Il trattamento dei dati sanitari alla luce del nuovo GDPR

In questa prima fase di applicazione del Regolamento europeo 2016/679, il Garante ha ricevuto quesiti inerenti il trattamento dei dati relativi alla salute. Questi dati, al pari di tutti quelli definiti “particolari”, possono essere trattati solamente in presenza di alcuni requisiti individuati all’art. 9, in particolar modo alle lettere h) e i) che riguardano l’ambito sanitario nello specifico. In riferimento a questa categoria di dati particolari (precedentemente noti come “dati sensibili”) è stata sollevata in più occasioni l’esigenza, da parte degli operatori del settore, di avere dei chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito. L’Autorità garante ha così ritenuto opportuno fornire alcune precisazioni (Provv.55 del 7/03/19) sull’applicazione della disciplina di protezione di questa tipologia di dati. A tal proposito si rileva in primo luogo come il professionista sanitario, soggetto al segreto professionale, non sia più tenuto a richiedere il consenso al paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata. Ciò per il fatto che il trattamento che scaturisce dal rapporto medico/paziente è giustificato dalla “finalità di cura” (art. 9 parte 2, lettera h), ritenuta essenziale per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute. Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento). Esempi in tal senso possono essere offerti dal trattamento dati relativo all’uso di App mediche, dalla fidelizzazione della clientela effettuata da farmacie con programmi d’accumulo punti, per trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. Un altro caso in cui è specificamente richiesto il consenso del paziente è relativo ai trattamenti effettuati attraverso il fascicolo sanitario elettronico. In tali casi l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del regolamento, il cui rispetto è ora espressamente previsto dall’art 75 del Codice (D.Lgs 101/2018). Anche il tema attinente le informazioni da fornire all’interessato è rilevante ai fini del corretto trattamento di questa particolare e delicata categoria di dati. L’Autorità raccomanda di rendere le informazioni all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile, oltre che in modo progressivo. Quest’ultimo aspetto è di particolare interesse, in quanto specifico del contesto sanitario, caratterizzato da trattamenti dati di particolare complessità. Suggerisce infatti il Garante che nei confronti della generalità dei pazienti afferenti ad una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie, mentre gli elementi informativi relativi a trattamenti particolari potrebbero essere resi in un secondo momento, solo ai pazienti effettivamente interessati a quei servizi. Ciò si ipotizza possa favorire una maggior attenzione da parte degli interessati alle notizie veramente rilevanti. Si rammenta poi l’obbligo per chiunque tratti dati sanitari su larga scala di nominare un Responsabile alla protezione dei dati (Data protection officer per il GDPR) ex art. 37 del Reg. Ue 2016/679. Il criterio di larga scala rimane tutt’ora incerto, non essendoci enunciazioni specifiche nel testo di legge. A tal proposito è intervenuto a livello europeo il “Gruppo di lavoro art.29 per la tutela dei dati” (ora “Comitato Europeo per la protezione dei dati”) con una linea guida, indicando una serie di fattori che sottintendono un trattamento dati su larga scala:

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• la durata, ovvero la persistenza, dell’attività di trattamento;
• la portata geografica dell’attività di trattamento.

Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attività. Secondo quanto indicato nel Considerando n. 91 del Regolamento, infatti, i trattamenti dallo stesso effettuati non rientrano tra quelli su larga scala. Infine, al pari di altre forme di trattamento dati, anche non particolari, è da rilevare la necessità di tenuta del Registro dei trattamenti previsto dall’art. 30 del GDPR, che deve essere messo a disposizione dell’Autorità di controllo in caso di sopralluogo. Ciò al fine di soddisfare quel principio d’accoutability (responsabilizzazione) così centrale nell’attuale normativa privacy europea: la tenuta del Registro costituisce infatti l’elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio.