di Gabriella Lax � Sul tema della privacy in ambito sanitario � intervenuto con provvedimento n. 55 del 7 marzo 2019 (sotto allegato), il Garante della privacy, fornendo indicazioni sull'applicazione del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr).
Sanit� e privacy: le regole del Garante
In primis, il singolo medico non deve nominare il Dpo (responsabile della protezione dei dati); per le finalit� di cura non si deve chiedere il consenso, mentre il consenso servir� per la refertazione online, fascicolo e dossier sanitario elettronico; tocca ai medici, alle farmacie e alle aziende sanitarie la compilazione del registro dei trattamenti.
Nello specifico: il professionista sanitario, in virt� del segreto professionale, non deve pi� richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato: indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata. Norma che vale solo i trattamenti necessari per le finalit� di cura. Per altri trattamenti attinenti solo in senso lato, ma non strettamente necessari alla cura, servir� il consenso o un supporto giuridica. Tra questi trattamenti rientrano le app mediche; i trattamenti di dati delle farmacie per fidelizzare la clientela (accumulo punti per fruire di servizi e prestazioni accessorie); campagne promozionali e commerciali (programmi di screening, fornitura di servizi amministrativi, alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalit� commerciali o elettorali. In questo caso serve il consenso dell'interessato.
Il consenso, come riferisce il Garante, � richiesto dalle Linee guida del 4 giugno 2015: in questo ambito dovr� essere il Garante a individuare nell'ambito delle misure di garanzia (articolo 2-septies) i trattamenti che non necessitano il consenso. L'informativa dovrebbe essere aggiornata e integrata solo con riferimento alle novit� degli articoli 13 e 14 del Regolamento Ue.
Riguardo alle aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalit� dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attivit� di trattamento possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, pu� essere fissato da regole specifiche. Il fatto che sia prospettato un termine minimo. In caso di dubbi dovr� essere il titolare del trattamento a stabilirlo e indicarlo nelle informative: se non come periodo fisso, per lo meno precisando i criteri per individuarlo. Tocca alle aziende sanitarie nominare il Dpo o responsabile della protezione dei dati (siglato anche Rpd). Anche nel caso di un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non dovr� nominare un Dpo. Cos� come le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l'obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).
Il registro dovr� essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al garante, ma conservato per eventuali controlli.