Trattamento dei dati relativi alla salute in ambito sanitario: i chiarimenti del Garante

Con il provvedimento n. 55 del 7 marzo 2019 il Garante per la Protezione dei dati personali ha fornito importanti chiarimenti, circa il trattamento dei dati sanitari, rivolti a tutti i soggetti operanti nel settore. Più in particolare il provvedimento del Garante si è concentrato sulle diverse tipologie di trattamento e la relativa base giuridica, sull’informativa da rendere in ambito sanitario, sull’obbligatorietà o meno del Responsabile della protezione dei dati e da ultimo sul registro delle attività di trattamento.

Innanzitutto, il Garante ha precisato come il divieto generale di trattare le categorie particolari di dati personali, in particolare i dati sulla salute, trovi eccezioni e deroghe in ambito sanitario in tutte quelle ipotesi nelle quali il trattamento è necessario per:

1. motivi di interesse pubblico, individuati dall’art. 2-sexies del novellato Codice Privacy;
2. motivi di interesse pubblico nel settore della sanità pubblica, quali ad esempio emergenze sanitarie;
3. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali, ossia per le cosiddette “finalità di cura”.

Ulteriore importante precisazione fornita dal Garante è che i trattamenti sanitari (a) necessari a perseguire una delle sopraindicate finalità e più in particolare finalità strettamente di cura, e (b) svolti da un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza, non saranno subordinati al consenso dell’interessato, ma la base giuridica sarà costituita dall’art. 9, comma 2, lett. h) GDPR.

È confermato invece il consenso, quale condizioni di liceità e base giuridica del trattamento dei dati sanitari, in tutte le altre ipotesi, quali a titolo esemplificativo

1. i trattamenti connessi all’utilizzo di App mediche (per finalità diverse dalla telemedicina),
2. i trattamenti volti alla fidelizzazione della clientela, effettuati ad esempio dalle farmacie,
3. i trattamenti effettuati da persone giuridiche private per finalità promozionale (si pensi a promozioni sui programmi screening) oppure svolti da professionisti sanitari per finalità commerciali,
4. i trattamenti svolti da professionisti sanitari per finalità elettorali,
5. i trattamenti effettuati attraverso la consultazione del Fasciolo sanitario elettronico (sul punto però il Garante non ha escluso l’ammissibilità di riformare tale previsione, nell’ottica di eliminare il consenso quale condizione per la legittimità del trattamento),
6. i trattamenti svolti per la consegna del referto online.

Ed ancora, con tale provvedimento il Garante ha voluto ribadire l’importanza, specie in tale ambito, del principio di trasparenza e dunque della necessità che l’informativa resa ai sensi degli artt. 13-14 GDPR debba essere concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio chiaro e semplice. Oltre a ciò, il Garante ha precisato come, data la complessità delle operazioni di trattamento, sia opportuno fornire agli interessati un’informativa progressiva (in un primo momento, quindi, solo le informazioni relative all’erogazione delle prestazioni sanitarie e solo successivamente, se interessati, fornire ai pazienti le informazioni relative a particolari attività di trattamento, quali ad esempio le finalità di ricerca).

Più in particolare, circa la base giuridica del trattamento dei dati relativi alla salute, Francesco Modafferi, dirigente dei dipartimenti sanità e ricerca e realtà pubbliche del Garante, ha precisato che “… deve essere stabilita in una fonte normativa che è stata individuata, nel diritto interno, nelle disposizioni di legge o, nei casi previsti dalla legge, di regolamento (art. 2-sexies). In tale fonte normativa devono essere specificati gli aspetti rilevanti del trattamento, tra i quali i «tipi di dati», le «operazioni eseguibili» e le «misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato»” (Italia Oggi, 25 marzo 2019).

Altro elemento sul quale ha posto l’attenzione il Garante sono i tempi di conservazione dei dati, che andranno espressamente previsti ed indicati nell’informativa per ciascuna delle diverse e molteplici attività di trattamento che avranno ad oggetto proprio i dati relativi allo stato di salute. Il titolare potrà fare riferimento alle Circolari e direttive di settore e, in assenza, dovrà individuare tali tempi purchè i dati siano conservati unicamente per il periodo necessario al conseguimento delle finalità per le quali sono trattati, nel rispetto del principio di limitazione del trattamento.

È poi stato ancora confermato che i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del Responsabile per la protezione dei dati, tanto per la natura giuridica di “organismo pubblico” del titolare, quanto perché le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute. Alle aziende pubbliche sono state equiparate, sotto tale profilo, anche gli ospedali privati, le case di cura e le residenze sanitarie assistenziali.

D’altra parte, invece, è stato escluso che il singolo professionista sanitario, che opera in regime di libera professione, sia tenuto all’obbligo di nomina del Responsabile per la protezione dei dati. Diversa è invece l’ipotesi in cui la titolarità del trattamento faccia capo ad una organizzazione, quali associazioni e/o società, nelle quali sarà necessario decidere caso per caso se vi sia la necessità di nominare un Responsabile per la protezione dei dati. Avvalendosi dei criteri stabiliti nelle “Linee Guida sul responsabile della protezione dei dati”, emanate dal Gruppo di Lavoro Art. 29 il 13 dicembre 2016, e modificate il 5 aprile 2017, le associazioni dovranno quindi valutare se al loro interno i trattamenti dei dati personali sono effettuati su “larga scala”.

Da ultimo, il Garante ha voluto ribadire l’obbligatorietà della tenuta del registro delle attività di trattamento anche in ambito sanitario, nel rispetto del principio di accountability previsto dal GDPR.

A differenza che in tema di nomina del Responsabile della protezione dei dati, a tale obbligo saranno tenuti, insieme con gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, anche i singoli professionisti sanitari che agiscano in libera professione, nonché le farmacie, le parafarmacie e le aziende ortopediche.