GDPR e dati sanitari

Stato dell'arte

Il trattamento dei dati sulla salute è consentito in presenza di taluni requisiti specifici individuati all’art. 9 del Regolamento, il quale ha previsto, in questo ambito, la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riferimento al predetto trattamento (cfr. art. 9, par. 4). Il decreto legislativo n. 101/2018, in vigore dal 19 settembre 2018, ha previsto, al riguardo, che il Garante completi l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche (artt. 2-septies e 2-quater del Codice).

Considerata la delicatezza e la complessità di tali trattamenti, il legislatore ha, inoltre, previsto un periodo transitorio, affidando al Garante il compito di individuare, ed eventualmente aggiornare, le prescrizioni contenute nelle autorizzazioni generali sul trattamento dei dati sensibili che risultavano compatibili con le disposizioni del Regolamento e del decreto n. 101/2018, nonché di verificare la conformità dei codici deontologici al Regolamento (artt. 20 e 21 del citato decreto).

Le immagini di questa pagina sono tratte dalla presentazione "I presupposti di liceità del trattamento dei dati sulla salute in ambito sanitario" di Francesca Cecamore, Dipartimento sanità e ricerca dell'Autorità Garante, intervento facente parte del progetto di formazione internazionale T4DATA

Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

Provv. n.55 del 7 marzo 2019

Nei primi mesi di applicazione del Regolamento e delle nuove disposizioni del Codice, il Garante ha ricevuto numerosi quesiti in ordine al nuovo assetto della disciplina relativa al trattamento dei dati relativi alla salute in ambito sanitario.

E’ stata sollevata, infatti, in più occasioni, l’esigenza, da parte degli operatori del settore, dei soggetti istituzionali competenti, dei responsabili della protezione dati e dei cittadini di avere dei chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito.

Sebbene il quadro, come sopra evidenziato, non sia ancora definitivo, l’Autorità ha ritenuto opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario con il Provvedimento generale del 7 marzo 2019.

Le deroghe al divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quelli sulla salute, sulla base delle quali è ammesso il trattamento di tali dati, sono ora da individuarsi nell’art. 9 del Regolamento che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per le fattispecie indicate nella slide.

In quali casi è necessaria la raccolta del consenso al trattamento?

i trattamenti per “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Diversamente dal passato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata.

Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono invece il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), tra i quali si individuano, a titolo esemplificativo, le fattispecie di cui sopra.