Nel maggio dello scorso anno è entrato in vigore il nuovo Regolamento europeo sulla privacy (conosciuto come GDPR) che ha introdotto rilevanti novità per la tutela dei dati personali ed ha stabilito sanzioni fino a 20 milioni di euro per chi non è in regola.
Con il provvedimento del 7 marzo 2019 il Garante della Privacy ha fornito importanti chiarimenti sull’applicazione del nuovo regolamento sulla privacy per i medici, le cliniche, gli ospedali e le altre strutture sanitarie. Di seguito vengono illustrati i punti principali del provvedimento del Garante.
1. Il consenso.
Il Garante della privacy ha evidenziato che l’art. 9 del GDPR permette il trattamento dei dati personali e dei dati sensibili anche senza il consenso espresso dell’interessato. Ciò è possibile quando il trattamento risulta necessario per la finalità di cura ed è effettuato da un professionista sanitario soggetto al segreto professionale. Tale interpretazione va però presa con molta cautela: l’eccezione alla richiesta del consenso vale solo per i trattamenti strettamente necessari per la cura. È lo stesso Garante a precisare infatti che questo non vale per alcune operazioni come l’utilizzo del fascicolo sanitario elettronico, le attività di fidelizzazione della clientela o le finalità commerciali. A dire il vero, sebbene il Garante non lo dica espressamente, è da ritenere che per ogni altro trattamento, come per esempio la fatturazione da parte medico, il consenso sia comunque richiesto. Ne consegue che, nonostante l’apertura da parte del Garante, rimane sempre consigliabile per i medici o le strutture sanitarie la richiesta del consenso da parte dell’interessato.
2. L’informativa.
Il GDPR stabilisce puntualmente il contenuto obbligatorio delle informazioni che il medico deve fornire ai pazienti in merito al trattamento dei dati. A questo proposito il Regolamento europeo non ha stravolto le regole già esistenti ma ha aggiunto alcuni elementi quali la specificazione del periodo in cui i dati vengono conservati dal medico.
Il Garante, richiamando il GDPR, ha poi specificato le modalità con le quali devono essere fornite all’interessato le informazioni: la forma deve essere concisa, trasparente, intelligibile e facilmente accessibile ed il linguaggio semplice e chiaro. Il medico potrà, per esempio, mettere a disposizione dei pazienti l’informativa nei locali dello studio e chiederne una sottoscrizione per presa visione. Per i trattamenti di dati operati da strutture più complesse (come le aziende sanitarie) il Garante suggerisce di fornire le informazioni in modo progressivo: offrendo in prima battuta solo le informazioni relative ai trattamenti che rientrano nell’attività ordinaria della struttura e successivamente gli ulteriori elementi che vengono in rilievo in relazione a specifiche ulteriori prestazioni.
3. Il Responsabile della Protezione Dati.
Anche nota come DPO, tale figura rappresenta una delle principali novità introdotte dal GDPR. Si tratta di un soggetto che in determinati casi deve essere nominato dal titolare del trattamento come supervisore indipendente delle attività di gestione dei dati.
Il Garante della Privacy ha precisato che in applicazione del GDPR gli ospedali sono senz’altro tenuti a nominare un DPO. Diverso discorso invece per le strutture private: il DPO è necessario solo se vengono trattati dati sensibili su larga scala. È il concetto di larga scala ad essere dirimente e ogni titolare dovrà quindi valutare con il proprio consulente privacy la necessità di nominare un DPO.
Il singolo medico che tratta dati dei pazienti non è invece obbligato ad avere un DPO: il GDPR, infatti, esclude che per il singolo professionista possa parlarsi di larga scala e, quindi, elimina ogni dubbio sulla necessità del DPO.
4. Il registro delle attività di trattamento.
Si tratta di un documento nel quale vengono indicati gli elementi essenziali del trattamento come il nome del titolare, le categorie di interessati e di dati, le finalità e la base giuridica del trattamento, nonché il tempo per il quale vengono conservati i dati e le misure di sicurezza previste.
Il Garante della Privacy ha chiarito che la tenuta del registro del trattamento è obbligatoria per ogni operatore sanitario, dall’ospedale al singolo medico. Questo perché ogni professionista sanitario effettua un trattamento non occasionale di dati relativi alla salute dei pazienti.
La tenuta del Registro del trattamento ha peraltro una doppia utilità: da un lato perché la redazione del registro stesso rappresenta la migliore occasione per verificare le procedure di trattamento e migliorare la conformità al GDPR, dall’altro perché in caso di ispezione è il primo documento utile per dimostrare che il trattamento è effettuato nel rispetto della normativa privacy.
5. La valutazione di impatto sulla protezione dei dati.
Il tema della DPIA (acronimo inglese della valutazione di impatto) non è preso in considerazione dal recente provvedimento del Garante. Ciononostante si è ritenuto di inserirlo nel presente commento perché costituisce un elemento fondamentale ai fini della conformità al GDPR.
In base ai criteri stabiliti dal Consiglio Europeo per la Protezione dei Dati, il trattamento dei dati dei pazienti comporta un rischio elevato per i diritti e le libertà degli stessi e quindi tutti i medici sono tenuti ad effettuare la DPIA. La valutazione di impatto è una procedura che serve per individuare i principali rischi collegati al trattamento dei dati e per valutare l’adeguatezza delle misure previste per mitigare tali rischi. All’esito della procedura si potrà confermare l’idoneità delle misure di sicurezza, oppure individuare la necessità di implementare nuovi controlli o, ancora, stabilire che il rischio rimane elevato nonostante tali misure e che è quindi richiesta l’autorizzazione del Garante.
La DPIA deve essere documentata mediante la redazione di un resoconto che illustri le valutazioni effettuate, i rischi evidenziati e le misure di sicurezza definite. Tale report sarà poi tenuto a disposizione per il caso di ispezioni e verifiche.
Ovviamente questi ed altri aspetti vanno valutati nello specifico dalla struttura sanitaria o dal singolo medico con l’ausilio di un professionista con specifiche competenze in ambito privacy; ciò al fine di correggere e migliorare le procedure di trattamento e di predisporre la documentazione richiesta dal GDPR e dal Codice della Privacy.
Buongiorno
Non riesco a trovare risposte a questa domanda: l’acquisizione di consenso facendo firmare al paziente un pdf su tablet mediante le app gratuite per firmare i pdf, come docusign, è valida? In modo da poter conservare tutto de materializzato su cloud e non avere niente di cartaceo. Per uno studio privato gestito da un solo medico. Grazie mille
Buongiorno,
il quesito è molto interessante.
Uno strumento di questo tipo potrebbe essere compatibile con i principi del GDPR ed in particolare con quello di accountability ma, come ogni questione in materia di conformità privacy, deve essere valutata nel caso specifico e concreto. Sono a disposizione per eventuali ulteriori approfondimenti. Cordiali saluti.
Avv. Giacomo Berrino