Il Garante per la protezione dei dati personali, con provvedimento del 7 marzo u.s. (cfr. all.1), ha ritenuto opportuno, sebbene il quadro regolatorio non sia definitivo, fornire alcuni chiarimenti in merito al nuovo assetto della disciplina relativa al trattamento dei dati in ambito sanitario, per favorire un’interpretazione uniforme della nuova normativa e supportare tutti i soggetti operanti in ambito sanitario.

 

***

Tra le osservazioni di interesse si segnalano le seguenti.

DISCIPLINA PER IL TRATTAMENTO DEI DATI RELATIVI ALLA SALUTE IN AMBITO SANITARIO

Il trattamento dei dati della salute è consentito in presenza di alcuni requisiti specifici, descritti nell’art. 9 del Regolamento U.E. 2016/679.

In particolare, l’art. 9 del Regolamento elenca una serie di eccezioni che, in deroga al divieto generale di trattare le cd. categorie particolari di dati, rendono lecito il loro trattamento e che sono riconducibili, per quanto concerne i dati relativi alla salute, ai trattamenti necessari per:

  1. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati Membri(art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;
  2. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale (art. 9, par. 2 lett. i) del Regolamento e considerando n. 54); si pensi, ad esempio, alle emergenze sanitarie conseguenti a sismi e sicurezza alimentare;
  3. per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”), sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità,(art. 9, par. 2 lett. h) e par. 3 del Regolamento e del considerando n. 53; art. 75 del Codice della privacy) effettuati da o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Pertanto, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista o in una struttura sanitaria pubblica o privata.

Il Garante, inoltre, precisa che, in concreto, a seconda dello specifico trattamento effettuato, si possa ricadere anche nel campo di applicazione di un’altra delle deroghe individuate dall’art. 9 del Regolamento.

In relazione all’ambito oggettivo dei trattamenti con finalità di cura si devono ritenere “necessari” quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).

Di conseguenza, per effettuare quei trattamenti riconducibili solo in senso lato alla cura, ma non strettamente necessari, è imprescindibile, l’individuazione di una distinta base giuridica, da ricercare nel consenso dell’interessato o in altro presupposto di liceità di cui agli artt.6 e 9 par. 2 del Regolamento.

A titolo esemplificativo, i trattamenti che, invece, ai sensi dell’art. 9, lett. a), del Regolamento, richiedono il consenso esplicito dell’interessato sono:

  1. a)trattamenti connessi all’utilizzo di App mediche, attraverso cui autonomi titolari dei trattamenti raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
  2. b)trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo di punti, al fine di fruire servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del SSN;
  3. c)trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening);
  4. d)trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. Infatti, i dati personali raccolti nell´esercizio di attività professionali e di impresa, ovvero nell´ambito dell´attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti. Ad esempio, non è lecito utilizzare particolari indirizzari o dati raccolti da strutture sanitarie, pubbliche e private, ovvero da singoli professionisti sanitari, nell´ambito delle attività di diagnosi e cura da essi svolti, al fine di veicolare messaggi di comunicazione politica volti a sostenere la candidatura di personale medico o comunque legato alla struttura sanitaria presso la quale l´interessato si è recato per fini di cura;
  5. e)trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art.12, comma 5).

Con riferimento ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmente previsto nelle Linee guida emanate dall’Autorità prima dell’applicazione del Regolamento. Alla luce del nuovo quadro normativo, dovrà essere il Garante ad individuare quali misure- da adottare ex art 2 septies del Codice della privacy- possano essere effettuate senza il consenso.

Si rammenta che, ai sensi dell’art. 22, comma 1, del d.lgs. 101/2018, le disposizioni del Codice della Privacy si devono, in ogni caso, interpretare ed applicare alla luce del Regolamento.

INFORMAZIONI DA FORNIRE ALL’INTERESSATO

Le informazioni da fornire all’interessato, secondo quanto previsto dagli artt. 13 e 14 del Regolamento, devono essere rese in forma concisa, trasparente intelligibile e facilmente accessibile, con linguaggio semplice e chiaro (cfr. art. 12, par. 1 del Regolamento e art. 78 del Codice).

Per quanto concerne le modalità con cui fornire le informazioni, alla luce del principio di responsabilizzazione di cui all’art. 5 del Regolamento, spetta al titolare

del trattamento scegliere le modalità più appropriate al caso di specie (cfr. considerando 58 e 60 del Regolamento).

RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD)

Per facilitare l’osservanza della disciplina di protezione dei dati, per le autorità o organismi pubblici deve obbligatoriamente essere designato un responsabile della protezione dei dati. Per gli altri soggetti tale obbligo sussiste, invece, solo nelle specifiche condizioni individuate dall’art. 37 del Regolamento che, ad esempio, impone la designazione del RPD qualora le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali.

Pertanto, il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non è tenuto alla designazione di tale figura.

Il Garante ha, invece, precisato che anche il trattamento svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare nel concetto di trattamento su larga scala e per tale motivo esigere la designazione di un RPD.

In conclusione, le farmacie e le parafarmacie, tenuto conto che non effettuano trattamenti di dati personali su larga scala, non sono obbligate a designare il RPD.

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

Il titolare del trattamento o il responsabile del trattamento deve tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità, per dimostrare di conformarsi al Regolamento 2016/679.

Si segnala che anche le farmacie e le parafarmacie sono obbligate alla tenuta del registro, non rientrando tra le ipotesi di esenzione.

 

Cordiali saluti.

 

Il Presidente

Sen. Dr. Luigi D’Ambrosio Lettieri

EVENTI IN PROGRAMMA

bunner la farmacia dei servizi e i protocolli attuativi del page 0001 1

cosmofarma

SERVIZI DELL'ORDINE

immagine6