Privacy e dati sanitari, scaduto il periodo di tolleranza. I chiarimenti del Garante

Il periodo di “tolleranza” che tutti gli Stati europei hanno osservato per consentire l’adeguamento al nuovo Regolamento europeo sulla Privacy è appena scaduto. Da adesso potrebbe partire l’attività del Garante per la protezione dei dati personali e le relative sanzioni. Ecco i chiarimenti del Garante in materia di trattamento dei dati sanitari

Lo sviluppo tecnologico e digitale ha influito notevolmente sulla sanità negli ultimi anni: quasi tutta la documentazione dei processi di cura, infatti, è raccolta o gestita online.
Il potenziale di rischio a cui sono soggetti i dati sanitari può essere calcolato tenendo in considerazione diversi fattori, uno fra questi è il fattore economico: dalle cartelle cliniche si possono violare dati sensibili di carattere personale, come nome e cognome, data di nascita, estremi dei documenti di identità e, in alcuni casi, il numero della carta di credito. Dati ad esempio utili per creare falsi documenti e identità, da rivendere o da usare per architettare truffe online.
Analisi e ricerche condotte nel settore dimostrano che l’implementazione delle risorse informatiche nel settore ospedaliero non è avvenuta in maniera organica e sistematica e la mancanza di un approccio sistemico favorisce il lavoro dicyber criminali, capaci ad accedere aidati dei pazienti senza troppe difficoltà.
Il Garante è di recente intervenuto con il provvedimento n. 55 del 7 marzo 2019 per fornire chiarimenti sulla disciplina applicabile al trattamento di dati sanitari. Il provvedimento risponde all’esigenza di dare un’interpretazione uniforme a vantaggio degli operatori e tutelare più efficacemente il paziente e i suoi dati.
Occorre anzitutto ricordare che il trattamento di dati personali è, in via generale, vietato se rivolto a rivelare lo stato di salute di un soggetto, ma il trattamento di dati particolari, come quelli sanitari, è invece permesso se ricorrono interessi pubblici di tutela di diritti fondamentali, per lo Stato o per l’Europa.
La tutela del diritto alla salute è tanto importante che i trattamenti effettuati per necessarie finalità di cura (art. 9, co. 2, lett. h e co. 3, GDPR) non necessitano del consenso del paziente, quando effettuati da, o sotto la responsabilità di, un operatore obbligato al segreto professionale.
Il consenso è invece richiesto per tutti quei trattamenti, solo in senso lato attinenti alla cura, che non sono direttamente causa della cura stessa: il consenso dev’essere raccolto per la refertazione online, per la tenuta del fascicolo sanitario elettronico, per l’utilizzo di app. mediche o per l’inoltro di messaggi promozionali e commerciali.
Al paziente dev’essere fornita un’informativa chiara, concisa e trasparente e si suggerisce di fornire le informazioni, previste dal GDPR, in modo progressivo: nei confronti della generalità dei pazienti potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione del servizio; mentre gli elementi informativi relativi a particolari attività di trattamento potrebbero essere resi, in un secondo momento, solo ai pazienti effettivamente interessati a ulteriori servizi.
Ultimi chiarimenti vengono dati dal Garante in ordine ai termini di conservazione dei dati: se non sono fissati da norme specifiche, è oggetto di responsabilizzazione del titolare fissare un periodo di conservazione congruo agli standard di legge. In ogni caso detti termini devo essere portati a conoscenza del paziente tramite l’informativa.

Monica Gobbato – data protection officer
Giacomo de Simio – data protection specialist
Doctor33 24 maggio 2019