Alcune precisazioni e novità sul Consenso informato dei dati sulla salute dal Garante della Privacy

In ambito sanitario, in materia di trattamento dei dati, il professionista sanitario, soggetto al segreto professionale, non è più tenuto a richiedere il consenso dei dati al paziente per quei trattamenti con “finalità di cura” quando è quest’ultimo stesso a farne richiesta, a prescindere che l’operatore sanitario svolga un’attività libera professionale presso uno studio medico o all’interno di una struttura sanitaria pubblica.

È il nuovo provvedimento emesso dal Garante per la protezione dei dati personali il 7 marzo scorso (come si legge  nella nota di QuotidianoSanità.it del 18 marzo) con il quale esprime alcuni chiarimenti sulla disciplina del trattamento dei dati sensibili relativi alla salute dopo aver valutato segnalazioni, quesiti e dubbi interpretativi pervenuti a seguito dell’adeguamento al Regolamento Europeo n. 679/2016 (G.U. 04.05.2016) (d’ora in poi R.E.)  e in considerazione del Codice deontologico.  Su richiesta del legislatore (Dl 101/2018) affinché sia verificata la liceità dei trattamenti sui dati sensibili ed eventualmente la possibilità di individuare e adottare nuove misure di tutela a quella espressa nell’art. 9 del Regolamento Europeo, il Garante si è così espresso su alcune misure sulla base del paragrafo 4 dell’ art. 9  che cita: «Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».

In riferimento all’art. 9, paragrafo 2, lettera h, e par. 3 di tale  Regolamento Europeo, precisa che per i trattamenti per “finalità di cura” citati, «sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. A differenza del passato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente…., fatte salve le condizioni e le garanzie di cui al paragrafo 3» (art. 9, p. 2, lettera h). Si tratta dei seguenti trattamenti: medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.

Il paragrafo 3 dell’art. 9 del  R.E. cita: «I dati personali riferiti al paragrafo 1 (sul divieto del trattamento dei dati casi particolari concernenti origine razziale, etnica, genetici, relativi alla salute, orientamento sessuale, vita sessuale, convinzione religiosa  etc.)  possono essere trattati per le finalità di cui al paragrafo 2 lettera h, se tali sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti».

Inoltre la tipologia di trattamenti prevista  al par. 2 lett. h dell’art. 9 del R.E. riscontra l’applicabilità in quanto sono essenziali al fine di raggiungere «una o più finalità esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).

Invece per quelle prestazioni che riguardano la cura ma non sono considerate «strettamente necessarie» occorre distinguerle giuridicamente dalle altre, seppure siano effettuate da professionisti della sanità, «eventualmente nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6, 9 par 2).

Per le situazioni che non rientrano in suddette condizioni viene richiesto il consenso esplicito dell’interessato come da art. 9, par. 2, lett. a del Regolamento («L’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo1»). Il Garante spiega individuando  alcune categorie come esempio. Una riguarda l’utilizzo di App mediche che comportano la raccolta di  dati, anche sanitari ogni qualvolta non si tratti di  telemedicina o  accedano ai dati del paziente figure diverse dai professionisti sanitari o tenuti al segreto professionale. Un’altra, è quella mirata  alla fidelizzazione della clientela,  i cui trattamenti vengono effettuati presso le farmacie per la raccolta di punti allo scopo della fruizione di servizi o prestazioni accessorie nel settore farmaceutico-sanitario. Poi quando persone giuridiche private effettuano trattamenti per finalità promozionali e commerciali come ad esempio le promozioni di programmi di screening.  Ancora quando i professioni sanitari svolgono trattamenti per fini commerciali o elettorali. Infine per l’uso del Fascicolo sanitario elettronico.
Riguardo al Fascicolo sanitario elettronico si richiede l’obbligatorietà del consenso ad acquisire i dati, come era previsto nelle precedenti disposizioni prima del Regolamento, espressa ora dall’art. 75 del Codice. Si contempla la  possibilità di eliminare tale attuale obbligo alla luce di un nuovo quadro giuridico.

Il provvedimento specifica alcune precisazioni sulle informazioni a cui sono tenuti i titolari di trattamento verso i pazienti nell’uso della correttezza, liceità e trasparenza. La  comunicazione delle informazioni (sia raccolte presso l’interessato sia non ottenuti presso l’interessato artt. 13, 14 R.E) al paziente deve avere le peculiarità di concisione, trasparenza, intelligibilità, di facile accessibilità, espressa con un linguaggio semplice e chiaro ed avvenire nella modalità espressa dal titolare. Riguardo al contenuto si riportano alcuni aggiornamenti. La struttura sanitaria potrebbe acquisire informazioni generiche concernenti l’attività ordinaria delle prestazioni sanitarie in un primo momento e  rimandare a quelle più specifiche solo in base all’interessamento effettivo dei pazienti ai servizi espressa dalla modalità di consegna dei referti, dalla fornitura di presidi sanitari..). Tra gli elementi nuovi, il tempo di conservazione dei dati. Rimane la differenziazione dei tempi di conservazione della documentazione sanitaria come ad esempio 5 anni riguardo al certificato di idoneità all’attività sportiva da parte del medico visitatore, al tempo illimitato per le cartelle cliniche e referti correlati, più di dieci anni per la  documentazione iconografica radiologica. Laddove non sia stabilito per specifici documenti starà al titolare del trattamento, nel rispetto del principio di responsabilità, indicare e dare informazione del periodo di conservazione.

Un’azienda sanitaria pubblica  individua un responsabile della protezione dei dati (RDP) per controllare sulla corretta applicabilità del Regolamento in materia di trattamenti dei dati, una figura che può far capo a più strutture  sanitarie per la responsabilità di titolare del trattamento. Lo stesso concetto di larga scala per il trattamento dei dati vale per il privato (ospedale privato, rsa, casa di cura).  Invece il   singolo professionista sanitario che svolge attività di libera professione a livello individuale non è tenuto a individuare tale figura. Avviene lo stesso per le farmacie, parafarmacie, aziende ortopediche.

Infine è previsto il registro delle attività di trattamento cui sono tenuti   i singoli professionisti sanitaria che operano in libera professione in quanto strumento di accountability e di gestione del rischio, i medici di medicina generale  e i pediatri,  gli ospedali privati, le case di cura, le Rsa e le aziende sanitarie del Ssn, farmacie, parafarmacie e aziende ortopediche.