Il Garante per la Protezione dei Dati Personali segna un punto di svolta sul Consenso al Trattamento dei Dati Sanitari | SCUDOMED - Health Risk Manager e Legal Advisor

Dottore Privacy

“Come cambia il Consenso per il trattamento dei dati in Sanità e la necessità di maggiori Informazioni Privacy per il paziente”

Con l’emanazione del Provvedimento n. 55 del 7 marzo 2019 da parte del Garante per la Protezione dei Dati Personali sembra risolversi in maniera definitiva il complesso binomio “Consenso – Trattamento dati sanitari” che per lungo tempo ha creato non poche perplessità agli operatori sanitari.

Come prudentemente previsto dal Legislatore europeo alcune categorie di dati personali, tra i quali rientrano i dati sanitari e in generale quelli sulla salute, non possono essere oggetto di trattamento salvo condizioni specifiche che escludono il divieto generale di cui al par. 1 dell’art. 9 GDPR.

Tra le suddette eccezioni figura proprio al primo posto il “consenso esplicito” dell’interessato che sembrerebbe essere eletto quale causa privilegiata per permettere il trattamento di particolari categorie di dati personali.

Seguono, poi, condizioni ulteriori quali quelle relative a:

  • motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati Membri;
  • motivi di interesse pubblico nel settore della sanità pubblica (gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali ecc.);
  • finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.

Invero, con il recente Provvedimento n. 55/2019 l’Authority italiana sembrerebbe cambiare bruscamente rotta in tema di consenso, quantomeno per quanto riguarda il trattamento di dati in ambito sanitario.

Ricapitolando, il Garante Privacy italiana prevede che il CONSENSO NON DOVRÀ ESSERE RICHIESTO all’interessato per i trattamenti dei dati personali e sanitari che:

  • sono essenziali al raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute;
  • sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Al contrario, gli eventuali trattamenti attinenti alla cura solo in senso lato, anche se effettuati da un professionista sanitario, necessiteranno di una distinta base giuridica da individuarsi, semmai, nel consenso dell’interessato ovvero in un altro dei presupposti di liceità individuati agli artt. 6 e 9, par. 2, GDPR.

Dunque, salvo diversa base giuridica, DOVRÀ ESSERE RICHIESTO IL CONSENSO all’interessato per trattare i dati personali e sanitari per quanto riguarda:

  • la consultazione del Fascicolo Sanitario elettronico;
  • la consegna del Referto online;
  • l’utilizzo di App mediche;
  • la gestione dei processi di fidelizzazione della clientela;
  • la finalità promozionali, commerciali ed elettorali.

Non sempre, infatti, la raccolta del consenso da parte dell’interessato è apparsa agevole o di facile soluzione come ad esempio per gli interventi d’emergenza, ovvero per i minori o per lo straniero che non parla la lingua italiana, ma nello stesso tempo andavano salvaguardati le libertà e i diritti degli interessati/pazienti.

Allo stesso modo, previdente è stato anche il Legislatore italiano che, in forza della delega conferita dal GDPR, ha specificato alcuni elementi in base al concetto di “interesse pubblico” specialmente in ambito sanitario.

Infatti, l’art. 2-sexies Codice Privacy, di recente introduzione a seguito della novella introdotta dal D.lgs. 101/2018, riconduce sotto l’alveo di interesse pubblico le seguenti attività:

  • socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
  • amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
  • compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
  • programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
  • vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria;
  • tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili.

Per dette ragioni, seppur il consenso al trattamento dei propri dati personali è la prima tra le basi giuridiche e delle condizioni di liceità del trattamento individuate dal Legislatore europeo, in realtà ciò che conta veramente è il diritto alle informazioni privacy del paziente in ragione della configurazione del diritto alla protezione dei dati personali come vero e proprio diritto fondamentale della persona, quale declinazione della dignità, della personalità e del principio di autodeterminazione informativa dell’individuo.

A tal riguardo, si rappresenta che, pur nel rispetto dell’obbligo di comunicare gli elementi di cui agli artt. 13 e 14 del Regolamento, le informazioni da rendere all’interessato vanno rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.

Riguardo alle modalità con cui fornire le informazioni privacy spetta al Titolare scegliere gli strumenti più appropriati al caso di specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato.

Nello specifico, in riferimento alle attività poste in essere da Titolari del trattamento operanti in ambito sanitario e che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie), il Garante Privacy ha ritenuto opportuno suggerire di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo.

Ciò significa che nei confronti della generalità dei pazienti di una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (art. 79 del Codice Privacy).

Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari anche domiciliari, modalità di consegna dei referti medici on-line, finalità di ricerca ecc.) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento, attuando in concreto il principio di stratificazione delle informazioni privacy.

In conclusione, la legislazione europea ed anche quella domestica hanno centrato il loro interesse proprio sul DIRITTO ALLE INFORMAZIONI, non richiedendo il consenso scritto dell’interessato in taluni contesti operativi, tra i quali rientra anche la Sanità Pubblica e Privata per l’assistenza e la cura delle persone malate.

Attenzione, quindi, anche ai Provvedimenti Generali del Garante italiano che rendono attuabili i dettati normativi del GDPR per evitare di incorrere in errori e/o violazioni in ambito privacy.