Sanità digitale, il GDPR apre nuove temntiche sul trattamento dei dati sanitari. In via generale la differenza fra FSE e il Dossier Sanitario è che mentre il primo contiene informazioni inerenti lo stato di salute dell’interessato che possono raccontarne la storia clinica perché provenienti da più Titolari del trattamento – prevalentemente soggetti operanti in un medesimo ambito territoriale (quali ad esempio le aziende sanitarie regionali o laboratori clinici privati operanti nella medesima area regionale) – il Dossier Sanitario è invece uno strumento gestito, tendenzialmente salvo esplicita richiesta, da un unico Titolare del trattamento, quale ad esempio un ospedale e/o una clinica privata i cui operatori interni possono aggiornare e consultare.
Le linee Guida in tema di fascicolo sanitario e dossier sanitario del 16/7/2009 [doc web n. 164116] stabiliscono che l’FSE e DSE non sono mai obbligatori per la gestione del paziente ma una facoltà dello stesso che altresì potrà scegliere quali informazioni siano accessibili ai diversi operatori o professionisti sanitari coinvolti.
Trattamento dati sanitari, cosa cambia con il GDPR
Una questione aperta e dibattuta è la necessità o meno della prestazione del consenso a queste nuove e telematiche forme di trattamento dei dati sanitari (del Dossier o del Fascicolo) e ciò in ragione del mutato quadro normativo per effetto dell’entrata in vigore del GDPR e D. Lgs. 101/18.
Appare opportuno ricordare che la condizione di legittimità prevista dal DCPM del 29/9/2015 n. 178[1] è il consenso: autonomo e distinto dal consenso alla prestazione medico-sanitaria.
Al di là dell’impatto della più recente normativa in materia di tutela dei dati personali su tale provvedimento, ne discende senza dubbio che per poter ottenere l’eventuale consenso o comunque trattare tali in ragione di altra base giuridica, è sempre necessario che il Titolare del trattamento abbia reso all’interessato tutte le informazioni necessarie a comprendere finalità e modalità di trattamento circa i suoi dati sanitari così come prescritto dall’art. 13 del GDPR.
Fatte queste opportune premesse ora è possibile domandarsi:
In questo complesso quadro di riferimento normativo in tema di trattamento dati sanitari, compresi i trattamenti per FSE e DSE, che effetti hanno avuto le previsioni di cui al GDPR (e in particolare quanto previsto dall’art. 9 par. 2 lettere g e h del Regolamento)?
Da una prima lettura della norma sembrerebbe non indispensabile richiedere per questi trattamenti un consenso. La questione non è di facile soluzione in ragione di questo apparente contrasto normativo. Ma “apparente” soltanto.
Ecco le deroghe alla cessione di consenso
Il regolamento all’art. 9 comma 2 lettere h e g, nonché al considerando 52 prevede che
- la deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute.
- Tale deroga può avere luogo anche per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria (art. 9 comma 2 lettera h), soprattutto al fine di assicurare la qualità e l’economicità delle procedure per soddisfare le richieste di prestazioni e servizi nell’ambito del regime di assicurazione sanitaria, o a fini di archiviazione nel pubblico interesse o di ricerca scientifica o storica o a fini statistici.
- La deroga dovrebbe anche consentire di trattare tali dati personali se necessario per accertare, esercitare o difendere un diritto, che sia in sede giudiziale, amministrativa o stragiudiziale.
Il comma 4 dell’art. 9 prevede infine che gli Stati Membri possano mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento dati sanitari.
Cosa specifica il Regolamento
Tanto premesso si evidenzia che le fonti normative e i provvedimenti nazionali sopra richiamati, anche dopo l’entrata in vigore del Regolamento Ue 2016/679, possono trovare applicazione in ragione del comma 4 dell’art. 9 appena citato e della più recente prescrizione introdotta dal D.Lgs 101/18 che modificando il Codice privacy ha stabilito, art. 2-septies, che “(Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) 1. In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo. 2. Il provvedimento che stabilisce le misure di garanzia di cui al comma 1 è adottato con cadenza almeno biennale e tenendo conto: a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali; b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure; c) dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.”
Si può affermare che il nostro legislatore, tramite la formulazione della nuova disposizione del Codice Privacy, abbia scelto, con riferimento al trattamento di dati sanitari, di aderire alle previsioni sovranazionali ossia di procedere al trattamento dei dati sanitari degli interessati nei casi previsti dall’art. 9 comma 2 lettere h) e g) e dunque anche in assenza di consenso per le finalità di medicina preventiva o del lavoro; valutazione capacità lavorativa; diagnosi, assistenza o terapia sanitaria o sociale; per la gestione dei servizi e dei sistemi sanitari o sociali e per motivi di interesse pubblico nel settore della sanità pubblica, ma sempre “ in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo”. Di fatto non modificando le disposizioni emanate sino ad ora.
Fintanto che non vi saranno precisazioni in merito restano ferme le disposizioni di cui Regolamento in coordinamento con il quadro normativo nazionale di riferimento.
Mancata acquisizione del consenso: i rischi
Ne consegue in ogni caso che eventuali violazioni discendenti dall’omessa o inidonea informativa e/o dalla mancata acquisizione di un consenso libero, consapevole e distinto dalle altre finalità di diagnosi e cura del paziente comportano l’applicazione delle norme di cui al Regolamento 2016/679 e del Codice Privacy così come modificato dal D.Lgs 101/18, nonché in caso di perdita o diffusione illegittima dei dati sanitari degli interessati potrebbe essere avanzate, nei confronti dei Titolari, richieste di risarcimento da parte degli interessati. Trattandosi di dati relativi alla salute e relativi a un altissimo numero di soggetti interessati non è escluso che il Garante possa decidere di applicare le pene più gravi.
Sempre con riferimento all’informativa si segnala il Garante ha pubblicato i suoi Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019 [9091942] (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9091942) in cui è ribadito che questa deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro.
Il Garante dedica una sezione anche al Responsabile per la protezione dei dati (RPD, DPO nell’acronimo inglese). Sono tenuti alla nomina del RPD tutti gli organismi pubblici, nonché gli operatori privati che effettuano trattamenti di dati sanitari su larga scala, quali le case di cura. Non sono invece tenuti alla sua nomina i liberi professionisti o altri soggetti, come le farmacie, che non effettuano trattamenti su larga scala.
Infine sempre con tale documento l’autorità chiarisce che in ambito sanitario richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), oltre all’FSE e il DSE anche :
a. trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità;
b. trattamenti preordinati alla fidelizzazione del cliente, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN);
c. trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
d. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali (cfr. provv. del 6 marzo 2014, doc. web n. 3013267);
Molto utile e sempre più diffusa è l’infografica adottata dal Garante che si sta dimostrando un valido strumento di diffusione dell’informazione ai cittadini. L’infografica dedicata al trattamento dei dati sanitari è consultabile sul sito dell’Autorità al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9099233
Note
- con cui sono stati definiti i contenuti del Fascicolo Sanitario Elettronico, i compiti e le responsabilità dei soggetti coinvolti, le misure di sicurezza da adottare per il trattamento, le garanzie richieste fra cui i livelli di accesso, diversificati a seconda delle finalità, etc.
