Chiarimenti del Garante sull’applicazione della disciplina di protezione dei dati in ambito sanitario
Il 7 marzo 2019, a seguito delle numerose richieste di chiarimenti ricevute il Garante per la Protezione dei Dati Personali ha emanato un provvedimento con in quale ha fornito alcune precisazioni relative al trattamento dei dati in ambito sanitario.
L’Autorità di controllo ha fatto luce sui seguenti aspetti.
Le deroghe al divieto di trattamento delle “categorie particolari di dati”
La precisazione forse più rilevante, riguarda le deroghe al divieto di trattamento delle “categorie particolari di dati”.
Il trattamento di tali informazioni (tra le quali rientrano quelle relativi alla salute) è consentito, ai sensi dell’art. 9 del G.D.P.R., in via generale, per le seguenti attività di trattamento:
- Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
- Motivi di interesse pubblico nel settore della sanità pubblica;
- Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.
Il Garante ha approfondito il concetto di “finalità di cura”, spiegando come si tratti di quei trattamenti effettuati da, o sotto la responsabilità di, un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Per tale motivo, il professionista sanitario, così inquadrato, non deve più chiedere il consenso al paziente per il trattamento dei dati necessari per compiere la prestazione sanitaria richiesta dall’interessato, indipendentemente dal fatto che operi come libero professionista oppure all’interno di una struttura sanitaria (pubblica o privata).
Sui trattamenti attinenti solamente in senso lato al concetto di “cura”, ma non strettamente necessari, il Garante ha affermato che questi richiedono quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente nel consenso dell’interessato o in un altro presupposto di liceità.
L’Autorità ha individuato, a titolo esemplificativo, alcune categorie di trattamento che richiedono il consenso esplicito dell’interessato:
- Utilizzo di App mediche (da parte di autonomi Titolari);
- Trattamenti preordinati alla fidelizzazione della clientela;
- Trattamenti svolti in ambito sanitario da persone giuridiche private per finalità promozionali o commerciali;
- Trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- Trattamenti effettuati tramite fascicolo sanitario elettronico.
Il Garante fornisce anche ulteriori precisazioni sulle informazioni da fornire all’interessato, sulla designazione del Responsabile della Protezione dei Dati (Data Protection Officer) e sul Registro delle attività di trattamento.
Non si tratta ancora dei chiarimenti più auspicati, ma questo primo intervento del Garante è comunque un forte segnale di reazione da parte dell’Autorità di controllo alle molte richieste ricevute da Titolari, Responsabili e consulenti professionisti.