Il GDPR rappresenta per le aziende sanitarie un nuovo modo di intendere la gestione dei dati personali, introducendo una serie di innovazioni, non tutte di facile attuazione. La tematica dei tempi di conservazione, pur non essendo completamente estranea al nostro ordinamento, è stata fortemente impattata dal regolamento europeo, spostando il focus relativo alla sua applicazione dal solo rispetto delle tempistiche previste dalla legge per la conservazione dei dati personali alla necessità di prevedere una vera e propria gestione relativa alla conservazione degli stessi dati, che culmini con la loro cancellazione.
Tempi di conservazione dati nel Gdpr
I tempi di conservazione sono trattati dal GDPR all’art 5, paragrafo 1, lettera e) (principi applicabili al trattamento di dati personali) laddove si specifica che “i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per i quali sono trattati…” e nel considerando 39 nel quale si specifica che “i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario”.
Nel settore sanitario si riscontra frequentemente la difficoltà di comprendere la differenza tra tempi di conservazione previsti dalla legge, che possiamo definire tempi di conservazione “minimi”, e tempi di conservazione “massimi”, previsti invece dal GDPR.
I tempi di conservazione “minimi” in ambito sanitario sono determinati dalla legge e rappresentano il punto di riferimento normativo per ogni struttura in materia di conservazione dei dati personali.
In un prontuario il “timing” previsto per legge
Gli stessi sono stati raccolti in un prontuario dalla Direzione Generale degli Archivi di Stato, scaricabile in formato PDF all’indirizzo: http://www.archivi.beniculturali.it/images/pdf_articoli/massimari_scarto/Aziende_ospedaliere_2001.pdf
Il prontuario è uno strumento che può essere davvero utile in ambito sanitario, dal momento che raccoglie in un unico documento le prassi relative ai tempi di conservazione riguardanti ogni tipologia di struttura sanitaria, dal laboratorio di analisi, al poliambulatorio, alla radiologia, fino ad arrivare a strutture più complesse come gli ospedali, e non si limita unicamente alla documentazione strettamente sanitaria, indicando anche i tempi di conservazione relativi alla documentazione fiscale e contabile ad essa connessa.
I tempi di conservazione presi in considerazione dal GDPR vanno invece intesi come tempi di conservazione “massimi”, e ciò determina per ogni struttura sanitaria la necessità di prevedere un piano di gestione degli stessi, sulla base del quale, superati i tempi di conservazione “minimi” previsti dalla legge, i dati personali dovranno essere cancellati.
Se questo può non comportare problemi rispetto alla cancellazione del dato anagrafico dell’interessato, la situazione muta radicalmente quando il trattamento riguarda il dato particolare presente nei referti degli esami effettuati; in tal caso infatti il personale medico spesso necessita di trattare quel dato per un tempo superiore al minimo previsto dalla legge, per finalità sanitarie che possono consistere, ad esempio, nel raffronto dei risultati di quell’esame con quelli svolti in precedenza dall’interessato.
Non è quindi consigliabile ancorare la cancellazione dei dati particolari al tempo di conservazione “minimo” previsto dalla legge, perché tale soluzione potrebbe risultare controproducente dal punto di vista operativo e non tutelare adeguatamente l’interessato, pur rispettando formalmente il GDPR.
Stabilire la “vita” del dato: le soluzioni possibili
Le aziende sanitarie dovranno quindi essere in grado di predisporre un vero e proprio piano per la gestione dei tempi di conservazione “massimi” al fine di ottemperare a quanto richiesto dal GDPR. Il piano di adeguamento deve innanzitutto prevedere l’individuazione del personale interno alla struttura cui sarà affidata la gestione dei tempi di conservazione, e che si occuperà materialmente della cancellazione dei dati personali. Sarà poi necessario procedere ad una determinazione relativa ai tempi di conservazione.
Da questo punto di vista si potrebbe prevedere un termine “massimo” di conservazione che si agganci all’ultimo accesso dell’interessato alla struttura, tale da far intercorrere un intervallo di tempo sufficientemente ampio da poter considerare l’interessato non più un utente della struttura, e di conseguenza, venendo meno la finalità di assistenza sanitaria, procedere alla cancellazione dei suoi dati personali.
Questa soluzione presenta il vantaggio per la struttura di poter continuare a mantenere il dato personale e particolare fino a quando l’interessato continui ad essere paziente della stessa struttura, facendo decorrere i termini previsti per la cancellazione solo dal momento in cui tale frequentazione venga meno.
Altra soluzione potrebbe consistere nel prevede un termine per la cancellazione la cui scadenza sia fissata con riferimento all’anno di effettuazione dell’esame. Sarebbe così possibile prevedere, ad esempio, che i referti di tutti gli esami effettuati nel corso di un anno siano cancellati entro un congruo periodo di tempo determinato in maniera fissa (es. ogni 5 anni)
Cancellazione del dato personale
Come già specificato il GDPR prevede che alla determinazione dei tempi di conservazione (massima) segua la cancellazione del dato personale e particolare. Quando si parla di cancellazione del dato si fa riferimento alla sua distruzione fisica, se lo stesso è conservato in forma cartacea, o alla sua cancellazione definitiva, se l’archiviazione avviene invece su supporti informatici.
Sarà dunque essenziale che nel piano di adeguamento relativo alla conservazione dei dati personali e particolari ogni struttura sanitaria preveda il coinvolgimento di tutte le terze parti (fornitori) che siano coinvolte nella gestione e/o archiviazione dei dati personali (es. società fornitrici di software informatici o cui si è affidata l’archiviazione dei dati).
Tempi di conservazione dei dati: i chiarimenti del Garante
La tematica dei tempi di conservazione è stata trattata dal Garante per la protezione dei dati personali anche nei “chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7 marzo 2019.
Il Garante ha specificato che i tempi di conservazione già previsti dalla normativa italiana (e raccolti nel prontuario) restano validi, e quindi devono rappresentare la base di partenza in tema di conservazione del dato per qualsiasi struttura sanitaria.
Ha inoltre ribadito che i tempi di conservazione rientrano fra le informazioni da fornire all’interessato fin dal momento dal suo ingresso in struttura, quindi gli stessi tempi, una volta determinati, dovranno essere parte dell’informativa fornita allo stesso.
