protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati stessi, disegnato dal Regolamento UE 2016/679 (c.d. GDPR) e dal D.Lgs. n. 101/2018 di coordinamento tra la disciplina comunitaria e quella nazionale.

Il GDPR mira a rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea, all’interno ed all’esterno dei confini dell’Unione stessa.

Il Regolamento Ue è entrato in vigore il 25 maggio 2016 (anche in Italia) e ha efficacia esclusiva a partire dal 25 maggio 2018.

La normativa ha una portata generale: si applica, cioè, a chiunque tratti i dati personali di un altro soggetto, ad eccezione di alcuni particolari casi.

A seguito dell’entrata in vigore della nuova normativa (che – si ribadisce – è esecutiva in Italia a partire dal 25 maggio 2018), tutte le realtà commerciali e non commerciali, siano essi organizzate in forma individuale (es., liberi professionisti, esercenti arti e professioni, ditte individuali) o collettiva (es., società in nome collettivo, società semplici, Srl, Spa, Sas, Sapa, Società cooperative etc.), hanno l’obbligo normativo di adeguarsi alle nuove disposizioni in tema di Privacy.

Il trattamento dei dati in ambito sanitario

Il trattamento dei dati sulla saluteè consentito in presenza di taluni requisiti specifici individuati all’art. 9 del Regolamento.

Considerata la delicatezzae la complessità di tali trattamenti, il legislatore ha previsto un divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quelli sulla salute.

Tuttavia, l’articolo 9 del GDPR elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:

  • motivi di interesse pubblico, individuati dall’art. 2-sexiesdel Codice;
  • motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
  • finalità di medicina preventiva,diagnosiassistenzaterapia sanitariao sociale ovvero gestione dei sistemi e servizi sanitari o sociali(in generale, quindi, per “finalità di cura”), effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Il nuovo assetto ha indotto medici, strutture sanitarie e cittadini a chiedere chiarimenti al Garante, in merito alla disciplina della protezione dei dati in ambito sanitario.

I chiarimenti del Garante per gli operatori in ambito sanitario

Con il provvedimento n. 55 del 7 marzo 2019, il Garante della Privacyha fornito “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”.

In particolare, è specificato che non è necessaria la richiesta del consenso esplicitodel paziente da parte del medico (o del professionista sanitario tenuto al segreto professionale), qualora tali dati siano strettamentenecessari alle finalità di cura[1]. Diversamente dal passato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.

Il consenso va, tuttavia, chiesto in altri casi. Per esempio, per attivare app mediche (ad eccezione di quelle per la telemedicina) o per procedure di fidelizzazione della clientela (come quelle praticate da farmacie e parafarmacie), per la consegna del referto online e per i trattamenti effettuati attraverso il fascicolo sanitario.

Al paziente va, invece, sempre fornital’informativa, che deve essere concisa, trasparente, semplice, chiara e deve pure contenere il riferimento al tempo di conservazione dei dati. Il Regolamento impone, quindi, ai titolari (medici, farmacie, strutture ed aziende sanitarie) di informare l’interessato sui principali elementi del trattamento, al fine di renderli consapevoli sulle principali caratteristiche dello stesso.

Infine, niente obbligo di nomina del RPD (c.d. Responsabile della protezione dei dati), quando i trattamenti non sono effettuati su larga scala (come possono essere quelli del singolo studio medico oppure della farmacia o parafarmacia).

Va, invece, sempre tenuto il registro dei trattamenti, in cui riportare le modalità di gestione dei dati dei pazienti. Il documento è richiesto dalla nuova normativa come strumento utile a dimostrare come il Titolare del trattamento si è attrezzato per proteggere i dati, e va consegnato al Garante in caso di ispezione.


[1]Si intendono trattamenti effettuati per “finalità di cura”, quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute.