| Le informazioni relative alla salute sono, per loro natura, estremamente delicate e, di conseguenza, la normativa nazionale ed europea ha predisposto una tutela rafforzata per tali tipologie di dati personali. Rientrano in un insieme di dati – definito nel Regolamento Generale sulla Protezione dei Dati n. 2016/679 UE (GDPR) come “categorie particolari di dati” – per i quali è stato previsto un divieto specifico (Art. 9, par. 1 GDPR): “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. Tuttavia esistono deroghe a tale divieto, che rendono lecito il trattamento in ambito sanitario: 1. Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (Art. 9, par. 2, lett. g) del GDPR); 2. Motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. I GDPR) del Regolamento e considerando n. 54); 3. Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. H GDPR) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza (Finalità di cura). Il trattamento dei dati sanitari: quali sono i dati sanitari? Sono dati sanitari tutte le informazioni che riguardano le nostre condizioni fisiche o mentali. A titolo esemplificativo, possiamo, certamente, qualificare come dati sanitari quelli contenuti nei seguenti documenti: diagnosi/referti, terapie e trattamenti prescritti, test genetici, cartella clinica, fascicolo sanitario, test psicologici, rilevazione di dati biometrici. Cosa prevede la vigente normativa sul trattamento dei dati personali? Il Regolamento Generale sulla Protezione dei Dati n. 2016/679 UE (GDPR) e il Codice della Privacy italiano (Decreto Legislativo 30 giugno 2003, n.196 e successive modifiche e integrazioni) prevedono che: 1. I trattamenti essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute e quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza NON richiedono il consenso al trattamento dei dati da parte dell’interessato; 2. Gli eventuali trattamenti attinenti, solo in senso lato, alla cura ma non strettamente necessari, richiedono, anche se effettuati da professionisti della sanità, una distinta base giuridica come il consenso dell’interessato o un altro presupposto di liceità (Artt. 6 e 9, par. 2, del GDPR). Con riferimento ai trattamenti in ambito sanitario che richiedono il consenso esplicito dell’interessato (Art. 9, par. 2, lett. a) del GDPR) si potrebbero indicare, a titolo esemplificativo, le seguenti categorie: a) trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati sanitari dell’interessato per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale; b) trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN); c) trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, fornitura di servizi alberghieri di degenza); d) trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. 3. L’interessato deve essere adeguatamente e preventivamente informato/a sul trattamento dei suoi dati personali; 4. I dati sanitari devono essere archiviati in aree protette e trattati in modo riservato: le informazioni devono essere conservate in archivi dotati di idonee misure di sicurezza e presidiati da procedure di accesso limitate ai soli soggetti autorizzati; 5. L’interessato può esercitare i diritti garantiti dal GDPR come, a titolo esemplificativo, l’accesso ai propri dati, il diritto alla loro rettifica e alla cancella- zione degli stessi, se non più necessari. Il trattamento dei dati sanitari: i principi generali Il trattamento dei dati sanitari soggiace, inoltre, ad alcuni principi generali della vigente normativa sul trattamento dei dati personali. Il primo è il Principio di limitazione delle finalità (Art. GDPR 41 5, par. 1, lettera b) del GDPR), in base al quale i dati sanitari dovrebbero essere trattati, esclusivamente, per finalità legate alla cura della persona, alla tutela della salute e all’esercizio dei diritti del medico. Il secondo è il Principio di limitazione della conservazione (Art. 5, par. 1, lettera e) del GDPR): i dati dovrebbero essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Per finire, un altro principio fondante l’attuale normativa privacy è quello di Minimizzazione dei dati, in base al quale dovrebbero essere raccolti e trattati solo i dati strettamente necessari per le finalità perseguite. Tutte le informazioni riguardanti il paziente che non sono utili ai fini della diagnosi e della eventuale cura dello stesso, non dovrebbero nemmeno essere acquisite. Naturalmente, anche in questo ambito, come già illustrato nei precedenti articoli della nostra rubrica, il trattamento di questi dati dovrà essere effettuato mediante la predisposizione di idonee misure di sicurezza che riguardano sia l’organizzazione della struttura sanitaria sia le tecnologie utilizzate per il trattamento. La tutela dei Diritti Come ci si deve comportare per tutelare i propri diritti? 1. Leggere le informative sul trattamento dei dati personali; 2. Richiedere una copia e conservare la documentazione sottoscritta; 3. Esercitare i propri diritti: si possono chiedere maggiori informazioni sul trattamento dei propri dati personali e si possono esercitare i propri diritti mediante le procedure descritte nell’informativa fornita dal titolare del trattamento; 4. In presenza di determinati presupposti, è possibile presentare un reclamo al Garante per la protezione dei dati personali. |
dell’Avv. B. Carbonetto – Area GDPR pubblicato su La Spezia Magazine, 21/01/2025
Gesta Srl Società Benefit 0187 564442 – gesta@gestaconsulenza.it
