L’Autorità garante per la protezione dei dati personali, è intervenuta sul tema della privacy in ambito sanitario con il PROVVEDIMENTO N. 55 DEL 7 MARZO scorso (trasmesso con una nota anche a Fofi e Federfarma) che fornisce indicazioni e chiarimenti sull’applicazione del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr).
In primo luogo, il Garante chiarisce che il singolo medico non deve nominare il Dpo (responsabile della protezione dei dati); per le finalità di cura non si deve chiedere il consenso, che invece servirà per la refertazione online, fascicolo e dossier sanitario elettronico; tocca ai medici, alle farmacie e alle aziende sanitarie la compilazione del registro dei trattamenti.
Più in dettaglio, il professionista sanitario, in virtù del segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, e ciò indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata. La norma vale solo i trattamenti necessari per le finalità di cura. Per altre fattispecie non strettamente necessarie alla cura, servirà il consenso o un supporto giuridico. Tra queste rientrano le app mediche; i trattamenti di dati delle farmacie per fidelizzare la clientela (accumulo punti per fruire di servizi e prestazioni accessorie); campagne promozionali e commerciali (programmi di screening, fornitura di servizi amministrativi, alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. In questo caso serve il consenso dell’interessato.
Il consenso, come riferisce il Garante, è richiesto dalle Linee guida del 4 giugno 2015: in questo ambito dovrà essere il Garante a individuare nel perimetro delle misure di garanzia i trattamenti che non necessitano il consenso. L’informativa dovrebbe essere aggiornata e integrata solo con riferimento alle novità degli articoli 13 e 14 del Regolamento Ue.
Riguardo alle aziende sanitarie, il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, può essere fissato da regole specifiche.
In caso di dubbi dovrà essere il titolare del trattamento a stabilirlo e indicarlo nelle informative, se non come periodo fisso, per lo meno precisando i criteri per individuarlo. Tocca alle aziende sanitarie nominare il responsabile della protezione dei dati (in sigla Dpo o anche Rpd), anche nel caso di ospedale privato, casa di cura o residenza sanitaria assistenziale.
Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non dovrà invece nominare un Dpo. Così come le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l’obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).
Il registro dovrà essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al Garante, ma conservato per eventuali controlli.