La Corte di Cassazione, sezione I civile, con l’ordinanza del 10 giugno 2024, n. 16055, ha…
La tutela della Privacy in materia sanitaria
I dati relativi alla salute sono quelli attinenti alla salute fisica o mentale di una persona (cioè la sua anamnesi medica, i trattamenti clinici ai quali è stato sottoposto, il suo stato fisiologico o biomedico) che rivelano informazioni relative al suo stato di salute come, ad esempio, una malattia o il rischio di essa o una disabilità.
Le fonti normative che disciplinano la materia sono le seguenti:
1) D.M. 18 febbraio 1982 sulla conservazione dei dati relativi al rilascio del certificato medico di idoneità all’attività sportiva agonistica;
2) D.M. 14 febbraio 1997 sulla conservazione dei dati relativi alla documentazione e refertazione radiologica;
3) D.L.vo 30 giugno 2003 n 196 codice in materia di protezione dei dati personali, modificato dal D. L.vo 10 agosto 2018 n 101;
4) Provvedimento del Garante del 19 novembre 2009 sulla refertazione on line;
5) D.L. 9 febbraio 2012 n 5 conv. in L. 4 aprile 2012 n 35 art. 47 bis (agenda digitale) che privilegia la gestione elettronica della cartella clinica e del sistema di prenotazioni;
6) D.L. 18 ottobre 2012 n 179 conv. in L. 17 dicembre 2012 n 122 art. 12 V comma sul fascicolo sanitario elettronico; cartella clinica e ricetta medica digitali;
7) D.P.C.M. 8 agosto 2013 sulla refertazione on line;
8) Delibera del Garante del 4 giugno 2015 sul dossier sanitario;
9) Reg. UE 27 aprile 2016 n 679 in vigore dal 25 maggio 2018 sulla protezione e libera circolazione dei dati personali;
10) D.L.vo 10 agosto 2018 n 101 in vigore dal 19 settembre 2018 che uniforma l’ordinamento interno al regolamento UE n 679 del 2016;
11) Provvedimento del Garante n 55 del 07 marzo 2019 contenente chiarimenti al Reg. UE.
Il trattamento dei dati sulla salute è vietato in linea di massima ed è consentito in alcuni casi specifici individuati dall’art. 9 del Reg. UE n 679 del 2016 che sono : a) consenso esplicito dell’interessato; b) adempimento di obblighi o esercizio di diritti in materia di lavoro o sicurezza sociale; c) tutela di un interesse vitale della persona incapace; d) dati resi manifestamente pubblici dall’interessato; e) esercizio di diritti in sede giudiziaria o su ordine dell’A.G.; f) interesse pubblico.
Il regolamento UE ha previsto che i singoli Stati membri possano introdurre ulteriori condizioni e limitazioni.
Il legislatore italiano con il D.Lgs. 101 del 2018 ha previsto che il Garante completi l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche.
Il Garante, col provvedimento n 55 del 2019, ha fornito utili chiarimenti ed ha previsto una serie di deroghe al divieto di trattamento che sono le seguenti:
1) motivi rilevanti di interesse pubblico tra i quali si annoverano i trattamenti – effettuati da soggetti che esercitano pubblici poteri- in materia di:
a) accesso a documenti amministrativi;
b) tenuta degli atti e dei registri dello stato civile;
c) tenuta di registri pubblici relativi a beni immobili o mobili (Conservatoria registri immobiliari; PRA);
d) tenuta dell’anagrafe nazionale degli abilitati alla guida dei veicoli;
e) elettorato attivo e passivo.
Con particolare riferimento al servizio sanitario nazionale si stabilisce che i dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalità istituzionali di ciascuno, dal Ministero della salute, dall’Istituto superiore di sanità, dall’Agenzia italiana del farmaco, dalle regioni ecc. nel rispetto della normativa primaria e secondaria;
2) trattamento necessario per la protezione da gravi minacce per la salute a carattere transfrontaliero o per la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici. È il caso, ad esempio, delle emergenze sanitarie conseguenti a sismi o catastrofi naturali e alla sicurezza alimentare;
3) trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, per la valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale.
In ogni caso i dati sanitari possono essere trattati esclusivamente da un professionista soggetto al segreto ovvero sotto la sua responsabilità o ancora da persone in ogni caso soggette all’obbligo di segretezza.
Per le finalità di cura il professionista sanitario non deve più ottenere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta, indipendentemente dalla circostanza che operi in qualità di libero professionista o di dipendente ovvero che operi all’interno di una struttura sanitaria pubblica o privata.
Viceversa il consenso è necessario nel caso dei trattamenti connessi all’utilizzo di App mediche per finalità diverse dalla telemedicina o ancora quando ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale.
Ad esempio il trattamento effettuato dalle farmacie per i programmi di accumulo punti finalizzati alla fidelizzazione della clientela o trattamenti per finalità promozionali o commerciali.
Quindi il consenso dell’interessato è necessario per i trattamenti effettuati attraverso il fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179 conv. in L. 17 dicembre 2012 n 179, art. 12, comma 5); il dossier sanitario (linee guida in materia di Dossier sanitario del 4 giugno 2015); la refertazione on line, in relazione alle modalità di consegna del referto (D.P.C.M. 8 agosto 2013, art. 5).
La trasparenza è un elemento fondamentale del trattamento dei dati personali (art. 5, par. 1, lett. a), GDPR) e al fine di rendere consapevoli gli interessati è necessario offrire loro informazioni in forma concisa, facilmente accessibile e con linguaggio semplice e chiaro.
Quanto al periodo di conservazione, il titolare del trattamento, ai sensi dell’art. 5, par. 1, lett. e), del GDPR, dovrà individuare tale periodo in modo che i dati siano “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Obbligatoria, anche per le piccole imprese e per gli studi professionali, è la tenuta del registro dei trattamenti, sia pure in forma semplificata, contenente la mappatura e la descrizione dell’attività di gestione dei dati al fine di dimostrarne la conformità alla normativa e di agevolarne il controllo.
Dottore Commercialista - Revisore legale dei conti
Latest posts by Bruna Fontana (see all)
- Nuova Autotutela: obbligatoria e facoltativa - 18 Giugno 2024
- Il contraddittorio nell’accertamento tributario - 18 Giugno 2024
- Regime fiscale delle Locazioni brevi: novità Legge di Bilancio 2024 - 14 Giugno 2024
Altro da leggere
