Il Garante per la protezione dei dati personali, con provvedimento n. 55 del 7 marzo 2019, ha fornito chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario, alla luce del decreto n. 101/2018, di adeguamento al GDPR, che ha modificato il d.lgs. 196/2013.
Nella versione risultante dalle modifiche introdotte dal d. lgs. 101/2018, l’art. 75 del d. lgs. 196/2003 oggi stabilisce che non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura, anche se occorrerà sempre rispettare le misure di garanzie stabilite dal Garante con cadenza biennale.
Nel provvedimento n. 55 del 7 marzo 2019 del Garante si chiarisce, anzitutto, che “Diversamente dal passato il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata” e si forniscono preziose indicazioni, di carattere generale, sulla disciplina del trattamento dei dati relativi alla salute in ambito sanitario.
In tale ottica il provvedimento chiarisce che i trattamenti per “finalità di cura” sono quelli previsti dal GDPR all’articolo 9, paragrafo 2, lettera h), ai sensi del quale: “… il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”, ai sensi del quale .
Quest’ultimo paragrafo stabilisce che i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
Il provvedimento opera, poi, un’elencazione esemplificativa dei dati che, ai sensi dell’art. 9, par. 2, lett. a) del GDPR, richiedono il consenso esplicito dell’interessato. Fra essi:
- trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
- trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale;
- trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- trattamenti effettuati attraverso il Fascicolo sanitario elettronico (Dl 18 ottobre 2012, n. 179, art. 12, comma 5). In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del GDPR, il cui rispetto è ora espressamente previsto dall’art. 75 del d. lgs. 196/2003. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.
Il provvedimento del Garante, poi, fornisce preziose indicazioni sulle informazioni da fornire all’interessato (si suggerisce alle aziende sanitarie di fornire agli interessati le informazioni previste dal GDPR in modo progressivo), sul Responsabile della protezione dei dati (figura che il Garante ritiene obbligatoria non solo nelle aziende sanitarie ma anche negli ospedali privati o case di cura che, di norma, trattano dati sensibili su larga scala) e sul Registro delle attività di trattamento (che viene reputato sempre necessario in ambito sanitario).
Leggi il documento del Garante per la protezione dei dati personali
