Privacy e sanità: alcune considerazioni sulle linee guida del Garante

Lo scorso 7 marzo il Garante per la protezione dei dati personali ha emanato il provvedimento n.55 contenente “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” alla luce delle modifiche introdotte dalla piena applicazione del Regolamento 2016/679 (c.d. GDPR).

Il presente contributo vuole offrire alcune riflessioni su un documento molto importante per la funzione “nomofilattica”, posto che sono proprio gli artt. 57 del GDPR e 154 del Codice per la protezione dei dati personali (D.Lgs. 196/2003) ad attribuire al Garante il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, nonché agli obblighi imposti ai titolari e i responsabili del trattamento.

Com’è noto, la disciplina inerente al trattamento dei dati sulla salute è cristallizzata nell’art. 9 del GDPR e, proprio in tale ambito, è stata concessa la possibilità agli stati membri UE di mantenere o introdurre ulteriori condizioni, comprensive di limitazioni. 

In tale scenario, si pone il D.Lgs. n.101/2018, vigente dal 19.9.2018, il quale ha previsto che spetti al Garante completare l’individuazione dei presupposti di liceità del trattamento dei dati in ambito sanitario, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche. 

Il tema dei trattamenti dei dati nella sanità è materia estremamente delicata e complessa e, proprio in virtù di tale ragione, il legislatore ha previsto un periodo transitorio nel quale spetta dunque all’Autorità l’onere di individuare (ed eventualmente integrare ed aggiornare) le prescrizioni contenute nelle autorizzazioni generali sul trattamento dei dati sensibili, oltre a dar vita ad una verifica della conformità dei codici deontologici al Regolamento.

Data questa disciplina transitoria, con provvedimento del 13.12.2018, volto a coordinare la disciplina previgente con il nuovo regolamento, sono state individuate le prescrizioni compatibili con le disposizione del regolamento e del D.Lgs. n. 101/2018, prevedendo, nel contempo, l’avvio di una procedura di consultazione pubblica finalizzata all’acquisizione di osservazioni e proposte a cura di tutti i soggetti coinvolti.

Con provvedimento n. 513 del 19.12.2018, inoltre, il Garante ha ottemperato alla verifica della conformità delle disposizioni contenute all’interno dei Codici deontologici e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici al Regolamento e alla loro conversione in regole deontologiche, il cui rispetto è precondizione per la liceità e correttezza del trattamento dei dati personali. 

Dato dunque il quadro normativo estremamente complesso, e stante la necessità e l’esigenza di un intervento del Garante volto a fornire dei chiarimenti riguardo alla disciplina in ambito sanitario, il provvedimento in commento si incentra su quattro aspetti fondamentali.

1. Disciplina generale per il trattamento dei dati relativi alla salute in ambito sanitario

Dal punto di vista della disciplina generale, vige un divieto di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano, a pieno titolo, quelli sulla salute.

L’art. 9 del GDPR, tuttavia, prevede alcune deroghe al principio di “intrattabilità” dei dati, anche per quanto concerne il campo sanitario.

Riassumendo brevemente, il trattamento dei dati in materia sanitaria è lecito per:

  • motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri” (art. 9, par. 2, lett g del Regolamento);
  • motivi di interesse pubblico nel settore della sanità pubblica (quali, a titolo esemplificativo, la protezione da gravi minacce per la salute a carattere transfrontaliero);
  • finalità di medicina preventiva, diagnosi, assistenza, o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (in sostanza, per “finalità di cura”, ex art. 9, par. 2, lett. h).

V’è da precisare, invero, come, a seconda del trattamento specifico effettuato, è ben possibile che si possa applicare al caso concreto una delle altre deroghe previste dall’art. 9 del regolamento.

Per il trattamento dei dati per “finalità di cura” il provvedimento del Garante precisa che, diversamente dal passato, il professionista sanitario, essendo soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta all’interessato, a prescindere che agisca in qualità di libero professionista o all’interno di una struttura sanitaria pubblica o privata. 

Per quanto concerne, invece, i trattamenti “accessori”, cioè quelli attinenti solo latu sensu alla cura, ma non strettamente necessari, si richiede una diversa base giuridica per il trattamento, da individuarsi nel consenso prestato dall’interessato o in altro presupposto di liceità (artt. 6 e 9, par. 2 del Regolamento).

Il provvedimento in commento, dunque, fa luce su tale ultimo aspetto, cioè per quei trattamenti in ambito sanitario che non rientrano nelle ipotesi sopra descritte e che comunque richiedono il consenso dell’interessato.

In sostanza, i trattamenti, ad esempio, connessi all’utilizzo di App mediche, i trattamenti preordinati alla fidelizzazione della clientela (quali ad esempio quelli effettuati dalle farmacie attraverso programmi di accumulo punti), i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali, i trattamenti posti in essere da professionisti sanitari per finalità commerciali o elettorali e i trattamenti effettuati attraverso il Fascicolo sanitario elettronico, necessitano del consenso dell’interessato quale condizione di liceità del trattamento.

Il Garante, dunque, ha voluto precisare tali aspetti, sottolineando come nei casi appena elencati l’acquisizione del consenso è richiesta da disposizioni di settore precedenti all’applicazione del Regolamento, il cui rispetto è oggi espressamente garantito dall’art. 75 del Codice della Privacy aggiornato e integrato dal D.Lgs. 101/2018. 

Alla luce del mutato quadro normativo sarà, quindi, il Garante ad individuare i trattamenti che, eventualmente, ex art. 9 par. 2 lett. h GDPR, possono essere effettuati senza il consenso dell’interessato.

In ogni caso, le disposizioni del codice, precisa l’Autorità, devono essere interpretate e applicate alla luce del Regolamento, così come previsto, peraltro, dall’art. 22 comma 1 del d. lgs. n. 101/2018.

2. Informazioni da fornire all’interessato

Uno dei principi cardine dell’intero GDPR è ravvisabile nel principio di trasparenza sancito dall’art. 5, par. 1 lett. a) reg. 679/2016, il quale impone ai titolari del trattamento di fornire all’interessato tutte le informazioni sui principali elementi del trattamento, al fine di renderlo partecipe e consapevole delle principali caratteristiche dello stesso.

In sostanza, le informazioni da rendere all’interessato, in sede di raccolta dei suoi dati, vanno rese in maniera chiara, concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice. 

Rispetto al contenuto dell’informativa, il GDPR non stravolge l’impianto previgente ma prevede solo alcuni nuovi elementi informativi.

In altre, parole, l’informativa predisposta dai titolari deve essere solo aggiornata ed integrata con riferimento agli elementi di novità previsti dagli artt. 13 e 14 del Regolamento.

Il provvedimento in commento, rispetto all’attività posta in essere dai titolari del trattamento operanti in ambito sanitario, precisa poi come le informazioni previste dal Regolamento vadano fornite all’interessato in modo progressivo.

Ciò significa che nei riguardi della generalità dei pazienti facenti capo ad una determinata struttura sanitaria potrebbero essere fornite informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie. Gli altri elementi informativi relativi a particolari attività di trattamento potrebbero essere resi in un secondo moment, e cioè solo a pazienti effettivamente interessati da tali servizi e dagli ulteriori trattamenti. 

Riguardo al periodo di conservazione della documentazione sanitaria, la disciplina del regolamento non ha modificato quella previgente in determinati settori, come precisato dal provvedimento del Garante: si prenda, ad esempio, la documentazione inerente agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, la cui conservazione spetta al medico visitatore per almeno cinque anni. 

Le cartelle cliniche, così come i referti, vanno conservati illimitatamente, mentre la documentazione iconografica radiologica va conservata per almeno dieci anni. 

Ove, invece, la legge non individui un tempo di conservazione specifico per determinati documenti sanitari, sarà il titolare del trattamento, in virtù del principio dell’accountability, ad individuare un periodo di conservazione.

Tale arco di tempo, comunque, non deve essere superiore al conseguimento delle finalità per cui i dati sono trattati. 

La preoccupazione è che possa essere stato conferito un margine di discrezionalità troppo ampio nella determinazione del quantum relativo alla conservazione dei dati, ove non determinato aprioristicamente.

Tuttavia, essendo l’intera nuova disciplina ispirata dal principio di responsabilizzazione, si nota comunque la coerenza del Garante rispetto a tale tematica.

3. Il responsabile della protezione dei dati

Il ruolo del responsabile del trattamento è assolutamente centrale nella nuova disciplina del trattamento dei dati.

Esso è individuabile in una persona fisica o giuridica, pubblica amministrazione o ente che deve essere in grado di fornire idonee garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dell’interessato.

La designazione di tale figura, pertanto, risulta essere una misura fortemente garantista per l’interessato ed idonea a facilitare l’osservanza della disciplina di protezione dei dati. La sua individuazione è obbligatoria per le Autorità o organismi pubblici, mentre per gli altri soggetti è obbligatoria solo ricorrendo le specifiche condizioni di cui all’art. 37 GDPR.

Il provvedimento in commento ha precisato che il trattamento dei dati personali relativi a pazienti effettuati da un’azienda appartenente al SSN deve essere ricondotto a quel tipo di trattamento per cui è prevista l’obbligatoria designazione del Responsabile Protezione dei Dati (RPD altrimenti noto come DPO), sia in funzione della natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37 par. 1 lett. c. , posto che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.

Anche per quanto concerne il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) rientra nel concetto di larga scala, determinando così l’obbligatorietà alla nomina del RPD.

Il provvedimento in commento fa luce anche sul singolo professionista sanitario che operi in regime di libera professione a titolo individuale.

Tale soggetto, infatti, non è tenuto alla designazione del RPD.

Ciò perché stando alle prescrizioni del Considerando n. 91 del Regolamento, infatti, i trattamenti effettuati dallo stesso non rientrano tra quelli su larga scala.

Quanto alle farmacie, para-farmacie, aziende ortopediche e sanitarie, ove tali soggetti non effettuino trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD. 

Il Garante ha, dunque, fissato dei paletti in merito alla obbligatorietà o meno della designazione del RPD, ancorando la sua obbligatoria designazione al concetto di “larga scala” del trattamento dei dati.

Ebbene, tale concetto sembra essere piuttosto sfuggente, posto che non vi è alcuna definizione all’interno del Regolamento né nei Considerando.

Di certo il concetto di “larga scala” è indissolubilmente legato a fattori quali l’ampiezza del territorio geografico in cui si trattano i dati, il volume e la tipologia dei dati trattati, la percentuale di interessati sul totale di una popolazione di riferimento e la durata del trattamento.

Tuttavia, era auspicabile un chiarimento dettagliato su tale aspetto, posto che sembra essere dirimente ai fini dell’obbligatoria individuazione del RPD, con ciò potendo determinare delle gravi conseguenze in capo a chi non ottempera all’obbligo di individuazione. 

4.Disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

L’adozione di un registro delle attività di trattamento rappresenta la trasposizione concreta del principio di accountability (responsabiliazzione) che ha ispirato la nuova disciplina del trattamento dei dati.

Liceità, correttezza e trasparenza, infatti, sono le parole chiave della nuova disciplina, con ciò comportando un inversione dell’onere della prova rispetto al passato, nel senso che oggi spetta al titolare del trattamento dimostrare di aver predisposto tutte le misure conformi all’utilizzo dei dati prescritto dal nuovo regolamento. 

È l’art.30 del GDPR a prescrivere l’adozione di tale strumento, ancorando la sua adozione ad un dato di tipo quantitativo e ad una serie di dati di carattere sostanziale. 

Infatti, gli obblighi relativi alla tenuta di un registro delle attività di trattamento non si applicano, ex paragrafo 5 art.30 GDPR, alle “ imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa rappresentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9, paragrafo 1, o di dati personali relativi a condanne penali e reati di cui all’art. 10”.

In ambito sanitario, dunque, così come precisato dal provvedimento in esame, si profila la sussistenza dell’obbligo all’adozione di un registro di trattamento dei dati.

Singoli professionisti sanitari che agiscano in libera professione, i medici della medicina generale e pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, farmacie, para-farmacie ed aziende ortopediche, dunque, sono obbligatoriamente tenuti alla redazione e conservazione del registro di trattamento dei dati, proprio in virtù del fatto che si sta parlando di casi in cui, aldilà del mero dato di tipo quantitativo in ordine alla grandezza delle strutture, il trattamento non è di carattere occasionale o comunque importa il recepimento di dati “sensibili”. 

Il provvedimento del Garante, inoltre, precisa come il registro delle attività di trattamento non debba essere trasmesso allo stesso ma debba invece essere esclusivamente conservato e messo a disposizione dell’Autorità in caso di controllo. 

Segui e condividi i nostri contenuti anche sui social network...