A più di un anno dall’entrata in vigore del GDPR, può ancora non essere del tutto chiara la differenza tra questi tre elementi: informativa e consenso attinenti alla privacy e consenso informato attinente all’ambito sanitario. Cercheremo allora di fare chiarezza.
L’informativa privacy in Sanità
Partendo dal recente passato, abbiamo incontrato l’Informativa già nel codice Privacy (D.Lgs. 196/03 art.13) e la ritroviamo nel REG UE 679/2016 agli artt. 13 e 14 quale strumento necessario ad assolvere all’obbligo che il Titolare del Trattamento ha di fornire all’Interessato, al momento della raccolta dei dati, le informazioni inerenti i soggetti coinvolti nel trattamento, le finalità, le modalità e la durata del trattamento stesso (ricordiamo tra gli altri, l’identità e i dati di contatto del titolare del trattamento e/o del suo rappresentante; i dati di contatto del responsabile della protezione dei dati, qualora lo abbia nominato; le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; i legittimi interessi perseguiti; eventuali destinatari o le eventuali categorie di destinatari dei dati personali; l’eventuale trasferimento dei dati personali a un paese terzo o a un’organizzazione internazionale nonché il periodo di conservazione dei dati personali, le modalità di accesso ai diritti e alla revoca dell’eventuale consenso).
È necessario che le informazioni siano rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro e, preferibilmente, per iscritto o con altri mezzi, anche, elettronici.
Gli stessi artt. 13 e 14 affermano che l’obbligo si ritiene assolto se e nella misura in cui l’interessato dispone già delle informazioni. Tale principio, in ambito sanitario, è ripreso dal D. Lgs 196/03, come novellato dal D.Lgs. 101/2018, all’articolo 78, relativo alle informazioni che devono rendere il medico di medicina generale o il pediatra, è coordinato con il rinvio alle informazioni previste dagli articoli 13 e 14 del Regolamento, che questi medici potranno rendere con un’unica informativa, relativa al complesso del rapporto medico/paziente che si protrarrà nel tempo.
Allo stesso modo l’art. 79 dispone che le strutture pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie possono avvalersi delle modalità particolari di cui all’articolo 78 in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed unità della stessa struttura o di sue articolazioni ospedaliere o territoriali specificamente identificate.
Il principio di accountability impone al Titolare di essere in grado di provare di aver assolto agli obblighi appena descritti.
Consenso al trattamento dei dati
Con l’entrata in vigore del GDPR il trattamento dei dati è lecito solo se ricorre almeno una delle condizioni previste all’art. 6 c.1 e, nel caso di dati particolari definiti dall’art. 9 c.1, se ricorre almeno una delle condizioni previste all’art.9 c.2.
L’interessato, in molti casi, non deve più esprimere il proprio consenso affinché il titolare possa lecitamente trattare i suoi dati: è il caso di rapporti contrattuali o precontrattuali di cui l’interessato è parte, senza che venga meno o sia intaccata la tutela che l’impianto del GDPR offre all’interessato stesso.
Se consideriamo la superficialità con la quale, spesso, concediamo il consenso al trattamento dei dati è pacifico che il riferimento ad altre basi giuridiche tuteli maggiormente l’interessato di quanto faccia l’espressione del proprio consenso.
Per i trattamenti svolti dai professionisti sanitari (o sotto la loro responsabilità) e che hanno finalità connesse alla cura della salute, la base giuridica più pertinente è quella indicata all’art. 9 c. 2 let h).
Necessitano, invece, del consenso dell’interessato i trattamenti relativi al Fascicolo sanitario elettronico, alla consegna del referto online, all’utilizzo di app mediche, alla fidelizzazione della clientela, a finalità promozionali o commerciali e a finalità elettorali.
Consenso informato
Il consenso informato non trae origine dal GDPR e dai due elementi appena considerati ma è regolato dalla legge 22 dicembre 2017, n. 219 che all’art. 1 c.3 recita: “Ogni persona ha il diritto di conoscere le proprie condizioni di salute e di essere informata in modo completo, aggiornato e a lei comprensibile riguardo alla diagnosi, alla prognosi, ai benefici e ai rischi degli accertamenti diagnostici e dei trattamenti sanitari indicati, nonché riguardo alle possibili alternative e alle conseguenze dell’eventuale rifiuto del trattamento sanitario e dell’accertamento diagnostico o della rinuncia ai medesimi. Può rifiutare in tutto o in parte di ricevere le informazioni ovvero indicare i familiari o una persona di sua fiducia incaricati di riceverle e di esprimere il consenso in sua vece se il paziente lo vuole. Il rifiuto o la rinuncia alle informazioni e l’eventuale indicazione di un incaricato sono registrati nella cartella clinica e nel fascicolo sanitario elettronico.”
Scopo della norma è quello di permettere alla persona di avere tutte le informazioni circa il proprio stato di salute, sulle cure proposte dal medico e sulle eventuali alternative e i relativi rischi, nonché sulle conseguenze derivanti da un suo rifiuto a sottoporsi alle terapie proposte. Necessita della forma scritta o della videoregistrazione.
Il professionista sanitario non può prescindere da tale consenso in quanto, fatte salve alcune condizioni previste per legge (urgenza, incapacità di intendere e volere, ecc.), qualunque azione effettuata senza tale autorizzazione sarebbe illecita da un punto di vista penale, indipendentemente dai risultati ottenuti.
Il consenso informato non è solo questione deontologica nel rapporto tra il paziente e il medico, ma costituisce il presupposto per la legittimità del trattamento medico-chirurgico e dalla violazione di questo obbligo conseguono, quindi, una responsabilità disciplinare ed una responsabilità medica penale e civile.
Conclusioni
Immaginiamo che il nostro paziente si rechi presso un centro diagnostico per sottoporsi ad una indagine. Il personale all’accettazione nel richiedere i dati anagrafici fornirà apposita informativa al trattamento dei dati, come previsto dall’art. 13 del GDPR, al quale non sarà necessario dare consenso.
Il medico preposto ad effettuare l’indagine, prima di procedere, darà tutte le informazioni previste dalla L. 219/2017. Il paziente provvederà a firmare il consenso a sottoporsi all’indagine e solo in quel caso il medico potrà dare avvio al esame diagnostico.
