Trattamento dei dati relativi alla salute in ambito sanitario

Posted on 2 aprile 2019 by Paola Generali in 2019, News

L’Autorità Garante in risposta alle numerose segnalazioni e dubbi interpretativi ricevuti è recentemente intervenuta con il provvedimento n. 55 del 7 marzo 2019 fornendo alcuni Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario relative al Regolamento 679/2016

Basi giuridiche

In merito a questo tema viene specificato che il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato (“finalità di cura”), indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata.

Diversamente rimane l’obbligo di individuare una distinta base giuridica (es. consenso) per:

  • trattamenti connessi all’utilizzo di App mediche, (attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale)
  • trattamenti effettuati dalle farmacie volti alla fidelizzazione della clientela, attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale (SSN)
  • trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza)
  • trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali
  • trattamenti effettuati attraverso il Fascicolo sanitario elettronico per i quali il consenso è attualmente richiesto dalle Linee guida emanate dall’Autorità prima dell’applicazione del Regolamento

Informative

In materia di informative l’Autorità Garante suggerisce alle aziende sanitarie di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Mentre le informative relative a particolari attività di trattamento potranno essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi.

I tempi di conservazione dei dati personali dei pazienti dovranno essere definiti da regole specifiche, o in caso di dubbio sarà il titolare ad individuarlo indicando nell’informativa un periodo fisso o eventualmente i criteri per individuarlo.

Rimangono comunque valide le previsioni precedenti al GDPR (es. alla documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, che deve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5, D.M. 18/02/1982); alla conservazione delle cartelle cliniche che, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260); alla documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997).

Data Protection Officer

I trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia considerato che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute. Tale obbligatorietà è prevista anche per un ospedale privato, una casa di cura o una residenza sanitaria assistenziale (RSA) sempre in relazione al trattamento su larga scala.

Diversamente vale per il singolo medico il quale non è tenuto alla designazione DPO, in quanto i suoi trattamenti non vengono considerati su larga scala. 

Registro dei trattamenti

L’ultimo punto su cui si sofferma il Garante è quello che riguardo il registro dei trattamenti il quale dovrà essere compilato anche dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche.

 

Tagged as ,

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *