di Avv. Marco Martinoia – Studio Legale Calvello
Con un articolato provvedimento (n. 55 del 07 marzo 2019 – consultabile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9091942) il Garante ha pubblicato dei chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.
In estrema sintesi l’Autorità ha fornito le seguenti precisazioni
1. Consenso (non necessario) del paziente per i cc.dd. “trattamento necessari”: come già chiarito, a seguito dell’emanazione del D.lgs. 101/2018, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata;
2. Informazioni da fornire al paziente
a. Progressività del conferimento delle informazioni: con specifico riferimento ai titolari del trattamento che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie), il Garante ha ritenuto opportuno suggerire di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo. Ciò significa che nei confronti della generalità dei pazienti afferenti a una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie, mentre, gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento.
b. Periodo di conservazione dei dati: con particolare riferimento alla documentazione sanitaria, il Garante ricorda che l’Ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione della stessa, che non sono stati modificati dalla disciplina sulla protezione dei dati personali e che, quindi, rimangono pienamente in vigore.
Ad esempio:
- documentazione inerente agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, che deve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5, D.M. 18/02/1982);
- conservazione delle cartelle cliniche che, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260);
- documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997).
Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e) del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato.
3. DPO – RPD: poiché la designazione del DPO – RPD risulta obbligatoria esclusivamente per alcuni soggetti, il Garante ha chiarito che:
a. Deve ritenersi obbligatoria per
- i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia in quanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute;
- il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala;
b. Deve ritenersi esclusivamente consigliata (ma non obbligatoria) per il singolo professionista sanitario che operi in regime di libera professione a titolo individuale.
4. Obbligo della tenuta del Registro delle attività di trattamento: secondo la nuova normativa, il registro delle attività di trattamento rappresenta uno degli elementi essenziali per la gestione dei trattamenti dei dati e per l’efficace individuazione di quelli a maggior rischio.
*****In merito, il Garante ha chiarito che, IN AMBITO SANITARIO, deve ritenersi DEVE RITENERSI SUSSISTERE L’OBBLIGO DELLA TENUTA DEL SUDDETTO REGISTRO.*****
Pertanto, non rientrano, nelle ipotesi di esenzione dall’obbligo di tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.