Element Logo

GDPR per i Dati Sanitari: Quando è Necessario Recepire o Dare il Consenso?

Partiamo dalla definizione di dato sanitario secondo il GDPR.

 

In generale vengono definiti come dati personali attinenti alla salute fisica o mentale di una persona fisica quelli che rivelano informazioni relative allo stato di salute.

Rientrano in nella categoria del GDPR dei dati sanitari anche quella serie di acquisizioni relative alla salute del soggetto attingibili da differenti contesti informativi, quali, ad esempio: la frattura di un arto; l’utilizzo di protesi visive (occhiali e lenti a contatto); consumo di alcol o fumo; i dati sulle allergie comunicati a soggetti privati (come le compagnie aeree) o ad enti pubblici (come le scuole); l’appartenenza ad un gruppo di supporto per patologia (cancro, disturbi dell’alimentazione, dipendenze..). Si evince come gli ambiti dai quali desumere i “dati sanitari” siano ampi e variegati, e vadano da quelli lavorativi professionali (comunicazioni di giorni di malattia al proprio datore di lavoro; richieste per usufruire dei permessi annui retribuiti) a quelli amministrativi (richieste di detrazioni fiscali o altre indennità).

Con l’entrata in vigore del GDPR è stato posto l’assoluto divieto di trattare i dati sanitari. Questo, tuttavia, non vuol dire che il dato sanitario non possa essere trattato. Vedremo quali sono i casi in cui il dato sanitario può essere trattato senza ottenere il consenso al trattamento dei dati sanitari e quando invece il paziente deve necessariamente acconsentire al trattamento dei suoi dati. 

 

 

Quando è possibile trattare dati sanitari senza il preliminare consenso dell’interessato (modello informativo per la privacy per gli studi medici)?

 

L’Autorità Garante ha precisato che il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente (modello informativo per la privacy per gli studi medici) per i trattamenti necessari alla prestazione sanitaria, indipendentemente dalla circostanza che operi in qualità di libero professionista o di dipendente ovvero che operi all’interno di una struttura sanitaria pubblica o privata.

L’art. 9 del GDPR  elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:

  • A) motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice 
  • B) motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare); 
  • C) finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. NO CONSENSO

Proprio da quanto previsto dalla lettere c) dell’art. 9 sopra riportata si evince che, diversamente dal passato, il professionista sanitario soggetto al segreto professionale, non deve più richiedere il consenso del paziente al trattamento dei dati sanitari necessari alla prestazione sanitaria richiesta dall’interessato. Questo indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.

Quanto ci porta alla seguente considerazione: 

Non necessitano di consenso i datinecessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma. Questo si riferisce a quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).

 

Quali sono i casi in cui è necessario recepire il consenso dell’interessato secondo il GDPR ?

 

I trattamenti dei dato sanitari non strettamente connessi alla finalità di “cura”, e quindi non necessari, richiedono una base giuridica diversa, ovvero il consenso.

 

Ecco alcuni esempi dove è necessario il consenso al trattamento dei dati sanitari esplicito dell’interessato:

  • trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità(1));
  • trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN);
  • trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
  • trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali (cfr. provv. del 6 marzo 2014, doc. web n. 3013267);
  • trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5) In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall’art. 75 del Codice. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.
  • Con riferimento ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmente richiesto dalle Linee guida emanate dall’Autorità prima dell’applicazione del Regolamento (Linee guida in materia di Dossier sanitario del 4 giugno 2015, doc web. n.4084632). Alla luce del nuovo quadro giuridico, sarà il Garante ad individuare, nell’ambito delle misure di garanzia da adottarsi sulla base dell’art. 2-septies del Codice, i trattamenti che, ai sensi dell’art. 9, par. 2, lett. h), possono essere effettuati senza il consenso dell’interessato.
 

Diverso è il caso della refertazione on line per il quale il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).

Per avere più informazioni sulla nostra consulenza alle strutture sanitarie clicca quì.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *