Sebbene il quadro regolatorio non sia ancora definitivo, l’Autorità Garante per la Protezione dei Dati Personali, Dipartimento Sanità e Ricerca, ha ritenuto opportuno, all’inizio del mese di marzo 2019, fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario.
Nello studio del Medico di Famiglia, le deroghe al divieto generale di trattare le “categorie particolari di dati” sono concesse per finalità di cura (medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale o gestione dei sistemi e servizi sanitari o sociali) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
Diversamente dal passato, quindi, il professionista sanitario, soggetto al segreto professionale, non è più tenuto a richiedere esplicitamente il consenso del paziente per i trattamenti necessari e chiaramente connessi alla prestazione sanitaria richiesta dall’interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.
I trattamenti che richiedono esplicitamente il consenso
Eventuali ulteriori trattamenti attinenti in senso lato alla cura e non strettamente necessari, richiedono, invece, anche se effettuati da professionisti della sanità, il consenso dell’interessato.
A tale riguardo si individuano, a titolo esemplificativo, le seguenti categorie per i MMG:
- trattamenti connessi all’utilizzo di App mediche, che prevedano la raccolta di dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale sulle applicazioni mobili in sanità;
- trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
- trattamenti effettuati da professionisti sanitari per finalità commerciali o addirittura elettorali (cfr. provv. del 6 marzo 2014, web n. 3013267); trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5)
- la refertazione on line (il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto – Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).
In tali casi, l’acquisizione del consenso, è richiesta quale condizione di liceità del trattamento, dalle disposizioni di settore già precedenti all’applicazione del regolamento.
Eventuali modifiche normative potrebbero intervenire per l’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo Sanitario (Dossier).
Le informazioni da fornire all’interessato, le modalità e i tempi di conservazione
Il Regolamento impone, per il principio di trasparenza, di informare e rendere consapevole l’interessato sui principali elementi e caratteristiche del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.
Riguardo alle modalità con cui fornire l’informativa, alla luce del principio di responsabilizzazione, spetta al titolare scegliere quelle più appropriate al caso dì specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato (ad esempio, il dispositivo utilizzato, la natura dell’interazione con il titolare e le eventuali limitazioni).
Relativamente al contenuto, il Regolamento non stravolge l’impianto suggerendo, specialmente alle Aziende che necessiterebbero di fornire moli elevate di informazioni, di fornire gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento.
L’informazione relativa al periodo di conservazione dei dati può essere fornita dal titolare anche attraverso l’indicazione dei criteri utilizzati per determinarla. Al riguardo, si ricorda che, con particolare riferimento alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione:
la documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica deve essere conservata, a cura del medico visitatore, per almeno cinque anni,
le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente,
la documentazione iconografica radiologica deve essere conservata per un periodo non inferiore a dieci anni.
Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio dì limitazione della conservazione e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato.
Il Responsabile della protezione dei dati (RPD)
La designazione del Responsabile della Protezione dei Dati (RPD) costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati, obbligatoria per le autorità o organismi pubblici; per gli altri soggetti tale obbligo sussiste invece solo al ricorrere delle specifiche condizioni.
In generale, si ritiene che per un’azienda sanitaria appartenente al SSN è prevista la designazione obbligatoria del RPD, sia in relazione alla natura giuridica di “organismo pubblico”, sia in quanto le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.
Il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura (ad es. Case della Salute o AFT) o da una residenza sanitaria assistenziale (RSA) può rientrare, in linea generale, nel concetto di larga scala e richiedere la desgnazione del RPD.
La possibilità e la fattibilità di nominare un unico RPD per più strutture sanitarie, è rimessa alla responsabilità del titolare del trattamento.
Il singolo professionista sanitario che operi in regime di libera professione a titolo individuale non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività. Infatti, i trattamenti dallo stesso effettuati non rientrano tra quelli su larga scala.
Registro delle attività di trattamento
I registri delle attività di trattamento sono l’elemento indispensabile per la esplicitazione dell’accountability (responsabilizzazione) prevista dal Regolamento.
Per dimostrare di conformarsi a tale disciplina, il titolare deve tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità. La tenuta del registro costituisce un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio.
Tale adempimento corrisponde ad un obbligo in ambito sanitario ed il registro delle attività del trattamento costituisce uno strumento di accountability e di gestione del rischio.
Quindi, NON sono esenti dall’obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.
Lo stesso Registro non deve essere trasmesso al Garante, ma messo a disposizione dell’Autorità in caso di controllo.
LA CIRCOLARE DEL GARANTE