Con l’avvento del Regolamento UE 2016/679 (GDPR), tutti i professionisti sanitari sono tenuti a dare informazioni ai pazienti sulle finalità e modalità di trattamento dei dai dati personali. È fondamentale, perciò, avere ben chiara la differenza fra “informativa privacy”, “consenso privacy” e “consenso informato”. Tuttavia, ad oggi, questa differenza fra le tre tipologie di documenti non è così marcata e conosciuta, generando così confusione (e non poca preoccupazione) fra i professionisti e, soprattutto, fra i pazienti.
Il Garante per la Protezione dei Dati Personali, oltre a stabilire le modalità con cui gestire i dati dei pazienti, ha anche specificato come comunicare queste procedure ai pazienti stessi, definendo come ottenere e gestire l’acquisizione del loro consenso.
I professionisti, in quanto soggetti al segreto professionale, non sono tenuti a richiedere il consenso ai loro pazienti per l’utilizzo dei dati personali per finalità di cura, ma sono di contro obbligati a dare informazioni inerenti al loro utilizzo.
Per adempiere a questo obbligo è necessario redigere un’informativa privacy dettagliata che metta il paziente a conoscenza sulle finalità e modalità di gestione dei suoi dati personali. Tutti i professionisti e le strutture sanitarie sono tenuti a conservare le informative in un registro dei trattamenti dei dati.
Il Regolamento Europeo Protezione Dati Personali 2016/679 (GDPR), pienamente efficace a partire dal 25 maggio 2018, ha definito il "dato sanitario" nelle sue varie forme, che includono:
Dati genetici: Dati personali relativi a caratteristiche genetiche, ereditarie o acquisite, che forniscono informazioni univoche sulla fisiologia o lo stato di salute di una persona;
Dati biometrici: Dati personali ottenuti da specifici trattamenti tecnici (es. impronta digitale, immagine facciale, impronta vocale, scansione dell’iride o della retina) che consentono l'identificazione univoca di una persona fisica;
Dati relativi alla salute: Dati personali riguardanti la salute psicofisica di una persona, comprese le prestazioni sanitarie. Il GDPR chiarisce che tali dati comprendono informazioni sulla salute passata, presente o futura, come diagnosi, risultati di esami, terapie ed eventuali ricoveri. L'articolo 9 del GDPR include anche i dati relativi alla vita sessuale, all'orientamento sessuale e, di recente, all’identità di genere come "categorie particolari di dati personali", il cui trattamento è consentito solo in presenza di specifici requisiti.
L’informativa privacy è documento in cui vengono descritte e comunicate tutte le informazioni indispensabili di cui il paziente deve avere piena conoscenza nel momento in cui fornisce i propri dati personali. L’informativa privacy rappresenta la trasposizione del principio di trasparenza, uno dei principi cardine della nuova normativa comunitaria e, per essere conforme al dettato europeo, deve contenere almeno le seguenti informazioni:
Identità e dati di contatto del titolare del trattamento;
Dati di contatto del Responsabile Protezione Dati (DPO), se nominato;
Finalità del trattamento;
Base giuridica del trattamento;
Destinatari dei dati;
Periodo di conservazione dei dati;
Informazioni sull’eventuale profilazione e, se presenti, sui processi decisionali automatizzati;
Diritti dell’interessato;
Diritto di proporre reclamo all’autorità di controllo (in Italia, il Garante per la Protezione Dati Personali).
Come indicato più volte dall’Autorità Garante nei suoi pareri e raccomandazioni, l’informativa privacy deve essere redatta per iscritto, usando un linguaggio semplice e non eccessivamente tecnico; deve altresì essere coincisa, trasparente, intellegibile e facilmente accessibile. Colui che fornisce i dati (soggetto interessato/paziente) deve essere agevolato nella sua comprensione e deve essere pienamente consapevole delle informazioni fornite.
Diverso dall’informativa privacy è il consenso privacy, definito come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso, mediante dichiarazione o azione positiva inequivocabile, esprime il proprio consenso al trattamento dei dati personali che lo riguardano”.
Secondo la circolare del Garante per la protezione dei dati personali del 7 marzo 2019, le deroghe al divieto generale di trattare queste categorie di dati, inclusi quelli sulla salute, che rendono lecito il trattamento in ambito sanitario, sono generalmente riconducibili ai trattamenti necessari per:
– Motivi di interesse pubblico rilevante nel settore della sanità pubblica, come la protezione da gravi minacce sanitarie transfrontaliere;
– Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria (le cosiddette “finalità di cura”), effettuati da un professionista sanitario o altra persona soggetta all’obbligo di segretezza, conformemente al diritto dell’Unione o degli Stati membri.
Per i trattamenti con finalità di cura, il professionista sanitario non ha più l’obbligo di richiedere il consenso del paziente, a differenza di quanto accadeva in passato.
Esistono tuttavia trattamenti in ambito sanitario che non rientrano nelle eccezioni sopra descritte e che, di conseguenza, richiedono il consenso esplicito dell’interessato. A titolo esemplificativo e non esaustivo, queste categorie includono:
– Trattamenti legati all’uso di App medico-sanitarie;
– Trattamenti per la fidelizzazione della clientela;
– Trattamenti effettuati da enti privati per finalità promozionali o commerciali;
– Trattamenti eseguiti tramite il Fascicolo Sanitario Elettronico (FSE) e il Dossier Sanitario Elettronico.
In ambito privacy, quindi, il consenso è la testimonianza che l’interessato ha liberamente acconsentito al trattamento dei suoi dati personali, dopo aver letto, compreso e aver preso consapevolezza dell’informativa privacy. Questo consenso deve essere chiaro, inequivocabile, manifestato liberamente senza alcuna coercizione psico-fisica, in maniera specifica, verificabile e revocabile in qualsiasi momento. Ribadiamo di nuovo che, escluse le specifiche finalità di cura, il consenso deve essere sempre richiesto e firmato nel caso di utilizzo di applicazioni mediche o altri fini.
Il consenso privacy non deve essere assolutamente confuso con il consenso informato. Quest’ultimo, infatti, ha lo scopo precipuo di informare il paziente delle proprie condizioni di salute, sulle cure e gli esami diagnostici da effettuare, eventuali rischi e rifiuto per un determinato trattamento. Il paziente può anche decidere di rifiutare di ricevere informazioni o delegare un suo familiare. Il professionista sanitario non può assolutamente, se non per i casi tassativamente previsti dalla legge, fare a meno di questo accordo per svolgere interventi terapeutici e di cura. È, infatti, lo strumento che autorizza il professionista a svolgere la prestazione, consapevole della sua responsabilità sia civile che penale.
Tale consenso non è disciplinato dal Regolamento UE 2016/679 (GDPR), bensì dall’art. 1, comma 3, della legge n. 219 del 22 dicembre 2017 (Legge sul Consenso Informato).
Nella pratica quotidiana, quindi, il professionista sanitario nel momento in cui il paziente fornisce i propri dati personali è tenuto a rilasciare un’informativa privacy dettagliata, chiara e facilmente accessibile; nel caso in cui ci fosse la necessità di un consenso sulla gestione dei dati si deve chiedere di firmare il consenso privacy e, in ultima istanza, per l’autorizzazione ad un trattamento è obbligatorio ottenere il consenso informato (per iscritto).
Data la complessità della materia, nonché la difficoltà degli adempimenti documentali necessari, per i professionisti e per le strutture sanitarie è sempre consigliabile affidarsi a consulenti esperti in materia.
Organigramma Privacy nello Studio Professionale
La disciplina delle figure coinvolte nella gestione della privacy è contenuta principalmente nel GDPR. Nello studio professionale, i soggetti più comunemente coinvolti sono:
Titolare del trattamento
Responsabile del trattamento
Autorizzati/incaricati al trattamento
Interessati
In alcuni casi, possono essere presenti anche il Responsabile della Protezione dei Dati (DPO) e l’Amministratore di Sistema (AdS).
Titolare del trattamento: è il soggetto che decide le finalità e le modalità del trattamento dei dati personali. È anche responsabile di adottare le misure di sicurezza e di adempiere agli obblighi documentali (come l'informativa privacy e il registro del trattamento). Nello studio di un libero professionista, il titolare è la persona fisica che gestisce l'attività.Responsabile del trattamento: è un soggetto esterno all'organizzazione che tratta i dati per conto del titolare. Deve trattare i dati personali solo su istruzioni precise del titolare e deve adottare le misure di sicurezza adeguate e dimostrabili. Nello studio professionale, questa figura coincide con i professionisti esterni, come commercialisti, consulenti del lavoro, avvocati o consulenti informatici.Soggetto autorizzato/incaricato al trattamento: È colui che esegue materialmente le operazioni di trattamento dei dati, seguendo le istruzioni impartite dal titolare. Deve operare in modo lecito, corretto, trasparente e accedere unicamente alle banche dati indicate. Questa figura deve essere nominata per iscritto e deve essere regolarmente formata, seguendo corsi specifici in materia di privacy/GDPR. Nello studio professionale, gli autorizzati sono generalmente i dipendenti, il personale di segreteria e gli eventuali collaboratori.Interessato: È la persona fisica a cui si riferiscono i dati personali trattati dallo studio professionale, come clienti/pazienti, dipendenti e collaboratori. Il GDPR riconosce a questi soggetti precisi diritti, tra cui la possibilità di richiedere il diritto di accesso, il diritto di rettifica, il diritto alla cancellazione (o all’oblio), diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione e, infine, diritto di non essere sottoposto a decisioni automatizzate (compresa la profilazione).A cura di Giuseppe Virgallita, docente universitario e formatore in ambito privacy, videosorveglianza e salute e sicurezza nei luoghi di lavoro.
Se ti è piaciuto l’articolo condividilo con gli amici.
Se hai domande da porre scrivici a: redazione@sigmareview.it
