17 Novembre 2019
Home / Comunicati FNOMCeO / Disciplina di protezione dei dati in ambito sanitario, i chiarimenti del Garante

Disciplina di protezione dei dati in ambito sanitario, i chiarimenti del Garante

L’Autorita Garante per la protezione dei dati personali, con Provvedimento del 7 marzo 2019, fornisce chiarimenti in merito all’applicazione della disciplina sulla protezione dei dati in ambito sanitario, alla luce delle modifiche introdotte dal Regolamento UE 2016/679 sulla protezione dei dati personali e la libera circolazione di tali dati.

TRATTAMENTO DEI DATI – Deroghe al divieto generale di trattare le “categorie particolari di dati” (tra cui rientrano quelli sulla salute) sono concesse per “finalità di cura“, vale a dire – viene precisato nel documento – quei trattamenti “effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza“.

Diversamente dal passato quindi, “il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata“.

Eventuali trattamenti “attinenti solo in senso lato alla cura e non strettamente necessari” richiedono, invece, “anche se effettuati da professionisti della sanità”, il consenso dell’interessato. A questo proposito vengono individuate, a titolo esemplificativo, le seguenti categorie: trattamenti connessi all’utilizzo di App mediche; trattamenti preordinati alla fidelizzazione della clientela; trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali; trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali; trattamenti effettuati attraverso il Fascicolo sanitario elettronico.

INFORMAZIONI DA FORNIRE ALL’INTERESSATO – Con specifico riferimento all’attività posta in essere da titolari del trattamento operanti in ambito sanitario che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie), il Garante ritiene opportuno suggerire “di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo“.

Nei confronti della generalità dei pazienti “possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie“. Le informative relative a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) “possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi“.

CONSERVAZIONE DEI DATI – Per quanto riguarda il periodo di conservazione dei dati, il Garante ricorda che, con particolare riferimento alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione: la documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica deve essere conservata, a cura del medico visitatore, per almeno cinque anni; le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente, mentre la documentazione iconografica radiologica deve essere conservata per un periodo non inferiore a dieci anni.

Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento “dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati e indicare tale periodo tra le informazioni da rendere all’interessato“.

RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD) – “Al singolo professionista sanitario che operi in regime di libera professione a titolo individuale – scrive il Garante -, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività”. Allo stesso modo “farmacie, le parafarmacie, le aziende ortopediche e sanitarie, se non effettuano trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD”.

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO – Non sono esenti dalla compilazione del registro “i singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche”. Il registro “non deve essere trasmesso al Garante”, ma “messo a disposizione dell’Autorità in caso di controllo”.

LA COMUNICAZIONE FNOMCeO CON IL PROVVEDIMENTO DEL GARANTE

Forse cercavi

Ambiti territoriali vacanti di assistenza primaria e continuità assistenziale, convocazione medici frequentanti il corso di formazione specifica in medicina generale

Sul BUR – parte terza – n. 348 del 30 ottobre 2019 è pubblicato il …