Il Garante della privacy indica le regole per la sanità

Il singolo medico non dovrà nominare il Dpo (responsabile della protezione dei dati) e per le finalità di cura non si deve chiedere il consenso, che verrà invece richiesto per refertazione online, fascicolo e dossier sanitario elettronico; medici, farmacie e aziende sanitarie devono compilare il registro dei trattamenti. Sono queste alcune delle direttive fornite dal Garante della privacy (provvedimento n. 55 del 7 marzo 2019)in materia di privacy e regolamento Ue sulla protezione dei dati n. 2016/679 in materia sanitaria. Il professionista sanitario non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato: questo indipendentemente dal fatto che lavori presso uno studio medico oppure all’interno di una struttura sanitaria pubblica o privata. Altri trattamenti non strettamente necessari alla cura richiedono invece il consenso: ad esempio le app mediche, i trattamenti di dati delle farmacie per fidelizzare la clientela, campagne promozionali e commerciali , trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali. Il Garante ricorda che il consenso è richiesto da norme speciali anteriori al regolamento Ue, fatte salve dall’articolo 75 del codice della privacy, mentre al parlamento spetterà tutt al più la scelta di eliminare eventualmente il consenso. Il consenso è richiesto da Linee guida del 4 giugno 2015: sarà il Garante a individuare nell’ambito delle misure di garanzia (articolo 2-septies) i trattamenti che non necessitano il consenso. L’informativa dovrebbe essere aggiornata e integrata solo con riferimento alle novità degli articoli 13 e 14 del Regolamento Ue. Per le aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento (fornitura di presidi sanitari, consegna di referti on line, finalità di ricerca) potrebbero essere rese in un secondo momento ai soli pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, può essere fissato da regole specifiche. Ad esempio le cartelle cliniche vanno tenute non meno di dieci anni. Si noti che l’indicazione di un termine minimo lascia, però, aperto il problema del termine massimo. Quando non c’è o non è chiaro il periodo di conservazione, è il titolare del trattamento che deve motivatamente stabilirlo e indicarlo nelle informative: se non come periodo fisso, per lo meno precisando i criteri per individuarlo. Le aziende sanitarie devono nominare il Dpo o responsabile della protezione dei dati (siglato anche Rpd). Lo stesso vale per un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non è tenuto a nominare un Dpo. Non sono tenute alla nomina del Dpo le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l’obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala). Il Garante non specifica il caso dello studio associato, per il quale si ritiene che il discrimine sia la larga scala del trattamento. Devono compilare il registro i singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al garante, ma conservato per eventuali controlli.