Privacy e sanità: le nuove regole alla luce del GDPR


Il rapporto tra privacy e sanità comporta una serie di difficoltà, sia per la rilevanza dei principi da tutelare, sia per l’approccio degli operatori sanitari alle tematiche proprie della protezione dei dati personali

L’era digitale ha cambiato non solo le abitudini del vivere quotidiano, ma anche e soprattutto il mondo dell’istruzione e quello del lavoro.

È innegabile che una buona preparazione, per essere completa e per formare i lavoratori che entrano oggi nel mercato del lavoro, deve basarsi anche su competenze tecnologiche ed informatiche.

Da tempo, in molte università si avverte la necessità di predisporre strutture istituzionali che abbiano il compito di aggiornare sistematicamente le indicazioni di supporto ai nuovi contenuti formativi, utili al completamento dell’attuale ciclo di istruzione.

Come per gli altri settori, anche in quello della sanità, è auspicabile che l’innovazione tecnologica e organizzativa sia all’avanguardia.

Occorre soprattutto una cultura del digitale: le competenze digitali sono diventate essenziali per una corretta formazione sanitaria, che danno la possibilità di acquisire nuove abilità e conoscenza sia a livello operativo che professionale, anche al fine di migliorare le potenzialità diagnostiche e terapeutiche, proprio grazie all’utilizzo sapiente delle nuove tecnologie messe a disposizione (le varie tecniche di telemedicina e di intelligenza artificiale, la robotica applicata alla chirurgia e la stampa 3D nella creazione di protesi).

La formazione deve, quindi, svolgere un ruolo fondamentale: le competenze digitali sono diventate fondamentali per tutto il personale sanitario, sia quello attualmente in organico sia quello in formazione presso università e scuole.

Regolamento europeo privacy e sanità

Regolamento europeo privacy e sanità

Fra i temi più caldi del momento e che richiedono una particolare attenzione vi è quello della privacy nella sanità.

Il rapporto tra privacy e sanità comporta una serie di difficoltà, sia per la rilevanza dei principi da tutelare, sia per l’approccio degli operatori sanitari alle tematiche proprie della protezione dei dati personali. In questo contesto, quella che viene definita come sanità digitale, ha ulteriormente complicato la situazione.

Applicare la normativa in materia di trattamento dei dati personali e sensibili al settore sanitario porta con se la necessità di contemperare la giusta imposizione di norme e regole volte a tutelare la riservatezza della persona umana con le esigenze di celerità, di urgenza e di garanzia di salute del paziente.

Il nostro Codice sulla privacy (D.lgs. n. 196/2003), sulla base dall’art. 8, par. 3 della direttiva 95/46/CE che disciplinava i dati sanitari, ha deciso di adottare un approccio settoriale dedicando l’intero Titolo V (dagli artt. da 75 a 94), al trattamento dei dati personali in ambito sanitario.

Tuttavia, bisogna confrontarsi con le nuove regole che, con il Regolamento UE n. 2016/679 (GDPR) del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati che ha abrogato la direttiva 95/46/CE, diventeranno obbligatorie per tutti i paese dell’UE a partire dal 25 maggio 2018.

Il GDPR, infatti, al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti, non prevede un’apposita sezione dedicata al trattamento dei dati personali effettuato in ambito sanitario.

Con questo non vuol dire che la materia in oggetto sia stata ignorata dal legislatore comunitario, anzi già al considerando 35 si legge che:

nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Inoltre, all’art. 4, n. 15 del GDPR, vengono definiti come dati relativi alla salute:

i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute

I dati sanitari sono qualificati dal GDPR come dati sensibili e, quindi meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali.

Inoltre, il Regolamento fa rientrare nella definizione di dati sensibili anche i dati genetici e quelli biometrici, il cui trattamento, come quello dei dati sanitari, può esser soggetto a condizioni o limitazioni ulteriori, liberamente mantenute o introdotte dai singoli Stati membri.

L’art. 9 del GDPR sancisce come regola generale il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Tuttavia, si prevedono casi in cui il divieto non opera che, per il settore sanitario, sono riconducibili all’erogazione della prestazione sanitaria complessivamente intesa.

Oltre al caso tradizionale in cui il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, si prevedono ipotesi in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.

Tutti gli operatori del sistema sanitario devono, quindi, comprendere che esercitare la professione sanitaria oggi vuol dire non solo curare le persone, ma prendersi anche cura dei loro dati, e che le due cose camminano di pari passo.

LEGGI ANCHE: Avvocato, tutto quello che devi sapere sul Fascicolo Sanitario Elettronico

GDPR sanità: regole sull’informazione e il consenso

GDPR sanità: regole sull’informazione e il consenso

Non dedicando il GDPR un’apposita sezione al trattamento dei dati sanitari, valgono anche in questo ambito le regole generali.

Il nuovo Regolamento si ispira al principio di trasparenza, per cui tutte le informazioni destinate al pubblico o all’interessato devono essere facilmente accessibili e di facile comprensione, utilizzando un linguaggio chiaro e semplice che permetta all’interessato di comprendere se vengono raccolti dati personali, da chi e a quale scopo.

Pertanto, l’art. 12 del Regolamento sancisce che il titolare del trattamento debba adottare misure appropriate per fornire all’interessato tutte le informazioni necessarie (elencando agli artt. 13 e 14 le informazioni minime che bisogna fornire all’interessato) e le comunicazioni relative al trattamento dei dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Le informazioni sono fornite per iscritto o con altri mezzi, se del caso in formato elettronico. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.

Il trattamento, si basa naturalmente sulla prestazione del consenso (art. 7 del Regolamento): qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Pertanto, seppur la forma scritta, (anche secondo le indicazioni date dal Garante) è la modalità più idonea a configurare l'inequivocabilità del consenso, non vi è un obbligo in tal senso.

Il GDPR, come per il passato, prevede quindi, che il consenso sia informato e specifico e che venga prestato liberamente dall’interessato

Se il consenso dell’interessato è prestato. nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

L’interessato, poi, ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

GDPR: la profilazione in ambito sanitario

GDPR: la profilazione in ambito sanitario

Il Regolamento ha posto una particolare attenzione al trattamento automatizzato dei dati personali, soprattutto quando l’utilizzo di queste tecnologie possa sfociare in decisioni che abbiano un’incidenza particolare sulla vita umana.

L’art. 22, infatti, prevede che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida allo stesso modo significativamente sulla sua persona.

Tale disposizione non sia applica quando la decisione:

  • sia necessaria per la conclusione o l'esecuzione di un contratto tra l’interessato e un titolare del trattamento.
  • sia autorizzata dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
  • si basi sul consenso esplicito dell’interessato.

Al di fuori di questi casi vale la regola generale (art. 22, par. 4, del GDPR) che vieta la profilazione dei dati sanitari.

Il trattamento automatizzato dei dati personali, inoltre, può essere utilizzato, in maniera eccezionale se:

  • c’è un consenso esplicito dell’interessato.
  • va perseguito un interesse pubblico rilevante nell’ambito della sanità pubblica.
  • il titolare o il responsabile abbia adottato idonee ed adeguate misure di sicurezza per tutelare i diritti, le libertà e i legittimi interessi del paziente.

In questo caso, se un titolare o un responsabile decide di usare i dati sanitari dei pazienti per attività di profilazione, deve anche dare la possibilità agli interessati di esercitare il loro diritto di rinunciare all’attività (il cd. diritto di opt-out) e di revocare il consenso.

LEGGI ANCHE: GDPR: quali le regole per i soggetti pubblici?o

GDPR nell’abito della ricerca scientifica

Se il trattamento dei dati sanitari è necessario per perseguire finalità di ricerca scientifica, il GDPR ha predisposto delle regole volte a garantire la tutela dei dati personali utilizzati.

Il titolare, infatti, in questo caso, deve adottare delle misure di sicurezza tecniche e di tipo organizzativo dirette ad assicurare la “minimizzazione dei dati”, garantendo cioè, che il trattamento sia effettuato con il minor numero di dati possibili (ad esempio, attraverso la pseudonimizzazione dei dati, che non consente di ricondurre l’informazione al singolo interessato).

Tuttavia, il GDPR non ricomprende nell’ambito di applicazione della ricerca scientifica qualsiasi tipo di attività svolta in ambito sanitario. Probabilmente il concetto di ricerca scientifica sarà rimesso all’attività interpretativa delle Autorità nazionali di controllo, che dovranno applicare il diritto europeo e quello nazionale.

Secondo le disposizioni del GDPR, i ricercatori e le organizzazioni possono fare ricerca scientifica senza chiedere il consenso dell’interessato (considerando 47 e 157 e articolo 6, par. 1, lett. f).

Addirittura, in alcune ipotesi, potrebbero trasferire all’estero i dati dell’interessato senza che sia messo in piedi un altro meccanismo di trasferimento.

Ai sensi del considerando 50 e dell’art. 6, par. 4, del GDPR, il trattamento ulteriore rispetto a quello per cui i dati erano stati originariamente raccolti è ammissibile come lecito e compatibile con il GDPR se viene anch’esso effettuato per perseguire finalità di ricerca scientifica e sussistano altri requisiti tra cui idonee garanzie per gli interessati.

Ciò a dimostrazione la prevalenza della finalità di ricerca, e quindi dell’interesse pubblico, in quanto la società civile si affida sul miglioramento delle conoscenze.

Matteo Migliore - Fondatore di LEGALDESK

Mettiti in contatto su LinkedIn

Cerchi PCT Enterprise?

Clicca su Mi piace!


Categoria

Privacy


ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.