Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Privacy e trattamento dati sanitari: cosa dice il GDPR

Privacy e trattamento dati sanitari: cosa dice il GDPR

In materia di trattamento dei dati sanitari, il Garante per la Privacy ha pubblicato alcuni chiarimenti utili per cittadini e operatori del settore.

L'obiettivo del Provvedimento n. 55 del 7 marzo 2019 è quello di dare delle interpretazioni uniformi del nuovo assetto normativo, secondo quanto stabilito dal GDPR e dal seguente adeguamento alle leggi italiane (D.Lgs. 101/2018).

In questo articolo vediamo di capire, nel dettaglio, le casistiche e la corretta applicazione delle novità introdotte dal Regolamento UE 2016/679 in ambito dati sanitari.

Trattamento dati sanitari: quando è previsto

Il divieto generale di trattare "categorie particolari di dati", tra cui anche quelli sanitari, esclude alcune casistiche.

Il trattamento dei dati sanitari è, dunque, previsto:

  • per motivi di interesse pubblico rilevante, sulla base del diritto dell'Unione o degli Stati membri;
  • per motivi di interesse pubblico nel settore della sanità pubblica (es. protezione da gravi minacce per la salute a carattere transfrontaliero, emergenze sanitarie conseguenti a sismi o sicurezza alimentare);
  • per trattamenti per "finalità di cura", ovvero finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale, gestione dei sistemi e servizi sanitari o sociali.

Il consenso al trattamento dei dati da parte dell'interessato non è richiesto, invece, per:

  • trattamenti essenziali per il raggiungimento di una o più finalità determinate e connesse alla cura della salute;
  • trattamenti effettuati da un professionista sanitario (o quelli che sono sotto la sua responsabilità) soggetto al segreto professionale;
  • trattamenti effettuati da (o sotto la responsabilità di) altra persona soggetta all’obbligo di segretezza.

Al contrario, il consenso è obbligatorio per trattamenti di dati in ambito sanitario legati a:

  • utilizzo di app mediche;
  • fidelizzazione della clientela;
  • finalità promozionali o commerciali;
  • finalità elettorali;
  • consultazione del Fascicolo sanitario elettronico o per consultazione referti online.

GDPR e sanità: informazioni da fornire e conservazione dei dati

Il principio di trasparenza (art. 5 del Regolamento) obbliga i titolari a informare l’interessato sugli elementi fondamentali del trattamento.

Le informazioni, chiarisce il Garante per la Privacy, "vanno rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro". Tuttavia, per il principio di responsabilizzazione, sarà compito del titolare scegliere le modalità più efficaci per fornire queste informazioni all'interessato.

Per quanto riguarda i tempi di conservazione (da indicare nell’informativa), nel caso in cui non dovessero essere regolamentati da norme specifiche, sarà il titolare a definirli, sulla base della finalità del trattamento.

La documentazione sanitaria prevede tempistiche di conservazione molto diverse tra loro, che comunque non sono state modificate dalla disciplina sulla protezione dei dati personali. Quindi, ad esempio, rimangono invariati i tempi per:

  • conservazione certificati di idoneità all’attività sportiva agonistica (almeno 5 anni);
  • conservazione cartelle cliniche e relativi referti (illimitata);
  • documentazione iconografica radiologica (almeno 10 anni).

Trattamento dati sanitari: responsabile della protezione dei dati

La nomina di un Responsabile della Protezione dei Dati (DPO – Data Protection Officer) è obbligatoria per autorità o organismi pubblici, come le aziende sanitarie appartenenti al Servizio Sanitario Nazionale.

L'obbligo vale anche per tutti i trattamenti effettuati "su larga scala", sia nel settore pubblico che privato (es. case di cura, RSA e ospedali).

Sono esclusi dall'obbligo di nomina di un DPO, sempre a condizione che non effettuino trattamenti di dati personali su larga scala, i seguenti soggetti:

  • professionisti sanitari che operano in regime di libera professione a titolo individuale;
  • farmacie e parafarmacie;
  • aziende ortopediche e sanitarie.

Registro delle attività di trattamento in ambito sanitario

Per dimostrare il rispetto del principio di accountability, previsto dal GDPR, il titolare o il responsabile deve tenere un registro delle attività di trattamento dei dati.

L'obbligo riguarda anche l'ambito sanitario, senza alcuna esclusione di categorie particolari.

Tale registro non deve essere trasmesso al Garante, ma comunque deve essere messo a disposizione in caso di controllo da parte dell'Autorità.

Per maggiori informazioni, consulta qui il Provvedimento sul trattamento dei dati sanitari.

Se sei un medico o un operatore sanitario, e vuoi essere sicuro di rispettare gli obblighi di legge in ambito GDPR e trattamento dei dati, affidati alla consulenza dei nostri esperti nel settore privacy: contattaci ora e richiedi il nostro supporto.


 


sara-bittesnik-studio-essepi  

Scritto da: Sara Bittesnik


Consulente e formatrice specializzata in igiene alimentare, sistemi di gestione e privacy, amante di cucina ed enologia.





Chiamaci

045 8621499