Privacy per
il settore
Sanitario

Il GDPR, pur non avendo stravolto la disciplina della protezione dei dati personali in ambito sanitario, ha tuttavia dettato alcune significative innovazioni.

Tra le maggiori novità introdotte dal Regolamento si segnala l’obbligo di tenere i Registri delle attività di trattamento, deputati a contenere tutte le informazioni relative ai trattamenti dei dati personali svolti dal Titolare del Trattamento.

Altra novità di rilievo è l’introduzione della figura del Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO). Si tratta di un esperto che ha il compito di supervisionare ed agevolare l’osservanza della disciplina sulla protezione dei dati personali. La sua nomina è obbligatoria per tutte le Aziende Sanitarie Pubbliche appartenenti al Servizio Sanitario Nazionale nonché per quelle strutture private che effettuano il trattamento di dati personali su larga scala (ospedali e case di cura); non è, invece, obbligatoria per i singoli professionisti sanitari che operano individualmente in regime di libera professione.

I dati relativi alla salute, assieme ai dati genetici e biometrici, sono espressamente inclusi nel novero dei dati particolari, rispetto ai quali sono previste specifiche tutele e stringenti limiti di trattamento.

Costituiscono “dati relativi alla salute” quei dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, idonei a rivelare informazioni relative allo stato di salute.

Il Trattamento dei dati sanitari è considerato lecito se avviene per:

• finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei servizi sanitari o sociali (finalità di cura);
• motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di elevati parametri di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici;
• finalità di archiviazione nel pubblico interesse, di ricerca scientifica, storica o a fini statistici.

In tutti gli altri casi, il trattamento dei dati sanitari necessita del consenso dell’interessato, preceduto da idonea informativa. Tra le informazioni che devono essere fornite all’interessato, merita di essere segnalato il tempo di conservazione dei dati sanitari (ad esempio la normativa vigente prevede che le cartelle cliniche e i referti radiologici debbano essere conservati illimitatamente, le immagini radiologiche per dieci anni, i certificati di idoneità sportiva per cinque anni).

Diversamente dal passato non deve essere più richiesto il consenso del paziente per i trattamenti necessari alla erogazione delle prestazioni sanitarie, purché si tratti di dati necessari alle “finalità di cura” previste dal GDPR.

Il concetto di “cura” rimanda alla tutela della salute e dell’incolumità psicofisica dei pazienti. Dunque, la finalità di cura esiste ogniqualvolta un medico faccia prevenzione, diagnosi, assistenza sanitaria o somministrazione di terapie. In senso più generale, la finalità di cura può anche comprendere la stessa gestione di un sistema sanitario pubblico nell’interesse della collettività.

Persegue una finalità di cura, ad esempio, l’infermiere che effettua la valutazione dei parametri vitali del paziente al momento dell’accesso in Pronto Soccorso, così come il cardiologo che raccoglie l’anamnesi necessaria alla corretta refertazione di un elettrocardiogramma, così come lo specialista che annota i dati biometrici del paziente in vista di un intervento di chirurgia plastica.

In tutti i casi, trattandosi di professionisti obbligati al segreto professionale, il Garante ha precisato che essi non devono più ottenere il consenso scritto dei pazienti per il trattamento dei loro dati sanitari.

Restano esclusi i trattamenti effettuati dai professionisti operanti nel settore sanitario per finalità ad esso estranee, come quelle promozionali, commerciali, di fidelizzazione della clientela o, magari, elettorali. A questo ultimo proposito si rimanda ad una sanzione, non trascurabile (16 mila euro), applicata ad un medico che aveva utilizzato gli indirizzi di oltre 3 mila pazienti per inviare loro comunicazioni di propaganda politica in vista delle elezioni regionali, utilizzando così i dati per finalità diverse da quelle di cura per le quali essi erano stati raccolti.

Si, quelle che riguardano accertamenti relativi ad indagini genetiche o all’HIV.

La struttura sanitaria deve adottare protocolli di comunicazione sicuri (HTTPS) e sistemi di autenticazione forte dell’interessato (strong authentication). Deve inoltre rendere disponibile il referto on line sul proprio sito web per un massimo di 45 gg e garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Può accedere ai dati personali del defunto chi abbia un interesse proprio o agisca a tutela della persona deceduta o per ragioni familiari meritevoli di protezione.

Coloro che esercitano la professione sanitaria non possono raccogliere al momento dell’accettazione, informazioni sulla sieropositività del paziente che si rivolge allo studio medico, a meno che ciò non risulti indispensabile per il tipo di intervento o terapia che si deve eseguire. In ogni caso, il dato sull’infezione da HIV (virus dell’immunodeficienza) deve essere raccolto direttamente dal personale medico, mai dal personale amministrativo e sempre con il consenso del paziente.

La normativa di settore prevede che siano adottate specifiche misure di protezione dal contagio nei confronti di ogni paziente, a prescindere dalla conoscenza dello stato di sieropositività. L’esigenza di ottenere informazioni sull’infezione da HIV fin dal momento dall’accettazione non può dunque essere giustificata dalla necessità di attivare tali misure. Nel caso in cui il medico venga a conoscenza di un caso di AIDS o HIV, oltre a rispettare specifici obblighi di segretezza e non discriminazione nei confronti del paziente, ha l’obbligo di adottare ogni misura individuata dal Codice della Privacy per garantire la sicurezza dei dati sanitari.