Con il provvedimento del 7 marzo 2019 l’autorità garante italiana dà indicazioni per l’applicazione delle nuove regole per il trattamento di dati in ambito sanitario, pubblico e privato.
QUALI TRATTAMENTI NON HANNO BISOGNO DEL CONSENSO
Premesso che il trattamento di dati inerenti la salute, così come di altri dati particolari previsto dall’art 9 del Regolamento europeo (UE)2016/679, va inteso sempre come un’eccezione alla regola generale che lo vieta, il Garante riassume i trattamenti che in ambito sanitario non necessitano del consenso dell’interessato.
In primo luogo, sono quelli NECESSARI PER MOTIVI DI INTERESSE PUBBLICO RILEVANTE, come specificati dall’art 2-sexies del Codice(D.lgs. 196/2003), fra cui ci sono:
- attività socioassistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
- attivita’ amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonchè alle trasfusioni di sangue umano;
- compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonche’ compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumita’ fisica;
- programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
- vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria;
- tutela sociale della maternita’ ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili;
- istruzione e formazione in ambito scolastico, professionale, suoperiore o universitario;
- trattamenti effettuati ai fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica nonchè per fini statistici da parte di soggetti che fanno parte del sistema statistico (Sistan).
Non occorre acquisire il consenso, inoltre, quando vi sono MOTIVI DI INTERESSE PUBBICO NEL SETTORE SELLA SANITÀ PUBBLICA, in particolare riferibili alla protezione da gravi minacce per la salute a carattere transfrontalieroo la vgaranzia di parametri elevati di qualità e sicurezza dell’assistenza sanitari, dei medicinali e dispositivi medici e in fine quando vi siano FINALITA’ DI MEDICINA PREVENTIVA, DIAgnosi, assistenza e te4raqpia sanitaria o sociale o gestione dei sistemi e servizi sanitari o sociali, ovvero si sia nell’ambito delle finalità di cura.
In questi casi occorre che vi sia un vincolo di segretezza, in quanto chi tratta i dati è un professionista sanitario o altra persona tenuta al segreto.
In altre parole, il consenso al trattamento dati del paziente per finalità di cura non è più da richiedere. (e come è noto, è cosa diversa dal “consenso informato” per gli atti medici, che ha il suo fondamento nella libertà prersonale di sottoporsi a trattamenti sanitari).
Il Garante specifica inoltre che se i dati non sono “necessari”, ma solo “attinenti” alle finalità di cura, occorre altra base giuridica prevista dall’art 6 del Regolamento europeo.
IN QUALI CASI CI VUOLE IL CONSENSO
Va ricordato, in primoi luogo, che il consenso, quando è richiesto, è sempre revocabile a semplice richiesta dell’interessato.
I casi un cui il consenso è la base giuridica necessaria per trattare i dati in sanità sono tutti quelli riconducibili a finalità di fidelizzazione, commerciali o promozionali o eletttorali di professionisti, esercenti la professione nell’ambito del SSN, farmacie, laboratori, ambulatori o centri sanitari, priovati o convenzionati.
Un caso particolare – e recente – è quello delle APP SANITARIE in cui il consenso, sia ai privati che in ambito puybblkico, è SEMPRE NECESSARIO. Se un programma di promozione della salute promosso, ad esempio, da un’ASL dovesse avvalersi di una APP, occorre senz’altro ricordarsi di quest’obbligo.
In ambito sanitario pubblico IL CONSENSO per trattare i dati personali è tuttora richiesto (dalla legge) in due casi: il FASCICOLO SANITARIO ELETTRONICO (art. m12 comma 5 del d.l. 18.10.2012, n 179) e la REFERTAZIONE ON LINE (art.5 DPCM 8.8.2013).
Com è ovvio, Il diniego del consenso o la revoca dello stesso non dovranno in nessun caso incidere sulle possibilità di cura.
LE INFORMAZIONI DA DARE AGLI INTERESSATI
Le informazioni sul trattamento dei dati VANNO SEMPRE DATE, anche quando non si deve chiedere il consenso e devono essere di facile comprensione in modo da rendere le persone consapevoli di questi trattameanti di dati e dei loro diritti al riguardo.
Nella gran parte dei casi le Aziende sanitarie e gli altri enti hano aggiornato i cartelli, la modulistica, i siti secondo le nuove indicazioni normative. La raccomandazione del Garante è di rendere queste informazioni più comprensibili, fornendle agli interessati in modo progeressivo, in relazione all’accesso effettivo alle diverse prestazioni / alle effettive necessità di trattamenti dati.
CONSERVAZIONE DEI DATI – DOCUMENTAZIONE DEI TRATTAMENTI- RESPONSABILE DEI DATI PERSONALI
Nell’ultima parte del provvedimento si richiamano gli obblighi riguardo alla conservazione dei dati; in ambito publbico la conservazione di documenti sanitari è definita da norme di legge che tengono conto di varie finalità. Ad es. le cartelle cliniche debbono essere conservate illimitatamente.
Dove l’indicazione di legge non c’è il Regolamento europeo prescrive di conservare i dati personali solamente per il tempo necessario a raggiungere le finalità per le quali i dati sono stati raccolti, dopo di che i dati vanno anonimizzati. E’opportuno che questo tempo di scadenza sia indicato, in modo esplicito, nei documenti del titolare del trattamento.
Il registro dei trattamenti è lo strumento di cui ogni titolare deve dotarsi per poter dimostrare all’autorità di controllo, in caso di ispezione, che i trattamenti sono coindotti in modo lecito e corretto e sono “sotto controllo” per il profilo della sicurezza dei dati.
E’ un obbligo che riguarda tutti i titolari, sia i professionisti privati, sia le strutture sanitarie private, le farmacie, le aziende ortopediche, sia tutto l’ambito sanitario pubblico.
A differenza delle aziende sanitarie pubbliche e cliniche private, non sono invece tenuti a individuare un DPO (responsabile dei dati personali) tutti I PROFESSIONISTI SINGOLI, LE AZIENDE ORTOPEDICHE, LE FARMACIE E PARAFARMACIE, in quanto si ritiene che questi esercenti non svolgano trattamenti su larga scala.
DOWNLOAD & LINK
 |
FONTE: DORS |
