Consenso informato, i chiarimenti dal Garante della privacy

Lo scorso 7 marzo, con provvedimento del Garante della Privacy, sono stati pubblicati i chiarimenti inerenti all'applicazione del Regolamento UE n. 679/16 (GDPR): le delucidazioni si sono rese necessarie alla luce dei numerosi quesiti sottoposti all'Autorità dai soggetti operanti in ambito sanitario.

Garante privacy spiega interpretazione nuove norme europee

Privacy in sanità, dal Garante alcune specifiche sul nuovo GDPR

Il Garante della privacy, con provvedimento del 7 marzo inviato (il 13 marzo) a tutte le Regioni, le Federazioni professionali, le associazioni scientifiche e i sindacati, spiega l’interpretazione autentica delle nuove norme europee sulla privacy per quanto riguarda il consenso informato. E non solo.

Registro dei trattamenti

Alla luce del principio di accountability (responsabilizzazione del Titolare del trattamento dei dati) introdotto dal legislatore europeo e in quanto presupposto operativo per la gestione del rischio correlato alle attività di trattamento, in ambito sanitario ogni Titolare è tenuto alla compilazione e alla tenuta del registro dei trattamenti (come specificato dal Gruppo di lavoro Art. 29).

Nomina del Responsabile Protezione Dati (RPD o DPO)

L'obbligo in tal senso sussiste per i soggetti di natura pubblica. In merito ai privati, l'attività svolta va valutata in base al criterio di "larga scala" del trattamento: sicuramente risultano esclusi dal dovere di nomina i singoli libero professionisti; riguardo alle case di cura e alle RSA il Garante ritiene che esse potrebbero rientrare, in linea di principio, tra i soggetti tenuti a nominare un RPD (per quanto espresso sul tema della "larga scala" dalle Linee Guida WP 234 e successive modifiche).

Va sottolineato che il Garante aveva caldeggiato la nomina del DPO già dal 2009 (linee guida in materia di Dossier Sanitario Elettronico).

Informativa

Il GDPR, oltre ad inserire nuovi elementi, valorizza la trasparenza richiedendo massima intelligibilità. Alla luce di ciò il Garante consiglia alle strutture impegnate in attività complesse (gli ospedali in primis) di studiare una modalità di elaborazione dell'informativa tale da renderla graduale, progressiva: informazioni sul trattamento relativo alle prestazioni di carattere generale, fornite ad ogni utente, al aggiungerne successivamente altre, specifiche sulle attività di dettaglio (per esempio fornitura di presidi, refertazione on line).

Altro aspetto sul quale il GDPR pone grande importanza è quello della durata della conservazione dei dati, che in linea di principio dovrebbe coincidere con il tempo necessario ad erogare la prestazione.

Tempi di conservazione dei dati

Laddove non stabiliti da normative di settore, è responsabilità del Titolare del trattamento indicarne i termini dei tempi di conservazione dei dati, oppure i criteri per poterli stabilire, laddove si rendesse necessario conservarli oltre la durata del servizio erogato e quindi del naturale trattamento.

Nel provvedimento n. 55 il Garante riporta alcuni degli obblighi di conservazione normativamente previsti: 5 anni per le certificazioni di idoneità all'attività sportiva agonistica (DM 18/02/1982 art 5), 10 anni per la documentazione iconografica radiologica (DM 14/02/1997 art 4), tempo illimitato per le cartelle cliniche (Circolare del Ministero della Sanità 19/12/1986 n. 900 2/AG454/260).

Consenso

Premessa. L'avvento del GDPR ha portato un mutamento concettuale importante: nell'impianto normativo codicistico il consenso costituiva 'la norma' in tema di base giuridica per la liceità del trattamento e ad esso si affiancavano delle eccezioni (adempimento contrattuale, adempimenti del titolare per obbligo di legge, interesse vitale, eccetera).

Il legislatore europeo detronizza il consenso dell'interessato portandolo allo stesso livello delle altre basi giuridiche, ritenendo il principio dell'affidamento il fondamento di ogni relazione sociale.

Pertanto, se un soggetto si rivolge ad una struttura sanitaria per ragioni di cura è normalmente attendibile che per tali scopi il titolare e i soggetti autorizzati (incaricati) al trattamento utilizzino i dati personali connaturati e indispensabili allo svolgimento della prestazione.

Inoltre lo stesso GDPR all'articolo 9 prevede tra i principi generali il divieto di trattare i dati appartenenti a particolari categorie (cioè quelli sensibili), prospettando contestualmente tutte le sue eccezioni: tra di esse troviamo le attività di "diagnosi, assistenza o terapia" svolte da, o sotto la responsabilità di, soggetti tenuti per profilo al segreto professionale, oppure da altri incaricati sottoposti all’obbligo di riservatezza.

Per il trattamento dei dati sensibili l'eventuale consenso non soggiace più all'obbligo della forma scritta: il legislatore europeo richiede che sia inequivocabilmente espresso, ma lascia la regolazione dei trattamenti su dati sensibili ad eventuale ulteriore legislazione nazionale.

Il decreto di armonizzazione (del 10 agosto 2108, n. 101) ha quindi demandato all'opera del Garante la regolazione di dettaglio dei dati sensibili, incaricandolo dell'emanazione di misure di garanzia (previste all'art. 2 septies Cod. Privacy) da rinnovarsi con cadenza biennale.

Il Garante. Nel Provvedimento n. 55 viene data notizia dell'avvio della redazione delle misure di garanzia ex art. 2 septies e ribadito l'impegno ad ultimarle in tempi brevi per completare il corpo normativo in materia.

Riguardo ai trattamenti relativi ad attività di "diagnosi, assistenza o terapia" svolte sotto la responsabilità o da esercenti le professioni sanitarie tenuti al segreto professionale, oppure da altri incaricati sottoposti ad obbligo di riservatezza (GDPR art. 9 p.2 lett. h) l'Autorità ha ribadito che in linea di principio il consenso del paziente al trattamento dei dati non è più necessario (a prescindere dal settore di impiego, privato o pubblico, i forma dipendente o libero professionale), a patto che i dati siano utilizzati per attività necessarie al conseguimento dei fini di cura.

L'Autorità inoltre riflette sulla eventuale possibilità, da parte del legislatore, di rivedere la normativa precedente ed esentare dal consenso (alla luce del GDPR) le attività effettuate tramite FSE; mentre per il DSE sottolinea che: Alla luce del nuovo quadro giuridico, sarà il Garante ad individuare, nell'ambito delle misure di garanzia (…) i trattamenti che (…) possono essere effettuati senza il consenso dell'interessato.