GDPR e dati sanitari

Stato dell'arte

Il trattamento dei dati sulla salute è consentito in presenza di taluni requisiti specifici individuati all’art. 9 del Regolamento, il quale ha previsto, in questo ambito, la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riferimento al predetto trattamento (cfr. art. 9, par. 4). Il decreto legislativo n. 101/2018, in vigore dal 19 settembre 2018, ha previsto, al riguardo, che il Garante completi l’individuazione dei presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche (artt. 2-septies e 2-quater del Codice).

Considerata la delicatezza e la complessità di tali trattamenti, il legislatore ha, inoltre, previsto un periodo transitorio, affidando al Garante il compito di individuare, ed eventualmente aggiornare, le prescrizioni contenute nelle autorizzazioni generali sul trattamento dei dati sensibili che risultavano compatibili con le disposizioni del Regolamento e del decreto n. 101/2018, nonché di verificare la conformità dei codici deontologici al Regolamento (artt. 20 e 21 del citato decreto).

Le immagini di questa pagina sono tratte dalla presentazione "I presupposti di liceità del trattamento dei dati sulla salute in ambito sanitario" di Francesca Cecamore, Dipartimento sanità e ricerca dell'Autorità Garante, intervento facente parte del progetto di formazione internazionale T4DATA 

Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario 

Provv. n.55 del 7 marzo 2019

Nei primi mesi di applicazione del Regolamento e delle nuove disposizioni del Codice, il Garante ha ricevuto numerosi quesiti in ordine al nuovo assetto della disciplina relativa al trattamento dei dati relativi alla salute in ambito sanitario.

E’ stata sollevata, infatti, in più occasioni, l’esigenza, da parte degli operatori del settore, dei soggetti istituzionali competenti, dei responsabili della protezione dati e dei cittadini di avere dei chiarimenti in merito al mutato e articolato assetto della disciplina in tale ambito.

Sebbene il quadro, come sopra evidenziato, non sia ancora definitivo, l’Autorità ha ritenuto opportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario con il Provvedimento generale del 7 marzo 2019.

Le deroghe al divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quelli sulla salute, sulla base delle quali è ammesso il trattamento di tali dati, sono ora da individuarsi nell’art. 9 del Regolamento che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per le fattispecie indicate nella slide.

In quali casi è necessaria la raccolta del consenso al trattamento?

i trattamenti per “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. 

Diversamente dal passato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata. 

Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono invece il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), tra i quali si individuano, a titolo esemplificativo, le fattispecie di cui sopra.

CODICE DI CONDOTTA PER L’UTILIZZO DI DATI SULLA SALUTE A FINI DIDATTICI E DI PUBBLICAZIONE SCIENTIFICA 

La Regione Veneto, con DGR 1633/2022,  su proposta dell’Azienda Sanitaria ULSS 9 Scaligera, ha recepito il Codice di Condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica. 

Il Codice è stato sottoposto alla approvazione del Garante per la protezione dei dati personali ai sensi dell’art. 40, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile del 2016.

Il Codice è riferito alle attività di trattamento dei dati personali relativi a persone fisiche limitatamente al territorio dello Stato Italiano ed è applicabile unicamente a livello nazionale. Per tale motivo, la sua approvazione, ai sensi dell’art. 40 del Regolamento, è richiesta al Garante per la protezione dei dati personali in qualità di Autorità di controllo competente ai sensi dell’art. 55 del Regolamento. 

Il Codice è stato adottato al fine di individuare le modalità di elaborazione anche mediante tecniche di anonimizzazione e di pseudonimizzazione dei dati personali sulla salute degli assistiti, da parte del Titolare e dei soggetti aderenti al Codice per la produzione di documenti a fini didattici o di pubblicazione scientifica da parte di professionisti sanitari (ad esempio tesi di laurea, presentazioni a convegni, convention, seminari, position paper, poster scientifici, case-study per finalit‡ didattiche e discussione di casi clinici).