Privacy: le indicazioni del Garante per medici e strutture sanitarie
di Gabriella Lax – Sul tema della privacy in ambito sanitario è intervenuto con provvedimento n. 55 del 7 marzo 2019 (sotto allegato), il Garante della privacy, fornendo indicazioni sull'applicazione del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr).
Sanità e privacy: le regole del Garante
In primis, il singolo medico non deve nominare il Dpo (responsabile della protezione dei dati); per le finalità di cura non si deve chiedere il consenso, mentre il consenso servirà per la refertazione online, fascicolo e dossier sanitario elettronico; tocca ai medici, alle farmacie e alle aziende sanitarie la compilazione del registro dei trattamenti.
Nello specifico: il professionista sanitario, in virtù del segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato: indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata. Norma che vale solo i trattamenti necessari per le finalità di cura. Per altri trattamenti attinenti solo in senso lato, ma non strettamente necessari alla cura, servirà il consenso o un supporto giuridica. Tra questi trattamenti rientrano le app mediche; i trattamenti di dati delle farmacie per fidelizzare la clientela (accumulo punti per fruire di servizi e prestazioni accessorie); campagne promozionali e commerciali (programmi di screening, fornitura di servizi amministrativi, alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. In questo caso serve il consenso dell'interessato.
Il consenso, come riferisce il Garante, è richiesto dalle Linee guida del 4 giugno 2015: in questo ambito dovrà essere il Garante a individuare nell'ambito delle misure di garanzia (articolo 2-septies) i trattamenti che non necessitano il consenso. L'informativa dovrebbe essere aggiornata e integrata solo con riferimento alle novità degli articoli 13 e 14 del Regolamento Ue.
Riguardo alle aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, può essere fissato da regole specifiche. Il fatto che sia prospettato un termine minimo. In caso di dubbi dovrà essere il titolare del trattamento a stabilirlo e indicarlo nelle informative: se non come periodo fisso, per lo meno precisando i criteri per individuarlo. Tocca alle aziende sanitarie nominare il Dpo o responsabile della protezione dei dati (siglato anche Rpd). Anche nel caso di un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non dovrà nominare un Dpo. Così come le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l'obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).
Il registro dovrà essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al garante, ma conservato per eventuali controlli.
Data: 17/03/2019 16:00:00Autore: Gabriella Lax