Il provvedimento con cui lo scorso 7 marzo l’Autorità Garante ha fornito chiarimenti sulla disciplina sul trattamento dei dati relativi alla salute in ambito sanitario mira a fornire un’interpretazione uniforme per i cittadini e gli operatori del settore sanitario, e in particolare alla figure di Responsabili della protezione dei dati personali (RPD – o Data Protection Officer, DPO, nella versione Inglese).

I RPD infatti oltre a fornire consulenza e informare i Titolari del trattamento sulle modalità per garantire la piena conformità alla normativa, hanno il compito di vigilare sull’operato del Titolare del trattamento.

Il provvedimento in commento dovrà essere necessariamente integrato con altri successivi: è auspicabile infatti un provvedimento sulle misure di garanzia applicabili al trattamento dei dati biometrici, genetici e relativi alla salute, che includa sia i profili organizzativi e gestionali, sia le modalità di comunicazione dei dati personali ai pazienti che le prescrizioni di medicinali.

Gli indentificativi biometrici in particolare, sono dati biologicamente unici per ogni individuo e quindi, se compromessi, comportano un elevato rischio di subire un furto di identità, con conseguenze che potrebbero essere “disastrose” per il malcapitato.

L’autorità per la protezione dei dati francese, il CNIL, sul punto ha già stabilito alcune regole su come le aziende possono utilizzare le informazioni biometriche dei propri dipendenti. Le aziende che desiderano utilizzare sistemi di scansione biometrici come riconoscimento facciale o impronte digitali dovranno in primis giustificare al CNIL la necessità di utilizzare questi sistemi rispetto ad altri meno invasivi (ad es. un badge o una password) e disporre di misure di sicurezza molto rigorose per proteggere i dati biometrici, oltre alla necessaria e preventiva valutazione dell’impatto della protezione dei dati GDPR.

In attesa di ulteriori interventi da parte del Garante, si analizzano di seguito i chiarimenti già forniti.

LA NORMATIVA

L’articolo 9 del Regolamento Europeo 679/2016 impone un divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui vi rientrano i dati relativi alla salute, a cui segue una serie di deroghe le quali rendono invece il trattamento lecito.

Il trattamento di questa tipologia di dati può avvenire qualora vi sia il consenso esplicito da parte dell’interessato al trattamento, o quando il trattamento è necessario per:

1. Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (sono tali quelli meglio specificati all’art. 2 sexies Codice Privacy)
2. Motivi di interesse pubblico nel settore della sanità pubblica (ad es. gravi minacce per la salute a carattere transfrontaliero o garantire elevati parametri di sicurezza dell’assistenza sanitaria)
3. Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (c.d. “finalità di cura”).

L’ultimo punto merita maggiore attenzione: innanzitutto il Garante chiarisce che tali trattamenti sono quelli effettuati da o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale; per tale trattamento non è più richiesto il Consenso del paziente, come avveniva in passato, purché i trattamenti siano NECESSARI alla prestazione sanitaria richiesta dal paziente, indipendentemente dal fatto che il medico operi in qualità di libero professionista presso uno studio medico o in una struttura sanitaria, pubblica o privata.

Il Garante inoltre chiarisce che i trattamenti “necessari” alle “finalità di cura” sono quelli da considerarsi essenziali al raggiungimento di una o più finalità determinate e connesse alla cura della salute.

Altre tipologie di trattamento, che siano invece solo in senso lato necessarie alla cura, dovranno avere una distinta base giuridica, che sia il Consenso o altro presupposto di liceità.

Sono invece soggetti all’esplicito consenso i trattamenti di dati:

– effettuati da APP mediche, quando i dati sono trattati per finalità diverse dalla telemedicina o siano condivisi con soggetti diversi da professionisti tenuti al segreto professionale;

– preordinati alla fidelizzazione della clientela e quindi per prestazioni accessorie a quelle farmaceutiche-sanitarie (ad es. i programmi di accumulo punti da parte di farmacie);

– eseguiti da persone giuridiche private per finalità promozionali e commerciali (si pensi ai programmi di screening);

-effettuati da professionisti per finalità commerciali elettorali;

– trattamenti effettuati attraverso il Fascicolo sanitario elettronico.

L’INFORMATIVA

Circa l’informativa ex artt. 13 e 14 G.D.P.R. da sottoporre all’attenzione dei pazienti l’Autorità Garante suggerisce l’opzione dell’informativa c.d. “stratificata”.

Ciò significa che i Titolari del trattamento operanti in ambito sanitario che effettuano più trattamenti dovranno fornire in un primo momento le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie e successivamente ed eventualmente, informative relative a particolari attività di trattamento (ad es. finalità di ricerca),  ai soli pazienti effettivamente interessati a tali servizi.

Tale modus operandi è senza dubbio più coerente con il principio di accountability del Titolare del trattamento e più garantistico nei confronti dell’interessato, in quanto focalizzerebbe l’attenzione su informazioni rilevanti al singolo trattamento, in un’ottica di maggiore consapevolezza dei dati personali.

DESIGNAZIONE DEL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI 

I trattamenti di dati sulla salute effettuati da un’azienda sanitaria appartenente al Sistema Sanitario Nazionale richiedono la nomina della figura del Responsabile della protezione dei dati personali, sia perché il trattamento è considerato “su larga scala”, sia in virtù della natura di “organismo pubblico” del Titolare. Analoghe osservazioni possono farsi per gli ospedali privati, le case di cura e le R.S.A (residenza sanitaria assistenziale), qualora il trattamento sia da considerarsi su larga scala.

Il Garante chiarisce invece che non rientrano nella definizione di trattamento su larga scala quelli effettuati da liberi professionisti che operano a titolo individuale, farmacie, para farmacie, aziende ortopediche e sanitarie, e quindi, tali soggetti non sono obbligati alla nomina di un RPD, anche se  tale nomina, non è vietata (semmai sempre raccomandata).

Il 19 Maggio 2019 scadrà il periodo transitorio previsto dall’art. 22 comma 13 del d.lgs. 101/2018, e quindi termineranno gli otto mesi relativi alla fase di “prima applicazione delle disposizioni sanzionatorie”. Tale imminente scadenza per la quale le aziende e i soggetti pubblici dovrebbero essere ben preparati.

Sara Brogioni

Sara Brogioni