Il medico è un professionista tenuto che è tenuto al segreto professionale e di conseguenza non ha l'obbligo di chiedere al paziente il consenso al trattamento dei dati per effettuare la prestazione sanitaria. Ancorchè i dati vengono utilizzati per finalità connesse alla cura ma non necessarie, allora va chiesto (esempio: strumenti di fidelizzazione, app mediche).
Il provvedimento del Garante privacy
Sono alcune indicazioni contenute nel provvedimento del Garante Privacy del 7 marzo sulla corretta interpretazione del nuovo GDPR, il regolamento europeo sulla protezione dati personali, da parte dei professionisti della Sanità. Il Garante fornisce una serie di chiarimenti che vanno nel senso della semplificazione (escludendo la necessità di consenso per cure mediche, già tutelate dal segreto professionale) e forniscono riferimenti per le varie fattispecie di attività.
Quando il consenso è necessario
Secondo il nuovo
GDPR:
- le App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell'interessato, per finalità diverse dalla
telemedicina oppure quando, indipendentemente dalla finalità dell'applicazione, ai dati dell'interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
- trattamenti preordinati alla fidelizzazione della clientela,effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell'ambito del
Servizio sanitario nazionale ;
- trattamenti effettuati in campo sanitario da
persone giuridiche private per finalità promozionali o commerciali (esempi: promozioni su programmi di screening,
contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- trattamenti effettuati attraverso il
Fascicolo sanitario elettronico (dl 179/2012, articolo 12, comma 5): l'obbligo è stabilito da disposizioni precedenti al
GDPR. «Un'eventuale opera di rimeditazione normativa in ordine all'eliminazione della necessità di acquisire il consenso dell'interessato all'alimentazione del Fascicolo – si legge nel provvedimento -, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati»;
- refertazione on line.
Informativa privacy chiara e comprensibile
In ogni caso, anche quando non c'è obbligo di consenso, il medico deve sempre fornire un'informativa privacy chiara e comprensibile al paziente sull'utilizzo dei dati. Nel dettaglio, le informazione vanno rese «in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro».
I medici e le strutture che non effettuano un trattamento massivo di dati non hanno nemmeno l'obbligo di nominare il Responsabile della protezione dati. Quindi, per fare un esempio, il libero professionista, o la farmacia, non hanno questo obbligo. Un ospedale invece deve necessariamente nominare il Dpo. La nomina del responsabile trattamento dati è sempre obbligatoria se la struttura è pubblica.
C'è invece per tutti l'obbligo di tenere un registro dei trattamento effettuato sui dati dei pazienti, che costituisce «un elemento essenziale per il
governo dei trattamenti e per l'efficace individuazione di quelli a maggior rischio» e di conseguenza non prevede esoneri.
Dott. Alessandro Pagliuca
Esperto in Diritto della Privacy
alessandropagliuca12@gmail.com