Il Garante per la protezione dei dati personali si è espresso sull’applicazione della disciplina sul trattamento dei dati relativi alla salute in ambito medico. Il provvedimento generale adottato dal Garante mira a favorire un’interpretazione uniforme della nuova disciplina del GDPR e supportare gli operatori del settore sanitario con informazioni che agevolino la sua corretta attuazione.
Ciò che emerge dal provvedimento è che trattare «categorie particolari di dati», tra le quali rientrano quelli sanitari è sempre vietato, tranne che per:

a) motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
b) motivi di interesse pubblico nel settore della sanità pubblica (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
c) finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali («finalità di cura»).

Non richiedono il consenso al trattamento dei dati tutti quei trattamenti che sono essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute e sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. La nomina di un Responsabile della Protezione Dati rimane obbligatoria per gli organismi pubblici (es: struttura appartenente al SSN) e nel caso di trattamenti su «larga scala» (come può avvenire per ospedali e case di cura). Per il medico che opera come libero professionista invece non c’è l’obbligo di nomina del RPD. Inoltre, i medici potranno trattare i dati dei pazienti, per finalità di cura, senza dover richiedere il loro consenso, ma dovranno comunque fornire loro informazioni complete sull’uso dei dati.
È invece necessario il consenso, o una differente base giuridica, quando i trattamenti non sono strettamente necessari per le finalità di cura, anche nel caso in cui siano effettuati da professionisti della sanità. Permane quindi la necessità di acquisire il consenso per il trattamento dei dati relativi al fascicolo sanitario elettronico, per la consultazione dei referti online, per i trattamenti di dati sulla salute connessi all’uso di “App” mediche, effettuati per fidelizzare della clientela, oppure per finalità promozionali, commerciali o elettorali.
Il Garante ha inoltre sottolineato l’obbligo per tutti gli operatori sanitari di tenere un registro dei trattamenti nel quale elencare le attività di trattamento effettuate sui dati dei pazienti

Riferimenti

• Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9091942