Il medico è un professionista tenuto al segreto professionale e di conseguenza non ha l’obbligo di chiedere al paziente il consenso al trattamento dei dati per effettuare la prestazione sanitaria. Ma se i dati vengono utilizzati per finalità connesse alla cura ma non necessarie, allora va chiesto (esempio: strumenti di fidelizzazione, app mediche…).
Sono alcune indicazioni contenute nel provvedimento del Garante Privacy del 7 marzo sulla corretta interpretazione del GDPR, il regolamento europeo sulla protezione dati personali, da parte dei professionisti della Sanità. Il Garante fornisce una serie di chiarimenti che vanno nel senso della semplificazione (escludendo la necessità di consenso per cure mediche, già tutelate dal segreto professionale) e forniscono riferimenti per le varie fattispecie di attività.
Quando il consenso è necessario
- trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
- trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale ;
- trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (esempi: promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- trattamenti effettuati attraverso il Fascicolo sanitario elettronico (dl 179/2012, articolo 12, comma 5): l’obbligo è stabilito da disposizioni precedenti al GDPR. «Un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo – si legge nel provvedimento -, potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati»;
- refertazione on line.
=> Stop e-fattura sanitaria e archiviazione dati
In ogni caso, anche quando non c’è obbligo di consenso, il medico deve sempre fornire un’informativa privacy chiara e comprensibile al paziente sull’utilizzo dei dati. Nel dettaglio, le informazione vanno rese «in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro».
I medici e le strutture che non effettuano un trattamento massivo di dati non hanno nemmeno l’obbligo di nominare il Responsabile della protezione dati. Quindi, per fare un esempio, il libero professionista, o la farmacia, non hanno questo obbligo. Un ospedale invece deve necessariamente nominare il Dpo. La normina del responsabile trattamento dati è sempre obbligatoria se la struttura è pubblica.
C’è invece per tutti l’obbligo di tenere un registro dei trattamento effettuate sui dati dei pazienti, che costituisce «un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio» e di conseguenza non prevede esoneri.
Per riassumere