Il Garante per la protezione dei dati personali fornisce alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario

il  Garante per la protezione dei dati personali ha ritenuto opportuno fornire alcuni chiarimenti in merito al nuovo assetto  della  disciplina  relativa  al  trattamento  dei  dati  in  ambito  sanitario,  per favorire  un’interpretazione  uniforme  della  nuova  normativa  e  supportare  tutti  i soggetti operanti in ambito sanitario.   
 
***
 
Tra le osservazioni di interesse si segnalano le seguenti.
 
DISCIPLINA  PER  IL  TRATTAMENTO  DEI  DATI  RELATIVI  ALLA SALUTE IN AMBITO SANITARIO
 
Il trattamento dei dati della salute è consentito in presenza di alcuni requisiti specifici, descritti nell’art. 9 del Regolamento U.E.  2016/679.
 
In particolare, l’art. 9 del Regolamento elenca una serie di eccezioni che, in deroga  al  divieto  generale  di  trattare  le  cd.  categorie  particolari  di  dati,    rendono lecito il loro trattamento e che sono riconducibili, per quanto concerne i dati relativi alla salute, ai trattamenti necessari per:

1.  motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli  Stati  Membri  (art.  9,  par.  2,  lett.  g)  del  Regolamento),  individuati dall’art. 2-sexies del Codice;
 
2.  motivi  di  interesse  pubblico  nel  settore  della  sanità  pubblica,  quali  la protezione  da  gravi  minacce  per  la  salute  a  carattere  transfrontaliero  o  la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei  medicinali  e  dei  dispositivi  medici,  sulla  base  del  diritto  dell'Unione  o
degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale (art. 9, par. 2 lett. i) del Regolamento e considerando n. 54); si pensi, ad esempio, alle emergenze sanitarie conseguenti a sismi e sicurezza alimentare;
 
3.  per  finalità  di  medicina  preventiva,  diagnosi,  assistenza  o  terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”), sulla base del diritto dell'Unione o degli Stati
membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2 lett. h) e par. 3 del Regolamento e del considerando n. 53; art. 75 del  Codice  della  privacy)  effettuati  da  o  sotto  la  responsabilità  di  un professionista  sanitario  soggetto  al segreto professionale o da altra persona
anch’essa soggetta all’obbligo di segretezza.
 
Pertanto, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista o in una struttura sanitaria pubblica o provata.
 
Il Garante, inoltre, precisa che, in concreto, a seconda dello specifico trattamento effettuato,  si  possa  ricadere  anche  nel  campo  di  applicazione    di  un’altra  delle deroghe individuate dall’art. 9 del Regolamento.  
 
In relazione all’ambito oggettivo dei trattamenti con finalità di cura si devono ritenere  “necessari”  quelli  essenziali  per  il  raggiungimento  di  una  o  più  finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).
 
Di conseguenza,  per effettuare quei trattamenti riconducibili  solo in senso lato alla cura, ma non strettamente necessari, è imprescindibile, l’individuazione di una distinta  base  giuridica,  da  ricercare  nel  consenso  dell’interessato  o  in  altro presupposto di liceità di cui agli artt.6 e 9 par. 2 del Regolamento.
 
A titolo esemplificativo, i trattamenti che, invece, ai sensi dell’art. 9, lett. a), del Regolamento, richiedono il consenso esplicito dell’interessato sono:
 
a.  trattamenti  connessi all’utilizzo  di  App  mediche,  attraverso  cui  autonomi titolari  dei  trattamenti  raccolgono  dati,  anche  sanitari  dell’interessato,  per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità  dell’applicazione,  ai  dati  dell’interessato  possano  avere  accesso
soggetti  diversi dai professionisti sanitari  o  altri  soggetti tenuti  al  segreto professionale; 

b.  trattamenti  preordinati  alla  fidelizzazione  della  clientela,  effettuati  dalle farmacie attraverso programmi di accumulo di punti, al fine di fruire servizi o  prestazioni  accessorie,  attinenti  al  settore  farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del SSN;
 
c.  trattamenti effettuati in campo sanitario da persone giuridiche private per finalità  promozionali  o  commerciali  (es.  promozioni  su  programmi  di screening);
 
d.  trattamenti  effettuati  da  professionisti  sanitari  per  finalità  commerciali  o elettorali.  Infatti,  i  dati  personali  raccolti  nell´esercizio  di  attività professionali  e  di  impresa,  ovvero  nell´ambito  dell´attività  di  tutela  della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non  sono  utilizzabili  per  fini  di  propaganda  elettorale  e  connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi  per  i  quali  i  dati  sono  stati  raccolti.  Ad  esempio,  non  è  lecito
utilizzare  particolari  indirizzari  o  dati  raccolti  da  strutture  sanitarie, pubbliche  e  private,  ovvero  da  singoli  professionisti  sanitari,  nell´ambito delle attività di diagnosi e cura da essi svolti, al fine di veicolare messaggi di  comunicazione  politica  volti  a  sostenere  la  candidatura  di  personale medico  o  comunque  legato  alla  struttura  sanitaria  presso  la  quale l´interessato si è recato per fini di cura;
 
e.  trattamenti  effettuati  attraverso  il  Fascicolo  sanitario  elettronico  (d.l.  18 ottobre 2012, n. 179, art.12, comma 5).  
 
Con  riferimento  ai  trattamenti  effettuati  attraverso  il  Dossier  sanitario,  il consenso  è  attualmente  previsto  nelle  Linee  guida  emanate  dall’Autorità    prima dell’applicazione  del  Regolamento.  Alla  luce  del  nuovo  quadro  normativo,  dovrà essere il Garante  ad individuare quali misure- da adottare ex art 2 septies del Codice della privacy-   possano essere effettuate senza il consenso.
 
Si  rammenta  che,  ai  sensi  dell’art.  22,  comma  1,  del  d.lgs.  101/2018,  le disposizioni  del  Codice  della  Privacy  si  devono,  in  ogni  caso,  interpretare  ed applicare alla luce del Regolamento.
 
INFORMAZIONI DA FORNIRE ALL’INTERESSATO
 
Le informazioni da fornire all’interessato, secondo quanto previsto dagli artt. 13 e 14 del Regolamento,  devono essere rese in forma concisa, trasparente intelligibile e  facilmente  accessibile,  con  linguaggio  semplice e  chiaro  (cfr.  art.  12, par. 1  del Regolamento e art. 78 del Codice).
 
Per  quanto  concerne  le  modalità  con  cui  fornire  le  informazioni,  alla  luce  del principio di responsabilizzazione di cui all’art. 5 del Regolamento, spetta al titolare del  trattamento  scegliere  le  modalità  più  appropriate  al  caso  di  specie  (cfr. considerando 58 e 60 del Regolamento).
 
 
 
 RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD)
 
Per facilitare l’osservanza della disciplina di protezione dei dati, per le autorità o organismi  pubblici  deve  obbligatoriamente  essere  designato  un  responsabile  della protezione  dei  dati.  Per  gli  altri  soggetti  tale  obbligo  sussiste,  invece,  solo  nelle specifiche  condizioni  individuate  dall’art.  37  del  Regolamento  che,  ad  esempio,  impone  la  designazione  del  RPD  qualora  le  attività  principali  del  titolare  del
trattamento o del responsabile  del trattamento  consistano  nel trattamento, su larga scala, di categorie particolari di dati personali.
 
Pertanto, il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non è tenuto alla designazione di tale figura.
 
Il Garante ha, invece, precisato che anche il trattamento svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare  nel  concetto  di  trattamento  su  larga  scala  e  per  tale  motivo  esigere  la designazione di un RPD.
 
In  conclusione,  le  farmacie  e  le  parafarmacie,  tenuto  conto  che  non effettuano  trattamenti  di  dati  personali  su  larga  scala,  non  sono  obbligate  a designare il RPD.
 
REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
 
Il  titolare  del  trattamento  o  il  responsabile  del  trattamento  deve  tenere  un registro  delle  attività  di  trattamento  effettuate  sotto  la  sua  responsabilità,  per dimostrare di conformarsi al Regolamento 2016/679.  
 
Si segnala che anche le farmacie e le parafarmacie  sono obbligate alla tenuta del registro, non rientrando tra le ipotesi di esenzione.