L’applicazione del Regolamento (UE) 2016/679 (Gdpr) e del Codice Privacy come aggiornato dal D.Lgs. 101/2018 ha presentato ai titolari e ai responsabili del trattamento che operano in ambito sanitario diversi problemi e dubbi interpretativi su come trattare lecitamente i dati relativi alla salute.
In risposta all’esigenza di operatori del settore, soggetti istituzionali, responsabili della protezione dati e cittadini, che hanno sollevato l’esigenza di avere precisazioni in merito al mutato e articolato assetto di tale ambito della disciplina, il 7 marzo 2019 il Garante per la protezione dei dati personali ha emesso il provvedimento n. 55 [doc. web n. 9091942] per fornire “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, in quanto sul tema sono pervenuti all’Autorità segnalazioni e quesiti con riferimento ai nuovi adempimenti dei titolari e dei responsabili del trattamento.
Pertanto, nelle sue attività di sensibilizzazione, con il provvedimento sopracitato il Garante ha inteso promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, nonché agli obblighi imposti ai titolari e ai responsabili del trattamento (artt. 57, par. 1, lett. b) e d), GDPR e 154, comma 1, lett. g), Cod. Privacy).
Tanto, anche al fine di favorire un’interpretazione uniforme del nuovo assetto normativo.
In breve, sebbene il quadro regolatorio non sia ancora definitivo, il Garante Privacy ha ritenuto opportuno supportare i soggetti operanti in ambito sanitario premettendo che:
- il trattamento dei dati sulla salute è consentito in alcuni casi specifici individuati dall’art. 9 GDPR;
- il paragrafo 4 dell’art. 9 GDPR prevede che, con riferimento al trattamento di dati genetici, biometrici o relativi alla salute, i singoli Stati membri possano mantenere o introdurre ulteriori condizioni e limitazioni. Il legislatore italiano con il D.Lgs. 101, entrato in vigore il 19 settembre 2018, ha previsto che il Garante completi l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche (artt. 2-septies e 2-quater del Codice Privacy);
- nel periodo transitorio previsto dal legislatore italiano, il Garante ha individuato le prescrizioni delle autorizzazioni generali sul trattamento dei dati sensibili compatibili con il GDPR e il D.Lgs. 101/2018, e ha avviato una consultazione pubblica;
- ha verificato la conformità dei codici deontologici al Regolamento e li ha convertiti in regole deontologiche di cui all’art. 2-quater del Cod. Privacy;
- ha avviato la redazione dei provvedimenti previsti dall’art. 2-septies del Cod. Privacy che stabiliscono le misure di garanzia e si è impegnato ad adottarli in tempi brevi per arrivare, quanto prima, alla completa definizione del quadro regolatorio.
Questo articolo prova a fare chiarezza sulle misure che titolari e responsabili del trattamento sono tenuti ad adottare per garantire – ed essere in grado di dimostrare – che il trattamento sia effettuato conformemente al Regolamento (UE) 2016/679 e al Codice Privacy come modificato dal D.Lgs. 101/2018.
Il GDPR sui dati relativi alla salute
L’art. 4, n. 15, GDPR prevede che i dati relativi alla salute: “sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Più in particolare, il Considerando 35 GDPR prevede che “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono […] qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato”.
Ebbene, il legislatore europeo ha prestato una specifica attenzione ai dati relativi alla salute e li ha inseriti tra le “categorie particolari di dati personali” del quale in linea di massima ne è vietato il trattamento ai sensi dell’art. 9, par. 1, GDPR. Al par. 2, lo stesso Regolamento prevede una serie di deroghe al divieto del trattamento dei dati relativi alla salute che, in ambito sanitario, il Garante privacy ha ricondotto in genere – ciò non esclude che possa ritenersi applicabile al caso concreto una delle altre deroghe – ai casi che:
“g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri” (art. 9, par. 2, lett. g) GDPR) individuati dall’art. 2-sexies del Cod. Privacy;
“i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale” (v. anche Cons. 54). E’ il caso, ad esempio, delle emergenze sanitarie conseguenti a sismi e sicurezza alimentare;
“h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali [di seguito “finalità di cura”] sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. In particolare, è bene specificare che per le finalità di cura i dati sanitari posso essere trattati esclusivamente da un professionista soggetto al segreto professionale, ovvero sotto la sua responsabilità, o ancora da persone in ogni caso soggette all’obbligo di segretezza (art. 9, par. 3, GDPR e Cons. 53; art. 75 del Cod. Privacy).
Sul punto, è rilevantissimo segnalare come il Garante abbia puntualizzato che il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria, indipendentemente dalla circostanza che operi in qualità di libero professionista o di dipendente ovvero che operi all’interno di una struttura sanitaria pubblica o privata.
Tanto si spiega evidenziando come le finalità sopracitate sono caratterizzate tutte dalla necessità del trattamento e che il consenso è divenuto con il GDPR una base giuridica residuale. Tale evoluzione normativa è susseguente ad una concezione nuova della privacy ben rappresentata dall’art. 1, par. 1, GDPR che oltre alla protezione prevede la libera circolazione dei dati personali.
In questa prospettiva, il Garante ha specificato che laddove i trattamenti di dati relativi alla salute non siano strettamente necessari per la finalità di cura di cui alla lett. h) dell’art. 9, par. 2, anche se effettuati da professionisti della sanità, il titolare dovrà individuare un’altra base giuridica ovvero eventualmente il consenso dell’interessato (artt. 6 e 9, par. 2, GDPR).
Con riferimento al consenso dell’interessato, il Garante ha ritenuto opportuno, a titolo esemplificativo, individuare alcune ipotesi che non rientrano in trattamenti basati su finalità necessarie e che di conseguenza richiedono il consenso dell’interessato.
È il caso dei trattamenti connessi all’utilizzo di App mediche, per mezzo delle quali vengono raccolti dati (anche sanitari) dell’interessato per finalità diverse dalla telemedicina o ancora quando, indipendentemente dalla necessità o meno della finalità del trattamento, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale.
Ad esempio, richiede il consenso esplicito dell’interessato il trattamento effettuato dalle farmacie per i programmi di accumulo punti con il quale si permette ai clienti di fruire di servizi o prestazioni accessorie. E’ evidente che tale attività è finalizzata alla fidelizzazione della clientela: è una finalità aggiuntiva – non necessaria – rispetto all’assistenza farmaceutica tradizionalmente svolta nell’ambito del Servizio Sanitario Nazionale.
Lo stesso dicasi per i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es.: promozioni su programmi di screening, contratto di fornitura di servizi ammistrativi, come quelli alberghieri di degenza). O ancora per i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.
Una riflessione particolare meritano i trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5). Le disposizioni di settore precedenti all’applicazione del GDPR, il cui rispetto è ora espressamente previsto dall’art. 75 del Cod. Privacy, prevedono che in tali casi la condizione di liceità del trattamento è l’acquisizione del consenso.
Ebbene, alla luce del Regolamento in materia di protezione e libera circolazione dei dati personali, è importante evidenziare che il Garante non abbia escluso che possa essere ammissibile eliminare la necessità di acquisire il consenso dell’interessato per l’alimentazione del Fascicolo e conseguentemente, in futuro, modificare la normativa.
Attualmente, il consenso è richiesto anche con riferimento ai trattamenti effettuati attraverso:
- il Dossier sanitario (Linee guida in materia di Dossier sanitario del 4 giugno 2015, doc web. n. 4084632);
- la refertazione on line, in relazione alle modalità di consegna del referto (D.P.C.M. 8 agosto 2013, art. 5).
Il principio di trasparenza e le informative agli interessati
Al riguardo, il Garante evidenzia che il Regolamento non stravolge rispetto al passato le modalità e i contenuti delle informazioni da rendere all’interessato. La trasparenza è un elemento fondamentale del trattamento dei dati personali (art. 5, par. 1, lett. a), GDPR) e al fine di rendere consapevoli gli interessati è necessario offrire loro informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.
Il GDPR responsabilizza il titolare del trattamento rispetto alla trasparenza e di conseguenza gli compete scegliere le modalità più appropriate con cui fornire l’informativa; deve tenere presente le circostanze e il contesto in cui viene effettuato il trattamento come ad esempio il dispositivo utilizzato, la natura dell’interazione con il titolare e le eventuali limitazioni che implicano tali fattori.
Sul tema, il Garante ha ritenuto opportuno suggerire ai titolari operanti in ambito sanitario che effettuano una pluralità di trattamenti di particolare complessità – come le aziende sanitarie – di fornire all’interessato le informazioni in modo progressivo. Tanto sta a significare che le strutture sanitarie potrebbero fornire alla generalità dei pazienti solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (art. 79 del Cod. Privacy). Laddove invece ci si trovi di fronte a trattamenti che rientrano in attività straordinarie e particolari di erogazione delle prestazioni sanitarie (es.: fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca), le informazioni potrebbero essere rese in un secondo momento solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Tale modalità al fine di evitare un subissamento informativo e offrire ai pazienti una maggiore attenzione alle informazioni veramente rilevanti circa gli aspetti più significativi del trattamento.
Tra le novità del GDPR, con riferimento alle informazioni da fornire all’interessato, il Garante tiene ad evidenziare che rispetto a quanto era previsto dall’art. 13 del vecchio Codice Privacy, il periodo di conservazione dei dati può essere fornito dal titolare del trattamento anche attraverso l’indicazione dei criteri utilizzati per determinarlo (artt. 13 e 14, sempre par. 2, lett. a), del GDPR).
Con particolare riferimento alla documentazione sanitaria il Garante ricorda che l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione, che non sono stati modificati dal GDPR e che quindi rimangono pienamente in vigore.
A titolo esemplificativo il provvedimento fa riferimento alle seguenti casistiche:
- il medico che effettua visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, deve conservare la documentazione inerente gli accertamenti effettuati per almeno cinque anni (art. 5, D.M. 18/02/1982);
- le cartelle cliniche, unitamente ai relativi referti, vanno conservate per un tempo illimitato (Cir. Min. Sanità del 19 dicembre 1986 n. 900 2/AG454/260);
- la documentazione iconografica radiologica deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997);
Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, ai sensi dell’art. 5, par. 1, lett. e), del GDPR il titolare del trattamento dovrà individuare tale periodo in modo che i dati siano “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; […](<<limitazione della conservazione>>)” oppure, se non è possibile, indicare i criteri utilizzati per determinare tale periodo (artt. 13 e 14, sempre al par. 2, lett. a, del GDPR).
La designazione del DPO
L’art. 37, par. 1, GDPR prevede che la nomina del DPO è obbligatoria da parte di:
- autorità pubbliche e organismi pubblici;
- titolari o responsabili che svolgono trattamenti che «per loro natura, ambito e/o finalità» richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- titolari o responsabili che svolgono attività che consistono nel trattamento, su larga scala, di categorie particolari di dati personali (genetici, biometrici, relativi alla salute, ecc.).
Da tanto si desume che nei casi non previsti dall’art. 37 GDPR la nomina del DPO è solo facoltativa.
E’ pertanto evidente che un’azienda sanitaria appartenente al SSN deve obbligatoriamente designare un Responsabile della Protezione dei Dati (RPD, mentre l’acronimo inglese è DPO), sia in relazione alla natura giuridica di “organismo pubblico”, sia in quanto le attività principali del titolare consistono nel trattamento su larga scala di dati relativi alla salute (art. 37, par. 1, lett. c), del GDPR).
Il Garante ritiene che anche gli ospedali privati, le case di cura o le residenze sanitarie assistenziali (RSA) possano generalmente rientrare nel concetto di larga scala e quindi obbligate alla nomina di un DPO (cfr., altresì, Linee guida del Gruppo Art. 29 sui Responsabili della protezione dei dati, WP243, del 13 dicembre 2016 aggiornate in data 5 aprile 2017, punto 2.1.3, doc. web n. 612048, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n. 1/2018).
Sul punto, al fine di offrire maggiori indicazioni a titolari e responsabili del trattamento che vivevano l’entrata in vigore del GDPR con dubbi e apprensione, il Garante italiano aveva già contribuito all’individuazione di chi è obbligato alla designazione del DPO. Il 26 marzo 2018 sono state pubblicate sul sito istituzionale, in aggiunta alle Linee Guida adottate dal Gruppo Art. 29 (WP243), le Nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato e in ambito pubblico. Con riferimento all’ambito privato, l’art. 3 stabilisce che sono tenuti alla designazione del DPO, quando ricorrono i presupposti dell’art. 37, par. 1, lett. b) e c), del GDPR, tra gli altri, i seguenti titolari e responsabili del trattamento: “… società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione …”.
In sostanza, la designazione del DPO costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati, e con riferimento alla possibilità di nominare un DPO per più strutture sanitarie, tale scelta è rimessa al titolare del trattamento che nella logica dell’accountability deve essere sempre impegnato ad adottare le misure tecniche e organizzative più adeguate alla protezione dei dati personali degli interessati.
Con particolare riferimento al singolo professionista sanitario che svolga la sua attività in regime di libera professione nonché a titolo individuale, nel provvedimento de quo il Garante ha puntualizzato che lo stesso non è tenuto alla designazione del DPO. Tanto si evince dal Considerando 91 il quale, con riferimento al concetto di larga scala di cui all’art. 37 GDPR, recita che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” ed è ribadito dal Gruppo art. 29 nelle Linee guida sui responsabili della protezione dei dati (WP243).
Sull’obbligatorietà o meno della designazione del DPO, analoghe considerazioni valgono per farmacie, parafarmacie, aziende ortopediche e sanitarie se non effettuano trattamenti di dati personali su larga scala.
Su quest’ultimo concetto, appare appena il caso di rappresentare che il GDPR non definisce univocamente cosa rappresenti un trattamento “su larga scala” e che il Gruppo art. 29 raccomanda di tenere conto dei fattori qui elencati:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
Ma qual è la scelta più opportuna nei casi dubbi?
Le mie considerazioni: il DPO ha di fatto il compito di contribuire alla diminuzione del rischio e alla gestione di possibili crisi associate ai trattamenti dei dati; il titolare del trattamento, in base al principio dell’accountability – colonna portante del GDPR, deve adottare le misure (tecniche e) organizzative più adeguate e tra queste può rientrarvi certamente la scelta di nominare il DPO. Pertanto, il mio invito alle società che trattano dati relativi alla salute in ambito sanitario è di non accantonare frettolosamente la nomina del DPO, e con l’ausilio di professionisti specializzati valutare con più attenzione il contributo che la designazione può apportare all’efficienza e alla migliore «immagine privacy» della struttura sanitaria ai fini dell’accountability.
Registro delle attività del trattamento
Il registro delle attività di trattamento è un documento contenente le informazioni specificatamente individuate dall’art. 30 GDPR e relative alle operazioni di trattamento svolte che deve essere predisposto dal titolare e dal responsabile del trattamento. L’obbligo di redigere il registro costituisce uno dei principali elementi di accountability del titolare (Cons. 82), in quanto rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione, indispensabile ai fini della valutazione o analisi del rischio.
Il registro deve avere forma scritta, anche elettronica, e non deve essere trasmesso bensì deve essere esibito su richiesta al Garante.
Sono tenuti a redigere il registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (biometrici, genetici, relativi alla salute,etc.), o anche di dati relativi a condanne penali e a reati.
Con riferimento all’ambito sanitario, il Garante prevede chiaramente la sussistenza dell’obbligo di tenuta del registro in quanto i trattamenti inevitabilmente includono categorie particolari di dati di cui all’art. 9 GDPR. Quindi, sono obbligati alla tenuta del registro delle attività di trattamento i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.