Sorry, this entry is only available in Italiano.
L’Autorità Garante per la protezione dei dati personali ha emesso, in data 7 marzo 2019, un Provvedimento chiarificatore al fine di diradare i dubbi interpretativi derivanti dal mutato e articolato assetto della disciplina sul trattamento dei dati relativi alla salute nel settore sanitario e di favorire un’interpretazione uniforme della normativa. Numerose segnalazioni e quesiti erano infatti pervenuti al Garante, in particolare su questioni relative ai nuovi adempimenti per i titolari e i responsabili previsti dal Regolamento generale sulla protezione dei dati personali UE 2016/679 (d’ora in poi anche Regolamento) e dal Codice privacy, nonché sull’attività dei responsabili della protezione dei dati.
È opportuno ricordare, preliminarmente, la distinzione tra il consenso al trattamento dei dati personali dell’interessato e il consenso informato del paziente a subire un trattamento terapeutico. Il primo riguarda il diritto alla riservatezza, il secondo è il presupposto di legittimità dell’azione del medico, dato che la nostra Costituzione, all’art. 32, stabilisce che “[…] nessuno può essere sottoposto a trattamenti medici contro la sua volontà”. Con riguardo alla protezione dei dati personali, i dati relativi alla salute sono dati particolari e, come tali, meritevoli di una tutela rafforzata. Si tratta dei dati che, come previsto dall’art. 9, paragrafo 1 del Regolamento UE 2016/679, sono attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria, e rivelano informazioni relative al suo stato di salute[1]. In linea di massima, il legislatore europeo ha stabilito il divieto di trattamento per questi dati, consentito solo in presenza di taluni requisiti specifici individuati dall’art. 9, paragrafo 2 del Regolamento.
Nel regolare lo spazio di azione degli Stati membri, il legislatore europeo ha previsto, all’art.9, par. 4 del Regolamento, la possibilità per gli Stati di mantenere o introdurre ulteriori condizioni e limitazioni, con riferimento al trattamento di dati biometrici, genetici o relativi alla salute. Il D. Lgs. n. 101/2018[2], che ha modificato e in parte abrogato il Codice privacy, ha affidato al Garante per la protezione dati il compito di completare l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche. L’Autorità è intervenuta allora con due Provvedimenti[3], allo scopo di individuare, ed eventualmente aggiornare, le prescrizioni contenute nelle Autorizzazioni generali sul trattamento dei dati sensibili che risultavano compatibili con le disposizioni del Regolamento e del D. Lgs. n. 101/2018, nonché di verificare la conformità dei codici deontologici al Regolamento (artt. 20 e 21 del citato decreto).
Nel primo Provvedimento sono state individuate le prescrizioni, contenute nelle autorizzazioni generali, compatibili con le disposizioni del Regolamento e del D. Lgs. n. 101/2018, deliberando contestualmente l’avvio di una procedura di consultazione pubblica. Nel secondo Provvedimento, il Garante ha provveduto alla verifica della conformità al Regolamento delle disposizioni contenute nei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e alla loro conversione in regole deontologiche, il cui rispetto costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali (art. 2-quater del Codice). Con i chiarimenti definiti il 7 marzo 2019, invece, il Garante è intervenuto su due direttrici principali. La prima è quella del fondamento giuridico del trattamento dei dati personali riguardanti la salute, che porta con sé il tema del consenso dell’interessato e delle informazioni da fornire all’interessato. La seconda direttrice riguarda gli obblighi di nomina del responsabile della protezione dei dati[4] e di tenuta del registro delle operazioni di trattamento.[5] Quanto alla disciplina per il trattamento dei dati relativi alla salute in ambito sanitario, le deroghe al divieto di trattare tali dati sono stabilite dall’art. 9 par. 2 del Regolamento; in primo luogo, il divieto cade ogni qualvolta sussistano dei motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri,[6] individuati dall’art. 2-sexies del Codice.[7] Tale disposizione stabilisce che i trattamenti delle categorie particolari di dati personali, di cui all’art. 9, par. 1 del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del par. 2, lettera g) del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali dell’interessato. In secondo luogo si ha una deroga in presenza di “motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.[8] Infine, viene meno l’obbligo di raccolta del consenso nei casi in cui il trattamento dei dati riguardanti la salute dell’individuo sia posto in essere per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (“finalità di cura”) sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.[9] Queste eccezioni al divieto di trattamento possono essere applicate in concreto anche ad altri trattamenti. La terza eccezione, infatti, presenta alcune particolarità. Il Garante chiarisce che i trattamenti per “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario[10] soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Rispetto al passato, dunque, tale professionista non deve più richiedere il consenso all’interessato per i trattamenti necessari alla prestazione sanitaria richiesta, indipendentemente dal fatto che operi in qualità di libero professionista (ad esempio presso uno studio medico), ovvero all’interno di una struttura sanitaria pubblica o privata. L’ambito oggettivo di tali trattamenti è quello dei trattamenti strettamente necessari alle specifiche finalità di cura previste dalla norma e non gli eventuali trattamenti attinenti in senso lato alla cura, i quali richiedono una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato[11] o in un altro presupposto di liceità. Il Garante ha allora individuato, in tale ambito, a titolo esemplificativo, alcune categorie. L’Autorità include quei trattamenti connessi all’utilizzo di “App” mediche, attraverso le quali autonomi titolari raccolgono i dati, anche sanitari, dell’interessato per finalità diverse dalla telemedicina. Ancora, in tale elenco ricadono i casi in cui, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale.[12] In secondo luogo, serve il consenso dell’interessato qualora il trattamento dei dati sia finalizzato alla fidelizzazione della clientela[13] oppure sia effettuato da persone giuridiche private per finalità promozionali o commerciali.[14] Il Garante ha inteso comprendere in questa categoria i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali[15], e quei trattamenti effettuati attraverso il Fascicolo sanitario elettronico ai sensi del D. L. 18 ottobre 2012, n. 179, art. 12, comma 5.[16] In tali casi, ad avviso del Garante, l’acquisizione del consenso quale condizione di liceità del trattamento è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall’art. 75 del Codice privacy. L’Autorità, a tal riguardo, esorta il legislatore ad un’eventuale opera di rimeditazione normativa, in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo. L’Autorità ha infine opportunamente ricordato che il consenso è attualmente richiesto, per il Dossier sanitario, dalle sue stesse Linee guida[17] e, per la refertazione on line, dalle disposizioni di settore.[18]
Connesso al tema del consenso è quello delle informazioni da fornire all’interessato: la trasparenza è un elemento fondamentale del trattamento dei dati personali, fortemente richiesto dal Regolamento. Esso richiede un’attenzione alla accountability da parte del titolare del trattamento, anche con riferimento al rispetto del principio di trasparenza, con la conseguente possibilità di scegliere, all’interno del perimetro normativo, le modalità più appropriate con cui fornire l’informativa all’interessato. Il titolare, pertanto, deve tenere presente le circostanze e il contesto in cui viene effettuato il trattamento. L’Autorità, nel Provvedimento in esame, ha evidenziato come il citato principio di trasparenza previsto dal Regolamento[19] imponga ai titolari di informare l’interessato sui principali elementi del trattamento, fornendogli informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.[20] Quando i titolari sono enti di grandi dimensioni (es. aziende sanitarie), il Garante suggerisce di fornire tali informazioni all’interessato in modo progressivo,[21] ma necessariamente in un momento precedente alla raccolta dei dati. Tali informazioni devono comprendere: il soggetto che raccoglie i dati, le finalità del trattamento, le modalità del trattamento, i tempi di conservazione dei dati, la natura obbligatoria o facoltativa del conferimento dei dati, i soggetti ai quali i dati potranno essere comunicati [22], l’eventuale trasferimento degli stessi fuori dallo Spazio Economico Europeo, i dati di contatto del titolare, del responsabile per la protezione dati personali e le modalità per esercitare i diritti da parte dell’interessato.
L’Autorità italiana, inoltre, segnala come il nostro ordinamento contenga numerosi e differenziati riferimenti ai tempi di conservazione della documentazione sanitaria; essi non sono stati modificati dalla disciplina sulla protezione dei dati personali e rimangono quindi pienamente in vigore. Si pensi, ad esempio, che la documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica deve essere conservata dal medico per almeno cinque anni;[23] le cartelle cliniche devono essere conservate illimitatamente;[24] la documentazione iconografica radiologica deve essere invece conservata per un periodo non inferiore a dieci anni.[25] L’Ufficio del Garante sottolinea che il titolare del trattamento, in virtù dei principio di accountability e di limitazione della conservazione, dovrà invece individuare il periodo di conservazione più adatto per quei dati sanitari per i quali non vi sono disposizioni normative, in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati.[26] I documenti che contengono i dati di salute devono essere conservati in archivi ad accesso controllato, in modo da impedire l’accesso a soggetti non autorizzati.
Il Garante ha inteso chiarire con il Provvedimento in esame anche la questione della designazione del responsabile della protezione dei dati (RPD o DPO dall’inglese “Data Protection Officer”), considerato che il Regolamento UE 2016/679 stabilisce che tale designazione è obbligatoria per le autorità o organismi pubblici.[27] Nel provvedimento citato, infatti, si afferma che “i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del RPD, sia in relazione alla natura giuridica di ‘organismo pubblico’ del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute”. I trattamenti di dati personali effettuati da ospedali privati, case di cura e residenze sanitarie assistenziali (RSA) possono rientrare, in linea generale, nel concetto di larga scala.[28] Non è così per quelli effettuati da singoli professionisti,[29] farmacie, parafarmacie, aziende ortopediche e sanitarie. Tali soggetti sono obbligati a designare il RPD soltanto in presenza di trattamenti di dati personali su larga scala.
In ultimo, il Garante fornisce dei chiarimenti sull’obbligo della tenuta del Registro delle attività di trattamento. Il Regolamento 2016/679 prevede che tale registro non debba essere trasmesso al Garante ma debba essere messo a disposizione dell’Autorità in caso di controllo. Il registro, infatti, è uno degli elementi essenziali per la definizione del quadro generale di accountability del titolare del trattamento utile al fine di governare i trattamenti e, allo stesso tempo, valido strumento per individuare, efficacemente, quelli a maggior rischio. Le fattispecie di esenzione dalla tenuta del registro previste dall’art. 30 par. 5 del Regolamento, infatti, vengono ribadite dall’Autorità; il Garante, infatti, dispone che non ricadono nelle ipotesi di esenzione i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.
Concludendo, quello descritto è un intervento estremamente importante da parte dell’Autorità Garante per la protezione dei dati personali, in quanto chiarisce e definisce la possibilità di trattare i dati personali degli interessati per finalità di cura senza dover richiedere il consenso, previa sottoposizione della nota informativa.
Note
[1] Il Considerando 35 al Regolamento UE 2016/679 stabilisce che “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
[2] Artt. 2-quater e 2-septies D. Lgs. n. 101/2018.
[3] Provvedimenti del Garante per la protezione dei dati personali del 13 e 19 dicembre 2018, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972 e https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9069637
[4] FAQ sul Responsabile per la protezione dati personali in ambito pubblico e privato diramate dal Garante per la protezione dati personali, https://www.garanteprivacy.it/regolamentoue/rpd
[5] Art. 30 Reg. UE 2016/679, adempimento utile a dimostrare l’accountability del titolare del trattamento in caso di richiesta di esibizione da parte dell’Autorità di controllo.
[6] Art. 9, par. 2, lett. g) Regolamento UE 2016/679: “il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
[7] L’articolo richiamato contiene un elenco dei trattamenti fondati su un “rilevante interesse pubblico” effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri. Ad es., in materia di documentazione delle attività istituzionali di organi pubblici, attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci; attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano; compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica; programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale; vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria; tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili; ecc.
[8] Art. 9, par. 2, lett. i) Reg. UE 2016/679.
[9] Art. 9, par. 2, lett. h) Reg. UE 2016/679: “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”.
Si veda anche Considerando n. 53 e art. 75 del Codice privacy, il quale nella sua nuova formulazione stabilisce che: “Il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell’articolo 2-septies del codice, nonché nel rispetto delle specifiche disposizioni di settore”.
[10] Professionista sanitario è colui che per legge può trattare dati sanitari, ossia gli esercenti una professione sanitaria e gli organismi sanitari pubblici. Nella prima categoria sono inclusi il farmacista, il medico chirurgo, l’odontoiatra, il veterinario, lo psicologo, l’infermiere, l’ostetrico, l’infermiere pediatrico, l’esercente professioni sanitarie riabilitative. Sono esclusi l’operatore di interesse sanitario e arti ausiliari delle professioni sanitarie come massaggiatore, ottico, odontotecnico, puericultore.
[11] Art. 9, par. 2, lett. a) Reg. UE 2016/679.
[12] Cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità.
[13] Si pensi ai trattamenti effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN).
[14] Ad esempio, promozioni su programmi di screening, oppure contratti di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza.
[15] Cfr. Provvedimento del 6 marzo 2014.
[16] Il FSE è uno strumento informatico che riunisce i dati e i documenti, digitali o digitalizzati, di tipo sanitario e/o sociosanitario allo scopo di condividere la storia clinica del paziente con diversi soggetti. Il FSE è aggiornato dalle strutture sanitarie e dai medici. Il paziente deve essere informato su chi ha accesso ai suoi dati e come vengono trattati, e l’eventuale mancato consenso al FSE non preclude al paziente la possibilità di curarsi. È fatta salva, per l’assistito, la possibilità di revocare il suo consenso in ogni momento e il diritto di oscurare alcuni dati dal FSE.
[17] Linee guida materia di Dossier sanitario del 4 giugno 2015, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4084632
[18] Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5.
[19] Art. 5, par. 1, lett. a) Reg. UE 2016/679.
[20] Cfr. art. 12, par. 1, Reg. UE 2016/679 e art. 78 del Codice privacy.
[21] Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti.
[22] Si ricorda, a tal proposito, che la legge italiana prevede che i dati sullo stato della salute possono essere forniti anche a terzi (ad es. i familiari) purché il paziente sia stato informato e abbia consentito.
[23] Art. 5, D.M. 18/02/1982.
[24] Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260.
[25] Art. 4 D. M. 14 febbraio 1997.
[26] Art. 5, par. 1, lett. e) Reg. UE 2016/679.
[27] Art. 37 Reg. UE 2016/679: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.
[28] V. anche Linee guida sui Responsabili della protezione dei dati, WP243, adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, punto 2.1.3, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n. 1/2018.
[29] Ibidem ma v. anche Considerando 91 Reg. UE 2016/679.