Avvocato Federico Serratore
Avvocato Federico Serratore
Il trattamento dei dati personali in ambito sanitario
Il Garante per la Protezione dei Dati Personali, con provvedimento n° 55 del 7 marzo 2019, è intervenuto per fornire utili chiarimenti in seguito alle numerose segnalazioni e quesiti pervenuti circa l’applicazione della disciplina per il trattamento dei dati personali, relativi allo stato di salute, in ambito sanitario. Al riguardo, nel provvedimento del Garante si specifica che non è necessario richiedere il consenso per le cosiddette “finalità di cura” (cioè quelle essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute), ossia per medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali, effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
Il consenso esplicito dell’interessato, invece, continuerà ad essere obbligatorio in riferimento agli eventuali trattamenti attinenti solo in senso lato alla cura, ma non strettamente necessari, come, ad esempio, trattamenti connessi all’utilizzo di App mediche, trattamenti preordinati alla fidelizzazione della clientela effettuati dalle farmacie, trattamenti effettuati attraverso il Fascicolo sanitario elettronico o il Dossier sanitario e per la refertazione online. Per quanto riguarda le informazioni da fornire all’interessato, i titolari sono obbligati a informare l’interessato sui principali elementi del trattamento, al fine di renderlo consapevole delle principali caratteristiche e rischi dello stesso.
Le informazioni devono essere comunicate all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro. Il Garante suggerisce, nel caso di pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie), di fornire le informazioni in maniera progressiva. Più precisamente, le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie possono essere fornite immediatamente alla generalità dei pazienti.
Diversamente, gli elementi informativi relativi a particolari attività di trattamento possono essere comunicati successivamente e solo nei confronti di pazienti effettivamente interessati a tali ulteriori trattamenti e servizi. Per quanto concerne il Responsabile della Protezione dei Dati (RPD), il Garante ha precisato che il professionista sanitario che operi in regime di libera professione individua- le ovvero strutturata, non è tenuto alla designazione della figura del RPD, a meno che non si effettuino trattamenti su larga scala. Il provvedimento del Garante per la Protezione dei Dati si aggiunge a numerose altre note dirette a fornire chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito.
Parrebbe, questo, sintomo della elaborazione di una normativa lacunosa o, quantomeno, di non facile applicazione pratica. Tali spiacevoli peculiarità sono state rilevate da tutti i soggetti operanti nel settore (in particolare, in quello sanitario), divenuti, ben presto, assai bisognosi di essere supportati nel processo di attuazione della disciplina. L’Autorità si è impegnata, in tempi brevi, a definire in modo completo l’intero quadro regolatorio che, tuttavia, risulta ancora di fatto transitorio e incompleto.